Angriffe auf Webanwendungen und die Gaming-Branche - Akamai
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Band 5, Ausgabe 3
„State of the Internet“-Sicherheitsbericht
Angriffe auf
Webanwendungen und
die Gaming-Branche
Mitteilung des Herausgebers Sicherheit ist sowohl in der physischen als auch in der digitalen Welt ein wichtiges Thema, denn Kriminelle greifen überall dort an, wo es das meiste Geld zu holen gibt. Auch in Unternehmen versuchen Kriminelle, mit unlauteren und ganz gezielten Methoden an dieses Geld zu kommen. Ein Mangel an Wettbewerb führt oft dazu, dass Grenzfälle und andere ungenutzte Chancen einen einfachen Weg zur Bereicherung darstellen. Unsere Aufgabe als Sicherheitsexperten besteht darin, diese Grenzfälle so schnell wie möglich zu erfassen und zu identifizieren, um Angriffe und Betrug abzuwehren, noch bevor sie sich auf das Geschäft auswirken. Dabei spielen wir ein ständiges Katz-und-Maus-Spiel und tun unser Bestes, neueste Trends bei Angriffen zu erkennen. Wir beschäftigen uns bereits seit Sommer 2018 mit dem Missbrauch von Anmeldedaten und damit verbundenen Angriffen und sind davon überzeugt, dass dies einer der Schlüsselbereiche ist, den sich Angreifer immer mehr vornehmen. Die überwältigende Mehrheit der Nutzer und Organisationen weiß, dass Anmeldeversuche ein Problem darstellen, da es bereits seit den Anfängen des Internets Angriffe im Zusammenhang mit dem Missbrauch von Anmeldedaten in verschiedenen Formen gibt. Wir haben aber festgestellt, dass viele Unternehmen sich weder des Umfangs noch der Komplexität des Problems bewusst sind, insbesondere da Angreifer sich oft sehr bemühen, einer Erkennung zu entgehen. Der Schwerpunkt in diesem Bericht liegt auf der Gaming-Branche, da sie eine äußerst aktive und dynamische Untergrundwirtschaft hervorgebracht hat, die vom Missbrauch von Anmeldedaten lebt. Man darf aber nicht vergessen, dass es auch andere Angriffsarten gibt: von Phishing bis hin zu Malware, die direkt auf Spielekonten abzielen. Diese Konten können von hohem Wert sein. Deshalb wird es wahrscheinlich so schnell nicht zu einem Rückgang bei solchen Angriffen kommen. Aus Feedback an uns entnehmen wir, dass manche Unternehmen davon ausgehen, sie und ähnliche Unternehmen seien kein Ziel für den Missbrauch von Anmeldedaten. Es stimmt zwar, dass manche Branchen weniger angegriffen werden als andere. Bei näherer Betrachtung der Daten stellt sich aber heraus, dass keine Branche wirklich gegen solche Attacken immun ist. Bei manchen Unternehmen ist die Wahrscheinlichkeit von Angriffen durch zufällige Anmeldeversuche zwar höher, aber jedes Unternehmen mit einer Seite zur Eingabe von Nutzername und Passwort ist anfällig für Angriffe auf diesen Prozess. Für Angreifer ist der Missbrauch von Anmeldedaten lediglich ein risikoarmes Unterfangen mit hohem Gewinnpotenzial – zumindest im aktuellen Zustand. Diese Art von Angriffen wird in absehbarer Zukunft wahrscheinlich weiter zunehmen. Wie bei vielen anderen Angriffsarten müssen Sie sich unbedingt darüber im Klaren sein, dass solche Angriffe stattfinden, damit Sie Ihr Unternehmen davor schützen können.
Inhaltsverzeichnis 01 Übersicht 02 Gastautorin: Monique Bonner 05 Studien von Akamai 06 Überblick über Webangriffe 10 Missbrauch von Anmeldedaten und die Gaming-Branche 19 Ausblick 21 Anhang 22 Methodik 23 Zusätzliche Daten 26 Quellen
Überblick
In dieser Ausgabe des „State of the den Zeitraum von 17 Monaten 55 Milliarden
Internet“-Sicherheitsberichts werden Credential-Stuffing-Angriffe verzeichnet, was
die Trends zu Credential-Stuffing- und belegt, dass keine Branche immun gegen
Webanwendungsangriffen über die letzten solche Attacken ist. 12 Milliarden dieser Angriffe
17 Monate hinweg untersucht, wobei der erfolgten allein auf die Gaming-Branche, die als
Schwerpunkt auf der Gaming-Branche liegt. Ziel für Kriminelle, die sich schnell bereichern
Ein Grund, warum Gaming so lukrativ ist, ist wollen, immer beliebter wird. Derzeit sehen
der Trend, Spielern einfach zugängliche In- Angreifer den Missbrauch von Anmeldedaten
Game-Artikel bereitzustellen, z. B. kosmetische als risikoarmes Unterfangen mit hohem
Verbesserungen, Spezialwaffen oder andere Gewinnpotenzial an, sodass diese Art von
ähnliche Items. Darüber hinaus sind Gamer eine Angriffen in absehbarer Zukunft wahrscheinlich
Nischenzielgruppe, die dafür bekannt ist, viel weiter zunehmen wird.
Geld auszugeben. Deshalb sind sie aufgrund
ihres finanziellen Status verlockende Ziele. Wir haben uns jedoch auch Webanwendungsangriffe
Anfang November 2017 begannen wir mit der näher angeschaut. Wenn man sich den Verlauf
Erfassung von Informationen zum Missbrauch der von Akamai verzeichneten Webangriffsdaten
von Anmeldedaten und entschieden uns, ansieht, so fallen 89,9 % der Angriffe in eine
denselben Zeitraum für die Untersuchung zu von zwei Kategorien: SQLi- (SQL Injection) und
Anwendungsangriffen anzusetzen, um unseren LFI-Angriffe (Local File Inclusion). Die Daten aus
Lesern einen direkten Vergleich bieten zu können. diesem 17-monatigen Zeitraum zeigen, dass
SQLi als Angriffsmethode mit alarmierender
Der Missbrauch von Anmeldedaten ist für die Geschwindigkeit weiter angestiegen ist. Zwar
Gaming-Branche nichts Neues. Praktisch jeder lässt sich erkennen, dass die Angriffe mit dem
Gamer kann ein Beispiel dafür anführen, wie Weihnachtsgeschäft stark zunahmen, jedoch
ein Konto durch einen Credential-Stuffing- kehrten sie danach nicht auf ihr vorheriges
Angriff übernommen wurde. Akamai hat über Niveau zurück.
Zusammengefasst
• Akamai verzeichnete • D
ie Quelle für die meisten • A
us unserer 17-monatigen
über 17 Monate hinweg Credential-Stuffing-Angriffe Datenübersicht ergibt sich,
55 Milliarden Credential- sind nach wie vor die USA, dass inzwischen zwei Drittel
Stuffing-Angriffe, wobei gefolgt von Russland. aller Webanwendungsangriffe
12 Milliarden auf die Gaming- Wenn man sich aber die über SQL Injections
Branche abzielten. Ursprungsländer für Credential- durchgeführt werden.
