BLOG

Datenschutz erfordert Schutz vor Credential Stuffing

Jim Downey Miniaturbild
Jim Downey
Veröffentlicht am 06. Juli 2022

Am 27. Juni 2022 veröffentlichte die Global Privacy Assembly (GPA) , ein Zusammenschluss von über 130 Regulierungsbehörden und Vollzugsbehörden für Datenschutz und Privatsphäre, die ersten zwischenstaatlichen Leitlinien zum Thema Credential Stuffing. Darin heißt es, dass Credential Stuffing ein Risiko für personenbezogene Daten auf globaler Ebene darstellt und dass Organisationen gemäß den Datenschutzgesetzen Schutzmaßnahmen dagegen ergreifen müssen.

F5 ist stolz, an der Erstellung der Richtlinien beteiligt gewesen zu sein und dankbar für die Anerkennung der GPA. F5 ist sich der Gefahr durch Credential Stuffing seit langem bewusst. Es war Sumit Agarwal von F5, der während seiner Zeit als stellvertretender Verteidigungsminister im Pentagon den Begriff „Credential Stuffing“ prägte . Diese Erkenntnis führte im Jahr 2011 zur Gründung von Shape Security (jetzt Teil von F5) als führendem Anbieter für Bot-Management. Heute schützt F5 weiterhin die weltweit größten Banken, E-Commerce-Händler, Fluggesellschaften, Gastronomiebetriebe und Social-Media-Unternehmen vor Credential Stuffing und den damit verbundenen Bedrohungen.

Die neuen Richtlinien, die von der International Enforcement Cooperation Working Group (IEWG), einer ständigen Arbeitsgruppe der GPA, veröffentlicht wurden, dokumentieren, wie Credential Stuffing durchgeführt wird, erklären die für Angreifer entscheidende Ökonomie, die hinter seiner Verbreitung steckt, zeigen auf, warum es sich um ein globales Problem handelt und in das Datenschutzgesetz aufgenommen werden muss, und skizzieren mehrere Methoden zur Eindämmung von Credential Stuffing.

Die GPA-Richtlinien bauen auf mehreren aktuellen Warnungen von Regierungsbehörden auf. Am 5. Januar 2022 veröffentlichte das Büro des Generalstaatsanwalts des Staates New York einen Leitfaden für Unternehmen zum rasanten Anstieg von Credential Stuffing und der Notwendigkeit für Unternehmen, vorbeugende Maßnahmen zu ergreifen. Am 15. September 2020 gab die Securities and Exchange Commission eine Risikowarnung über den dramatischen Anstieg von Credential Stuffing-Vorfällen bei bei der SEC registrierten Anlageberatern sowie Brokern und Händlern heraus. Am 10. September 2020 gab das FBI der Vereinigten Staaten eine Warnung an die Privatwirtschaft heraus, in der es vor einer Welle von Credential-Stuffing-Angriffen auf US-Finanzinstitute warnte. Diese betrafen über 50.000 Konten und kosteten die Unternehmen allein an Benachrichtigungs- und Behebungskosten durchschnittlich 6 Millionen US-Dollar pro Jahr. Diese Vorfälle wirken sich noch immer auf Datenschutzbeauftragte aus, wie aus einem kürzlich erschienenen Artikel hervorgeht, in dem ein massiver Angriff auf das Credential-Staffing-Team von General Motors dokumentiert wird.

Credential Stuffing ist eine Internetkriminalität, bei der Kriminelle gestohlene Anmeldeinformationen auf Websites testen, um Konten zu übernehmen. Kriminelle führen diese Angriffe in großem Umfang mithilfe automatisierter Tools, sogenannter Bots, durch. Es handelt sich um eine äußerst effektive Cyberkriminalität mit einem hohen ROI, weil: 1) gestohlene Anmeldeinformationen sind so leicht verfügbar, 2) bis zu 60 % der Leute verwenden Passwörter für mehrere Konten ( laut FBI ) und 3) viele Organisationen verlassen sich auf ineffektive Methoden zur Abwehr von Angriffen wie CAPTCHA und IP-Sperrlisten.

Die Zahl der gestohlenen Zugangsdaten ist erschreckend. Allein im Jahr 2020 wurden laut dem Credential Stuffing Report 2021 von F5 Labs 1,86 Milliarden Anmeldeinformationen gestohlen. In den GPA-Richtlinien wird darauf hingewiesen, dass bei Mega-Datenlecks wie etwa dem Yahoo-Datenleck im Jahr 2013 Milliarden von Anmeldeinformationen offengelegt wurden. Angreifer können diese gestohlenen Anmeldeinformationen jahrelang ausnutzen, bevor die Verstöße öffentlich bekannt werden.

„… Untersuchungen im privaten Sektor haben zwischen November 2017 und März 2019 55 Milliarden Credential-Stuffing-Angriffe in der Gaming-Branche identifiziert, was über 3.000 Millionen Angriffen pro Monat und über 107 Millionen Angriffen pro Tag entspricht. Weitere Untersuchungen ergaben, dass es im Jahr 2020 weltweit 193 Milliarden Credential-Stuffing-Angriffe gab, was über 16.000 Milliarden Angriffen pro Monat und über 500 Millionen Angriffen pro Tag entspricht.“

Die GPA-Richtlinien weisen auch darauf hin, dass den Opfern dieser Datenschutzverletzungen über finanzielle Verluste hinaus auch ein Schaden entstehen kann, darunter ein Reputationsschaden durch Desinformation oder die Abgabe falscher Angaben über eine Person bei der Verwendung des kompromittierten Kontos. Man kann sich leicht vorstellen, wie diese Verletzungen der Privatsphäre Leben zerstören können.

Besonders wichtig ist, dass die Leitlinien zu dem Schluss kommen, dass Organisationen den Schutz vor Credential Stuffing als eine der „angemessenen“ Sicherheitsmaßnahmen betrachten sollten, die von den Datenschutzgesetzen gefordert werden. Dabei wird auf konkrete Bestimmungen der DSGVO der EU und der Safeguards Rule der US-amerikanischen Federal Trade Commission verwiesen.

„Angesichts der offensichtlichen Bedrohung personenbezogener Daten durch Credential-Stuffing-Angriffe (insbesondere bei Organisationen mit Benutzerkonten, auf die online zugegriffen werden kann) und der daraus resultierenden unbefugten Verarbeitung/Zugriffe ist die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten vor Credential-Stuffing-Angriffen im Allgemeinen, zumindest implizit, gemäß den Datenschutz- und Privatsphärengesetzen erforderlich.“

Die GPA-Richtlinien empfehlen Organisationen, mehrere Minderungsmethoden in Betracht zu ziehen, um sich vor Credential Stuffing zu schützen:

  • Gast-Checkout, bei dem keine Anmeldeinformationen mehr erforderlich sind
  • Starke Kennwortrichtlinien minimieren das Risiko der Wiederverwendung
  • Alternativen zu Passwörtern wie Single Sign-On (SSO)
  • Multifaktor-Authentifizierung (MFA)
  • Sekundäre Passwörter und PINs
  • Geräte-Fingerabdruck
  • Unvorhersehbare Benutzernamen
  • Identifizieren durchgesickerter Passwörter
  • Ratenbegrenzung
  • Anmeldeseite und -prozesse (mehrstufige Anmeldung)
  • Kontoüberwachung/-erkennung
  • Zusätzliche Prüfungen auf Anonymitätsnetzwerke (wie TOR)
  • CAPTCHAs
  • WAFs
  • IP-Blocklisting und -Zulassungslisting
  • Vorfallreaktionspläne und Benutzerbenachrichtigungen

Dabei handelt es sich zweifellos um wirksame Techniken, die dazu beigetragen haben, Credential-Stuffing-Angriffe abzuschwächen. Bei der Bewertung der für Ihr Unternehmen am besten geeigneten Ansätze empfiehlt F5 als langjähriger Innovationstreiber auf diesem Gebiet, dass Sie Techniken in Betracht ziehen, mit denen Bots in Echtzeit wirksam abgemildert werden können, ohne das Benutzererlebnis zu beeinträchtigen oder eine Neugestaltung der Anwendung zu erfordern.

Zwar bieten sekundäre Passwörter und PINs, unvorhersehbare Benutzernamen und mehrstufige Anmeldeseiten zusätzlichen Schutz, jedoch geschieht dies auf Kosten der Benutzerfreundlichkeit. Unternehmen, die die Kundenkonvertierung verbessern und die Zahl der abgebrochenen Warenkörbe reduzieren möchten, sollten vermeiden, Hindernisse zwischen den Kunden und den Kauf zu stellen. Der Gast-Checkout könnte auch hilfreich sein, verhindert jedoch, dass Unternehmen ein personalisiertes und zielgerichtetes Erlebnis bieten können. MFA ist zwar effektiv, erschwert jedoch auch das Benutzererlebnis und ist ein häufiges Ziel von Kriminellen.

