Überlegungen zum Kosten-Nutzen-Faktor treiben auch Cyberkriminelle um. Sie bevorzugen daher Angriffe, die weit weniger kosten, als sie an Ertrag einbringen. Credential Stuffing, bei dem gestohlene Anmeldeinformationen aus einem Dienst eingesetzt werden, um weitere Services zu knacken, entwickeln sich daher zu einer immer beliebteren Taktik unter Online-Angreifern.
Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites.
Wollen Cyberkriminelle einen größtmöglichen Nutzen generieren, müssen sie Systeme entwickeln, die mehr Geld einbringen, als die Attacken kosten. Zwei Schlüsselfaktoren beeinflussen diese Kalkulation: die Kosten für den Betrieb und die sich verändernde Sicherheitslandschaft.
Entsprechend hat sich Credential Stuffing zu einer zunehmend verbreiteten Methode der Online-Kriminalität entwickelt. Eine Studie von F5 Labs und Shape Security hat kürzlich ergeben, dass sich die Zahl der Vorfälle mit manipulierten Zugangsdaten zwischen 2016 und 2020 fast verdoppelt hat.
Viele auf einen Streich
Bei Credential Stuffing erbeuten Hacker Benutzernamen und Passwörter zu extrem niedrigen Preisen oder kostenlos aus leicht zugänglichen Quellen. Mit Software automatisieren sie den Anmeldevorgang für Millionen von Nutzerkonten auf Hunderten von Websites. Die Methode zielt darauf ab, dass die Nutzer beispielsweise ihr Facebook-Passwort gleichzeitig als Login für das Konto des Internet-Service-Providers oder sogar für das Bankkonto verwenden. Dabei verteilen sie den Datenverkehr global, um keinen Verdacht zu erregen. Zudem können Hacker auch grundlegende automatisierte Verteidigungsmaßnahmen wie den Completely Automated Public Turing (CAPTCHA)-Test aushebeln, indem sie CAPTCHA-lösende Plugins oder Dienste auslagern.
Shape Security, ein Spezialisten-Team von F5, welches sich mit der Bekämpfung von Online- und Internetbetrug beschäftigt, schätzt, dass 100.000 Kontoübernahmeversuche etwa 200 US-Dollar kosten, einschließlich der erforderlichen Software, Netzwerk-Proxys und gestohlenen Anmeldedaten. Die Erfolgsquote liegt typischerweise zwischen 0,2 und 2 Prozent. Erfolgreiche Übernahmen werden dann für 2 bis 150 US-Dollar verkauft. Es ergibt sich eine finanzielle Rendite zwischen 200 und 300.000 Dollar oder mehr.
Abwehrstrategie ändern
Leider konzentrieren sich viele Unternehmen immer noch stark auf die Abwehr von Bot-Attacken, indem sie IP-Adressen oder User-Agent-Strings blockieren. Stattdessen sollte der Schwerpunkt darauf liegen, den Angreifern den Anreiz zu nehmen, ihre digitalen Objekte anzugreifen.
Für Unternehmen bedeutet dies, dass sie ihre Verteidigungsmaßnahmen soweit verbessern müssen, dass der Angriff für Hacker zu kostspielig wird.
Die beste Methode besteht darin, verschiedene Maßnahmen zu ergreifen, die Betrüger dazu zwingen, die kostenintensiven Phasen ihrer Angriffe zu beenden. Wenn dies zu oft geschieht, kippt die Kosten-Nutzen-Analyse zu ihren Ungunsten und die Ausgaben überwiegen. David Bianco stellte 2013 sein Konzept „Pyramid of Pain“ vor. Es kommt zum Tragen, wenn es darum geht, Credential Stuffing-Angriffe mit langfristiger Wirksamkeit zu entschärfen. Das Katz-und-Maus-Spiel mit IP-Adressen und User-Agent-Strings, die sich am unteren Ende der Pyramide befinden, ist sinnlos. Es ist besser, sich auf die höheren Stufen der Pyramide zu konzentrieren und die Tools und TTPs (Taktiken, Techniken und Verfahren) der Betrüger zu entschärfen. Mit anderen Worten: Unternehmen sollten ihren Gegner kontinuierlich frustrieren und ihn so dazu zwingen, das Feld zu räumen.
