Ein Angreifer sitzt an einem Laptop und versucht, sich mit gestohlenen Login-Daten in einer anderen Anwendung anzumelden.

Was ist Credential Stuffing?

Ausnutzung von kompromittierten und gestohlenen Logindaten, um sich Zugang zu weiteren Nutzerkonten zu verschaffen.

1. Jul 202512 min LesezeitTags2FABrute-Force-AngriffCaptchaCredential StuffingLock-out-FunktionalitätMFAPasswortPasswort-Manager

In der heutigen digitalen Welt ist die Sicherheit von Online-Konten wichtiger denn je. Credential Stuffing ist eine zunehmende Cyber-Bedrohung und nutzt die Tendenz von Menschen aus, Passwörter auf mehreren Plattformen wiederzuverwenden. Dabei nutzt diese Hackermethode gestohlene Kombinationen aus Benutzernamen und Passwörtern, um sich unbefugten Zugriff auf Online-Konten und vertrauliche Informationen zu verschaffen. Angesichts immer raffinierterer Cyberangriffe ist es unerlässlich, zu verstehen, wie Credential Stuffing funktioniert und, noch wichtiger, wie man sich vor dieser gefährlichen Bedrohung schützen kann. In diesem Blog-Artikel gehen wir auf die Mechanismen von Credential Stuffing ein und geben Ihnen praktische Strategien an die Hand, mit denen Sie Ihre Konten schützen und die Sicherheit Ihres digitalen Lebens gewährleisten können. Lassen Sie sich nicht von Cyberkriminellen gefährden – holen Sie sich das nötige Wissen, um potentiellen Angreifern einen Schritt voraus zu sein.

Was ist Credential Stuffing?

Credential Stuffing ist ein Cyberangriff, bei dem zuvor geleakte oder illegal erlangte Anmeldedaten (normalerweise bestehend aus Benutzername oder E-Mail und Passwort) verwendet werden. Angreifer nutzen diese meist bei einer Datenschutzverletzung bzw. bei einen Datendiebstahl erbeuteten Informationen, um sich bei anderen, nicht verwandten Diensten, Applikationen, Portalen oder Websites anzumelden. Dabei werden diese Attacken nicht manuell und einzeln, sondern automatisiert und in großen Mengen (in der Regel mit vielen tausend oder sogar Millionen unrechtmäßig erlangter Anmeldeinformationen) durchgeführt.

Möglich sind solche Credential Stuffing-Angriffe, da laut verschiedenen Studien rund zwei Drittel der Nutzer dieselben Anmeldedaten für mehrere Dienste verwenden. Dabei zeigte eine Studie auf, dass mehr als 81% der Nutzer dasselbe Passwort zwei oder mehrmals wiederverwenden und mehr als 25% der Nutzer dasselbe Passwort für die Mehrzahl ihrer Kundenkonten nutzen.

Auch wenn die Erfolgsquote beim Credential Stuffing aus statistischer Sicht gering ist und erfahrungsgemäß nur bei 0,5-2,0% der Fälle erfolgreich ist, wird das Instrument aufgrund seiner massenhaften Nutzung zum ersthaften Problem im digitalen Bereich. Dies erklärt sich besonders durch den Einsatz von Botnet-Technologien, die Hacker nutzen, um legitime Anmeldeversuche nachzuahmen. In kürzester Zeit können so tausende von Anmeldedaten effizient ausgetestet werden, meistens ohne vom jeweiligen Opfer oder Applikationsbetreiber entdeckt zu werden. Selbst wenn ein Angreifer beim Austesten von einer Million Anmeldedaten nur 5-20.000 erfolgreiche Angriffe verzeichnet, reicht die Ausnutzung der erlangten persönlichen und finanziellen Informationen, um schwere Schäden anzurichten. Sobald Angreifer Zugriff auf ein Konto erhalten, können sie potenziell auch andere Konten infiltrieren, wenn dieselben Anmeldedaten verwendet werden. Dies kann zu finanziellen Verlusten, Identitätsdiebstahl und einem Verlust der Privatsphäre führen. Für Unternehmen können die Folgen noch gravierender sein, darunter Rufschädigung, rechtliche Haftungsrisiken und finanzielle Strafen.

Die Bedeutung von Credential Stuffing-Angriffen

Credential Stuffing-Angriffe haben in den letzten Jahren dramatisch zugenommen, was durch das exponentielle Wachstum von Online-Diensten und den damit einhergehenden Anstieg von Datenverletzungen begünstigt wurde. Cyberkriminelle nutzen die riesigen Mengen gestohlener Daten (einige Listen enthalten Milliarden von Anmeldedaten), die im Dark Web verfügbar sind, um automatisierte Angriffe auf eine Vielzahl von Plattformen zu starten. Die schiere Menge der kompromittierten Anmeldedaten hat Credential Stuffing zu einer bevorzugten Methode für Cyberkriminelle gemacht, da sie einen hohen Return on Investment bei relativ geringem Risiko bietet.

