Ransomware-Gruppen brauchen keine Exploits mehr. Sie kaufen gestohlene Zugangsdaten auf spezialisierten Darknet-Plattformen und loggen sich mit legitimen Credentials ein. Laut Sicherheitsexperten vergehen zwischen Login und Datenexfiltration oft nur noch 72 Minuten. Identitätsschutz muss deshalb den Stellenwert einer Firewall bekommen.
82 Prozent aller Netzwerkeinbrüche erfolgen ohne klassische Malware. Ransomware-Gruppen kaufen gestohlene Logins und sind in 72 Minuten am Ziel.
Jahrzehntelang folgte die IT-Sicherheit dem Burggraben-Prinzip: Eine starke Firewall, der Perimeter, sollte das vertrauenswürdige interne Netzwerk vor Angriffen und digitalen Risiken schützen. Die Datenlage des Jahres 2026 zwingt die Branche, die Risikomatrix neu zu bewerten. Laut dem Global Threat Report 2026 von CrowdStrike erfolgen mittlerweile 82 Prozent aller verzeichneten Netzwerkeinbrüche vollständig ohne den Einsatz traditioneller, dateibasierter Malware. Angreifer nutzen stattdessen gestohlene Zugangsdaten in Kombination mit nativen Administrationswerkzeugen – eine Taktik, die als „Living off the Land" (LotL) bekannt ist.
Der Verizon Data Breach Investigations Report belegt zudem, dass über das vergangene Jahrzehnt hinweg 31 Prozent aller Vorfälle auf gestohlene oder schwache Passwörter zurückzuführen waren – ein Anteil, der sich durch Automatisierung und die rasante Verbreitung hybrider Cloud-Architekturen seither drastisch erhöht hat.
Wer starr nach der Perimeter-Logik den gesamten Traffic über VPN-Tunnel zu zentralisieren versucht, schafft nicht nur Performance-Flaschenhälse, sondern erhöht das Risiko: Ist die Hürde einmal genommen, können sich Angreifer oft ungehindert lateral im Netz bewegen.
Login statt Exploit: Die neue Strategie der Hacker
Die Forensik bei Baobab Insurance zeichnet ein klares Bild: Das primäre Einfallstor für Ransomware ist heute seltener ein ungepatchter Server, sondern der Handel mit Identitäten. Sogenannte „Infostealer"-Schadsoftware fischt massenhaft Logins ab, die anschließend in Darknet-Foren verkauft werden. Plattformen wie „Lumma Stealer” operieren dabei als vollständige Malware-as-a-Service (MaaS)-Dienste und sind mitverantwortlich für einen Anstieg von 500 Prozent bei Credential Logs in Darknet-Foren.
Das Endprodukt einer solchen Infektion ist ein sogenannter „Stealer Log" – ein strukturiertes Datenpaket, das Klartext-Passwörter, aktive Session-Cookies, Systeminformationen und in vielen Fällen auch Kreditkartendetails enthält. Besonders gefährlich: Die Session-Cookies ermöglichen es Angreifern, Multi-Faktor-Authentifizierung (MFA)-geschützte Systeme durch Session-Hijacking zu übernehmen, ohne jemals ein Passwort eingeben zu müssen.
Der Microsoft Digital Defense Report 2025 belegt, dass 97 Prozent aller Identitätsangriffe weiterhin auf automatisiertes „Password Spraying" zurückzuführen sind — das massenhafte Ausprobieren gängiger oder zuvor geleakter Passwörter gegen eine Vielzahl von Unternehmenskonten.
Da Angreifer sich mit legitimen Credentials anmelden, schlagen klassische Alarmsysteme nicht an. Sie bewegen sich wie reguläre Mitarbeiter durch die Infrastruktur, kundschaften Back-ups aus und exfiltrieren Daten, bevor die eigentliche Verschlüsselung startet. Der 2026 Unit 42 Global Incident Response Report von Palo Alto Networks zeigt, dass Identitätsschwachstellen in nahezu 90 Prozent aller untersuchten Sicherheitsvorfälle eine wesentliche Rolle spielten. Die dann verwendeten Schadcodes lassen sich ohne tiefgreifende technische Expertise mit Hilfe generativer KI-Modelle und automatisierter Tools leicht erstellen. So verzeichnet CrowdStrike einen Anstieg von 89 Prozent bei KI-gestützten gegnerischen Operationen im Vergleich zum Vorjahr. Die Hürde für Angreifer sinkt, während kriminelle Organisationen diese Ertragsmodelle weltweit skalieren.
