Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Cyber Security eLearning

eLearning zur Cybersicherheit: Entdecken Sie unsere preisgekrönte eLearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Was ist "Credential Stuffing"?

Was ist Credential Stuffing?

über den Autor

Diesen Beitrag teilen

Credential Stuffing hat in den letzten Jahren die Schlagzeilen beherrscht und ist schnell zur bevorzugten Angriffsmethode von Cyberkriminellen geworden.

Zwischen dem 1. Januar 2018 und dem 31. Dezember 2019 verzeichnete Akamai Technologies mehr als 88 Milliarden Angriffe in allen Branchen. Es wird erwartet, dass diese Zahl mit der Zunahme von Datenschutzverletzungen und der massiven Verlagerung auf Online-Dienste während der Covid-19-Pandemie nur noch steigen wird.

Bei Credential Stuffing-Angriffen verwenden Kriminelle große Mengen an gestohlenen Benutzernamen und Passwörtern, um sich auf betrügerische Weise Zugang zu Benutzerkonten zu verschaffen. Diese Informationen werden in der Regel über das Dark Web als Ergebnis einer der vielen Datenschutzverletzungen in Unternehmen erlangt.

Mit Hilfe von groß angelegten Bots und spezialisierten Automatisierungstools können Hacker diese gestohlenen Anmeldedaten dann verwenden, um mehrere Anmeldeanfragen auf verschiedenen Websites zu stellen. Diese Art von Angriff ist relativ einfach auszuführen und beruht in hohem Maße auf der Wiederverwendung desselben Passworts.

Es handelt sich dabei um eine Art Brute-Force-Angriff, bei dem jedoch keine zufälligen Kennwortkombinationen erraten werden, sondern legitime Anmeldedaten verwendet werden, was die Erfolgsquote insgesamt erhöht.

Wie bei den meisten Cyberangriffen ist das Hauptmotiv finanzieller Natur. Die Hacker versuchen, die kompromittierten Konten zu Geld zu machen, indem sie sich Zugang zu den damit verbundenen Bankkonten verschaffen, oder sie nutzen die persönlichen Daten, um Identitätsdiebstahl zu begehen.

Was ist der Grund für die Zunahme von Credential Stuffing-Angriffen?

Was die Zunahme von Angriffen zum Ausfüllen von Anmeldeinformationen anheizt

Ganz einfach, es sind die Milliarden von kompromittierten Zugangsdaten, die im Dark Web zum Kauf angeboten werden. Die Website HaveIBeenPwned.com verzeichnet über 8,5 Milliarden kompromittierte Zugangsdaten aus über 400 Datenschutzverletzungen, und einige dieser Verletzungen sind absolut kolossal.

Das bemerkenswerteste Beispiel dafür ist die Mega-Panne bei Collection #1. Die Sicherheitsverletzung wurde 2019 bekannt und enthüllte 1,2 Milliarden eindeutige E-Mail-Adressen und Passwortkombinationen, 773 Millionen eindeutige E-Mail-Adressen und 21 Millionen Passwörter.

Dieser einfache Zugang zu riesigen Datenmengen ermöglicht es Hackern, Millionen von verschiedenen E-Mail- und Passwortkombinationen zu testen, in der Hoffnung, dass die Benutzer dasselbe Passwort wieder verwendet haben.

Die zunehmende Raffinesse der Tools, die Hacker für diese Angriffe verwenden, hat es auch einfacher gemacht, mehrere Anmeldeversuche zu unternehmen und dabei den Anschein zu erwecken, dass sie von verschiedenen IP-Adressen ausgehen.

Welche Branchen sind von Credential Stuffing-Angriffen betroffen?

Alle Branchen sind Ziel von Credential Stuffing-Angriffen, aber einige sind anfälliger als andere. Zu den am stärksten betroffenen Branchen gehören E-Commerce, Einzelhandel, Finanzdienstleistungen, Unterhaltung, Hochschulbildung und Gesundheitswesen.

Die Finanzdienstleistungsbranche ist besonders stark betroffen, und im September dieses Jahres warnte das FBI die Organisationen des Finanzsektors vor der Zunahme dieser Angriffe. Die Behörde stellte fest, dass 41 % aller Angriffe auf den Finanzsektor zwischen 2017 und 2020 auf das Ausfüllen von Anmeldedaten zurückzuführen waren, was zu einem Verlust von Millionen von Dollar führte.

Diese Art von Angriffen kann für Unternehmen verheerende Folgen haben: Umsatzeinbußen, Betriebsunterbrechungen, Rufschädigung, finanzielle Strafen und Kundenverluste.

Beispiele für aktuelle Credential Stuffing-Angriffe

Die Zahl der Datenschutzverletzungen, die auf Angriffe mit Zugangsdaten zurückzuführen sind, hat deutlich zugenommen. Einige aktuelle Beispiele sind:

  • Dunkin Donuts - Im Februar 2019 bestätigte Dunkin Donuts, dass das Unternehmen Opfer eines Credential Stuffing-Angriffs geworden ist, des zweiten innerhalb von drei Monaten. Bei beiden Angriffen nutzten Hacker gestohlene Anmeldedaten, die von anderen Websites durchgesickert waren, um Zugang zu DD Perks-Belohnungskonten zu erhalten. Nach dem Eindringen konnten sie auf den Vor- und Nachnamen, die E-Mail-Adresse, die DD Perks Kontonummern und den DD Perks QR-Code zugreifen. Bei diesem speziellen Angriff waren die Hacker nicht auf die persönlichen Daten der Nutzer aus, sondern auf das Konto selbst, das sie dann im Dark Web verkauften.
  • Nintendo - Im April 2020 gab Nintendo bekannt, dass 160.000 Benutzerkonten durch einen "Credential Stuffing"-Angriff angegriffen worden waren. Mithilfe von zuvor offengelegten Benutzer-IDs und Passwörtern konnten sich Hacker Zugang zu den Benutzerkonten verschaffen und mit gespeicherten Karten digitale Artikel kaufen. Außerdem konnten sie sensible Daten wie Name, E-Mail-Adresse, Geburtsdatum, Geschlecht und Land einsehen.

