Zum Inhalt springen
NeoGuard

Credential Stuffing

Ein automatisierter Angriff, bei dem gestohlene Benutzername/Passwort-Paare aus einer Datenpanne verwendet werden, um Anmeldeversuche bei anderen Diensten durchzuführen, und der die weit verbreitete Passwort-Wiederverwendung ausnutzt.

Credential Stuffing ist ein automatisierter Angriff, bei dem gestohlene Zugangsdaten aus einer Datenpanne bei anderen Diensten in grossem Massstab getestet werden. Es funktioniert, weil Menschen Passwörter wiederverwenden. Wenn Ihre E-Mail/Passwort-Kombination bei einem Dienst geleakt wurde, werden Angreifer sie innerhalb von Stunden bei Ihrem E-Mail-Anbieter, Cloud-Speicher, Banking-Portal und jeder anderen beliebten Plattform testen.

Wie es funktioniert

  1. Eine Datenpanne legt Millionen von E-Mail/Passwort-Paaren offen
  2. Die Zugangsdaten werden im Dark Web verkauft oder geteilt
  3. Angreifer laden sie in automatisierte Tools (Botnets, Credential-Stuffing-Frameworks)
  4. Die Tools versuchen Anmeldungen bei Hunderten von Diensten gleichzeitig
  5. Erfolgreiche Logins werden für Kontoübernahme, Betrug oder weiteren Datendiebstahl gesammelt

Die Erfolgsrate liegt typischerweise bei 0,1% bis 2%, aber bei Milliarden gestohlener Zugangsdaten im Umlauf ergibt selbst eine niedrige Quote Millionen kompromittierter Konten.

Warum Passwort-Wiederverwendung die Ursache ist

Credential Stuffing ist kein raffinierter Angriff. Es erfordert keine technischen Fähigkeiten über die Nutzung verfügbarer Tools hinaus. Es funktioniert nur, wenn Menschen dasselbe Passwort bei mehreren Diensten verwenden. Ein einzigartiges Passwort pro Dienst, das nur mit einem Passwort-Manager praktikabel ist, macht Credential Stuffing gegen Ihre Konten vollständig wirkungslos.

Schutz

  • Passwort-Manager: Generiert und speichert einzigartige, zufällige Passwörter für jedes Konto. Die effektivste Einzelmassnahme gegen Credential Stuffing.
  • 2FA: Blockiert den Kontozugriff, selbst wenn das Passwort korrekt ist. Unverzichtbar für jedes wichtige Konto.
  • Breach-Monitoring: Dienste wie Have I Been Pwned oder eingebautes Monitoring von Passwort-Managern (1Password Watchtower, NordPass Breach Scanner) warnen Sie, wenn Ihre Zugangsdaten in bekannten Datenpannen auftauchen.
  • Rate Limiting und Bot-Erkennung: Auf Anbieterseite begrenzen Anmeldeversuchslimits und automatisierte Erkennung die Wirksamkeit von Angriffen.

Credential Stuffing vs. Brute Force

  • Credential Stuffing: Nutzt echte, zuvor gestohlene Passwörter. Testet bekannte Zugangsdaten bei vielen Seiten.
  • Brute Force: Errät systematisch Passwörter (zufällige Kombinationen, Wörterbuchwörter). Deutlich langsamer und leichter zu erkennen.

Credential Stuffing ist schwerer zu erkennen, weil jeder Versuch einen gültig aussehenden Benutzernamen und ein Passwort verwendet. Der Angreifer rät nicht; er hat die Zugangsdaten bereits.

Ausmass des Problems

Grosse Credential-Stuffing-Kampagnen zielen regelmässig auf Schweizer Organisationen. Phishing-Angriffe, die Zugangsdaten abgreifen, fliessen oft direkt in Credential-Stuffing-Operationen ein. Für Unternehmen kann ein einziger Mitarbeiter, der sein Firmenpasswort bei einem gehackten Verbraucherdienst wiederverwendet, zum Einstiegspunkt für eine vollständige Netzwerkkompromittierung werden.

Verwandte Begriffe

Passwort-Manager2FA (Zwei-Faktor-Authentifizierung)PhishingDark Web