Stuffing-Angriffe nur auf die
Gaming-Branche ansieht,
nimmt Russland die erste
Stelle ein.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 1Drei Lektionen, die ich als
Sicherheits-CMO gelernt habe
Gastautorin
Monique Bonner
Executive Vice President und Chief Marketing Officer bei Akamai
Seit drei Jahren bin ich Chief Marketing Officer (CMO) bei Akamai. Zuvor war ich mehr als 15 Jahre lang bei
einem Hardware-Technologieanbieter tätig. Ich dachte, dass ich mich im Bereich Sicherheit gut auskenne –
mein vorheriges Unternehmen hatte einige SaaS-Sicherheitsprodukte im Angebot. Aber inzwischen
weiß ich, dass ich noch viel über die Branche lernen musste. Sicherheit ist ein ganz eigener Bereich mit
einzigartigen Motivationen und Dynamiken.
Wir bei Akamai entwickeln uns ständig weiter. Wir haben unser Sicherheitsportfolio erweitert und
möchten unser Sicherheitsgeschäft bis 2020 auf eine Milliarde US-Dollar erhöhen. Aus diesem Grund
waren erhebliche Änderungen an unserem Marketing, unseren Produkten und der Kommunikation mit
unseren Kunden erforderlich. Wir haben uns in den letzten drei Jahren stark weiterentwickelt und ich
möchte die drei wichtigsten Lektionen mit Ihnen teilen, die ich in dieser Zeit gelernt habe.
SicherheitLEKTION
ist eine Leidenschaft,LEKTION
kein Produkt
1 2 3
LEKTION
Früher war ich der Ansicht, dass sich unsere Teams für Forschung und
Sicherheitsprodukte nicht von anderen im Technologiebereich unterscheiden:
Wir sind innovationsfokussiert, verbesserungsorientiert und behalten dabei
Kosten und ROI im Blick. Ich habe jedoch festgestellt, dass diese Aspekte zwar
sicherlich Teil der Arbeit unserer Sicherheitsteams sind, dass hierin jedoch nicht
ihre Motivation liegt. Sie sind nicht der Grund für ihre Neugier. Sie sind nicht der
Grund dafür, dass sie 24 Stunden am Stück wach bleiben, um die Website eines
Kunden vor einem DDoS-Angriff zu schützen.
Was Sicherheitsexperten antreibt, ist Leidenschaft. Leidenschaft und unermüdliche
Energie, das Richtige für ihre Kunden zu tun, die ihnen den Schutz ihres Unternehmens
anvertrauen. Aber neben dieser Leidenschaft für guten Kundenservice gibt es noch weitere wichtige
Eigenschaften. Ein weiteres Alleinstellungsmerkmal von Sicherheitsteams ist ihr unglaubliches Engagement
für die Sicherheitscommunity insgesamt. Ich glaube, dieses Engagement für die Branche – dieser Dienst für
eine größere Sache – ist im Bereich Sicherheit einzigartig. Ihre Arbeit ist ihnen überaus wichtig.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 2Kunden brauchen keine Überzeugungsarbeit,
sondern Zusammenarbeit
2 3
LEKTION LEKTION
Akamai ist ein sich nicht durch übermäßige Angst, Unsicherheit
Sicherheitsunternehmen. oder Zweifel überzeugen lassen. Mit einem solchen
Unsere Kunden haben Ansatz lassen sich überhaupt keine Kunden im
Probleme, die wir lösen Bereich Sicherheit gewinnen.
können. Sie haben ein
Problem mit Bots, die Ihre Vor Kurzem entschied ein langjähriger Kunde, ein
Website übernehmen und Finanzdienstleister, sein Geschäft zu erweitern,
alle neuen Produkte oder und benötigte daher effektiven Schutz vor Botnets.
Tickets aufkaufen? Dafür Wir gingen davon aus, dass unsere herkömmliche
haben wir eine Lösung. Strategie mit Fallstudien und Erfahrungsberichten
Nun werden Sie vielleicht funktionieren würde. Aber das war ein
sagen, dass wir das nur richtig Trugschluss. Stattdessen war es die Interaktion
vermarkten müssen. Aber das ist nicht mit unseren technischen Teams und die direkte
unbedingt richtig. Zusammenarbeit mit unserem Security Operations
Command Center (SOCC) während einer Reihe
Viele Kunden denken, es gebe ein einfaches von Vorfällen, die das Unternehmen dazu
Playbook für unsere Arbeit. Im Bereich veranlassten, den Support im Bereich Sicherheit zu
Sicherheitsmarketing können Sie aber nicht immer erweitern. Letztendlich hing alles von einer aktiven
dieselbe Strategie einsetzen, die Sie schon seit Zusammenarbeit und Partnerschaft ab und nicht
jeher verwenden. Tatsache ist: Kunden werden von Angst, Unsicherheit oder Zweifel.
CSOs und CTOs wissen mehr über
Marketing, als man vielleicht denkt
1 2 3
Als wir Zeit mitLEKTION
unseren internen Sicherheitsteams LEKTION
Die Zusammenarbeit LEKTION
verbrachten, haben wir erfahren, dass CSOs, CTOs mit unseren
und Führungskräfte im Bereich Sicherheitsprodukte Sicherheitsteams hat
wirklich wussten, wie wir fundiert mit unseren uns beim Umdenken
Kunden kommunizieren und zusammenarbeiten unterstützt. Und
können. Wir haben daraufhin unseren Ansatz damit hat sich auch
entsprechend geändert. Mithilfe des Feedbacks die Zusammenarbeit
dieser Teams konnten wir herausfinden, was auf mit diesen Teams
dem Sicherheitsmarkt funktioniert und – vielleicht im Bereich Marketing
noch wichtiger – was nicht. verändert. Aufgabe der
Teams ist es nicht einfach
Wir haben gelernt, wie wichtig die technischen nur, Inhalte zu überprüfen oder aus der Ferne
Teams mit ihrem tief greifenden Produktwissen auf zu Berichten beizutragen. Sie sind ein zentraler
unseren Veranstaltungen und Messen sind. Unser Bestandteil unserer Marketingstrategie: Von
CSO hat Vorschläge dazu gemacht, wie wir unseren der Überprüfung von Werbetexten über die
Social-Media-Auftritt besser gestalten können. Teilnahme an Veranstaltungen bis hin zur Lösung
Wir haben dabei sogar neue Medienkanäle für von Codeproblemen haben wir eine echte
Werbung und Inhalte aufgetan. Dies sind nur einige Partnerschaft aufgebaut. Dies wiederum hat ALLEN
Beispiele dafür, wie wir die Marketingaktivitäten Teams geholfen, glaubwürdiger aufzutreten, ihre
über Zusammenarbeit und Integration verbessern Ziele zu erreichen und das Geschäft auszubauen.
konnten. Letztendlich können wir dadurch Ohne diese Beziehungen hätten wir nicht so große
effektiver mit unseren Kunden im Bereich Sicherheit Erfolge. Und außerdem hatten wir viel Spaß dabei –
interagieren. was für den Erfolg auch nicht ganz unwichtig ist.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 3Als international tätige Marketingexpertin hat
Monique Bonner eine Leidenschaft für den Aufbau
von Marken und kundenorientiertes Marketing, bringt
strategische Transformationen voran und motiviert
Teams zu herausragender Performance. Bonner ist
Executive Vice President und Chief Marketing Officer
bei Akamai und konzentriert sich in diesen beiden
Rollen gleich mit doppelter Kraft darauf, Wachstum und
Operational Excellence zu fördern. Sie leitet die globalen
Marketinginitiativen von Akamai, einschließlich der Initiativen
in den Bereichen Marken-, Kommunikations-, Field- und
digitales Marketing, sowie die unternehmenseigenen
Schulungsprogramme für Vertriebs- und Servicemitarbeiter.