Wie man Credential Stuffing verhindert

Starke Passwortsicherheit

Verhindern von Credential Stuffing - starke Passwörter

Wir alle wissen, wie wichtig es ist, sichere und eindeutige Passwörter zu verwenden, doch laut einer aktuellen Sicherheitsumfrage von Google verwenden 65 % der Menschen dasselbe Passwort für mehrere Konten.

Dies ist eine äußerst riskante Praxis, denn Angriffe auf Zugangsdaten beruhen in hohem Maße darauf, dass wir dieselben alten, wiederverwendeten Passwörter verwenden. Vielleicht haben Sie es immer wieder vor, aber es lohnt sich, digital aufzuräumen und eindeutige Passwörter für jedes Ihrer Online-Konten zu erstellen.

Eine gute Möglichkeit, ein längeres und komplexeres Passwort zu erstellen, ist die Verwendung einer Passphrase. Eine Passphrase ist eine satzähnliche Folge von Wörtern, die Sie sich merken können, die aber für andere schwer zu knacken ist. Der erste Buchstabe eines jeden Wortes bildet die Grundlage Ihres Passworts, und die Buchstaben können durch Zahlen und Symbole ersetzt werden, um es noch sicherer zu machen.

Verwenden Sie einen Passwort-Manager

Wenn der Gedanke, sich mehrere Passwörter merken zu müssen, Sie mit Grauen erfüllt, könnte ein Passwortmanager die Lösung sein. Ein Passwort-Manager bietet einen zentralen und verschlüsselten Ort, an dem alle Ihre Passwörter sicher aufbewahrt werden.

Passwort-Manager speichern die Anmeldedaten für alle von Ihnen genutzten Websites und melden Sie jedes Mal automatisch an, wenn Sie zu einer Website zurückkehren. Der erste Schritt bei der Verwendung eines Passwortmanagers besteht darin, ein Master-Passwort zu erstellen. Das Master-Passwort steuert den Zugang zu Ihrer gesamten Passwort-Datenbank. Dieses Passwort ist das einzige, das Sie sich merken müssen, daher ist es wichtig, es so sicher wie möglich zu machen.

Passwort-Manager können auch vor Phishing-Angriffen schützen, da sie die Kontoinformationen auf der Grundlage Ihrer registrierten Webadressen ausfüllen. Wenn Sie also glauben, dass Sie sich auf der Website Ihrer Bank befinden, der Passwort-Manager Sie aber nicht automatisch anmeldet, sind Sie möglicherweise versehentlich auf eine Phishing-Website geraten.

Implementierung der Multi-Faktor-Authentifizierung

Verhindern von Credential Stuffing MFA

Die Multi-Faktor-Authentifizierung, auch bekannt als MFA, ist eine der besten Möglichkeiten, die Sicherheit Ihrer Online-Konten zu schützen. Laut Microsoft ist die Wahrscheinlichkeit, dass Ihr Konto kompromittiert wird, um 99,9 % geringer, wenn Sie MFA verwenden.

Anstatt Ihre Identität nur mit einem einfachen Benutzernamen und einem Passwort zu bestätigen, müssen Sie zwei oder mehr Authentifizierungsfaktoren angeben, auf die nur Sie Zugriff haben. Dadurch verringert sich die Wahrscheinlichkeit, dass ein Hacker sich leicht Zugang zu Ihren Konten verschaffen kann.

Es gibt viele verschiedene Authentifizierungstechnologien, die zur Bestätigung Ihrer Identität verwendet werden können. Diese basieren in der Regel auf etwas, das Sie wissen, etwas, das Sie haben, oder etwas, das Sie sind.

Einige dieser Überprüfungsmethoden sind zweifellos sicherer als andere, aber im Wesentlichen bedeutet dies, dass selbst wenn jemand Ihr Passwort stiehlt oder errät, er ohne einen weiteren Authentifizierungsfaktor nicht auf Ihr Konto zugreifen kann.

Verdächtige Anmeldeversuche überwachen und blockieren

Wenn Hacker versuchen, Konten durch Credential Stuffing zu kompromittieren, verwenden sie oft Bots oder andere automatisierte Tools, um Tausende von Anmeldedaten in schneller Folge einzugeben. Diese sind in der Regel über mehrere IP-Adressen verteilt, was es schwierig macht, festzustellen, ob es sich um legitime Anmeldeversuche oder um Anzeichen eines koordinierten Angriffs handelt.

Wenn jedoch mehrere Anmeldeversuche innerhalb eines relativ kurzen Zeitraums fehlschlagen, kann dies ein Anzeichen dafür sein, dass ein Angriff zum Ausfüllen von Anmeldeinformationen stattfindet. Um dies zu verhindern, können IT-Abteilungen die Anzahl der Anmeldeversuche, die eine einzelne IP-Adresse innerhalb eines bestimmten Zeitraums unternehmen kann, begrenzen. Sie können auch Anmeldungen verfolgen, die zu Betrug führen, und diese IP-Adressen auf eine schwarze Liste setzen.

Bewusstsein für Cybersicherheit für Dummies

Andere Artikel zu Cyber Security Awareness Training, die Sie interessieren könnten