Ein anschauliches Beispiel für diesen Trend ist „OpenClaw" (ehemals Clawdbot/Moltbot): ein quelloffener, autonomer KI-Agent, der als legitimer persönlicher Assistent konzipiert wurde und mehrstufige Alltagsaufgaben wie E-Mails versenden, Kalender verwalten, Dateioperationen, direkt über WhatsApp, Telegram oder Slack ausführt. Dieselbe Fähigkeit, Aufgaben autonom und lokal zu automatisieren, macht das Tool jedoch auch für Angreifer attraktiv: Einmal auf gestohlene Zugangsdaten angesetzt, kann OpenClaw den Missbrauch kompromittierter Konten erheblich beschleunigen und vereinfachen. Was bisher Handarbeit war, lässt sich so mit minimalem Aufwand auf eine große Zahl betroffener Systeme ausdehnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Cybercrime als Geschäftsmodell: Der Marktplatz für gestohlene Identitäten
Ein entscheidender Treiber dieser Entwicklung ist die hochgradige Arbeitsteilung im Cybercrime-Untergrund. Im Zentrum steht der „Initial Access Broker" (IAB): hochspezialisierte Kriminelle, deren Geschäftsmodell ausschließlich darin besteht, Zugänge zu kompromittierten Unternehmensnetzwerken zu beschaffen, zu verifizieren und an Ransomware-Gruppen weiterzuverkaufen.
Die Rohdaten für dieses Geschäft liefern sogenannte „Underground Clouds of Logs" (UCL). Dies sind spezialisierte, kriminelle Cloud-Plattformen, auf denen Stealer Logs in industriellem Maßstab gehandelt werden. Für eine monatliche Abonnementgebühr von lediglich 90 bis 150 US-Dollar erhält ein Krimineller Zugriff auf 90.000 bis 300.000 frische, strukturierte Datensätze. Diese Plattformen bieten fortschrittliche Suchfunktionen: Angreifer können gezielt nach spezifischen Unternehmens-Domains suchen und erhalten ein schlüsselfertiges Breach-Kit . Das ist faktisch ein illegitimes Äquivalent zu „Have I Been Pwned", das den Angreifer direkt in die administrativen Dashboards des Zielunternehmens katapultieren kann.
Sobald ein Ransomware-Akteur einen solchen Zugang erwirbt und sich einloggt, kollabiert das verfügbare Zeitfenster für Verteidiger dramatisch. Unit 42 dokumentierte Vorfälle, in denen Angreifer lediglich 72 Minuten benötigten, um von der initialen Authentifizierung bis zur vollständigen Datenexfiltration zu gelangen – eine Vervierfachung der Angriffsgeschwindigkeit im Vergleich zum Vorjahr.
Dark Web Monitoring: Den Dieben einen Schritt voraus
Um dieser Gefahr zu begegnen, ist ein proaktiver Ansatz essenziell. Es reicht nicht mehr, nur auf die eigene Infrastruktur zu schauen. Unternehmen müssen wissen, welche ihrer Daten bereits im „Untergrund“ kursieren. Durch den Abgleich von digitalen Fingerabdrücken mit Leaks in Darknet-Repositories können kompromittierte Konten identifiziert werden, noch bevor der erste unbefugte Login erfolgt. Somit wird das regelmäßige Identifizieren von gestohlenen Unternehmensdaten wesentlicher Bestandteil der IT-Sicherheit.
Wege aus der „Alert Fatigue“
Ein Problem vieler Sicherheitstools ist die Flut an Meldungen. Wenn Systeme bei jeder Kleinigkeit Alarm schlagen, stumpfen IT-Teams ab – die sogenannte Alert Fatigue droht. Um dies zu verhindern, setzen moderne Lösungen wie der Baobab Deep Scan auf intelligente Validierung:
Automatisierung: Standard-Alarme werden durch SOAR-Technologien (Security Orchestration, Automation and Response) ohne menschliches Zutun gelöst.
Priorisierung: KI-gestützte Analysen filtern „False Positives“ heraus. Komplexe, unternehmensrelevante Passwörter haben Vorrang vor privaten Kurzpasswörtern.
Kontextualisierung: Ein Fund wird erst dann zur kritischen Warnung, wenn der „Schlüssel“, alsodas Passwort, zum aktuell aktiven „Schloss“, wie z. B. dem Firmen-VPN oder OWA-Portal, passt.
Eine intelligente Validierung wirkt daher dem Alert Fatigue entgegen und stiftet einen realen Mehrwert.
Der Identitätsschutz muss entsprechend den Stellenwert in der IT-Sicherheit bekommen, den die Firewall bereits heute hat. Neben technischem Monitoring bleibt die Vier-Säulen-Strategie aus MFA, Endpoint Detection (EDR), Zero-Trust-Architektur und kontinuierlichen Security-Awareness-Trainings für Mitarbeiter der Goldstandard.