Einer der Hauptgründe für die Zunahme von Credential Stuffing ist die weit verbreitete Wiederverwendung von Passwörtern. Trotz wiederholter Warnungen von Cybersicherheitsexperten verwenden viele Menschen weiterhin dasselbe Passwort für mehrere Konten. Diese Vorgehensweise spielt Angreifern direkt in die Hände, die darauf setzen, dass ein einziger Satz Anmeldedaten mehrere Türen öffnet. Die zunehmende Raffinesse der Angriffstools hat es Cyberkriminellen zudem erleichtert, Credential Stuffing-Angriffe in großem Stil durchzuführen.

Die Auswirkungen von Credential Stuffing beschränken sich nicht nur auf einzelne Nutzer, auch Unternehmen spüren den Druck. Online-Dienste, insbesondere im Finanz- und Einzelhandelssektor, sind zu bevorzugten Zielen für diese Angriffe geworden. Für Unternehmen können die Kosten eines Credential Stuffing-Angriffs erheblich sein, darunter direkte finanzielle Verluste, erhöhte Sicherheitsmaßnahmen und der Verlust des Kundenvertrauens. Die Zunahme von Credential Stuffing unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen und eines proaktiven Ansatzes zum Schutz sensibler Daten.

Wie Credential Stuffing funktioniert: Ein technischer Überblick

Als Datengrundlage wird beim Credential Stuffing eine Sammlung von kompromittierten und gestohlenen Anmeldedaten verwendet. Diese Listen mit oftmals Millionen von Anmeldedaten werden im Internet auf separaten Marktplätzen oder im Darknet angeboten und stammen meist aus früheren Datenlecks oder Hackerangriffen.

Mit der Hilfe von Botnets und automatisierten Tools oder Skripten werden die gestohlenen Zugangsdaten dann gleichzeitig auf mehreren anderen Webseiten für Loginversuche verwendet bzw. ausgetestet, um die Erfolgswahrscheinlichkeit zu erhöhen. Die Botnets können rund um die Uhr arbeiten und Tausende von Kombinationen pro Minute testen. Um nicht entdeckt zu werden, verwenden die Botnets häufig Techniken wie IP-Rotation und CAPTCHA-Umgehung, wodurch es für Sicherheitssysteme schwierig wird, zwischen legitimen und böswilligen Anmeldeversuchen zu unterscheiden.

Wenn ein Credential Stuffing-Angriff erfolgreich eine funktionierende Kombination aus Benutzername und Passwort findet, erlangt der Angreifer Zugriff auf das Konto des Opfers. Von dort aus kann er persönliche Daten stehlen, unbefugte Transaktionen durchführen oder das Konto für weitere Angriffe nutzen. In einigen Fällen verkaufen Angreifer die kompromittierten Konten an andere Cyberkriminelle, die sie für verschiedene böswillige Aktivitäten nutzen. Die Hauptziele sind Bankwebsites, soziale Medien und E-Commerce-Plattformen, wo Angreifer die größten Gewinne erwarten.

Credential Stuffing vs. Brute-Force-Angriff

Bei beiden Angriffsmethoden geht es darum, dass sich ein Angreifer unbefugten Zugriff zu Nutzerkonten verschafft. Lediglich die Vorgehensweise unterscheidet sich deutlich.

Bei einem Brute-Force-Angriff versucht der Hacker das Passwort zu erraten. Er kennt anfangs keine Kombinationen von Anmeldedaten und versucht durch Ausprobieren zufälliger Parameter und Zeichen, manchmal kombiniert mit gängigen Passwortvorschlägen, zum Erfolg zu kommen. Dabei probiert der Angreifer so lange, bis eine Kombination passt. Der Prozess ist sehr aufwändig und kann zudem recht leicht durch das Setzten eines starken Passwortes durch den Nutzer und durch den Applikationsbetreiber mit technischen Maßnahmen wie z.B. einer Lock-Out Funktion unterbunden werden. Allerdings wird diese Lock-out Funktion leider in der Praxis noch viel zu selten implementiert.

