Millionenschäden durch Credential Stuffing: B2C-Unternehmen verlieren bis zu neun Prozent ihrer Umsätze

Mithilfe geleakter Passwort-Datenbanken gelingt es Cyberkriminellen immer wieder, Nutzerkonten zu übernehmen. Zum Einsatz kommen dabei hochautomatisierte Werkzeuge, die innerhalb weniger Minuten Millionen Kombinationen aus Nutzernamen und Passwörtern durchprobieren. Auf diese Weise kann bereits ein einziger dieser sogenannten Credential-Stuffing-Angriffe tausende von Opfern nach sich ziehen. Für Unternehmen mit starkem Online-Fokus sind solche Kontoübernahmen mittlerweile zu einem finanziellen Geschäftsrisiko geworden, das bis zu neun Prozent der Umsätze verschlingt – so das Ergebnis einer Studie, die die Strategieberatung Aberdeen im Auftrag des Schweizer Security-Spezialisten Nevis durchgeführt hat.

Für die Untersuchung hat sich Aberdeen auf zehn ausgewählte B2C-Kategorien im EMEA-Raum konzentriert: Zum einen Geschäftsbanken, Kreditgenossenschaften, Sparinstitute und Finanztechnologie, aber auch Sach- und Unfallversicherungen sowie Unterhaltungselektronik, Netzwerke von Anbietern von Gesundheitsfürsorgeleistungen, Online-Glücksspiele, Telekommunikation und Energieversorger. Dabei zeigte sich, wie weit Credential-Stuffing-Angriffe aktuell verbreitet sind: 76 Prozent der Befragten gaben an, dass einige ihrer Online-Nutzer in den vergangenen zwölf Monaten Opfer erfolgreicher Kontoübernahmen geworden seien.

Cyberangriffe beeinträchtigen Rentabilität

Die Untersuchung macht auch das dramatische Ausmaß der dadurch entstehenden Schäden deutlich. Die Kosten erfolgreicher Cyberangriffe summieren sich rasch zu signifikanten Beträgen, die nicht einfach als unvermeidliche „Geschäftskosten“ abgetan werden können: So gehen bei Geschäftsbanken 3,4 bis 5,28 Prozent Umsatz durch Credential Stuffing verloren; im Bereich Fintech sind es sogar zwischen 5,57 bis 8,96 Prozent. Auch Branchen außerhalb der Finanzwelt sind in vergleichbarem Maße betroffen: so belaufen sich die Umsatzverluste durch illegale Kontoübernahmen bei Healthcare-Providern auf 4,45 bis 5,79 Prozent. Selbst im streng reglementierten und daher in besonderem Maße auf Sicherheit bedachten Glücksspiel-Sektor schlagen die Verluste mit 5,02 bis 8,2 Prozent zu Buche.

Steht der Zugang zu einem Nutzerkonto erst einmal offen, können das die Kriminellen für verschiedenste Zwecke ausnutzen. Nach der Erhebung von Aberdeen kommt es vor allem zu betrügerischen Transaktionen (39 Prozent), zur Erstellung von neuen Konten (34 Prozent) sowie zur fehlerhaften Ablehnung von Kartenzahlungen (34 Prozent). Weitere typische Folgen der Kontoübernahmen sind Rückbelastungen (18 Prozent), der Transfer von Geldern oder anderen fungiblen Werten (11 Prozent), betrügerische Einkäufe (11 Prozent) sowie der Diebstahl von digitalen Inhalten und Dienstleistungen (11 Prozent). Neben diesen direkten Folgen drohen noch weitere indirekte Konsequenzen – etwa ein Rückgang der aktiven User, die durch verstärkte Sicherheitsmaßnahmen abgeschreckt werden, oder die Abwanderung zu Wettbewerbern. 

Auch der Frage, wie sich Unternehmen vor der steigenden Zahl von Credential-Stuffing-Attacken zu schützen versuchen, ist Aberdeen nachgegangen: Dabei zeigt sich eine zunehmende Vermeidung sowohl des Nutzername-Passwort-Modells als auch von Multi-Faktor-Authentifizierungslösungen: So werden etwa Mobile Apps für die Multifaktor-Authentifizierung derzeit in 42 Prozent der befragten Unternehmen eingesetzt – aber nur 24 Prozent befürworten eine zukünftige Einführung. Ein starkes Innovationspotenzial sehen die Studienteilnehmer dagegen bei passwortlosen Ansätzen, die sowohl benutzerfreundlich als auch für die Anbieter kosteneffizient sind. Bislang haben zwar nur 20 Prozent kennwortlose (adaptive, kontextbasierte, transparente) Verfahren eingeführt, doch 46 Prozent planen dies für die Zukunft. 

Credential Stuffing bei Kriminellen weiter hoch im Kurs

Für die Angreifer ist Credential Stuffing derzeit eine gleich in mehrfacher Hinsicht attraktive Methode: Erstens lassen sich im Darknet leicht Listen mit Anmeldeinformationen beschaffen, die durch Datenpannen oder Hacks an die Öffentlichkeit gelangt sind. Zweitens sind für alle Geschäftsbeziehungen, die auf digitalen Konten basieren, digitale Anmeldeinformationen notwendig – sie sind also, sofern keine zusätzlichen Sicherheitsmaßnahmen getroffen wurden, durch Brute-Force-Angriffe wie das Credential Stuffing verwundbar. Zum dritten sind die Angriffe leicht automatisierbar: Die Täter müssen dafür nicht zwingend über Programmierkenntnisse verfügen, sondern können die benötigten Programme nach dem Software-as-a-Service-Prinzip im Darknet mieten.

Verschwinden dürfte dieses lukrative Geschäftsmodell erst, wenn die Mehrzahl der Unternehmen ihre Nutzerkonten auf sichere Verfahren wie die Multi-Faktor-Authentifizierung und insbesondere die passwortlose Authentifizierung umstellt.

Über die Nevis Security AG

Nevis entwickelt Sicherheitslösungen für die digitale Welt von morgen: Das Portfolio umfasst passwortfreie Logins, die sich intuitiv bedienen lassen und Nutzerdaten optimal schützen. In der Schweiz ist Nevis Marktführer für Identity und Access Management und sichert über 80 Prozent aller E-Banking-Transaktionen. Weltweit setzen Behörden sowie führende Dienstleistungs- und Industrieunternehmen auf Lösungen von Nevis. Der Spezialist für Authentifizierung unterhält Standorte in der Schweiz, Deutschland und Ungarn.

Firmenkontakt und Herausgeber der Meldung:

Nevis Security AG
Birmensdorferstrasse 94
CH8003 Zurich
Telefon: +49 (89) 8038684
http://www.nevis.net

Ansprechpartner:
Ingo Geisler
LEWIS Communications GmbH
Telefon: +49 (211) 882476-07
E-Mail: nevis-security@teamlewis.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel