Credential-Stuffing ist eine automatisierte Cyberangriffsmethode, bei der gestohlene Kombinationen aus Benutzernamen und Passwörtern (sogenannte „Credentials“) massenhaft in die Login-Formulare von Websites eingegeben werden, um unbefugt Zugriff auf Benutzerkonten zu erhalten.Im Gegensatz zu Brute-Force-Angriffen, bei den systematisch viele mögliche Passwörter für einen einzelnen Account ausprobiert werden, nutzt Credential-Stuffing bereits bekannte, gestohlene Zugangsdaten und testet sie automatisiert auf vielen Accounts.
Wie funktioniert Credential-Stuffing?
-
Angreifer gelangen durch Datenlecks, Phishing oder den Kauf im Darknet an Listen mit echten Zugangsdaten.
-
Diese Listen werden mithilfe von Bots automatisiert auf anderen Websites ausprobiert.
-
Da viele Nutzer dieselben Passwörter für verschiedene Dienste verwenden, gelingt es Angreifern häufig, auch auf anderen Plattformen Konten zu übernehmen (Account-Takeover).
-
Die Erfolgsquote ist zwar relativ gering (oft unter 1 %), aber durch die große Menge an getesteten Kombinationen ist der Angriff dennoch lohnend.
Credential Stuffing ist also gezielter als klassisches Brute-Forcing, da es auf echten, bereits kompromittierten Zugangsdaten basiert. Die Folgen und Risiken sind Kontoübernahmen (Account-Takeover), Identitätsdiebstahl und Betrug sowie Missbrauch von Online-Diensten und finanzielle Schäden. Credential-Stuffing ist heute eine der häufigsten Ursachen für Datenpannen und Identitätsdiebstahl, da sehr viele Nutzer Passwörter mehrfach verwenden.
Wie kann man sich vor Credential-Stuffing-Angriffen schützen
Credential-Stuffing-Angriffe nutzen gestohlene Zugangsdaten, um automatisiert Konten zu übernehmen. Effektiver Schutz erfordert sowohl individuelle Maßnahmen als auch technische Lösungen auf Unternehmensseite.
Für Einzelpersonen
-
Starke und einzigartige Passwörter verwenden: Nutzen Sie für jeden Online-Dienst ein eigenes, starkes Passwort. Wiederverwendung von Passwörtern ist das größte Risiko bei Credential-Stuffing.
-
Password-Manager einsetzen: Diese Tools helfen, komplexe und individuelle Passwörter für jede Plattform zu erstellen und sicher zu verwalten.
-
Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst wenn Zugangsdaten kompromittiert werden, verhindert ein zusätzlicher Authentifizierungsfaktor den unbefugten Zugriff.
-
Darknet-Überwachung nutzen: Tools, die das Darknet nach Ihren Zugangsdaten durchsuchen, warnen Sie, falls Ihre Daten kompromittiert wurden, sodass Sie Passwörter rechtzeitig ändern können.
-
Über Cyberbedrohungen informiert bleiben: Sensibilisieren Sie sich regelmäßig für neue Betrugsmaschen und Angriffsarten, um auf dem aktuellen Stand zu bleiben.
Für Unternehmen
-
Bot-Management-Lösungen einsetzen: Moderne Bot-Management-Systeme erkennen und blockieren automatisierte Login-Versuche, wie sie beim Credential-Stuffing typisch sind. Sie nutzen Methoden wie Verhaltensanalyse, maschinelles Lernen und IP-Reputationsdatenbanken.
-
Durchsatzbegrenzung und CAPTCHAs: Begrenzen Sie die Anzahl der Login-Versuche pro IP-Adresse und setzen Sie CAPTCHAs ein, um automatisierte Angriffe zu erschweren.
-
Überprüfung kompromittierter Passwörter: Prüfen Sie, ob Nutzer Passwörter verwenden, die bereits in Datenlecks aufgetaucht sind, und fordern Sie gegebenenfalls einen Passwortwechsel.
-
Mehrschichtige Sicherheitsarchitektur: Kombinieren Sie verschiedene Schutzmechanismen wie MFA, Bot-Management und Verhaltensanalysen, um Angriffe auf mehreren Ebenen abzuwehren.
-
Kundenschulungen: Sensibilisieren Sie Ihre Nutzer für die Risiken von Passwort-Wiederverwendung und Credential-Stuffing.
Zusammenfassung der wichtigsten Maßnahmen
|
Maßnahme
|
Für Einzelpersonen
|
Für Unternehmen
|
|---|---|---|
|
Einzigartige Passwörter
|
Ja
|
Ja (empfehlen/erzwingen)
|
|
Password Manager
|
Ja
|
–
|
|
Multi-Faktor-Authentifizierung
|
Ja
|
Ja
|
|
Darknet-Überwachung
|
Optional
|
Optional
|
|
Bot-Management
|
–
|
Ja
|
|
Durchsatzbegrenzung/CAPTCHA
|
–
|
Ja
|
|
Kompromittierte Passwörter prüfen
|
–
|
Ja
|
|
Nutzer/Kundenschulungen
|
Ja
|
Ja
|
Fazit
Wer für jeden Dienst ein einzigartiges Passwort verwendet und MFA aktiviert, ist gegen Credential-Stuffing weitgehend geschützt. Unternehmen sollten zusätzlich Bot-Management-Lösungen und mehrschichtige Sicherheitsmaßnahmen implementieren, um automatisierte Angriffe effektiv zu erkennen und abzuwehren.
