Aktuelles, Branche - geschrieben von dp am Mittwoch, Januar 25, 2023 19:10 - noch keine Kommentare
PayPal-Vorfall als Warnung für die Cybersecurity-Welt
Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte
[datensicherheit.de, 25.01.2023] Der Zahlungsdienstleister PayPal soll Opfer eines enormen „Credential-Stuffing“ Angriffs geworden – viele Nutzer seien daher verunsichert, wie sicher ihr Geld und ihre Daten in der digitalen Welt sind, wenn so etwas selbst einem „Big-Player“ wie PayPal passiert. Sam Curry, „Chief Security Officer“ bei Cybereason, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein und äußert hierzu zwei Gedanken:
Sam Curry: Letztlich müssten auch die Nutzer bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen!
Cyber-Sicherheit als Aufgabe für alle Beteiligten
Zur naheliegenden Frage, was PayPal tun müsste, um besser gegen diese Angriffe gewappnet zu sein, führt Curry aus: „Neue Zahlungssysteme zeichnen sich unter anderem durch ihre Einfachheit und Benutzerfreundlichkeit aus: Bei der Kaufabwicklung gibt es so wenig ,Klicks’ oder Herausforderungen wie möglich. Mit diesem Hintergrund gibt es nur wenige Lösungen, die PayPal tatsächlich umsetzen kann:“
Erstens könne PayPal eine Multi-Faktor-Authentifizierung einrichten – was allerdings eine zusätzliche Hürde oder den Einsatz von unterbrechungsfreien Authentifizierungsfaktoren bedeute. Zu einem gewissen Grad werde dies bereits getan, aber allein der „Erfolg von 35.000 Sicherheitsverletzungen“ deute darauf hin, dass hierbei Verbesserungen nötig seien.
Zweitens könne das Unternehmen zusätzliche Analysen durchführen, um Angriffsmuster zu untersuchen. Dies werde jedoch nur bedingt Wirkung zeigen, da die Angreifer die Muster aus operativer Sicht recht einfach beeinflussen und ändern könnten.
Letztlich müssten die Nutzer also bis zu einem gewissen Grad selbst für ihre Sicherheit sorgen, „indem sie ihre Passwörter ändern, Passwort-Tresore nutzen, einmalige Passwörter verwenden und weitere ähnliche Maßnahmen anwenden“. Nur so könne PayPal letztendlich ein System bereitstellen, „das den Nutzern mehr als nur die Beobachtung ihrer Geldbewegungen ermöglicht“.
Frage an jedes Unternehmen: Vorbereitet auf Cyber-Attacken auch im Umfeld?
Curry kommentiert auch die Erörterung der Frage, was es über den Zustand von Cyber-Sicherheit aussagt, wenn große Firmen immer wieder Opfer von Cyber-Angriffen und die sensiblen Daten ihrer Kunden ausspioniert werden:
„In diesem Fall ist es wichtig zu wissen, dass nicht PayPal angegriffen wurde. Andere Sicherheitslücken führten dazu, dass die Passwörter vieler Benutzer gestohlen wurden. Da viele Menschen ihre Passwörter häufig mehrfach verwenden, waren die Hacker in der Lage, PayPal-Konten so lange mit den Passwörtern zu beschießen, bis sie 35.000 Übereinstimmungen fanden.“
Nun wäre es laut Curry interessant zu wissen, wie viele dieser Authentifizierungen ins Leere liefen, bis die Angreifer 35.000 Treffer erzielten. „Mit anderen Worten: Wie hoch war das Verhältnis von Erfolg zu Misserfolg? Falls dieses Verhältnis anormal ist, schließt sich die Frage an, wie lange PayPal gebraucht hat, um die Abweichungen zu erkennen.“ Der Teufel stecke im Detail, ebenso wie der Weg zur Verbesserung der Backend-Analytik.
Dieser Vorfall sollte auch eine Warnung für andere Unternehmen sein, welche wertvolle Daten oder gar Geld nur mit Passwörtern schützen. Curry abschließend: „Denn, wenn PayPal nun seine Security-Maßnahmen verbessert, werden die Hacker die bereits gestohlenen Passwörter auf anderen Websites ausprobieren. Daher die essenzielle Frage an die anderen Unternehmen: Sind Sie darauf vorbereitet?“
Weitere Informationen zum Thema:
DerStandard, 22.01.2023
Datenleck bei Paypal: Angreifer hatten Zugriff auf Nutzerkonten / Kriminelle gelangten mithilfe zuvor gestohlener Daten in die Kundenkonten der Zahlungsplattform
Aktuelles, Experten - Nov 4, 2024 17:21 - noch keine Kommentare
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
weitere Beiträge in Experten
- Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt
- Festnahmen in Hessen und Rheinland-Pfalz: BKA meldet erneuten Schlag gegen Underground Economy im Internet
- Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
Branche, Aktuelles - Nov 1, 2024 20:32 - noch keine Kommentare
Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
weitere Beiträge in Branche
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
- Cyber-Angriffe auf die Lieferkette: Unternehmen sollten Risiken erkennen und gezielt vorbeugen
- Kaspersky-Entdeckung: Spyware-Verbreitung über Telegram
- it-sa Expo&Congress 2024 schloss mit starkem Andrang: 25.830 Fachbesucher und 897 Aussteller
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren