"Credential Stuffing": Wie Hacker an Passwörter kommen
Immer wieder gibt es Meldungen über Angriffe auf Zugangskonten von E-Mail-Anbietern, wie beispielsweise GMX oder Web.de. Den Kunden werden beim rechtmäßigen Login ins eigene E-Mail-Konto große Anzahlen fehlerhafter Log-in-Versuche angezeigt.
Im Februar bemerkten Kunden teilweise bis zu einhundert fehlgeschlagene Log-in-Versuche in einer Nacht. Diesen Service bieten die E-Mail-Dienstleister bewusst an, um ihre Kunden darauf aufmerksam zu machen, dass man entweder selbst versehentlich das falsche Passwort eingeben hat oder in der Tat Cyberkriminelle am Werk waren oder noch sind. Darauf macht der Internet-Anwalt Christian Solmecke von der Kanzlei WBS.legal aufmerksam.
Bei Hackern beliebt: Credential Stuffing
Für jeden Dienst und jedes Konto muss es ein eigenes Passwort sein
Bild: HPI Hasso-Plattner-Institut
Wer wissen möchte, ob seine Zugangsdaten im Internet kursieren, könnte die Seite Have-I-Been-Pwned aufrufen. Diese Plattform hatte im Januar 2024 fast 71 Millionen E-Mail-Adressen in einer umfassenden Datenbank gefunden, von denen etwa 35 Prozent zuvor noch nicht bekannt waren. Das Projekt sammelt offen verfügbare, geleakte Anmeldedaten und speichert sie in einer Datenbank.
Eine mittlerweile verbreitete Methode, die von Hackern angewendet wird, nennt sich "Credential Stuffing". Dabei handelt es sich um eine Angriffstechnik, bei der gestohlene Anmeldedaten auf verschiedenen Plattformen ausprobiert werden, um so unbefugten Zugriff auf weitere Konten zu erlangen. Es werden also alte Zugriffsdaten genommen und überprüft, ob mit Hilfe dieser Daten ein Log-in auf anderen Plattformen möglich ist. Dies führt oft zu fehlerhaften Anmeldeversuchen, wie sie nun bei GMX und Web.de beobachtet wurden. Mittels dieser Methode konnten Cyberkriminelle zum Beispiel Ende des vergangenen Jahres rund 35.000 PayPal-Konten in den USA knacken.
E-Mail-Dienste informieren über Hacker-Angriffe
Laut einem Sprecher von 1&1, dem Unternehmen hinter GMX und Web.de, sei trotz der allgemeinen Bedrohung durch Internetangriffe keine spezifische Zunahme der Angriffsaktivitäten auf diese Dienste festgestellt worden. Die Nutzer würden über fehlgeschlagene Login-Versuche bei ihrem nächsten erfolgreichen Login informiert, was eine Sicherheitsmaßnahme darstellt, um sie zu warnen.
Das bedeutet allerdings nicht, dass dabei Passwörter oder Inhalte gefährdet wären. 1&1 führt die hohe Anzahl an fehlerhaften Log-in-Versuchen auch auf jene Datenlecks zurück, bei denen größtenteils veraltete Zugangsdaten in den Datensammlungen von den kriminellen Tätern landen.
Ein guter Schutz, so Anwalt Solmecke, seien einzigartige Passwörter für jeden Dienst und die Aktivierung der Zwei-Faktor-Authentifizierung, um den Schutz der Nutzerkonten zu erhöhen. Wenn verdächtige Anmeldeversuche mit korrekten Daten erkannt würden, griffen die Sicherheitssysteme von 1&1 ein, um den Zugriff zu blockieren und den betroffenen Nutzer zu informieren, um so die Sicherheit weiter zu gewährleisten.
Was Betroffene tun sollten
Betroffene, die eine Vielzahl an fehlgeschlagenen Log-in-Versuchen festgestellt haben, ist zur Vorsicht geraten. Als erste Maßnahme sollte das aktuelle Passwort geändert werden.
Solmecke empfiehlt mindestens zwölf Zeichen, wobei sowohl Klein- als auch Großbuchstaben verwendet werden sollten, ebenso wie Zahlen und Sonderzeichen. Das E-Mail-Passwort sollte zudem nicht auch für andere Online-Accounts genutzt werden. Darüber hinaus empfiehlt sich eine Zwei-Faktor-Authentifizierung. Durch einen zweiten Faktor, ähnlich einer TAN beim Online-Banking, können Hacker nicht in das Postfach gelangen – selbst wenn sie das Passwort des Nutzers kennen.
Erfolgreichen Cyberangriff nicht als Bagatelle abtun
Betroffene eines erfolgreichen Cyberangriffs sollten einen solchen Angriff nicht als Bagatelle abtun. Dem Anwalt sind teils dramatische Fälle bekannt, in denen Betroffene sich nie hätten vorstellen können, dass ein Angriff so drastische Folgen haben kann. Besonders gefährlich erscheint die wachsende Bedrohung, dass Täter erbeutete Daten aus verschiedensten Datenlecks und Datendiebstählen kombinieren, um so zielgerichtete Angriffe auf Nutzer durchzuführen.
Wer z.B. immer die gleichen Zugangsdaten verwendet, ist schnell Opfer weiterer Taten, da Täter einfachen Zugriff erlangen können, schließlich liegen die Login-Daten oft durch vorherige Lecks bereits vor. Die Folge: Phishing-Angriffe, Identitätsdiebstähle etc.
Haben Betroffene Ansprüche auf Schadensersatz?
Auf der Grundlage von Art. 15 DSGVO können Nutzer Auskunft vom Unternehmen verlangen, ob sie vom Datenleck betroffen sind. Erteilt dieses sodann keine oder eine unvollständige Auskunft, kann sich daraus zu ihren Gunsten bereits ein Schadensersatzanspruch aus Art. 82 DSGVO ergeben. Daneben kommen weitere Pflichtverletzungen im Zusammenhang mit dem jeweiligen Datenleck in Betracht, die möglicherweise Schadensersatzansprüche zur Folge haben.
Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung habe und damit auch eine abschreckende Höhe erreichen müsse.
EuGH stärkt Verbraucherrechte
Der EuGH hatte hierzu Ende 2023 in einem Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen.
Verschiedene Anwaltskanzleien bieten hier ihre Dienste an, und fragen dabei gerne, ob die Klienten eine Rechtsschutzversicherung haben. Wenn diese Versicherung den Fall übernimmt, muss der persönliche Schaden je nach Gericht juristisch deutlich gemacht werden, sonst könnten solche Verfahren auch abgewiesen werden oder im Sande verlaufen. WBS.legal vertritt nach eigenen Angaben etwa zehntausend Betroffene im Falle von Facebook- und Deezer-Datenlecks.
Auf ihrer Webseite gibt es eine Suchmaschine, die anzeigt, ob die eigene Handynummer von einem Datenleck betroffen ist.
In einer weiteren Meldung lesen Sie: Bei WhatsApp soll es künftig eine neue Sicherheits-Login-Funktion geben.