Privatkunden

Vorsicht, Trickbetrüger!

Wie Cyberkriminelle Ihre Zugangsdaten verwerten

Credential Stuffing breitet sich immer weiter aus. Es handelt sich dabei um Cyberattacken, bei denen Anmeldedaten im Internet geklaut und missbraucht werden. Lesen Sie hier nach, wie Sie Ihre Daten davon schützen können.

Jeder, der sich im Internet bewegt, kennt das: Für jede Webseite, jeden Dienst und jede App muss ein eigener Benutzeraccount erstellt werden. Dadurch endet jeder sehr schnell bei einer hohen Anzahl von Accounts und verliert sehr leicht den Überblick. Identitätsdienste, wie "Log me in with Google/Facebook" können Ihnen dabei helfen den Überblick zu behalten. Sie lösen das Problem allerdings nur bedingt. Selbst wenn eine App nur getestet werden soll, endet es meistens mit einem neuen Benutzeraccount und schon wird wieder ein neues Passwort benötigt.

Was ist „Credential Stuffing“?

Ein einfaches Beispiel: Wenn Sie jetzt auf ihr Handy schauen, sehen Sie dort vermutlich viele Apps – das ist auch nicht schlimm. Sie sollten aber nicht vergessen, dass hinter jeder App auch ein Account steckt. Schon können Sie sich ausrechnen, wie viele Passwörter Sie alleine für die ganzen Apps benötigen. Fast jeder hat einen Account für den App-/Playstore, das Mailprogramm und diverse Social Media Accounts und das ist meist noch nicht alles. Schnell wird klar, in der heutigen Zeit muss sich jeder sehr viele Passwörter merken. Die Frage, die sich stellt: Wo ist das Problem? Das Problem liegt nicht am Passwort an sich, sondern daran, dass es sich jeder sehr einfach macht und liebgewonnen Passwörter mehrfach benutzt.

Wissenschaftlern des Hasso-Plattner-Instituts zufolge nutzen 20% der Personen dieselben Passwörter. Bei 27% der Nutzer war eine hohe Ähnlichkeit des Passworts festzustellen. Das Institut hat eine Milliarde Nutzerkonten analysiert und ausgewertet.

Schauen wir uns nun die „Databreaches“ (Datenschutzverletzungen) der letzten Jahre an, wird das Problem, in das wir uns hinein bewegen, sehr deutlich. Der Durchschnitt der entwendeten Accounts liegt pro Databreach im dreistelligen Million Bereich.

Es reicht heutzutage nicht mehr aus, auf die Top 10 der meist benutzten Passwörter, wie "123456" zu verzichten. Wir leben in einer Zeit, in der Databreaches benutzt werden, um Login-Versuche auf anderen Webseiten auszuprobieren. Es wird getestet, ob das Passwort, das herausgefunden wurde, auch auf diversen anderen Webseiten verwendet wird. Dieses Verfahren nennt sich "Credential Stuffing" und beschreibt im Grunde das automatisierte Ausprobieren von geleakten Account-Informationen bei verschieden Diensten. Es geschieht vollautomatisch durch die Angreifer.

Die Folgen sind beängstigend

Hier wieder ein einfaches Beispiel, nehmen wir an Sie haben bei allen Accounts das gleiche Passwort. Jetzt melden Sie sich auf einer beliebigen Seite an. Diese wird von Hackern angegriffen und die dort hinterlegte Benutzerdatenbank wird gestohlen. Die Hacker haben nun auch Zugriff auf andere Ihrer Accounts – beispielsweise Ihren Netflix Account – unschön, tut aber noch nicht weh. Wie sieht es mit Twitter, Instagram und Linkedin aus? Hier werden Ihre privaten Kontakte missbraucht und es kann für Sie zu einem Reputationsschaden kommen. Richtig schmerzhaft wird es vor allem dann, wenn nicht nur Ihr Google-Account mit allen Emails eingesehen wird, sondern auch alle Daten, die dort von Ihnen zu finden sind. Wir reden dann von Positionsdaten des Handys, der Fotos und allen anderen Daten, die Ihr Handy synchronisiert hat.

Durch eine einfache Nachlässigkeit kann Ihr ganzes digitales Leben für Fremde einsehbar sein. Halten Sie sich das am besten vor Augen. Es kann etwas Arbeit sein, alle Accounts aktualisieren, aber es lohnt sich.

Eine noch größere Gefahr besteht darin, dass die gehackten Daten für Erpresser Mails benutzt werden können. Anfang des Jahres waren viele dieser Vorfälle in den Medien vertreten.

Wie Sie sich schützen können

Für jede Webseite, jeden Dienst und jede App sollten Sie eigene Passwörter benutzen. Um sich nicht hunderte von Passwörtern merken zu müssen, sind Passwort-Manager, wie „KeePass“ und „LastPass“ sehr hilfreich. Für die wichtigsten Accounts ist es gut einen so genannten 2FA Login (Zwei Faktor Authentifizierung), in Form eines OTP-Token (One Time Password Token) zu aktiveren. Die 2FA bezeichnet den Identitätsnachweis durch zwei unterschiedliche und unabhängige Komponenten. Ein Beispiel dafür ist beim Geldabheben am Automaten die Karte und die PIN. Nur dann, wenn beide Faktoren zusammen eingesetzt werden, ist die Autorisierung erfolgreich. Ein OTP-Token erstellt für jede Anmeldung ein neues Einmalpasswort. Diese gibt es als USB-Token, als App und in vielen anderen Varianten.
Ist der Account durch dieses 2FA Login abgesichert, bekommt ein Angreifer keinen Zugriff auf den Account, auch wenn er den Benutzernamen und das Passwort kennt.

Zur Benutzung von Passwörtern gibt es übrigens ein gutes und einprägsames Sprichwort: "Passwörter sind wie Unterwäsche. Du darfst sie keinen sehen lassen, musst sie regelmäßig wechseln und solltest sie nicht mit Fremden tauschen." (Chris Pirillo)

Autor: ING