com!-Academy-Banner

Mittelständler stehen verstärkt unter ­Beschuss

Credential Stuffing explodiert

von - 16.01.2020
Selbst wenn Online-Händler ihre Webseite gegen DDoS-Attacken stärken und ihre Server gegen Hacker verteidigen, sind sie nicht vollständig vor Cyberkriminellen geschützt - denn ihre Kunden sind es auch nicht. Über 2,2 Milliarden gestohlene Nutzerdaten standen allein im ersten Quartal 2019 im Darknet zum Verkauf. Und im ersten Halbjahr 2018 wurden gestohlene Daten mindestens zehn Milliarden Mal für Log-in-Versuche auf E-Commerce-Seiten genutzt.
Credential Stuffing werden Angriffe genannt, bei denen gestohlene Kundendaten von Bots zu Hunderttausenden auf einer Seite ausprobiert werden in der Hoffnung, zumindest bei einigen das Kundenkonto übernehmen und für exzessive Einkäufe nutzen zu können - so wie bei Digitec Galaxus. Und auch wenn die Schweizer immer wieder beteuerten, dass der Fehler nicht auf ihrer Seite lag, sondern vielmehr ihre Kunden zu sorglos mit ihren Log-in-Daten umgegangen waren - indem sie etwa die gleichen Zugangsdaten für den Digitec-Galaxus-Shop wie für ein soziales Netzwerk oder eine Mail-Adresse verwendet hatten -, blieb der Schwarze Peter doch bei dem Marktplatzbetreiber hängen. „Hacker­angriff auf Digitec Galaxus“ titelten mehrere Schweizer Zeitungen nach Bekanntwerden des Vorfalls, besorgte Kunden kontaktierten den Shop. „Der Imageschaden in so einem Fall ist erheblich“, warnt Ralf Stadler. „Online-Shops müssen damit umgehen, dass die Daten ihrer Kunden auf ihrer eigenen Plattform und zudem auch an anderer Stelle im Internet kompromittiert werden können - und dass ihre Kunden zwischen den beiden Szenarios nicht immer unterscheiden können.“
Dabei gibt es auch für das Problem Credential Stuffing eine Lösung. Security-Dienstleister, die sich auf die Überprüfung von Credentials spezialisiert haben, können dabei helfen, Kundendaten automatisiert auf ihren Sicherheitsstatus zu überprüfen. Dafür greifen sie auf Datenbanken wie Spycloud.com zurück, die auflisten, welche Mail-Adressen von Datenlecks betroffen waren und dadurch unter Umständen kompromittiert sein könnten. „Kunden, deren Zugangsdaten dann beispielsweise als unsicher eingestuft werden, können automatisch darüber informiert und um einen Passwortwechsel gebeten werden“, so Stadler.
Solche Tools sind nur einige von vielen Lösungen, die die boomende Security-Branche ihren verunsicherten Kunden anbietet. Es gibt jedoch erst wenige Dienstleister, die dem Trend, nach dem Angreifer sich zunehmend auf kleine und mittelständische Unternehmen konzentrieren, Rechnung tragen.

Unübersichtlicher Markt

Tatsächlich tun sich vor allem KMUs mit begrenztem Wissen in Sachen IT-Security oft schwer mit der Suche nach der richtigen Sicherheitslösung. „Lösungen für fortgeschrittene IT-Sicherheit richten sich bislang vor allem an Konzerne“, kritisierte kürzlich der White-Hat-Hacker Linus Neumann, der auch als Sprecher für den Chaos Computer Club (CCC) fungiert. „Für kleine und mittelständische Unternehmen gibt es allerlei windige Anbieter und Schlangenöl-Produkte, die letztlich unwirksam sind.“ Vor allem im Freeware- und Open-Source-Bereich präsentiert sich der Markt an Tools unübersichtlich. „Open-Source-Tools sollte man kennen, um auch die Möglichkeiten richtig zu nutzen“, meint Ralf Stadler, der für Tech Data auch als Tools-Scout nach neuen und vielversprechenden Security-Anwendungen sucht. „Dabei kann man schnell auf verdeckte Kostenfallen hereinfallen oder eben keine fundierte Information erhalten. Dies nutzt nur Personen, die auch eine Ahnung von Nutzen und Verwendung haben. Mir sind bisher nur wenige Tools positiv aufgefallen.“ Trotzdem ist er überzeugt: „Kein Unternehmen muss sich für eine Security-Strategie überschulden.“

