Cyberkriminelle greifen nach digitalen Identitäten Alarmierender Anstieg von gestohlenen Zugangsdaten

Gestohlene Zugangsdaten sind zur Massenware im Cybercrime geworden und ein Risiko für jedes Unternehmen. 2025 stieg die Zahl der kom­pro­mit­tie­r­ten Logins um 160 Prozent. Warum das so gefährlich ist, wie Hacker vorgehen und welche Maßnahmen wirklich schützen, zeigt dieser Bericht.

Eine der größten Cyber-Bedrohungen für Unternehmen ist der rasante Anstieg von gestohlenen Zugangsdaten. Daten unseres External Risk Management (früher bekannt als Cyberint) zeigen, dass die Zahl gestohlener Logindaten im Jahr 2025 im Vorjahresvergleich um 160 Prozent gestiegen ist. Das ist nicht nur eine Statistik, sondern eine direkte Bedrohung für die Sicherheit jedes Unternehmens.

Es ist nicht überraschend, dass Länder mit den größten Bevölkerungszahlen die Top 10 der Liste der am häufigsten gestohlenen Anmeldedaten im Jahr 2025 dominieren. Besorgniserregend ist jedoch, dass Länder, wie Vietnam, Pakistan und die Türkei, trotz ihrer geringen Bevölkerungszahl in den Top 10 stehen, was ihre zunehmende digitale Präsenz, aber auch ihre Anfälligkeit hervorhebt. Die anhaltende Präsenz der USA, einem globalen Wirtschaftszentrum, ist ebenfalls ein deutliches Warnsignal.

Wie werden Unternehmenspasswörter kompromittiert?

Die Methoden, mit denen Hacker solche Anmeldedaten stehlen, sind vielfältig und ausgeklügelt, sodass eine einzige Verteidigungsstrategie nicht ausreicht.

• Geknackte Datenbanken: Angreifer dringen in Unternehmenssysteme ein, um auf Datenbanken mit Benutzernamen und Passwörtern zuzugreifen. Dabei können sie Software-Schwachstellen ausnutzen, Administratorkonten unterwandern oder Injektionsangriffe einsetzen, um Anmeldedaten zu extrahieren.

• Phishing: Betrügerische E-Mails, Vishing (Voice Phishing) und Smishing (SMS-Phishing) sind gängige Taktiken, um Mitarbeiter zur Preisgabe sensibler Anmeldedaten zu verleiten.

• Malware: Schädliche Software, darunter Infostealer, kann auf Computern oder Servern installiert werden und direkt Anmeldedaten stehlen. Keylogger zeichnen Tastatureingaben auf und erfassen Benutzernamen und Passwörter, während diese eingegeben werden. Hochentwickelte Spyware kann Screenshots machen oder Daten während der Übertragung abfangen.

Die Gefahr wird dadurch verschärft, dass Unternehmen im Durchschnitt ganze 94 Tage benötigen, um aus GitHub-Repositories gestohlene Anmeldedaten wiederherzustellen – ein offenes Scheunentor für Hacker, um die Daten auszunutzen.

Der Schwarzmarkt: Was passiert mit gestohlenen Anmeldedaten?

Sobald diese wertvollen Anmeldedaten in den Besitz der Angreifer gelangt sind, werden sie häufig in Kombilisten zusammengestellt, um in Open-, Deep- und Dark-Web-Foren verkauft und gehandelt zu werden. Cyber-Kriminelle kaufen sie, um Kontoübernahmen durchzuführen, sich unbefugten Zugriff auf vertrauliche Unternehmensdaten zu verschaffen oder ausgeklügelte Social-Engineering-Kampagnen zu starten. Diese Foren funktionieren wie illegale Marktplätze, auf denen neben Anmeldedaten eine Reihe weiterer gestohlener Daten angeboten wird.

Weil es so lukrativ ist, entwickeln Hacker ständig neue Methoden zum Diebstahl von Anmeldedaten und finden neue Techniken, um sogar eine Multi-Faktor-Authentifizierung zu umgehen.

Strategien zur Risikominderung für eine stärkere Verteidigung des Unternehmens

Der Schutz von Unternehmen erfordert einen mehrschichtigen Ansatz:

• Richtlinien zur Passwortverwaltung: Regelmäßige Passwortaktualisierungen und Verbot der Wiederverwendung von Passwörtern für verschiedene Konten, um das Zeitfenster für die Nutzung gestohlener Anmeldedaten zu begrenzen.

• Multi-Faktor-Authentifizierung (MFA): MFA bietet eine zusätzliche Sicherheitsebene, die es Angreifern erschwert, sich nur mit Benutzernamen und Passwort anzumelden. Es ist jedoch wichtig zu wissen, dass MFA umgangen werden kann und somit keine absolute Sicherheit bietet.

• Single Sign-On (SSO): Wenn möglich, sollte SSO gegenüber der direkten Anmeldung mit Anmeldedaten bevorzugt werden, um das Risiko einer Kompromittierung zu verringern.

• Begrenzte Anmeldeversuche: Die Anzahl der Anmeldeversuche sollte limitiert werden, um Brute-Force-Angriffe und Cross-Account-Credential-Stuffing zu verhindern.

• Prinzip der minimalen Berechtigungen (least privilege): Berechtigung der Benutzer auf das für ihre Aufgaben erforderliche Minimum beschränken. Dadurch wird der Schaden begrenzt, wenn ein Konto übernommen wird.

• Phishing-Schulungen: Mitarbeiter darin schulen, Phishing-Versuche zu erkennen und abzuwehren, damit sie weniger anfällig für diese gängige Angriffsmethode sind.

• Netzwerkverteidigung: Schutzmaßnahmen auf Netzwerkebene, wie Intrusion Detection Systeme und Firewalls, können Verbindungen von nicht vertrauenswürdigen Endpunkten erkennen und blockieren und so die Möglichkeiten von Angreifern einschränken, auf Datenbanken mit gespeicherten Anmeldedaten zuzugreifen.

• Blockierung von Websites Dritter: Den Zugriff auf Websites Dritter einschränken, die möglicherweise über eine schwächere Sicherheit verfügen und als Vektoren für Malware-Infektionen dienen könnten.

Mit präventiver Erkennung der Bedrohung einen Schritt voraus sein

Entscheidend ist, dass gestohlene Anmeldedaten erkannt werden, bevor sie missbraucht werden können. Angreifer nutzen gestohlene Anmeldedaten oft nicht sofort, sondern nehmen sich Zeit, um die Daten zu analysieren.

Zu den wirksamen Erkennungsmethoden gehören:

• Scanning von Foren: Experten können tief in Foren im Deep und Dark Web navigieren, um Benutzernamen und Passwortkombinationen zu identifizieren, die mit einem Unternehmen in Verbindung stehen. Auch dann, wenn Angreifer den Zugriff einschränken, können erfahrene Teams die erforderlichen Informationen abrufen.

• Log-Analyse: Hacker veröffentlichen häufig Logs als Beweis für ihre Angriffe im Deep oder Dark Web, wenn sie gestohlene Anmeldedaten verkaufen. Diese Logs nennen das Opfer-Unternehmen möglicherweise nicht direkt, enthalten jedoch Details wie Größe, Branche und Standort.

Erfahrene Teams im Bereich des External Risk Management sind darauf spezialisiert, derlei Informationen zusammenzufügen, um betroffene Organisationen zu identifizieren und zu benachrichtigen.

Fazit

Gestohlene Anmeldedaten sind nicht nur ein weiterer Nebenkriegsschauplatz der Cyber-Kriminalität, sondern der Kern vieler Geschäfte in illegalen Foren und auf Darknet-Schwarzmärkten. Natürlich kann eine erfolgreiche Hacker-Attacke Schuld am Verlust solcher Daten sein, aber jedes Unternehmen sollte die erforderlichen Maßnahmen treffen, um die einfachen Wege zum Ziel für die Hacker zu verbarrikadieren. Dazu gehört vor allem die Schulung der Mitarbeiter gegen Phishing, denn auf diesem Weg gehen sehr schnell Anmeldedaten verloren, ohne, dass die Angreifer viel Aufwand betreiben müssen, weswegen diese Form der Attacke für Cyber-Kriminelle so interessant ist. Regelmäßiges Prüfen des Darknet auf möglicherweise entwendete Zugangsdaten der eigenen Firma durch spezialisierte External Risk Management Teams trägt ebenfalls dazu bei, Sicherheitslücken zu schließen, bevor sie ausgenutzt werden können. Prävention ist schlicht das A und O der modernen Cyber-Sicherheit, um so viele Cyber-Attacken abzufangen, wie möglich, statt hinterher nur noch Schadensbegrenzung betreiben zu können.

Über den Autor: Marco Eggerling ist Global CISO bei Check Point Software Technologies.

(ID:50596924)