Was steckt hinter dem Begriff „Credential Stuffing“?

Einer der wichtigsten Schritte für eine gesteigerte Online-Sicherheit liegt im Durchbrechen der alten Gewohnheit, ein und dasselbe Passwort für alle Websites und Apps, die Sie verwenden, zu nutzen. Wenn ein Krimineller Zugriff auf dieses eine Passwort erhält, könnte er problemlos auf jedes einzelne Ihrer Konten zugreifen. Und doch haben wir alle die Angewohnheit, immer das gleiche Passwort zu verwenden. Dieses „wir“ schließt übrigens nicht nur mich sondern auch Katy Perry und Drake mit ein – um nur einige ‚Gewohnheitstäter‘ zu nennen … Schauen wir uns beispielsweise die in diesem Frühling stattgefundenen Datenschutzverletzungen bei Zoom an. Die Plattform selbst wurde gar nicht gehackt. Allerdings fielen die Konten auf der Plattform Credential Stuffing zum Opfer: Hacker bedienten sich einer Reihe zuvor gestohlener Zugangsdaten, um sich Zugriff auf zahlreiche Zoom-Konten zu verschaffen.

Doch wie kommen Hacker überhaupt an Passwörter und wie werden diese Passwörter dann in „Credential Stuffing“-Angriffen eingesetzt? Mehr dazu erfahren Sie weiter unten.

5 Möglichkeiten des Passwortdiebstahls durch Hacker

1. Der Raub einer Datenbank, die Ihre Anmeldedaten enthält – Dies ist bislang eine der größten Quellen für gestohlene Anmeldedaten.
2. Phishing- und Social-Engineering-Angriffe – Bei diesem Verfahren sendet der Hacker eine Phishing-E-Mail, um Ihre Kontoinformationen zu stehlen oder Sie dazu zu bringen, auf einen schadhaften Link zu klicken, über den Sie Ihre Zugangsdaten dann auf einer falschen Website eingeben sollen.
3. Keylogger, Browser Injectors und andere Malware – Hacker können versuchen, Benutzer zum Herunterladen von Malware (bösartige Softwareprogramme) zu bewegen, um auf diese Weise Anmeldedaten, Zahlungsinformationen und weitere Daten, einschließlich persönlicher Daten, zu erfassen.
4. Passwort-Angriffe – Passwort-Angriffe, wie ein Brute-Force-Angriff, verwenden automatisierte Softwareprogramme, die darauf ausgerichtet sind, Ihr Passwort zu knacken oder zu erraten. 
5. WLAN-Überwachung – Melden Sie sich niemals bei einem Konto an, wenn Sie mit einem öffentlichen oder unsicheren WLAN-Netzwerk verbunden sind und keinen Schutz durch eine Software wie z. B. ein VPN haben. Hacker verwenden oftmals einfach verfügbare Netzwerküberwachungstools, um Ihre Anmeldedaten und andere Daten abzufangen.

Verabschieden Sie sich noch heute von wiederverwendeten, schwachen Passwörtern und laden Sie Dashlane kostenlos herunter.

Vergessen Sie dabei nicht Ihre Arbeitskonten! Schützen Sie Ihre privaten und beruflichen Passwörter mithilfe von Dashlane. 30 Tage kostenlos testen,

So werden „Credential Stuffing“-Angriffe eingesetzt, um an wiederverwendete Passwörter zu gelangen

Bei „Credential Stuffing“-Angriffen wird zunächst eine anzugreifende Website ausgewählt. Diese wird dann genauestens auf ihre Anmeldesequenzen und -verfahren untersucht. Daraufhin kann ein Hacker entweder ein automatisiertes Skript erstellen oder konfigurierbare „Credential Stuffing“-Software einsetzen, um systematisch zu testen, ob die gestohlenen Anmeldedaten eine erfolgreiche Anmeldung bei der anzugreifenden Website ermöglichen. Um ihre Aktivitäten zu verschleiern, mieten Hacker üblicherweise Botnets – Netzwerke von Computern, die von Hackern unter Verwendung von Malware kontrolliert werden – oder eine Liste von Proxy-IP-Adressen. Auf diese Weise wird der Eindruck erweckt, die Anmeldeversuche kämen von echten Benutzern auf verschiedenen Computern. Irgendwann werden die Hacker auf einigen Websites mit einigen Zugangsdaten Erfolg haben. Dann können sie diese Konten übernehmen und die jeweiligen Vermögenswerte ungehindert stehlen.

Auch wenn der Vorgang in der Theorie kompliziert klingen mag, ist es für Hacker ein Leichtes, innerhalb weniger Stunden einen Angriff zu starten.

Wie schützen Sie Ihre Konten bestmöglich vor Hackern, die Credential Stuffing einsetzen?

Den besten Schritt, den Sie zum Schutz Ihrer Konten und Daten vor „Credential Stuffing“-Angriffen gehen können, besteht schlichtweg darin, sofort die Wiederverwendung derselben Passwörter für mehrere Konten einzustellen. Alle Ihre Konten – doch insbesondere Konten, die im Zusammenhang mit Einkäufen, Finanzdienstleistungen, Reisen und Regierungsangelegenheiten verwendet werden – sollten unbedingt mit sicheren, einzigartigen Passwörtern geschützt werden. Ein sicheres Passwort sollte eine Mindestlänge von 8 Zeichen haben und aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Im Folgenden finden Sie einige zusätzliche Tipps dazu, wie Sie das Wiederverwenden von Passwörtern ein für allemal einstellen können:

• Verwenden Sie einen Passwort-Manager – Falls es Ihnen Schwierigkeiten bereitet, lange komplizierte Passwörter zu erstellen und zu verwalten, können Sie stets auf einen Passwort-Manager wie Dashlane zurückgreifen. Dashlane enthält einen integrierten Passwortgenerator, der sichere Passwörter für neue Konten erstellt. Zudem bietet das Programm Sicherheitswarnungen, mit denen Sie sofort nach einer Datenschutzverletzung benachrichtigt und dazu aufgefordert werden, Ihre Passwörter zu ändern.
• Aktivieren Sie eine Zwei-Faktor-Authentifizierung – Aktivieren Sie die Zwei-Faktor-Authentifizierung auf all Ihren Online-Konten. Dies gilt besonders für Websites und Anwendungen, die oft zum Ziel von Hackerangriffen werden, wie Ihre Social-Media- und Online-Banking-Konten.