Unabhängiger Cyberversicherungs-Vergleich für Unternehmen
    Alle Cybergefahren
    Cyberbedrohung
    Bedrohungslevel: Hoch

    Credential Stuffing

    Credential Stuffing bezeichnet automatisierte Angriffe, bei denen Kriminelle große Mengen gestohlener Benutzername-Passwort-Kombinationen aus früheren Datenlecks verwenden, um sich bei anderen Diensten anzumelden. Da viele Nutzer dasselbe Passwort für mehrere Dienste verwenden, können mit einer gestohlenen Datenbank tausende erfolgreiche Logins erzielt werden. Für Unternehmen droht der Verlust von Kundenkonten, Betriebsgeheimnissen und erhebliche DSGVO-Haftung.

    193 Mrd.automatisierte Credential-Stuffing-Angriffe wurden 2023 weltweit registriert (Akamai)

    Wie funktioniert Credential Stuffing?

    Credential Stuffing startet mit dem Erwerb von Datenlecks: Im Darknet werden gestohlene Zugangsdaten-Kombinationen aus früheren Datenpannen in großen Paketen verkauft. Sogenannte Combo-Listen mit Milliarden von E-Mail-Passwort-Kombinationen sind für wenige Dollar erhältlich. Eine einzige Liste kann Daten aus hunderten unterschiedlicher Webseiten enthalten.

    Mit automatisierten Tools werden diese Kombinationen dann in hoher Geschwindigkeit bei Zielwebseiten durchprobiert. Spezialisierte Software wie Sentry MBA, SilverBullet oder OpenBullet ermöglicht tausende Anmeldeversuche pro Sekunde. Dabei werden Proxys und verteilte IP-Adressen genutzt, um Rate-Limiting und IP-Sperren zu umgehen.

    Für Unternehmens-Logins sind besonders VPN-Zugänge, E-Mail-Portale, Cloud-Dienste und ERP-Systeme beliebte Ziele. Ein erfolgreicher Login kann dem Angreifer vollständigen Zugang zu Unternehmensdaten, E-Mails und internen Systemen geben – ohne jede Schadsoftware. Da legitime Zugangsdaten verwendet werden, erkennen klassische Sicherheitssysteme den Angriff oft nicht.

    Nach einem erfolgreichen Login wird das Konto entweder sofort geplündert (bei Banken oder E-Commerce) oder als Ausgangspunkt für weiterführende Angriffe genutzt: Weitere interne Zugänge werden erschlossen, Daten werden gestohlen oder das Konto wird für BEC-Angriffe genutzt.

    Für Unternehmen mit Kundenportalen ist Credential Stuffing besonders gefährlich, da es die Konten ihrer Kunden kompromittiert. Dies löst DSGVO-Meldepflichten aus, schädigt das Vertrauen und kann erhebliche Haftungsansprüche nach sich ziehen.

    Credential Stuffing in Zahlen

    193 Mrd.
    automatisierte Credential-Stuffing-Angriffe weltweit im Jahr 2023 (Akamai State of the Internet)
    0,1–2 %
    Erfolgsquote bei Credential Stuffing – klingt gering, bedeutet aber bei 10 Mio. Versuchen bis zu 200.000 erfolgreiche Logins
    65 %
    der Internetnutzer verwenden dasselbe Passwort für mehrere Dienste (BSI Digitalbarometer 2024)
    4,7 Mrd.
    kompromittierte Zugangsdaten befinden sich aktuell in öffentlich zugänglichen Datenlecks (Have I Been Pwned)
    Echte Schadensfälle

    So trifft Credential Stuffing Unternehmen

    E-Commerce

    Kundenportal eines Online-Händlers übernommen

    340.000 €
    3 Tage

    Ein mittelgroßer Online-Händler aus Bayern wurde über Credential Stuffing attackiert. Angreifer probierten 2,3 Millionen Zugangsdaten-Kombinationen durch und gelangten in 4.200 Kundenkonten. In diesen Konten wurden gespeicherte Zahlungsmittel für Bestellungen im Wert von insgesamt 340.000 Euro missbraucht. Der Händler musste alle betroffenen Kunden informieren, den Vorfall der Datenschutzbehörde melden und sämtliche Rückbuchungen bearbeiten.

    Rechtsdienstleistung

    VPN-Zugang einer Kanzlei durch Credential Stuffing kompromittiert

    210.000 €
    6 Tage

    Ein Anwalt einer Kanzlei in Frankfurt nutzte für das Kanzlei-VPN dasselbe Passwort wie für ein gehacktes Nachrichtenportal. Angreifer loggten sich über das VPN ein und hatten uneingeschränkten Zugriff auf alle Kanzleisysteme. Über mehrere Wochen wurden Mandantendaten kopiert und für Erpressungsversuche genutzt. Die forensische Analyse ergab, dass die Zugangsdaten aus einem zwei Jahre alten Datenleck stammten.