Bevor sie zu Akamai kam, war Bonner 16 Jahre lang bei
Dell Technologies in verschiedenen Positionen tätig,
darunter in den Sparten Vertrieb, Operations, Strategie und
Marketing. Sie war federführend bei der ersten globalen
Markenstrategie des Unternehmens und für die Konzeption
und Entwicklung unserer digitalen Innovations-Roadmap für
Marketing zuständig. Zudem hat sie sieben Jahre in Europa
verbracht.
Bonner sitzt im Vorstand von 8x8, der Akamai Foundation
und des Lake Champlain Maritime Museum. Sie erwarb
einen Bachelor of Arts am Middlebury College und
einen Master of Business an der University of Michigan.
Stellvertretend für das gesamte Marketingteam von
Akamai und dessen hart erarbeitete Leistungen wurde ihr
die Ehre zuteil, vom Massachusetts Technology Leadership
Council als CMO of the Year 2018 ausgezeichnet zu werden.
In ihrer Freizeit restauriert Bonner gerne Möbel, fährt Ski
oder feuert gemeinsam mit ihrem Ehemann und ihren
beiden Söhnen ihre Lieblings-Footballmannschaft,
die New England Patriots, an.
405 Studien von Akamai „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 5
Überblick über Webangriffe
Wir würden Ihnen gern mitteilen, dass In den Diagrammen und Tabellen in diesem
Webanwendungsangriffe ein vielfältiges Ökosystem Abschnitt des „State of the Internet“-
sind, aber das ist nach einem Blick auf die Daten Sicherheitsberichts werden die von uns erfassten
wirklich nicht der Fall. Die überwiegende Mehrheit Informationen zum Missbrauch von Anmeldedaten
dieser Angriffe fällt in nur zwei Kategorien: über einen Zeitraum von 17 Monaten untersucht.
SQL Injection (SQLi) und Local File Inclusion (LFI), Zwar wird meist für derartige Untersuchungen eine
die 89,8 % der Angriffe auf Anwendungsebene Zeitspanne von 12 oder 24 Monaten angesetzt,
ausmachen, wie in Abbildung 1 gezeigt. Cross-Site doch wir wollten einen einheitlichen Zeitrahmen
Scripting (XSS), PHP Injection (PHPi) und Remote mit den neuesten uns verfügbaren Daten für
File Inclusion (RFI) belaufen sich auf weitere 8,4 % diesen Bericht untersuchen. Wir haben vor, in
und alle anderen Angriffsarten machen nur 1,8 % Zukunft weitere Informationen zum Missbrauch
der Warnungen aus, die von der Akamai Kona Web von Anmeldedaten zu sammeln, die dann
Application Firewall (WAF) erfasst wurden. Dies alle zwei Jahre in einem Bericht bereitgestellt
deutet darauf hin, dass die Sicherheitsbranche werden. Akamai hat in diesem Zeitraum etwas
sich verstärkt auf die Bekämpfung von SQLi weniger als 4 Milliarden (3,993 Milliarden)
konzentrieren sollte, ein seit mehr als einem WAF-Warnmeldungen sowie 1,2 Milliarden
Jahrzehnt bekanntes Problem. Warnmeldungen allein im ersten Quartal 2019
verzeichnet.
Die wichtigsten Arten von Webanwendungsangriffen
November 2017 bis März 2019
65,1 %
2,5 Mrd.
2,0 Mrd.
Angriffe (Milliarden)
1,5 Mrd.
1,0 Mrd. 24,7 %
0,5 Mrd.
4,5 % 2,2 % 1,8 %
1,7 %
0,0 Mrd.
SQLi LFI XSS PHPi RFI Sonstige
Angriffsvektor
Abb. 1: Zwei Drittel aller Webanwendungsangriffe werden jetzt über SQL Injection durchgeführt.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 6Tägliche Webangriffe nach Vektor Anstieg von SQL Injection
November 2017 bis März 2019
SQLi Der Anstieg von SQLi als Angriffsvektor über die
letzten zwei Jahre hinweg sollte Websitebetreibern
30 Mio.
zu denken geben. Im ersten Quartal 2017 machte
20 Mio. SQLi 44 % der Angriffe auf Anwendungsebene
aus. Eigentlich stellte dies einen verhältnismäßig
10 Mio. starken Rückgang gegenüber dem vorherigen
Wert von etwas über 50 % dar. Wie in Abbildung 2
gezeigt, sind zwar alle Angriffsvektoren stabil oder
LFI
steigen an, aber keiner wächst so schnell wie SQLi.
7,5 Mio. Beachten Sie hierbei, dass die Skalen der einzelnen
Vektoren von der Anzahl der von Akamai erkannten
5,0 Mio.
Angriffe abhängt. Ohne den Skalenunterschied
2,5 Mio. wären neben den SQLi-Angriffen nur noch LFI-
Attacken in unseren Diagrammen zu erkennen.
XSS Ende November 2018 erlebten unsere Kunden
einen Anstieg der SQLi-Warnungen (mehr als
2,0 Mio. 35 Millionen Angriffe), was sich auch auf mehrere
Tägliche Angriffe (Millionen)
andere Arten von Webanwendungsangriffen
1,5 Mio.
übertrug. Der Zeitpunkt hing höchstwahrscheinlich
1,0 Mio. mit dem Beginn des Weihnachtsgeschäfts
zusammen. Man sollte aber auch beachten,
dass der Trend seither fortlaufend angestiegen ist.
PHPi
Datenbanken sind ein attraktives Ziel für Kriminelle,
da sie sich oft als profitabel herausstellen.
0,6 Mio.
0,4 Mio. Die USA sind bereits seit Langem das Hauptziel für
Angriffe auf Anwendungsebene, wobei über den
0,2 Mio.
Zeitraum von 17 Monaten 2,7 Milliarden Angriffe
stattgefunden haben. Es ist unwahrscheinlich,
RFI
dass sich dies in absehbarer Zeit ändert, da den
USA diese zweifelhafte Ehre schon seit den ersten
4 Mio. Aufzeichnungen zu Webanwendungsangriffen
3 Mio. zukommt. Die anderen in Abbildung 3 aufgeführten
2 Mio.
Zielländer tauchen ebenfalls regelmäßig in der
Liste auf, obwohl Australien und Italien in der
1 Mio.
Vergangenheit nicht immer an oberster
Stelle standen.
