B2C-Unternehmen verlieren bis zu neun Prozent ihrer Umsätze
Nevis: Millionenschäden durch Credential Stuffing
Fortsetzung des Artikels von Teil 1
Hohe Schäden
Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent), der Transfer von Geldern oder anderen fungiblen Werten (elf Prozent), betrügerische Einkäufe (elf Prozent) sowie der Diebstahl von digitalen Inhalten und Dienstleistungen (elf Prozent). Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen – etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern.
Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Credential-Stuffing-Attacken zu schützen versuchen, ist Aberdeen nachgegangen. Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen. Laut der Untersuchung werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung. Ein starkes Innovationspotenzial sehen die Studienteilnehmer dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft.
Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind. Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar. Zum Dritten sind die Angriffe leicht automatisierbar. Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.
Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.
- Nevis: Millionenschäden durch Credential Stuffing
- Hohe Schäden
Lesen Sie mehr zum Thema