    Schutzmaßnahmen gegen Credential Stuffing

    Technische Maßnahmen

    • Multi-Faktor-Authentifizierung (MFA) für alle Unternehmensanwendungen und -zugänge
    • Rate-Limiting und Account-Lockout bei mehrfach falschen Login-Versuchen
    • CAPTCHA und Bot-Erkennung für Login-Formulare
    • Have-I-Been-Pwned-Integration: Alerts bei Erscheinen eigener Domains in Datenlecks
    • Passwort-Manager unternehmensweit einführen und einzigartige Passwörter erzwingen
    • Behavioral Analytics: Anomalie-Erkennung bei ungewöhnlichem Login-Verhalten
    • IP-Reputations-Filter für Login-Endpunkte
    • Regelmäßige Überprüfung aktiver Sessions und unbekannter Geräteanmeldungen

    Organisatorische Maßnahmen

    • Passwort-Richtlinie mit Mindestlänge, Komplexität und Einzigartigkeit
    • Regelmäßige Mitarbeiterschulungen zu sicherer Passwort-Hygiene
    • Monitoring auf Darknet-Erscheinen von Unternehmens-E-Mails und Passwörtern
    • Prozesse für sofortige Passwort-Zurücksetzung bei bekannt gewordenen Datenlecks
    Versicherungsschutz

    Was die Cyberversicherung bei Credential Stuffing abdeckt

    Abgedeckte Leistungen

    • Schäden durch Kontomissbrauch und unautorisierte Transaktionen
    • IT-Forensik zur Analyse des Angriffs und des Ausmaßes der Kompromittierung
    • Benachrichtigungskosten für betroffene Kunden nach DSGVO
    • Haftpflichtansprüche betroffener Kunden
    • Kosten für Krisenkommunikation
    • Betriebsunterbrechungskosten durch temporäre Sperrung des Portals
    • Kosten für Sicherheitsmaßnahmen nach dem Vorfall

    Typische Ausschlüsse

    • Schäden durch bekannt schlechte Passwort-Richtlinien ohne Verbesserungsmaßnahmen
    • Verluste durch wissentlich nicht aktivierte MFA-Optionen
    • Schäden durch Insider-Weitergabe von Zugangsdaten
    • Schäden aus Vertragsstrafen wegen Sicherheitspflichtverletzungen
    • Reine Reputationsschäden ohne direkten finanziellen Verlust

    Schützen Sie Ihr Unternehmen vor Credential Stuffing

    Vergleichen Sie jetzt die besten Cyberversicherungs-Tarife und finden Sie den passenden Schutz für Ihr Unternehmen.

    JETZT TARIFE VERGLEICHEN
    Häufige Fragen

    FAQ zu Credential Stuffing

    Beim Brute-Force-Angriff werden zufällige Passwortkombinationen durchprobiert. Credential Stuffing verwendet echte, aus Datenlecks gestohlene Zugangsdaten-Kombinationen. Credential Stuffing ist effizienter, weil echte Passwörter genutzt werden – und schwerer zu erkennen, da die Anmeldeversuche aussehen wie echte Nutzer-Logins.
    Der kostenlose Dienst haveibeenpwned.com ermöglicht die Prüfung von E-Mail-Adressen auf bekannte Datenlecks. Das BSI bietet mit dem Identity Leak Checker (sec.hpi.de) einen weiteren Dienst für den deutschen Markt. Unternehmen können auch Domain-Monitoring einrichten, das automatisch bei neuen Leckagen warnt.
    MFA ist der wirksamste Schutz gegen Credential Stuffing, da gestohlene Passwörter allein nicht ausreichen. Allerdings können Angreifer durch Phishing oder SIM-Swapping auch MFA-Codes abfangen. Daher sollte MFA mit weiteren Maßnahmen wie Anomalie-Erkennung und Rate-Limiting kombiniert werden.
    Wenn durch Credential Stuffing Kundendaten oder -konten kompromittiert wurden, besteht in der Regel DSGVO-Meldepflicht: Die zuständige Datenschutzbehörde muss innerhalb von 72 Stunden informiert werden. Betroffene Kunden sind ebenfalls zu benachrichtigen, wenn ein erhebliches Risiko für ihre Rechte besteht.
    Ja. Credential Stuffing trifft auch Cloud-Dienste, VPN-Zugänge, E-Mail-Portale und SaaS-Anwendungen. Für B2B-Unternehmen ist der Missbrauch von Mitarbeiter-Zugangsdaten oft folgenreicher als Kundenkonten-Übernahmen, da dadurch Unternehmensnetzwerke kompromittiert werden können.

    Verwandte Bedrohungen

    Phishing-AngriffeBusiness Email Compromise (BEC)Malware-Angriffe

    Cookie-Einstellungen

    Wir verwenden Cookies, um Ihre Browsing-Erfahrung zu verbessern und unseren Traffic zu analysieren. Durch Klicken auf „Akzeptieren" stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.