Über den Autor: Andrew Saula, Leiter der Cyber-Sicherheit und Incident Response bei Baobab Insurance, verfügt über mehr als 15 Jahre Erfahrung in der Sicherheitsbranche. Seine berufliche Laufbahn umfasst mehrere Jahre als Managementberater bei E&Y, gefolgt von der Position des stellvertretenden Gesamtverantwortlichen für die globale Informationssicherheit (CISO) bei TUI.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/4e/024e85aaed69bc853e346b25ad2c8763/0130917616v1.jpeg "82 Prozent aller Netzwerkeinbrüche erfolgen ohne klassische Malware. Ransomware-Gruppen kaufen gestohlene Logins und sind in 72 Minuten am Ziel. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/fc/a4fc4e17939a121f8e5c30a0c6dbd7b8/0131187277v2.jpeg "Die Schwachstellen ermöglichen es Angreifern, die Anmeldung vollständig zu umgehen und anschließend ihre Rechte zu erhöhen, bis hin zur administrativen Übernahme der MOVEit-Automation-Instanz und zum Zugriff auf sensible Daten. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/57/1f5795a092e7f16c407f1291a25449e4/0131281209v2.jpeg "Deutschland steht 2025 im Cyberraum unter massivem Druck. Das BKA verzeichnete 333.922 Delikte und deutliche Zuwächse bei Ransomware, DDoS und Hacktivismus. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/3a/af3ae69e6662d83d1176f672c0c5eb5d/0130844912v1.jpeg "Wer IT und OT getrennt überwacht, übersieht genau die Schnittstellen, an denen die kritischsten Probleme entstehen. (Bild: ©Maria-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/8b/9a8b353585fa67b837b3eeeb55e84623/0130918083v1.jpeg "SOC-Teams ertrinken in Threat Feeds ohne Kontext. Erst die Fusion interner Telemetrie und externer Dark-Web-Erkenntnisse schafft echte Handlungsfähigkeit. (Bild: © Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/ed/feedfc10020865481a0d10cd7b3ef6c4/0130885606v1.jpeg "Prof. Dr. Dr. h.c. Johannes Buchmann ist Mitbegründer des Forschungsgebiets der Post-Quantum-Kryptographie und hier einer der führenden Experten. Er beurteilt die Ergebnisse der Standardisierungsverfahren positiv: \"Die internationale Standardisierung für solche Algorithmen hat in den vergangenen Jahren große Fortschritte gemacht\".
(Bild: Katrin Binner Fotografie)")
:quality(80)/p7i.vogel.de/wcms/db/47/db47772acecd42ab415233b405b1227c/0130249229v1.jpeg "Seit 2018 dient ownCloud.online Unternehmen als Plattform für den Austausch und die Verwaltung von Dateien. (Bild: ownCloud.online)")
:quality(80)/p7i.vogel.de/wcms/ea/1f/ea1feecf27224ae2f929666e7f1a7314/0129964794v1.jpeg "Die Cohesity Data Cloud bietet neben den Möglichkeiten für Backup und Restore auch Funktionen für modernes Datenmanagement und Cyber-Resilienz. (Bild: © Thanadon88 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/ac/d2ac7a368cf24720d9e457dc79052abf/0131125091v1.jpeg "Die Schwachstelle EUVD-2026-10744 / CVE-2026-3854 ermöglicht es Angreifern Remote Code auf GitHub-Backends auszuführen, wodurch auf GitHub Enterprise Server eine vollständige Kompromittierung mit Zugriff auf alle Repositories und interne Secrets möglich ist. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/f3/ec/f3ec2afa661360dca8ec76c12398b839/0131058290v2.jpeg "Ab dem 2. Januar 2027 können EU-Bürgerinnen und -Bürger mit der EUDI Wallet ihre Identität und amtliche Nachweise, zum Beispiel Ausweis und Führerschein, sicher auf dem Smartphone verwalten, sich europaweit bei digitalen Diensten anmelden und Verträge sowie Rechnungen rechtssicher elektronisch unterschreiben. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/c0/df/c0df4b2e8ef61ceeab6ab50eac91e67b/0127003872v2.jpeg "Cyberkriminelle entwickeln neue Techniken und Methonden und nutzen immer häufiger legitime Tools aus, um Systeme zu kompromittieren. (©jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/06/f006c07ee7dff98aa187192876d10df3/0127446601v2.jpeg "Gestohlene Zugangsdaten werden in Foren des Darknets gehandelt, oft bevor betroffene Unternehmen überhaupt von dem Leck erfahren. (Bild: © Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/40/2e404520283714af15431e4963d7ea71/0129740507v2.jpeg "Trotz der Zerschlagung im Mai 2025 ist LummaStealer laut Bitdefender wieder aktiv und verbreitet sich vor allem über Social Engineering mit CastleLoader, um Zugangsdaten und Sitzungen von Opfern abzugreifen. (Bild: donald - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cd/13/cd1309d9648d848acb578b4f9e27719a/0124693211v1.jpeg "Die Bedrohung durch Cyberkriminelle steigt durch automatisierte Angriffe. Cybercrime-as-a-Service macht den Angreifern die Arbeit leichter als je zuvor. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a5/9a/a59ab62029350d6d43ebe09ef9ad4797/0129861758v1.jpeg "Zero Trust kann nur gelingen, wenn ein umfassendes, risikobasiertes Identitätsmanagement vorhanden ist. (Bild: © Vogel IT-Medien / Strive Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")