Im Kern ist ein Credential Stuffing-Angriff ebenfalls eine Brute-Force Attacke nur auf einem sehr anspruchsvollen Niveau. Der Hacker nutzt aus anderen Datenschutzverletzungen bereits bekannte und verwendete Kombinationen aus Benutzername oder E-Mail sowie Passwort und testet diese durch. Da Nutzer oftmals dieselben Kombinationen von Anmeldedaten für unterschiedliche Webseiten nutzen, erhöht diese Herangehensweise die Erfolgsaussichten des Hackers erheblich und reduziert die Anzahl der benötigten Versuche dramatisch.

Während bei einem Brute-Force-Angriff Konten mit kurzen und leicht zu erratenen Passwörtern schnell geknackt werden, spielt hingegen die Passwortstärke beim Credential Stuffing keine Rolle. Sind allerdings die Daten erst einmal bekannt und werden wie beim Credential Stuffing weiterverwendet, spielt die eigentliche Passwortstärke keine Rolle mehr und bietet so auch keinen Schutz.

Credential Stuffing vs. Password Spraying

Während beim Credential Stuffing gestohlene Kombinationen aus Benutzernamen und Passwörtern, die aus Datenlecks stammen, verwendet werden, um auf mehrere Konten auf verschiedenen Plattformen zuzugreifen, verfolgt Password Spraying einen anderen Ansatz.

Angreifer verwenden ein oder zwei häufig verwendete Passwörter für viele Benutzernamen oder E-Mail-Adressen. Diese Methode soll die Erkennung verhindern, indem sie die Anzahl der fehlgeschlagenen Anmeldeversuche auf einzelnen Konten im Falle von Brute-Force-Angriffen begrenzt, die häufig Sicherheitsmaßnahmen auslösen können. Die Erfolgsquote von Password Spraying ist zwar tendenziell geringer als die von Credential Stuffing, aufgrund seines breit angelegten Ansatzes bleibt diese Methode jedoch wirksam.

Die Auswirkungen von Credential Stuffing auf Privatpersonen und Unternehmen

Für Einzelpersonen können die Folgen eines Credential Stuffing-Angriffs verheerend sein. Sobald Angreifer Zugriff auf ein Konto erhalten, können sie sensible Informationen wie persönliche Daten, Finanzdaten und private Nachrichten stehlen. Diese Informationen können für Identitätsdiebstahl, Betrug oder zum Verkauf im Dark Web verwendet werden. Opfer müssen sich unter Umständen mit unberechtigten Abbuchungen, einer verschlechterten Bonität und einem langwierigen Prozess zur Wiederherstellung ihrer finanziellen Identität auseinandersetzen. Die emotionale Belastung durch einen solchen Eingriff in die Privatsphäre kann ebenfalls erheblich sein und Stress und Ängste verursachen.

Unternehmen sind nicht immun gegen die Folgen von Credential Stuffing-Angriffen. Wenn Cyberkriminelle die Sicherheitsvorkehrungen eines Unternehmens erfolgreich überwinden, kann dies weitreichende Folgen haben. Finanzielle Verluste durch betrügerische Transaktionen und die Kosten für die Untersuchung und Eindämmung des Angriffs sind nur der Anfang. Unternehmen müssen auch mit rechtlichen Konsequenzen rechnen, wenn sie Kundendaten nicht ausreichend schützen, was zu Geldstrafen und behördlichen Sanktionen führen kann. Darüber hinaus kann der Reputationsschaden zu einem Verlust des Kundenvertrauens, Umsatzrückgängen und langfristigen Schäden für die Marke führen.

Häufige Anzeichen dafür, dass Ihr Konto kompromittiert wurde

Eines der ersten Anzeichen dafür, dass Ihr Konto möglicherweise kompromittiert wurde, sind ungewöhnliche Aktivitäten, die Sie nicht selbst ausgelöst haben. Dazu können unbefugte Transaktionen, Änderungen an den Kontoeinstellungen oder Zugriffe auf Ihr Konto von unbekannten Geräten gehören. Wenn Sie Benachrichtigungen über Anmeldeversuche von unbekannten Standorten oder Geräten erhalten, ist dies ein deutlicher Hinweis darauf, dass jemand ohne Ihre Erlaubnis versucht, auf Ihr Konto zuzugreifen. Achten Sie genau auf Warnmeldungen oder Nachrichten Ihrer Dienstanbieter, da diese oft wichtige Informationen zu verdächtigen Aktivitäten enthalten.

Ein weiteres häufiges Anzeichen für einen kompromittierten Account ist, wenn Sie sich als Nutzer nicht mehr anmelden können. Wenn Ihr übliches Passwort nicht mehr funktioniert und Sie es nicht geändert haben, ist es möglich, dass ein Angreifer die Kontrolle über Ihren Account übernommen und die Anmeldedaten geändert hat. In solchen Fällen stellen Sie möglicherweise auch fest, dass Ihre Wiederherstellungsoptionen, wie E-Mail-Adresse oder Telefonnummer, geändert wurden. Dies erschwert die Wiederherstellung des Zugriffs und deutet darauf hin, dass der Angreifer versucht, Sie auszusperren.

Unerwartete E-Mails, insbesondere solche, die sich auf das Zurücksetzen von Passwörtern oder Kontoänderungen beziehen, können ebenfalls ein Warnsignal sein. Cyberkriminelle nutzen diese Taktik häufig, um sich weiteren Zugriff auf Ihre Konten zu verschaffen oder Sie zur Preisgabe zusätzlicher Informationen zu verleiten. Seien Sie vorsichtig bei Phishing-E-Mails, die legitime Mitteilungen Ihrer Dienstleister imitieren. Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, auf einen Link zu klicken oder persönliche Daten anzugeben, überprüfen Sie deren Echtheit, bevor Sie Maßnahmen ergreifen.

Best Practices zum Schutz Ihres Kontos oder wie Sie Credential Stuffing verhindern können

Eine der wirksamsten Methoden zum Schutz Ihrer Konten vor Credential Stuffing ist die Verwendung einzigartiger, sicherer Passwörter für jedes Ihrer Online-Konten. Ein sicheres Passwort sollte aus einer Kombination aus Buchstaben, Zahlen und Sonderzeichen bestehen und nicht leicht zu erraten sein. Vermeiden Sie gängige Wörter, Phrasen oder persönliche Informationen wie Geburtstage oder Namen. Passwort-Manager können Ihnen dabei helfen, komplexe Passwörter zu generieren und zu speichern, sodass Sie weniger versucht sind, diese auf mehreren Plattformen wiederzuverwenden.

Verwenden Sie nicht dasselbe Passwort für mehrere Konten. Auf diese Weise bleiben die anderen Konten auch dann sicher, wenn eines kompromittiert wird.

Die Aktivierung von Kontobenachrichtigungen kann Ihnen ebenfalls dabei helfen, über ungewöhnliche Aktivitäten auf dem Laufenden zu bleiben. Viele Online-Dienste bieten Benachrichtigungen über Anmeldeversuche, Passwortänderungen und andere wichtige Aktionen an. Diese Benachrichtigungen können Sie frühzeitig vor potenziellen Sicherheitsverletzungen warnen, sodass Sie schnell Maßnahmen zum Schutz Ihres Kontos ergreifen können. Überprüfen Sie Ihre Kontoeinstellungen, um sicherzustellen, dass Benachrichtigungen aktiviert sind und Sie umgehend per E-Mail oder SMS benachrichtigt werden.

Als zusätzliche Schutzmaßnahme sollten Sie immer eine Zwei-Faktor- oder Multi-Faktor-Authentifizierung (2FA oder MFA) verwenden.

Für Unternehmen ist es noch komplexer, auf diese Bedrohung zu reagieren, da der Anmeldeversuch genauso gut von einem echten Benutzer stammen könnte. Durch die Verwendung von Botnets fälschen Angreifer auch verschiedene IP-Adressen oder Gerätetypen, wodurch es schwierig wird, sie vom normalen Anmeldeverkehr zu unterscheiden. Als Unternehmen können Sie nur überprüfen, ob die Gesamtzahl der Anmeldeversuche gestiegen ist.

Darüber hinaus kann die Bereitstellung einer Zwei-Faktor-Authentifizierung oder die Verwendung von CAPTCHAs bei der Anmeldung helfen, Benutzer von Botnets zu unterscheiden.

Tools und Dienste zur Minderung von Risiken durch Credential Stuffing

Es gibt verschiedene Tools und Dienste, die dabei helfen können, die mit Credential Stuffing verbundenen Risiken zu minimieren. Passwortmanager sind beispielsweise unverzichtbar, um komplexe, einzigartige Passwörter für jedes Ihrer Konten zu erstellen und zu speichern. Diese Tools können Sie auch auf schwache oder wiederverwendete Passwörter hinweisen und Sie auffordern, diese zu aktualisieren. Das Gleiche gilt für eine gute IAM-Lösung (z. B. von Engity), die Sie auch informiert, wenn Sie versuchen, sich mit einem schwachen Passwort anzumelden.