CAPTCHA sorgt ebenfalls für zusätzliche Reibung und bietet einen weniger effektiven Schutz, als viele Leute glauben. CAPTCHA-Lösungsdienste mithilfe von maschinellem Lernen und Klickfarmen machen es für Bots kostengünstig, CAPTCHA zu umgehen. (Lesen Sie über die Abenteuer von Dan Woods in Tales of a Human CAPTCHA Solver .)

Organisationen, die mit F5 gearbeitet haben, haben festgestellt, dass die Pflege von IP-Blocklisten und statischen WAF-Regeln zu schwierig ist. Proxy-Dienste ermöglichen es Bots, Millionen gültiger privater IP-Adressen zu nutzen. Mittlerweile rüsten Bots innerhalb von Stunden um, wenn sie blockiert werden. Solche Ansätze zwingen die Sicherheitsteams zu einem aussichtslosen Maulwurfspiel.

Ebenso sind Kontoüberwachung/-erkennung, Reaktionspläne für Vorfälle und Benutzerbenachrichtigungen wichtig und müssen Teil eines Bot-Management-Programms sein, diese Schutzmaßnahmen werden jedoch im Nachhinein angewendet. Glücklicherweise gibt es Techniken, die die Übernahme von Konten durch Kriminelle von vornherein verhindern.

F5 arbeitet mit Unternehmen zusammen, die sich und ihre Kunden vor betrügerischem Missbrauch durch Credential Stuffing schützen möchten . Gleichzeitig möchten sie großartige digitale Erlebnisse bieten, die Kunden begeistern und auf dem heutigen wettbewerbsintensiven Markt erfolgreich sind. F5 hat sich die Treue seiner Kunden verdient , indem es mit der größtmöglichen Wirksamkeit vor Bots schützt, ohne dabei Reibungsverluste für den Benutzer zu verursachen. Die Technologie basiert auf jahrelanger Forschung und Entwicklung im Bereich JavaScript und mobile native Signale und deckt Geräteumgebungen und Verhaltensmerkmale von Bots ab. Zusätzlich zur Echtzeiterkennung auf Grundlage dieser Signale umfasst F5 Distributed Cloud Bot Defense einen Analysedienst für maschinelles Lernen, der Bot-Umrüstungen schnell erkennt und darauf reagiert. Um eine langfristige Wirksamkeit zu gewährleisten, durchläuft der Signalerfassungscode eine fortschrittliche Verschleierungstechnik, die Reverse Engineering und Signalmanipulation verhindert.

F5 ist davon überzeugt, dass Cybersicherheit persönlich sein muss. Credential-Stuffing-Angriffe, die Unternehmen betrügen und Einzelpersonen schaden, stellen genau die Art von Problem dar, deren Lösung wir uns verschrieben haben. Wie Dan Woods, Global Head of Intelligence bei F5, in Fast Company betont, wurde diesen Angriffen bisher zu wenig Aufmerksamkeit geschenkt. Glücklicherweise machen die GPA und mehrere Datenschutzbehörden auf die Risiken für die Privatsphäre des Einzelnen aufmerksam.

„Der Angriff auf Colonial hat eine klare Diskrepanz zwischen der öffentlichen Wahrnehmung und der Medienberichterstattung zum Thema Cybersicherheit aufgezeigt. Millionen Menschen ein wenig Schmerz bereiten: internationale Schlagzeilen. Tausende Familien ruinieren, indem ihnen in getrennten Plänen ihre gesamten Ersparnisse gestohlen werden: Grillen."

Im digitalen Zeitalter, in dem ein großer Teil unseres Lebens als Daten online gespeichert wird, sind wir darauf angewiesen, dass Organisationen den Datenschutz mit äußerster Ernsthaftigkeit behandeln. Dies wird durch die immer strengeren Datenschutzgesetze der Regierungen weltweit noch verstärkt. Datenschutzgesetze wie die DSGVO verlangen, dass Organisationen alle geeigneten Maßnahmen zum Schutz der Privatsphäre ergreifen. Aufgrund unseres heutigen Wissens über Credential Stuffing machen diese GPA-Richtlinien deutlich, dass der Schutz vor Credential Stuffing zu den geeigneten Maßnahmen jeder Organisation gehören muss.

Weitere Einblicke in den ROI des Bot-Schutzes finden Sie im Forrester Total Economic Impact Report . Erfahren Sie mehr und vereinbaren Sie ein Gespräch mit einem F5-Bot-Experten unter f5.com/bot-defense .