
"Credential Stuffing": So schützen Händler sich und ihre Kunden
Das Kunden-Log-in ist ein beliebtes Einfallstor für Cyberbetrüger, 80% der Anmeldeversuche im E-Commerce erfolgen mit gestohlenen Daten. Damit ist der Einzelhandel im Branchenvergleich laut einer aktuellen Studie am stärksten vom Missbrauch von Log-in-Daten betroffen. Wie kriminelle Hacker vorgehen und was Händler tun können, um sich und ihre Kunden zu schützen, erklärt Sven Kniest von Okta in einem Gastbeitrag.
In Anbetracht steigender Inflation und allgemeiner Unsicherheit agieren viele Verbraucher aktuell zurückhaltend. Das bekommt seit einigen Monaten besonders der Einzelhandel zu spüren: Mit einem Minus von 8,8% verzeichnete der Handel im Juni 2022 den größten Umsatzrückgang in Deutschland seit 1994. In diesen Zeiten sind Kundenbindung und -vertrauen besonders wichtig. Gerade im E-Commerce heißt das, ein hohes Maß an Sicherheit für Kundenkonten und -daten zu gewährleisten.
Eine große Herausforderung für Onlinehändler ist dabei das sogenannte "Credential Stuffing". Es beschreibt das Verwenden gestohlener Anmeldedaten, um sich Zugang zu Benutzerkonten zu verschaffen. Dabei nutzen Angreifer die Angewohnheit einiger User aus, dasselbe Passwort in Kombination mit derselben E-Mail-Adresse für verschiedene Konten gleichzeitig zu verwenden.Damit haben Kriminelle leichtes Spiel: Sind die Zugangsdaten für ein Konto erst mal erbeutet, haben sie mithilfe automatisierter Tools Zugriff auf viele weitere Accounts des Nutzers.
Einzelhandel besonders stark bertroffen
Wie die Daten des aktuellen "State of Secure Identity Reports" von Okta zeigen, betrifft Credential Stuffing vor allem den Handel. So waren 80% der Anmeldeversuche im E-Commerce und Einzelhandel betrügerischer Natur, während die Rate in den meisten anderen Branchen lediglich bei unter 50% lag.
Abgesehen haben es die Kriminellen dabei auf Treuepunkte, limitierte Editionen eines Produkts oder den Verkauf der Kundendaten. Ein alarmierendes Ergebnis, zumal Kunden darauf vertrauen, dass ihre Daten bei den Händlern sicher sind.Bei ihren Angriffen setzen die Cyberkriminellen zudem vermehrt auf den Einsatz von Bots, welche automatisch Anmelde- und Registrierungsversuche ausführen. Der aktuelle Report zeigt, dass Bots im Einzelhandel für knapp ein Fünftel aller Versuche verantwortlich sind, neue Kundenkonten bei Unternehmen und Einzelhandelsmarken zu registrieren.
Multi-Faktor-Authentifizierung im Visier der Hacker
Mit dem Einsatz von Multi-Faktor-Authentifizierung (MFA) können Händler den Log-in-Prozess für ihre Kunden sicherer gestalten. Dabei werden mehrere Authentifizierungsfaktoren, wie Push-Tan oder Fingerabdruck, abgefragt, wodurch eine zusätzliche Absicherung gegenüber der Verwendung einer einfachen Kombination aus E-Mail-Adresse und Passwort entsteht.
MFA bildet so ein weiteres starkes Hindernis für mögliche Angreifer. Doch auch diese Sicherheitsmaßnahme ist im letzten Jahr stärker ins Visier der Kriminellen gerückt und die Angriffsrate um fast ein Prozent gestiegen, von 2,8 auf 3,7%.
Kundenidentitäten schützen
Die größte Herausforderung beim Kunden-Log-in ist die Balance zwischen der Bereitstellung höchster Sicherheitsstandards einerseits und einem reibungslosen Kundenerlebnis andererseits. Lösungen für das Customer-Identity-Access-Management (CIAM) bieten unterschiedliche Optionen, eine identitätsbasierte Authentifizierung vorzunehmen und den Anmeldeprozess zu gestalten.
Das erreichen sie beispielsweise, indem sie mithilfe von maschinellem Lernen die Verhaltensmuster der Nutzer auswerten und nur bei abweichendem Verhalten, sprich hohem Risiko, zusätzliche Sicherheitsfaktoren abfragen. CIAM bietet Unternehmen zudem Verfahren für die Aufdeckung von Credential Stuffing und betrügerischen Registrierungen sowie Techniken zur Verhinderung der Umgehung von MFA.
Fazit
Die Gefahr vor Cyberangriffen nimmt stetig zu, insbesondere im Einzel- und Onlinehandel. Umso wichtiger ist es, dass Onlinehändlern und Unternehmen diese Gefahr bewusst ist und sie die entsprechenden Maßnahmen ergreifen, um nicht nur ihre Daten, sondern auch die ihrer Kunden zu schützen.
Dabei müssen Sicherheit und Kundenerfahrung kein Widerspruch sein. Vielmehr kann ein reibungsloser Registrierungs- und Anmeldeprozess ein wichtiges Tool zur Stärkung des digitalen Vertrauens sein und positiv in die Kundenbindung einzahlen.
Gastautor
Sven Kniest ist Vice President Central & Eastern Europe bei Okta und seit 2019 für den Anbieter von Identitäts- und Zugriffsmanagement aus der Cloud tätig. Zuvor war er bei Micro Focus tätig, wo er verschiedene Positionen im Vertriebsmanagement innehatte. Seine Karriere begann der Diplom-Betriebswirt bei Compaq und arbeitete für verschiedene Unternehmen im Bereich Enterprise Technology, darunter NetIQ und Hewlett Packard Enterprise.
Alle Beiträge