Cyber-Kriminelle verschaffen sich Zugang zu über 20.000 Onlinekonten
Im Jahr 2023 haben drei niedersächsische Unternehmen den unbefugten Zugang zu insgesamt über 20.000 Onlinekonten durch sogenannte Credential-Stuffing-Angriffe gemeldet.
Bei Credential Stuffing greifen Kriminelle auf zuvor abhandengekommene, zumeist gestohlene Zugangsdaten (Credentials) von Nutzerinnen und Nutzer zurück. Die Angreifenden versuchen mit Hilfe der zuvor erbeuteten Zugangsdaten wie beispielsweise der Kombination aus E-Mail-Adresse und Passwort auch auf anderen Plattformen, vor allem in Online-Shops, Zugang zu den Nutzerkonten zu erhalten. Die Angriffe laufen automatisiert und meist in großem Ausmaß ab.
Dabei machen sich Cyber-Kriminelle die Bequemlichkeit vieler Nutzerinnen und Nutzer zunutze, dieselben Zugangsdaten bei mehreren Konten zu verwenden. Diese Bequemlichkeit ist gefährlich, denn sie erhöht bei einem gestohlenen Passwort den potenziellen Schaden. Die erbeuteten Zugangsdaten nutzen die Angreifer entweder selbst oder bieten sie im Darknet zum Verkauf an – oft als Listen mit Tausenden erbeuteter Credentials.
Die Meldungen der Unternehmen an die Datenschutzbehörde aus dem vergangenen Jahr zeigen, dass diese Angriffsmethode immer wieder erfolgreich ist und eine zunehmende Gefahr für die Daten von Onlinekonten darstellt. So konnten sich die Angreifenden allein bei drei niedersächsischen Unternehmen durch diese Angriffsstrategie in Summe Zugang zu über 20.000 Onlinekonten verschaffen. Hierdurch können die im Konto gespeicherten Daten wie beispielsweise Name, Anschrift, Geburtsdatum, E-Mail-Adresse oder auch Kaufhistorie und gegebenenfalls Kreditkartendaten eingesehen werden.
Mit diesen Daten können die Kriminellen ihre bestehenden Listen mit weiteren Informationen über die jeweiligen Personen anreichern und für betrügerische Absichten nutzen – zum Beispiel für weitere Credential-Stuffing-Angriffe. In den gemeldeten Fällen haben die Verantwortlichen nach Bekanntwerden der Angriffe die betroffenen Kundinnen und Kunden informiert. Durch Änderung der Passwörter konnten die Hacker an einem weiteren Zugriff auf die betroffenen Onlinekonten gehindert werden. Die Kundinnen und Kunden hatten in der Folge zeitnah die Möglichkeit, die Passwörter zurückzusetzen und dadurch wieder vollen Zugang zu ihren Konten zu erlangen.
Schutzmaßnahmen
Damit es gar nicht so weit kommt, können Unternehmen, aber auch Nutzerinnen und Nutzer Maßnahmen ergreifen, um sich vor Passwortattacken wie dem Credential Stuffing zu schützen. Grundsätzlich sind zunächst die Unternehmen in der Pflicht, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als effektivste Maßnahme gegen Credential Stuffing empfiehlt das Open Web Application Security Project (OWASP) die Implementierung einer Multi-Faktor-Authentifizierung. Nach Auffassung der Aufsichtsbehörden ist dies derzeit ein geeigneter Schutz.
Daneben können auch die Nutzerinnen und Nutzer zur Sicherheit ihrer Onlinekonten beitragen. Zunächst sollten sie niemals dasselbe Passwort für mehrere Dienste verwenden. Die Grundregel lautet: Für jeden Dienst ein eigenes Passwort. Um den Überblick über die unterschiedlichen Zugangsdaten zu behalten, empfehlen wir das Verwenden eines Passwortmanagers. Dieser hilft in der Regel außerdem beim Erzeugen
guter Passwörter. Zudem wird dazu geraten, Multi-Faktor-Authentifizierung auf denjenigen Webseiten zu aktivieren, die dies anbieten. Ferner sollten Nutzerinnen und Nutzer ihre Passwörter so schnell wie möglich ändern, wenn ein Verantwortlicher sie über einen Sicherheitsvorfall informiert.
Quelle: LfD Niedersachsen
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind!
Unverbindlich mit Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks