Die Taktiken von Cyberkriminellen werden zunehmend gewiefter. Das bekommen auch Rekrutierungsportale immer häufiger zu spüren. Denn persönliche Informationen aus unzähligen Online-Bewerbungen sind eine attraktive Beute für die Angreifer aus dem Netz. Gezielter Identitätsschutz kann horrende Kosten und Imageschäden vorbeugen.

Nichts ist für eine Jobbörse ärgerlicher, als das Verlieren von vertraulichen Nutzerdaten. Schließlich geht es bei einer Online-Bewerbung um das schnelle Abgreifen sensibler Informationen wie Adress-, und Kontaktdaten, aber auch Gehaltsangaben. Dieses lukrative Ziel hat sich mittlerweile unter Cyberkriminellen herumgesprochen. Daher rangiert Deutschland auf der Liste der attraktivsten Ziele bei den Bedrohungsakteuren mittlerweile auch ganz oben – Tendenz steigend. Das bedeutet: Mitarbeiter- und Rekrutierungsportale geraten mit zunehmender Regelmäßigkeit ins Visier von Internetkriminellen.

Schäden durch Datendiebstahl

Meist passiert es lautlos und ohne Vorwarnung. Hacker greifen auf bestimmte Daten in online verfügbaren Bewerbungsprofilen zu und kidnappen damit in großem Stil personenbezogene Informationen. Diese Vorfälle ereignen sich derzeit reihenweise, und das nicht nur bei ausgewiesenen Jobbörsen. Auch Tageszeitungen mit angeschlossenen Jobportalen sind betroffen.

Erst nach dem Datenklau wird das Ausmaß ersichtlich. Dann heißt es meist: „Unser Provider hat nun die Systeme wieder sicher gemacht und wir haben alle Betroffenen über den Angriff auf ihre Daten informiert“. Das Dumme ist nur: zu diesem Zeitpunkt sind nicht nur bereits immense Kosten entstanden, auch das Image des Portals trägt bleibenden Schaden.

Denn die betroffenen Bewerber beschweren sich über die mangelnden Schutz- und Identitätsvorkehrungen des Portals und werden künftig vermutlich eher bei der Konkurrenz nach einem adäquaten Job suchen. Hinzukommt: auch wenn der Betreiber des Systems eigentlich die Misere zu verantworten hat, der Bewerber richtet seine Schuldzuweisung immer erst an den Vermittler. Nur dieser ist für ihn in diesem Zusammenhang sichtbar, diesem hat er seine Profildaten guten Gewissens anvertraut.

Angriffsboom durch Credential Stuffing

Laut Identitätsanbieter Auth0 ist so ein Identitätsdiebstahl, in der Fachsprache Application Fraud, genannt, eine der häufigsten Methoden bei Datenverstößen. Grundlage dafür stellt der Prozess des Credential Stuffings dar. Dieser englische Begriff beschreibt eine Vorgehensweise, wonach Angreifer versuchen, gestohlene Nutzer-Passwort-Kombinationen zu testen, um damit jede Art von Online-Konten zu plündern

 und funktionsfähige Login-Kombinationen schließlich gewinnbringend zu veräußern. Dabei bedienen sie sich einer großen Menge von Anmeldedaten, die durch diverse Datenlecks bereits im Internet gelandet sind.  Im Gegensatz zu Angriffen auf einzelnen Firmen zeichnet sich Credential Stuffing zudem dadurch aus, dass möglichst schnell möglichst viele Login-Daten von Nutzern samt unterschiedlicher Zugangswege gekapert werden können. Hinzu kommt, dass die Nutzerdaten zunehmend automatisiert und in Bruchteilen von Sekunden über sogenannte Botnetze ausgetestet werden. Diese Netzwerke greifen dabei meist völlig unbemerkt für den Nutzer auf dessen Online-Konto zu (z.B. von Spotify oder Netflix), und lösen ungewollte Aktivitäten aus.

Branchenexperten werten daher Credential Stuffing als eine der größten Herausforderungen für die IT-Sicherheit für das Jahr 2021. Gerade Firmen mit hohen Online-Transaktionen wie eben die Bewerberportale kann diese Angriffsmethodik hohen wirtschaftlichen Schaden zufügen.

Angriffsmasse überfordert Entwickler & IT-Experten

Die große Mehrheit der Security-Entscheider und Entwickler sieht sich allerdings eher machtlos gegenüber diesem Angriffsboom. Nicht nur, dass ihnen die Kontrolle der schieren Masse und Unsichtbarkeit der Angriffe Schwierigkeiten machen. Entscheidend ist vielmehr, dass ihre Perspektive sowie ihr Lösungsverständnis in Bezug auf das IAM-Management nicht mehr zur aktuellen Bedrohungslage passt. Was bedeutet das genau?

Credential-Stuffing-Angriffe machen deutlich, dass es für die IT-Sicherheit nicht mehr um „one size fits all“ gehen kann, sondern darum, wie die digitale Identität eines Bewerbers in Abhängigkeit von dessen situativem Anwendungsverhalten hinreichend geschützt werden kann. Gleichzeitig darf die User Experience nicht gefährdet werden, sondern muss möglichst reibungslos passieren. Die zentrale Frage ist also nicht: welche Identitätslösung ist die Richtige, sondern wie kann dynamisches Nutzerverhalten anwendungsbezogen abgesichert werden?   

Digitale Identität vor Angriffen schützen – aber wie?

Ein guter Weg, Credential Stuffing auszubremsen, scheint die Multifaktor-Authentifizierung zu sein. Denn um ein MFA-geschütztes Konto erfolgreich hacken zu können, brauchen die Angreifer neben der Nutzer-Passwort-Kombination auch Zugriff auf das Endgerät, das für den zweiten Faktor verwendet wird. Das wiederum würde für die Übeltäter allerdings massiven Zeit- und Arbeitsaufwand nach sich ziehen. Um nicht zu sagen, es würde einen solchen Angriff im großen Stil nahezu unmöglich machen. Möglicher Nachteil: die erhöhte Sicherheit der Login-Daten wird immer dann mit einer reduzierten User Experience bezahlt, wenn MFA quasi standardisiert über jeden Login gestülpt werden würde. Denn wer sich erst kompliziert anmelden muss, um sein Profil hochzuladen, der lässt es entweder ganz bleiben, oder sucht nach einfachen Alternativen.   

Zielführend ist daher eine kontextuelle Multifaktor-Authentifizierung entlang bestimmter Nutzungsszenarien, die automatisch analysiert, situativ gewichtet und dann hinterlegt werden können. Greift ein Nutzer beispielsweise immer über dieselbe IP-Adresse auf einen Service zu, braucht er weniger Authentifizierung als wenn er aus einem anderen Land oder von einem anderen mobilen Gerät auf diesen Service abruft. Geht es hingegen um sensible Transaktionen wie Bankgeschäftesteigen die Anforderungen an seine Authentifizierung.

Die Kunst ist es hier, über unterschiedliche Risikofaktoren (z.B. über Auth0 MFA) auf das passende Sicherheitsniveau schließen zu können. Mit anderen Worten die digitalen Identitäten in jeder Situation mit dem entsprechenden Schutzlevel zu versehen, ohne die User Experience zu beeinträchtigen.  Damit hätte die IT-Sicherheit einen systematischen Hebel, der die Authentifizierung flexibel gestalten kann, ohne dass sich das Nutzungsverhalten beeinträchtigt werden würde. Und das ganz ohne Imageschäden und Bewerberfrust.   

Quelle Titelbild: iStock / jakkapant turasen