Die Kosten kennen
Dazu müssen Unternehmen feststellen, wieviel es tatsächlich kostet, ihre Web- und Mobil-Ressourcen anzugreifen. Wenn sie nicht wissen, wie viel es kostet, wissen Sie nicht, welche Art von Hürde sie einziehen müssen. Sobald Sie das getan haben, ist es an der Zeit, einen Drei-Punkte-Plan aufzustellen.
1. Schwachstellen beheben: Zunächst sollten Unternehmen die deutlichsten Schwachstellen beseitigen, indem sie ihr Netzwerk überprüfen. Auf diese Weise entsteht eine Mindestbarriere, die Angreifer überwinden müssen. So gilt es zum Beispiel, Authentifizierungsseiten für Webanwendungen zu analysieren und sicherzustellen, keine Spuren zu hinterlassen, die für Betrüger hilfreich sein könnten. Seiten zum Zurücksetzen von Passwörtern sind hier ein gängiges Beispiel. Aussagen wie „Tut mir leid, dieses Konto existiert nicht, bitte versuchen Sie es erneut“ helfen Betrügern tatsächlich. Sie teilen ihnen mit, welche Konten auf der Seite gültig sind und welche nicht. Das steigert Genauigkeit und Effizienz von nachfolgenden Credential Stuffing-Angriffen. Eine bessere Antwort wäre: „Wir haben Ihre Anfrage zum Zurücksetzen des Passworts erhalten. Wenn dieses Konto existiert, wird eine E-Mail zum Zurücksetzen des Passworts an Sie gesendet“.
2. Penetrationstests: Als Nächstes gilt es, Penetrationstests für die Web- und Mobile-Apps des Unternehmens durchzuführen, um zu verstehen, wie leicht oder schwer es ist, diese zu kompromittieren. Dieser Prozess sollte sich an Beweisen orientieren und nicht am Bauchgefühl. Das wird dabei helfen, einen Werkzeugkasten für Verteidigungsmaßnahmen aufzubauen, der wahrscheinliche Versuche widerspiegelt, die Sicherheitsmaßnahmen zu überwinden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Schritt halten: Die Werkzeuge, die Kriminellen zur Verfügung stehen, werden allerdings täglich besser. Der dritte Schritt besteht also darin, Sicherheitskontrollen regelmäßig zu aktualisieren und zu verbessern, um mit der sich ständig weiterentwickelnden Risikolandschaft Schritt zu halten. Dies kann beinhalten, dass Sicherheitsanalysten (intern oder vertraglich) über die neuesten Angriffsvektoren und Tools informiert sein sollten, die im Dark Web und in Betrugsforen diskutiert werden.
Credential Stuffing ist kostengünstig und einfach, so dass es für Betrüger, die damit jedes Jahr Millionen erbeuten, eine wichtige Angriffstaktik ist. Unternehmen sollten es den Kriminellen an dieser Stelle nicht zu leicht machen – und sich entsprechend aufstellen.
Über den Autor: Stephan Schulz ist als Senior Solutions Engineer – Security bei F5 Networks in der Region Deutschland, Österreich und Schweiz tätig und berät Endkunden sowie Fachhandelspartner aus technischer Sicht. Stephan Schulz bringt mehr als 20 Jahre Erfahrung aus den verschiedensten Bereichen der IT mit, wobei sein Hauptfokus in den Bereichen Applikations- und IT-Sicherheit liegt.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/a4/37/a437bfba38b68b5c2ae8eecffac3a7bb/0124446990v1.jpeg "Die Bedrohungslage im Cyberspace wird immer komplexer und erfordert innovative Ansätze sowie eine enge Zusammenarbeit zwischen Unternehmen, Regierungen und Technologieanbietern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/06/f006c07ee7dff98aa187192876d10df3/0127446601v2.jpeg "Gestohlene Zugangsdaten werden in Foren des Darknets gehandelt, oft bevor betroffene Unternehmen überhaupt von dem Leck erfahren. (Bild: © Deemerwha studio - stock.adobe.com)")