SONSTIGE
0,9 Mio.
0,6 Mio.
0,3 Mio.
JAN 2018 APR 2018 JUL 2018 OKT 2018 JAN 2019 APR 2019
Abb. 2: Anstiege über mehrere Angriffsvektoren
hinweg werden oft durch ein einzelnes Botnet oder
einen Angreifer verursacht.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 7Wenn wir uns ansehen, woher die Anwendungsangriffe stammen, zeigt sich, dass der Datentraffic weltweit
viel gleichmäßiger verteilt ist. Die USA sind nach wie vor die größte Quelle für diese Angriffe, aber auch für
Russland, die Niederlande und China liegt eine bedeutende Anzahl von Warnungen aus dem eigenen Land
vor. Hinweis: „Ursprungsland“ bedeutet das Land, aus dem der Traffic stammt, also nicht unbedingt der Ort,
an dem sich der Angreifer tatsächlich befindet. Intelligente Angreifer unternehmen alles Mögliche, um die
Angriffsquelle zu verbergen. Sie sind wahrscheinlich auch nicht in den Top-10-Listen aufgeführt, da ihre
Angriffsmuster in der Regel wesentlich unauffälliger sind.
Top 10 der Zielländer Top 10 der Ursprungsländer – alle Branchen
November 2017 bis März 2019 November 2017 bis März 2019
LAND ANZAHL DER GLOBALER LAND ANZAHL DER GLOBALER
ANGRIFFE RANG ANGRIFFE RANG
USA 2.666.156.401 01 USA 967.577.579 01
Vereinigtes Königreich 210.109.563 02 Russland 608.655.963 02
Deutschland 135.061.575 03 Niederlande 280.775.553 03
Brasilien 118.418.554 04 China 218.015.784 04
Indien 113.280.600 05 Brasilien 155.603.585 05
Japan 95.550.352 06 Ukraine 154.887.375 06
Kanada 84.443.615 07 Indien 142.621.086 07
Australien 54.187.181 08 Frankreich 121.691.941 08
Italien 47.784.870 09 Deutschland 113.233.187 09
Niederlande 47.390.611 10 Vereinigtes Königreich 102.531.816 10
Abb. 3: Fast 67 % der Angriffe auf
Anwendungsebene richten sich an Unternehmen
mit Sitz in den USA.
Angriffe
100.000.000
1.000.000
10.000
10
Abb. 4: Russland hat sich als zweitgrößtes Ursprungsland für Anwendungsangriffe fest etabliert.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 8Als Vorläufer zu unseren Untersuchungen der Top 10 der Ursprungsländer – Gaming
Gaming-Branche haben wir uns darauf konzentriert,
aus welchen Quellen Anwendungsangriffe auf LAND ANZAHL DER GLOBALER
RANG RANG
diese Websites erfolgten. Die Rangfolgen in
Abbildung 5 folgen generell den allgemein von USA 43.411.879 01
uns festgestellten Trends, mit Ausnahme von Russland 15.114.894 02
Großbritannien, das einen deutlichen Anstieg
China 13.062.873 04
verzeichnet, und Irland, das zum ersten Mal in
diesem Bericht aufgeführt ist. Beachten Sie, dass Niederlande 11.187.344 03
die meisten in dem Bericht angeführten Angriffe auf Vereinigtes Königreich 7.871.201 10
die Websites von Gaming-Unternehmen abzielen, Frankreich 7.760.629 08
nicht auf die Anwendungen, mit denen die Spiele Indien 5.859.202 07
ausgeführt werden. Die meisten Spiele werden
Ukraine 5.339.086 06
von APIs und nutzerdefinierten Anwendungen
gesteuert, die generell nicht standardmäßigen Irland 5.209.188 12
WAF-Regeln unterliegen. Deutschland 5.016.555 09
Quellen für Webanwendungsangriffe – Gaming
November 2017 bis März 2019
Angriffe
1.000.000
10.000
100
1
Abb. 5: Angreifer in Brasilien scheinen den Gaming-Sektor nicht als wichtiges Angriffsziel anzusehen.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 910 | Studien von Akamai Missbrauch von Anmeldedaten und die Gaming-Branche „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 10
Nachdem wir uns damit einen Überblick über von Threading-Optionen vieler AIOs erstellen
Angriffe auf Webanwendungen verschafft Kriminelle im Wesentlichen Mini-Botnets, die
haben, wollen wir uns nun dem Missbrauch von ausschließlich zur Validierung riesiger Listen von
Anmeldedaten zuwenden. Im selben Zeitraum von Anmeldedaten dienen.
17 Monaten (November 2017 bis Ende März 2019)
verzeichnete Akamai 55 Milliarden Credential- Zwar nutzen manche Unternehmen
Stuffing-Angriffe in Dutzenden von Branchen. erweiterte Authentifizierungsoptionen wie
Bei jedem Angriff wurde versucht, auf ein Konto Multi-Faktor-Authentifizierung (MFA), Open
zuzugreifen, das nicht dem Angreifer gehörte. Authorization (OAuth) und hardwarebasierte
Authentifizierungstoken, aber das gilt längst nicht
Viele der 55 Milliarden von Akamai beobachteten für alle Unternehmen. Und wenn entsprechende
Angriffe stammten von Botnets oder AIO- Multi-Faktor-Optionen nicht obligatorisch sind,
Anwendungen (All-in-One). Kriminelle, die AIOs bleibt es dem Nutzer überlassen, diese zu aktivieren
verwenden, zielen auf die Authentifizierungsaspekte und zu verwenden – ein klassischer Kompromiss
des angegriffenen Unternehmens ab und zwischen Sicherheit und Nutzerfreundlichkeit.
versuchen, den Zugriff zu automatisieren, was bei Kriminelle zielen mit ihren Angriffen auf diese
Erfolg zu einer Kontoübernahme führt. Durch das Lücken ab und gefährden täglich Dutzende,
Stacking von Proxy-Konfigurationen und den Einsatz wenn nicht sogar Hunderte von Konten.
„
Kriminelle erstellen im Wesentlichen Mini-Botnets,
die ausschließlich der Validierung riesiger Listen
von Anmeldedaten dienen. „
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 11Hintergrund
In zwei früheren „State of the Internet“- und Kaufhäuser waren die beiden wichtigsten
Sicherheitsberichten in diesem Jahr ging es um Teilsektoren (jeweils 1,4 Milliarden), gefolgt vom
den Einzelhandelssektor und die Bereiche Medien Bürofachhandel (1,3 Milliarden).
und Entertainment.
Nach Erweiterung des Zeitfensters auf das
Wie bereits in der Mitteilung des Herausgebers gesamte Jahr 2018 wurde in unserem „State of the
erwähnt, folgen Kriminelle immer dem Ruf des Internet“-Sicherheitsbericht: Special Media Edition
Geldes. Einzelhandelsziele werden aufgrund festgestellt, dass Credential-Stuffing-Angriffe auf
des großen und einflussreichen Sekundärmarkts die Video-, Medien- und Unterhaltungsbranche im
ausgewählt, auf dem Artikel mit begrenzter Jahr 2018 sprunghaft von 133 Millionen auf über
Auflage oder Sonderausgaben weiterverkauft 200 Millionen anstiegen.
werden. Aus diesem Grund sind die Medien-
und Entertainmentbranchen so beliebt. Wenn die 2018 war also viel los im Bereich Credential
Konten erst einmal kompromittiert sind, werden Stuffing. An drei verschiedenen Tagen im letzten
Streamingservices gebündelt und verkauft. Oft sind Jahr – einer im Juni und zwei im Oktober – kam
diese Konten garantiegebunden, d. h., wenn sie es zu einem erheblichen Anstieg der Credential-
nicht mehr funktionieren, ersetzt der Verkäufer das Stuffing-Angriffe, wobei die Attacken im Oktober
Konto kostenlos. fast 300 Millionen erreichten.
In unserem „State of the Internet“-Sicherheitsbericht Wenn es um Credential-Stuffing-Angriffe geht, ist
zu Angriffen im Einzelhandel wurde berichtet, dass keine Branche immun. Jeder Branchensektor bietet
wir zwischen Mai und Dezember 2018 mehr als einfallsreichen Kriminellen Möglichkeiten, Zugriff
115 Millionen Credential-Stuffing-Angriffe pro Tag auf Konten und Informationen gewinnbringend zu
verzeichneten. Während dieses siebenmonatigen nutzen. In diesem Bericht wird der Datensatz auf
Zeitfensters zielte der Großteil der Angriffe 17 Monate erweitert und wir untersuchen eines
auf den Einzelhandelssektor ab. Direktvertrieb der am schnellsten wachsenden Segmente für
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 12Credential-Stuffing-Angriffe: die Gaming-Branche.
Ein wachsender Markt
auf Gaming-Märkten verkauften kompromittierten
Die Gaming-Branche ist ein großer, ungeregelter Konten dienen der Umgehung von Bans (also
Markt für In-Game-Käufe und seltene Items. Von gesperrten Konten), andere sind wegen seltenen
den insgesamt 55 Milliarden in unseren Daten Skins oder einzigartigen Items für Käufer
verzeichneten Angriffen zielten 12 Milliarden interessant. Manchmal werden diese Gegenstände
auf Gaming-Websites ab. Der Gaming-Markt im kompromittierten Konto eingetauscht oder
entwickelte sich also rasch zu einem lukrativen Ziel später verkauft.
für Kriminelle, die sich schnell bereichern wollen.
Wenn die gehackten Profile mit einer gültigen
Ein Grund, warum Gaming so lukrativ ist, ist der Kreditkarte oder einem gültigen PayPal-Konto
Trend, Spielern einfach zugängliche In-Game-Artikel verknüpft sind, werden sie als wertvoller
bereitzustellen, z. B. kosmetische Verbesserungen, angesehen, da Kriminelle zusätzliche Artikel
Spezialwaffen oder andere ähnliche Items. Darüber (z. B. Kontoupgrades oder In-Game-Währung)
hinaus sind Gamer eine Nischenzielgruppe, erwerben und das Konto dann gewinnbringend
die dafür bekannt ist, viel Geld auszugeben. eintauschen oder verkaufen können.
Deshalb sind sie aufgrund ihres finanziellen Status
verlockende Ziele. Laut einem Bericht der BBC vom Dezember 2018
verdienen manche Kriminelle, darunter auch Kinder
Kriminelle zielen beispielsweise auf beliebte Spiele im Alter von nur 14 Jahren, jede Woche Tausende
wie Fortnite und Counter-Strike: Global Offensive Dollar durch den Verkauf oder den Handel mit
(CS:GO) ab, wobei sie nach gültigen Konten und gehackten Gaming-Konten. Sobald ein Krimineller
einzigartigen Skins suchen. Sobald das Konto Zugang zu einem solchen Konto erhält, ist das
eines Spielers erfolgreich gehackt wurde, kann gesamte aus dem Angriff erzielte Geld reiner
es getauscht oder verkauft werden. Die meisten Gewinn.
Missbrauch von Anmeldedaten pro Tag
300 Mio.
300
Mio.
03. JUN 2018 27. OKT 2018
129.124.294 214.500.473
250 Mio.
250
Mio.
Böswillige Anmeldeversuche
200 Mio.
200
Mio.
Anmeldeversuche
150 Mio.
150
Mio.
100 Mio.
100
Mio.
50 Mio.
50
Mio.
0 Mio.
0
Mio.
1.
Nov.
2017 1.
Jan.
2018 1.
März
2018 1.
Mai
2018 1.
Juli
2018 1.
Sep.
2018 1.
Nov.
2018 1.
Jan.
2019 1.
März
2019
01. NOV 01. JAN 01. MÄR 01. MAI 01. JUL 01. SEP 01. NOV 01. JAN 01. MÄR
2018 2018 2018 2018
Alle Branchen 2018 Gaming 2018 2018 2019 2019
Alle Branchen Gaming
Abb. 6: Credential-Stuffing-Angriffe pro Tag während des Reportingzeitraums
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 13Entwicklungszyklen
Credential-Stuffing-Angriffe zielen je nach
Unternehmen auf Anmeldeformulare, APIs oder
beides ab. Die bei diesen Angriffen verwendeten
Tools sind raffiniert und werden regelmäßig
überarbeitet.
AIOs wie SNIPR, ein AIO-System der
Einstiegsklasse, das für ca. 20 US-Dollar erhältlich
ist, werden regelmäßig weiterentwickelt: Es
werden neue Versionen veröffentlicht, die
Bugs und Sicherheitsprobleme beheben sowie
Nutzeroberfläche und Funktionen verbessern.
Abb. 7: Screenshot der SNIPR-Produktseite
Kombinationslisten
Im Februar 2018 warnte Epic Games vor einem Bei Credential-Stuffing-Angriffen wird zunächst
Anstieg von Credential-Stuffing-Angriffen auf eine Kombinationsliste oder eine Sammlung von
Fortnite-Konten. Eine Reihe von Konten sei mithilfe Nutzernamen und Passwörtern eingesetzt und auf
„bekannter Hacking-Techniken“ kompromittiert einer Reihe von Plattformen getestet. Der Angreifer
worden. lädt die Listen in eine AIO-Anwendung, nimmt die
Feinabstimmung der Konfigurationsdatei vor und
Insbesondere gab Epic eine dringende Warnung lässt die Passwörter eins nach dem anderen für
an Fortnite-Spieler aus, nicht dieselben Passwörter das jeweilige Unternehmen durchlaufen, bis ein
für mehrere Websites zu verwenden, da dies positives Ergebnis erzielt wird.
eine „gefährliche Praxis“ sei, die unbedingt
vermieden werden sollte. Weiterhin wurden Die Kombinationslisten selbst stammen aus
in der Warnung durch Epic auch Phishing und veröffentlichten Listen aus Datendiebstählen oder
andere ähnliche Betrugsmethoden erläutert. können in großen Mengen von Darknet-Verkäufern
Die Wiederverwendung von Passwörtern ist ein erworben werden. Die Verkäufer dieser Listen
Hauptgrund dafür, dass Credential-Stuffing-Angriffe passen sie häufig an Kundenanforderungen an.
so erfolgreich sind. Der zweithäufigste Grund nach Ein Darknet-Verkäufer hatte kürzlich zwei
der Passwort-Wiederverwendung sind einfach zu Alternativen im Angebot: Ein Paket mit 5 Milliarden
erratende Passwörter. zufälligen E-Mail-Adressen und Passwörtern oder
eine nutzerdefinierte Liste mit 50.000 Elementen,
bei der der Käufer das Format („E-Mail erfolgreich“
oder „Nutzername erfolgreich“), den Anbieter, den
Standort und vieles mehr bestimmen konnte. Beide
Optionen kosteten insgesamt 5,20 US-Dollar.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 14Einige Verkäufer gehen bei der Listenerstellung größere Risiken ein und wenden sich an echte Hacker, um neue Listen von Anmeldedaten zu beziehen. Anfang dieses Jahres wurde den Forschern von Akamai ein YouTube-Video bekannt, in dem die Funktionen einer AIO-Anwendung beworben wurden und demonstriert wurde, wie sich Kombinationslisten durch SQLi-Angriffe auf anfällige Websites generieren lassen. Eine weitere Methode zum Aufstellen von Kombinationslisten ist Phishing. Phishing-Angriffe zu beliebten Spielen führen zu sofortigen Ergebnissen. Die kompromittierten Anmeldedaten können dann bei anderen Services getestet werden, wodurch mit einem einzigen gehackten Konto schnell auf Dutzende andere Konten zugegriffen werden kann. In einigen Fällen, wie in Abbildung 8 zu sehen ist, nutzen Angreifer bei Phishing-Attacken gegen Gamer verschiedene Anmeldemethoden aus. In diesem Beispiel sucht das Phishing-Kit nach einem Battlenet- Nutzernamen und -Passwort, kann aber auch Google- und Facebook-Anmeldedaten erfassen. Abb. 8: Ein Phishing-Kit für Google-, Facebook- und Battlenet-Anmeldedaten Viele Gaming-Plattformen bieten die Möglichkeit, sich über Facebook oder Google zu authentifizieren, was hilfreich sein kann, solange diese Passwörter sicher gespeichert werden. Aber auch hier gilt: Erfolgreiche Credential-Stuffing-Angriffe beruhen darauf, dass dieselben Passwörter für mehrere Websites verwendet werden. Wenn also die Anmeldedaten eines Google- oder Facebook-Kontos gehackt werden, sind alle Services, für die sie verwendet werden können, ebenfalls gefährdet. Gamer sind außerdem mit In-Game-Phishing konfrontiert, z. B. erhalten sie eine Anfrage als private Nachricht, um die Anmeldedaten des Kontos zu verifizieren, oder werden aufgefordert, an angeblichen Wettbewerben teilzunehmen, bei denen Preise entgegengenommen werden sollen. „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 15
Der Markt
Ein gehacktes Konto wird wahrscheinlich sehr
schnell verkauft oder eingetauscht. Manche
der Transaktionen zum Verkauf oder Handel
von Spielekonten erfolgen öffentlich auf leicht
zugänglichen Websites, in Foren oder Social-Media-
Services wie Discord.
Andere Transaktionen finden in exklusiveren
Bereichen statt, z. B. in privaten Foren oder auf
Märkten im Darknet. Einige der öffentlichen Foren
beruhen auf der Annahme, dass die Kontoinhaber
selbst die Gaming-Konten zum Verkauf anbieten,
Abb. 9: Verifizierte Fortnite-Konten mit gültigen
aber der wahre Besitzer ist hier nur schwer zu
Zahlungsmethoden werden auf einem
überprüfen. In der Warnung zu Credential Stuffing
Darknet-Marktplatz verkauft.
stufte Epic Games insbesondere den Kauf und
Verkauf von Konten als ein riskantes Unterfangen
ein, von dem Gamer unbedingt absehen sollten.
Wie in Abbildung 9 gezeigt, werden
kompromittierte Konten für lediglich 1,30 US-Dollar
verkauft. Der Preis hängt vom Volumen (Anzahl der
erworbenen Konten), vom Kontotyp und vom Inhalt
des Kontos ab (Skins, Waffen, Währung usw.).
In Abbildung 10 sehen Sie, dass Fortnite nur ein
Titel von Dutzenden ist, die online verkauft oder
gehandelt werden. Andere Spiele wie Minecraft,
Clash of Clans, RuneScape, CS:GO, NBA 2019,
League of Legends, Hearthstone, DOTA 2,
PlayerUnknown’s Battlegrounds (PUBG) und Apex
Legends sind ebenfalls begehrte Ziele. Sogar
Plattformkonten wie Steam oder Origin stehen zum
Verkauf.
Abb. 10: Ein Beispiel für Spiele, bei denen
Konten erworben werden können
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 16Standortaufschlüsselung
In Abbildung 11 ist ersichtlich, dass die USA nach wie vor die wichtigste Quelle für Credential-Stuffing-
Angriffe sind, gefolgt von Russland. Da wir Angriffe auf alle Branchen einbezogen haben, überrascht dies
nicht besonders. Bei einer reinen Betrachtung des Gaming-Sektors sind die Ergebnisse aber etwas anders.
Wenn wir uns nur die Ursprungsländer für Credential-Stuffing-Angriffe auf die Gaming-Branche ansehen,
nimmt Russland den ersten Platz ein. Dafür gibt es eine Reihe von Gründen. Am häufigsten wird dies auf das
Wachstum russischer Proxy-Services und Bot-Farmen zurückgeführt, bei denen Konten durch umfangreiche
Angriffe gefährdet werden, bevor sie gebündelt in verschiedenen Foren und Märkten verkauft werden.
Die wichtigsten Ursprungsländer – alle Branchen
URSPRUNGSLAND BÖSWILLIGE ANMELDEVERSUCHE GLOBALER RANG Abb. 11: Wichtigste
Ursprungsländer für
USA 17.908.767.171 01
Credential Stuffing in
Russland 5.258.924.742 02
allen Branchen
Brasilien 3.042.890.769 03
Kanada 2.313.304.317 04
China 2.008.074.469 05
Wichtigste Ursprungsländer – Gaming
URSPRUNGSLAND BÖSWILLIGE ANMELDEVERSUCHE GLOBALER RANG Abb. 12: Wichtigste
Ursprungsländer für
Russland 2.674.783.777 02
Credential Stuffing in
Kanada 1.486.753.732 04 der Gaming-Branche
USA 1.435.752.015 01
Vietnam 617.097.561 09
Indien 599.317.123 06
*Alle Branchen
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 17„ Der gemeinsame Faktor bei jedem
erfolgreichen Angriff sind mehrfach
verwendete oder leicht zu erratende
Passwörter. „
Fazit
Kein Unternehmen ist gegen Credential Stuffing immun. Für Unternehmen in der
Gaming-Branche ist Credential Stuffing eine bekannte Bedrohung. Zwar haben diese
Unternehmen eine Reihe von Schutzmaßnahmen für Konten eingesetzt, doch viele
erfolgreiche Angriffe beruhen darauf, dass Nutzer dieselben Passwörter für mehrere
Konten bzw. einfach zu erratende Passwörter verwenden.
Viele Gaming-Unternehmen, wie z. B. Epic Games, versuchen, Passwortpakete aus
Datendiebstahl bzw. Kombinationslisten aufzuspüren, sobald sie online verbreitet
werden. Wenn Konten ihrer Gamer in den Listen erkannt werden, setzen die
Unternehmen die Passwörter für diese Konten zurück.
Ein solcher proaktiver Ansatz ist sicherlich eine gute Verteidigungsmaßnahme. Trotzdem
empfiehlt Epic seinen Spielern, MFA zu nutzen. Zwei weitere Gaming-Giganten, nämlich
Valve und Blizzard, schließen sich dieser Empfehlung an. Valve und Blizzard haben sogar
Authentifizierungsanwendungen entwickelt, um ihre Kunden vor Kontodiebstahl zu
schützen. Aber man kann niemanden zu seinem Glück zwingen: Es liegt an den Spielern
selbst, ihre Konten konsequent so sicher wie möglich zu halten.
Ein weiterer Aspekt beim Diebstahl von Gaming-Daten liegt außerhalb der Kontrolle
des Gaming-Unternehmens. Kriminelle greifen oft zuerst die E-Mail- oder Social-Media-
Konten eines Spielers an: wichtige Quellen für Passwortänderungen und Passwortzugriff.
Dies ist ein weiterer Grund, warum die Multi-Faktor-Authentifizierung so wichtig ist.
Die Anzahl von Credential-Stuffing-Angriffen wird auch weiterhin ansteigen. Da solche
Angriffe nicht völlig ausgeschlossen werden können, sollte es Cyberkriminellen
zumindest so schwer wie möglich gemacht werden, Anmeldedaten zu stehlen.
Schwache Passwörter und Passwort-Wiederverwendung stellen die größte Gefährdung
für die Kontosicherheit dar, ganz egal, ob es um Gaming, Einzelhandel, Medien und
Entertainment oder eine andere Branche geht. Ein schwaches oder für mehrere Konten
verwendetes Passwort wird irgendwann geknackt.
Abhilfe kann nur durch ein Umdenken bei den Nutzern sowie durch den verstärkten
Einsatz von Passwortmanagern und Multi-Faktor-Authentifizierung geschaffen werden.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 1819 Ausblick „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 19
Es überrascht wohl die wenigsten, dass Spiele und Gamer ein beliebtes Ziel für
Angreifer sind. Ganz gleich, ob es sich um mietbare DDoS-Botnets, den Missbrauch
von Anmeldedaten oder Anwendungsangriffe handelt, – die Gaming-Branche ist ein
attraktives Angriffsziel. Die Tatsache, dass diese Trends in absehbarer Zukunft nur noch
zunehmen werden, bereitet dieser Branche große Sorgen.
Gaming-Unternehmen arbeiten fortlaufend an Innovationen, um bessere
Verteidigungsmaßnahmen zu finden. Noch wichtiger ist aber, dass diese Unternehmen
sich dafür einsetzen, ihre Nutzer über Schutzmaßnahmen zu informieren. Die beste
Verteidigung gegen Angreifer beginnt beim Endnutzer. Wenn der Verbraucher Best
Practices wie eindeutige Anmeldedaten und sichere Passwortspeicher einsetzt, lassen
sich die Auswirkungen von Kampagnen zum Missbrauch von Anmeldedaten in Zukunft
vielleicht reduzieren.
Fast jeder Spieler kann ein Beispiel dafür anführen, wie ein Angriff auf einen Gaming-
Server seinen Tag ruiniert hat oder wie sein Konto aufgrund eines Angriffs übernommen
wurde. Unser Editorial Director spielt Minecraft bereits seit der ersten Beta-Version und
erinnert sich an mehrere Fälle, bei denen Phishing-Angriffe für den Diebstahl seltener
Skins verwendet wurden. Wenn Sie diese Erfahrungen bisher noch nicht gemacht haben,
können Sie sich glücklich schätzen.
Wir alle müssen die Ratschläge für den Schutz unserer Anmeldedaten befolgen. Der
Verlust eines Spielekontos kann sehr schmerzhaft sein, vor allem, da diese Konten oft eine
erhebliche Zeit- und Geldanlage darstellen.
Und nun möchten wir unseren Lesern noch einen letzten Gedanken zu diesem Thema
mitgeben. Viele Gamer sind jung und werden die jetzt erlernten Fähigkeiten und
Gewohnheiten für den Rest ihres Lebens fortführen. Wenn sie es sich angewöhnen,
zufällige Anmeldedaten und einen sicheren Passwortspeicher für Spiele zu verwenden,
wird sich diese Gewohnheit wahrscheinlich auch auf andere Websites übertragen.
Gaming-Unternehmen, die ihren Gamern Anleitungen zum Schutz ihrer Konten
bereitstellen, bringen ihnen gleichzeitig bei, auch ihre Bank- und Social-Media-Konten zu
schützen.
Möglicherweise erhalten Sie durch Ihr Lieblingsspiel sogar mehr Informationen zum
Schutz Ihrer Passwörter als von Ihrem Finanzinstitut.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 2021 Anhang „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 21
{Anhang A: Methodik}
Wir tun alles, damit die Daten im „State of the waren. Der Unterschied zwischen dem ersten
Internet“-Sicherheitsbericht so klar und genau wie Entwurf der Darstellungen in diesem Bericht und
möglich sind, aber selbst uns entgeht bisweilen der letztendlichen Veröffentlichung war jedoch
etwas. Bei der Überprüfung der Daten für diesen erheblich.
Bericht haben wir festgestellt, dass ein Feld für
einen Kunden während des Berichtszeitraums Da sich diese Änderungen nicht auf frühere
neu klassifiziert wurde. Bei einer Überprüfung Berichte ausgewirkt haben, war eine Korrektur
der Daten und ihrer Verwendung in früheren eigentlich nicht erforderlich, aber es widerspricht
Berichten hat sich ergeben, dass die bisher der Philosophie des „State of the Internet“-
veröffentlichten Statistiken und Diagramme nicht Sicherheitsteams, Fehler zu verbergen.
durch diese Klassifizierungsänderung betroffen
Die Akamai Intelligent Platform ist ein Netzwerk in Petabyte pro Monat gemessen und verwendet,
aus mehr als 230.000 Servern in Tausenden um Angriffe zu untersuchen, Trends zu verstehen
von Netzwerken auf der ganzen Welt. Im März und zusätzliche Informationen in die Lösungen
2019 stellte dieses Netzwerk eine tägliche von Akamai einzuspeisen. Bei den Daten handelt
Durchschnittsrate von über 60 Terabit pro Sekunde es sich um Millionen täglicher Warnungen auf
(Tbit/s) bereit. Im gleichen Monat verursachten Anwendungsebene, die aber nicht auf einen
mehrere Patch- und Gaming-Veröffentlichungen erfolgreichen Angriff schließen lassen.
einen Spitzenwert von über 82 Tbit/s an Traffic über
das Netzwerk von Akamai. Die Darstellungen und Tabellen in diesem Abschnitt
sind auf zwischen dem 1. November 2017 und dem
Zum Schutz dieses Traffics wird die Kona WAF 31. März 2019 erfasste Datensätze beschränkt und
verwendet und Informationen zu den Angriffen entsprechen so dem Zeitraum für die verfügbaren
werden in ein internes Tool namens Cloud Security Informationen zum Missbrauch von Anmeldedaten.
Intelligence (CSI) eingespeist. Diese Daten werden
Die Daten für diesen Abschnitt wurden ebenfalls Der zweite Algorithmus verwendet Daten aus
aus dem CSI-Repository abgerufen. Versuche, unseren Bot-Erkennungsservices, um Missbrauch
Anmeldedaten zu missbrauchen, wurden als von Anmeldedaten durch bekannte Botnets und
fehlgeschlagene Anmeldeversuche für Konten Tools zu identifizieren. Mit einem gut konfigurierten
identifiziert, bei denen eine E-Mail-Adresse als Botnet kann eine volumetrische Erkennung
Nutzername verwendet wird. Zur Abgrenzung vermieden werden, indem der Traffic auf viele Ziele
von Missbrauchsversuchen gegenüber Aktivitäten verteilt wird. Erreicht wird dies beispielsweise durch
von echten Nutzern, die Tippfehler machen, eine große Anzahl von Systemen im Scan oder
wurden zwei verschiedene Algorithmen verwendet. durch Verteilen des Traffics über einen bestimmten
Der erste ist eine einfache volumetrische Regel, Zeitraum hinweg.
die die Anzahl der Anmeldefehler für eine
bestimmte Adresse zählt. Dieser Vorgang Diese Aufzeichnungen wurden zwischen dem
unterscheidet sich insofern von dem, was ein 1. November 2017 und dem 31. März 2019 erfasst.
einzelnes Unternehmen ermitteln könnte, als dass Es ist geplant, zukünftig erfasste Daten alle zwei
Akamai Daten über Hunderte von Unternehmen Jahre in einem Bericht bereitzustellen
hinweg korreliert.
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 22{Anhang B: Ergänzende Daten}
In den folgenden Darstellungen werden die regionalen Unterschiede für die im Hauptteil des „State
of the Internet“-Sicherheitsberichts aufgeführten Darstellungen aufgezeigt. Sie sind grob in Nord- und
Südamerika, den Asien-Pazifik-Raum (APAC) und die Regionen Europa, Naher Osten und Afrika (EMEA)
unterteilt. Ziel war es, die Hauptländer in jeder Region aufzuzeigen, wobei nicht alle unsere Datensätze
einbezogen wurden.
Quellen für Webanwendungsangriffe – Nord- und Südamerika
November 2017 bis März 2019
Top 10 der Ursprungsländer – Nord-
und Südamerika
LAND ANZAHL DER GLOBALER
ANGRIFFE RANG
USA 967.577.579 01
Brasilien 155.603.585 05
Kanada 73.734.888 11
Belize 67.376.111 13
Panama 18.500.781 29 Angriffe
Mexiko 15.593.125 33
10.000.000
Argentinien 7.388.091 46
Kolumbien 5.289.994 56 100.000
Chile 4.078.595 68 1.000
Peru 3.910.522 70
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 23Quellen für Webanwendungsangriffe – Asien-Pazifik
November 2017 bis März 2019
Angriffe
10.000.000
100.000
1.000
Top 10 der Ursprungsländer – Asien-Pazifik
LAND ANZAHL DER GLOBALER
ANGRIFFE RANG
China 218.015.784 04
Indien 142.621.086 07
Singapur 53.950.611 15
Japan 45.188.875 16
Indonesien 38.981.849 17
Vietnam 32.725.236 19
Thailand 27.968.636 22
Hongkong 27.733.134 23
Australien 21.669.279 25
Philippinen 19.903.684 27
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 24Quellen für Webanwendungsangriffe – EMEA
November 2017 bis März 2019
Angriffe
100.000.000
1.000.000
10.000
100
Top 10 der Ursprungsländer – EMEA
LAND ANZAHL DER GLOBALER
ANGRIFFE RANG
Russland 608.655.963 02
Niederlande 280.775.553 03
Ukraine 154.887.375 06
Frankreich 121.691.941 08
Deutschland 113.233.187 09
Vereinigtes Königreich 102.531.816 10
Irland 68.870.633 12
Türkei 60.851.894 14
Rumänien 35.196.535 18
Schweden 31.273.168 20
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 25Quellen
„State of the Internet“-Sicherheitsbericht – Beiträge
Elad Shuster Lydia LaSeur
Senior Lead Security Researcher Data Scientist
– Missbrauch von Anmeldedaten – Missbrauch von Anmeldedaten
und Überblick über Webangriffe und Überblick über Webangriffe
Martin McKeay Tim April
Editorial Director Principal Architect, Cipher Work
– Überblick über Webangriffe – Fotografie
Steve Ragan
Senior Technical Writer
– Editor, Cipher Work – Fan von Büchern
Redaktionsteam
Martin McKeay Amanda Fakhreddine
Editorial Director Senior Technical Writer, Managing Editor
Steve Ragan Lydia LaSeur
Senior Technical Writer, Editor Data Scientist
Marketing
Georgina Morales Hampe Murai Venukumar
Projektmanagement, Kreativteam Programmmanagement,
Marketing
Akamai stellt sichere digitale Erlebnisse für die größten Unternehmen der Welt bereit. Die Intelligent Edge Platform
umgibt alles – vom Unternehmen bis zur Cloud –, damit unsere Kunden und ihre Unternehmen schnell, intelligent und
sicher agieren können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer
Multi-Cloud-Architekturen zu optimieren. Akamai hält Angriffe und Bedrohungen fern und bietet im Vergleich zu anderen
Anbietern besonders nutzernahe Entscheidungen, Anwendungen und Erlebnisse. Das Akamai-Portfolio für Website- und
Anwendungsperformance, Cloudsicherheit, Unternehmenszugriff und Videobereitstellung wird durch einen herausragenden
Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung ergänzt. Warum weltweit führende Unternehmen auf Akamai
vertrauen, erfahren Sie unter www.akamai.de, im Blog blogs.akamai.com/de oder auf Twitter unter @AkamaiDACH oder
@Akamai. Unsere globalen Standorte finden Sie unter www.akamai.de/locations. Veröffentlicht: Juni 2019
„State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 26Weitere „State of the Internet“-Sicherheitsberichte Lesen Sie vorherige Ausgaben und informieren Sie sich über bevorstehende Veröffentlichungen der renommierten „State of the Internet“-Sicherheitsberichte von Akamai unter akamai.com/soti Weitere Informationen zur Bedrohungsforschung bei Akamai Halten Sie sich unter diesem Link zu neuesten Bedrohungsanalysen, Sicherheitsberichten und Cybersicherheitsforschung auf dem Laufenden: akamai.com/threatresearch „State of the Internet“-Sicherheitsbericht Angriffe auf Webanwendungen und die Gaming-Branche: Band 5, Ausgabe 3 27
Sie können auch lesen