Besserer Informationsstand

Dazu kommt: Mit der Präsenz der Gefahr durch Cyberkriminalität in der öffentlichen Wahrnehmung steigt auch das Informationsangebot von offizieller Seite. So bietet die Allianz für Cyber-Sicherheit, 2012 vom Bundesamt für Sicherheit in der Informationstechnik ins Leben gerufen, umfassende Grundlageninformationen zur Gefahrenlage sowie zur Entwicklung wirksamer Strategien für Cybersicherheit an. Dazu zählen auch Notfallpläne für den Angriffsfall. 2700 Unternehmen und Institutionen gehören der Allianz derzeit an. Einige Industrie- und Handelskammern haben das Thema mittlerweile ebenfalls für sich entdeckt und organisieren Informationsveranstaltungen oder, in Zusammenarbeit mit Partnern aus der Security-Industrie, berufsbegleitende Ausbildungen und Trainings für IT-Security-Manager. Auch in Sachen Nachwuchsausbildung tut sich etwas: Inzwischen bieten über 20 deutsche Universitäten und Fachhochschulen Studiengänge für IT-Security an.
Die Frage bleibt, ob diese Bemühungen ausreichen. Das Problem Cybersecurity explodiert. Dadurch wird der Ruf nach Security-Experten immer dringlicher - und der Fachkräftemangel, der vor allem kleine und mittelstän­dische Unternehmen im Wachstum einschränkt, könnte bedrohliche Züge annehmen.
Checkliste für den Angriffsfall
Stehen KMUs unter dem Beschuss von Cyberangreifern, gilt das Motto: Ruhe bewahren und methodisch vorgehen. Die folgende Checkliste hilft bei der Abarbeitung aller notwendigen Schritte:
  • Wurden erste Bewertungen des Vorfalls durchgeführt, um festzustellen, ob es sich um einen Cyberangriff oder lediglich um einen technischen Defekt handelt?
  • Haben Sie kontinuierlich Ihre Maßnahmen abgestimmt, dokumentiert und an alle relevanten Personen und Verantwortlichen kommuniziert?
  • Wurden Systemprotokolle, Log-Dateien, Notizen, Fotos von Bildschirminhalten, Datenträger und andere digitale Informationen forensisch gesichert?
  • Haben Sie stets die besonders zeitkritischen und damit vorrangig zu schützenden Geschäftsprozesse im Fokus gehabt? Wurden betroffene Systeme vom Netzwerk getrennt? Wurden Internetverbindungen zu den betroffenen Systemen getrennt? Wurden alle unautorisierten Zugriffe unterbunden?
  • Wurden Backups gestoppt und vor möglichen weiteren Einwirkungen geschützt? Wurden Maßnahmen ergriffen, um den gesamten Umfang der Ausbreitung festzustellen? Wurden alle angegriffenen Systeme identifiziert?
  • Wurden die bei dem Cyberangriff ausgenutzten Schwachstellen in Systemen oder (Geschäfts-)Prozessen durch relevante Maßnahmen adressiert und behoben?
  • Wurden - nach Abstimmung - die Polizei oder relevante Behörden (etwa Datenschutz, Meldepflichten) benachrichtigt?
  • Wurden die Zugangsberechtigungen und Authentisierungsmethoden für betroffene (geschäftliche und gegebenenfalls private) Accounts überprüft (zum Beispiel neue Passwörter, Zwei-Faktor-Authentifizierung)?
  • Wird das Netzwerk nach dem Vorfall weiter überwacht, um mögliche erneute Anomalien festzustellen?
  • Wurden die betroffenen Daten und Systeme wiederhergestellt oder neu aufgebaut?
Foto: Quelle: Allianz für Cyber-Sicherheit
Verwandte Themen