Sowohl für Privatpersonen als auch für Unternehmen können Dienste zur Erkennung von Sicherheitsverletzungen frühzeitig vor kompromittierten Anmeldedaten warnen. Mit Diensten wie „Have I Been Pwned“ können Sie überprüfen, ob Ihre E-Mail-Adressen oder Passwörter bei Datenverletzungen offengelegt wurden. Durch die regelmäßige Überwachung dieser Dienste können Sie proaktive Maßnahmen zum Schutz Ihrer Konten ergreifen, wenn Ihre Anmeldedaten bei einer Sicherheitsverletzung gefunden werden.

Engity bietet Ihnen auch die oben genannten Dienste zur Überprüfung der Passwortstärke sowie der Gefährdung durch Datenverletzungen an, wenn Sie sich für die Demo-Anwendung von Engity registrieren.

Web Application Firewalls (WAFs) sind ein weiteres potenzielles Tool für Unternehmen, die ihre Online-Dienste schützen möchten. WAFs können bösartigen Datenverkehr, einschließlich automatisierter Credential Stuffing-Angriffe, erkennen und blockieren. Durch die Analyse des eingehenden Datenverkehrs und das Herausfiltern verdächtiger Aktivitäten bieten WAFs eine zusätzliche Verteidigungsstufe. Viele WAF-Lösungen bieten auch Echtzeitüberwachung und Berichterstellung, sodass Unternehmen über potenzielle Bedrohungen auf dem Laufenden bleiben. Dennoch sollten Sie sich nicht allein auf WAFs verlassen, sondern diese durch 2FA oder passwortlose Authentifizierungslösungen wie Passkeys ergänzen.

Was tun, wenn Sie Opfer von Credential Stuffing werden?

Wenn Sie vermuten, dass Sie Opfer eines Credential Stuffing-Angriffs geworden sind, ergreifen Sie sofort Maßnahmen, um Ihre Konten zu sichern. Ändern Sie zunächst die Passwörter für alle betroffenen Konten und achten Sie darauf, dass die neuen Passwörter sicher und einzigartig sind. Wenn Sie dasselbe Passwort für mehrere Konten verwendet haben, aktualisieren Sie auch diese, um weiteren unbefugten Zugriff zu verhindern. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für alle Ihre Konten, um eine zusätzliche Sicherheitsebene hinzuzufügen.

Überprüfen Sie anschließend Ihre Kontoaktivitäten auf unbefugte Transaktionen oder Änderungen. Wenden Sie sich an die Dienstanbieter der betroffenen Konten, um die verdächtigen Aktivitäten zu melden und Unterstützung bei der Sicherung Ihres Kontos zu erhalten. Diese bieten möglicherweise zusätzliche Sicherheitsmaßnahmen an oder helfen Ihnen bei der Wiederherstellung Ihres Kontos, falls Sie ausgesperrt wurden. Es ist außerdem ratsam, Ihre Kontoauszüge und Kreditauskünfte auf Anzeichen von Identitätsdiebstahl oder Betrug zu überprüfen.

Fazit: Cyber-Bedrohungen immer einen Schritt voraus sein

Credential Stuffing ist eine wachsende Cyber-Bedrohung, die sich die gängige Praxis der Wiederverwendung von Passwörtern für mehrere Konten zunutze macht. Wenn Sie verstehen, wie diese Angriffe funktionieren, und robuste Sicherheitsmaßnahmen implementieren, können Sie sich davor schützen, zum Opfer zu werden. Verwenden Sie für jedes Ihrer Konten starke, einzigartige Passwörter, aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) und bleiben Sie durch Überwachungsdienste über potenzielle Sicherheitsverletzungen auf dem Laufenden.

Für Unternehmen ist die Investition in fortschrittliche Sicherheitstools wie Webanwendungs-Firewalls und Dienste zur Erkennung von Sicherheitsverletzungen von entscheidender Bedeutung. Die regelmäßige Aktualisierung von Sicherheitsprotokollen und die Aufklärung der Mitarbeiter über die Risiken von Credential Stuffing können dazu beitragen, die Bedrohung zu mindern. Die sich ständig weiterentwickelnde Natur von Cyberbedrohungen erfordert einen proaktiven Ansatz, und um sensible Informationen zu schützen, ist es unerlässlich, immer einen Schritt voraus zu sein.

Im heutigen digitalen Zeitalter ist der Schutz Ihrer Online-Konten wichtiger denn je. Durch die Anwendung bewährter Verfahren und den Einsatz der richtigen Tools können Sie das Risiko von Credential Stuffing verringern und die Sicherheit Ihres digitalen Lebens gewährleisten. Bleiben Sie wachsam, informieren Sie sich und ergreifen Sie die notwendigen Maßnahmen, um sich vor dieser wachsenden Cyber-Bedrohung zu schützen.