Aktuelles, Branche - geschrieben von dp am Montag, Oktober 25, 2021 19:38 - noch keine Kommentare
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing
Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing
[datensicherheit.de, 25.10.2021] Dieses Thema sei nicht neu: „Soziale Netzwerke wie ,facebook‘, ,Twitter‘ oder auch Berufsnetzwerke wie ,XING‘ und ,LinkedIn‘ haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen.“ Allein 2021 seien bereits eine halbe Milliarde „facebook“-Nutzer, mehr als eine Million „Clubhouse“-Daten sowie die „LinkedIn“-Daten von fast allen Nutzern betroffen gewesen. Patrycja Schrenk kommentiert und warnt: „Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit Sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden“, so die Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP
Patrycja Schrenk: Soziale Netzwerke oder auch Berufsnetzwerke haben massive Sicherheitsprobleme!
Credential Stuffing: Angreifer probieren mit Login-Daten Anmeldungen bei anderen Online-Diensten aus
Schrenk betont: „Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyber-Kriminelle einmalig an diese Daten gelangen.“ Diese probierten dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode werde auch „Credential Stuffing“ genannt.
Tatsächlich gehöre „Credential Stuffing“ zu den Angriffsmethoden, welche im Internet sehr häufig aufträten. Angreifer nutzten dabei Anmeldedaten, „die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind“.
Mit diesen Login-Daten probierten die Angreifer Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. „Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende ,Proxys‘ können Hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern“, erläutert Schrenk.
Credential Stuffing nicht mit Brute Force verwechseln!
Das „Credential Stuffing“ könne demnach nur bei Nutzern Erfolg haben, welche dieselben Login-Daten („Credentials“) für verschiedene Dienste verwendeten. Nicht zu verwechseln seien „Credential Stuffing“-Angriffe mit „Brute Force“-Attacken: Für „Brute Force“-Angriffe würden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“.
„Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt.“ Die Erfolgsaussichten von „Brute Force“-Attacken verringerten sich mit starken Passwörtern – beim „Credential Stuffing“ hingegen sei die Stärke eines Passworts nicht maßgeblich.
„Damit ist der beste Schutz vor ,Credential Stuffing‘- Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers“, empfiehlt Schrenk. Unternehmen rät sie zudem zum Einsatz von Monitoring-Systemen, welche unautorisierte Anmeldeversuche von Botnetzen erkennen könnten und diese abwehrten.
Angriffe per Credential Stuffing erschweren: Immer mehr Dienste bieten Zwei-Faktor-Authentifizierung an
Auch mittels verschiedener Faktoren zur Authentifizierung könnten Accounts geschützt werden: Immer mehr Dienste böten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über welche sich Nutzer anmelden könnten. „Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich“.
Allerdings sollten Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen. Darüber hinaus erfreue sich „TOTP-based Authenticator“ zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der „Time-based One-time“-Passwort-Algorithmus (TOTP) sei das Verfahren, mit welchem Session-Kennwörter erstellt würden. Entsprechende Anwendungen seien auch für Mobilgeräte verfügbar, so dass diese Login-Methode überall genutzt werden könne. Dabei werde dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
„Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken“, so Schrenk. Entweder sei diese Funktion im Passwort-Manager enthalten oder alternativ böten sichere Online-Dienste wie „haveibeenpwned.com“ für E-Mail und Rufnummer oder „haveibeenpwned.com/passwords“ für Passwörter entsprechende Services an.
Weitere Informationen unter zum Thema:
PSW GROUP, Bianca Wellbrock, 31.08.2021
Credential Stuffing: Cyberangriffe durch unsichere Logins
datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet
datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt
datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App
Aktuelles, Experten - Juli 11, 2025 6:51 - noch keine Kommentare
KI-Modelle: BfDI hat öffentliches Konsultationsverfahren gestartet
weitere Beiträge in Experten
- Bitkom-Transparenzbericht 2025 veröffentlicht
- Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich
- Blaupause für Deutschland: Hessens Rechenzentren-Strategie als Vorbild
- VDI-Forderung nach gezielter KI-Kompetenz für Ingenieurarbeit
- NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert
Aktuelles, Branche, Studien - Juli 11, 2025 1:10 - noch keine Kommentare
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten
weitere Beiträge in Branche
- Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung
- KI droht zur größten Cyberbedrohung zu werden
- Schutz vor Auswirkungen von GNSS-Störungen: Kevin Heneka begrüßt EU-Vorschlag
- DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
- ePA-Einführung voraus – doch Gesundheitsdienstleister kämpfen noch immer mit IT-Problemen
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren