Credential Harvesting: Funktionsweise und Präventionsmaßnahmen 

Credential Harvesting (zu Deutsch der Abgriff von Zugangsdaten) stellt eine ernsthafte Bedrohung für Organisationen aller Art dar – insbesondere in der heutigen digitalen Landschaft, in der praktisch jedes Unternehmen für Zugriff und Sicherheit auf Benutzeranmeldedaten angewiesen ist.  

Laut IBMs Threat Intelligence Index 2025 basierten fast ein Drittel (30 %) der Cyberangriffe im Jahr 2024 auf dem Missbrauch gültiger Kontodaten, die durch Credential Harvesting gesammelt wurden. Und da Unternehmen zunehmend auf Cloud-basierte Umgebungen setzen, bei denen Benutzer auf mehrere Online-Konten zugreifen müssen, wird diese Bedrohung voraussichtlich weiter zunehmen. 

Angesichts der wachsenden Bedrohung ist es für IT-Fachleute und Systemadministratoren wichtiger denn je, die von Angreifern beim Credential Harvesting eingesetzten Methoden zu verstehen und proaktiv Schutzmaßnahmen zu ergreifen. In diesem Artikel erläutern wir Ihnen die Details von Credential Harvesting, inklusive Definition, gängigen Angriffsarten und effektiven Präventionsmaßnahmen.  

Was ist Credential Harvesting? 

Credential Harvesting ist eine Methode, die Cyberkriminelle nutzen, um große Mengen gültiger Benutzeranmeldedaten, wie Benutzernamen oder Passwörter, zu sammeln. Ihr letztliches Ziel ist es, diese echten Anmeldedaten zu nutzen, um Cyberangriffe durchzuführen, in die Systeme von Organisationen einzudringen und so Datendiebstahl, Betrug oder weitere Kompromittierungen interner Netzwerke zu verüben.  

Sobald Bedrohungsakteure diese Anmeldeinformationen erlangt haben, können sie Sicherheitsmaßnahmen umgehen, indem sie sich als legitime Benutzer ausgeben – was die Erkennung und Abwehr erheblich erschwert. Da Nutzer häufig dieselben Anmeldedaten für mehrere Konten wiederverwenden, müssen Cyberkriminelle oft nur ein gültiges Passwort identifizieren, um potenziell Zugriff auf verschiedene Systeme zu erhalten.  

Gängige Arten von Zugangsdaten, auf die es Cyberkriminelle abgesehen haben, sind unter anderem: 

• Passwörter 
• Benutzernamen 
• E-Mail-Adressen 
• Telefonnummern 
• Sozialversicherungsnummern 
• Kreditkartendaten 

Da das Ziel von Zugangsdaten-Diebstahl darin besteht, Benutzeranmeldedaten in großem Umfang zu sammeln, richten sich diese Angriffe in der Regel nicht gegen einzelne Personen. Stattdessen nehmen Angreifer häufig viele Personen innerhalb derselben Organisation gleichzeitig ins Visier, indem sie Methoden wie Phishing einsetzen, um die Anzahl kompromittierter Konten zu maximieren. Auch wenn einzelne Nutzer die unmittelbaren Ziele dieser Taktiken sind, besteht das übergeordnete Ziel darin, so viele Anmeldedaten wie möglich innerhalb der Organisation zu erlangen. 

Wie geht ein Credential Harvester vor? 

Ein Credential Harvester sammelt mit täuschenden oder verdeckten Methoden Anmeldeinformationen von ahnungslosen Nutzern. Diese Tools können in Websites, E-Mails oder Anwendungen eingebettet werden, die darauf ausgelegt sind, legitime Plattformen zu imitieren. Sobald ein Nutzer seine Anmeldedaten eingibt, werden die Informationen erfasst und an den Angreifer übermittelt.  

Viele Methoden von Credential-Harvester-Angriffen basieren auf Automatisierung oder Social Engineering, um ihre Aktivitäten zu skalieren und die Erfolgsquote zu erhöhen. Einmal installiert, kann Malware unbemerkt im Hintergrund eines infizierten Geräts laufen, um im Laufe der Zeit sensible Anmeldedaten zu erfassen.  

Diese Methoden ermöglichen es Bedrohungsakteuren, große Mengen gültiger Zugangsdaten zu sammeln, die anschließend im Darknet verkauft oder zum Eindringen in geschützte Systeme verwendet werden können. 

Arten von Credential-Harvesting-Angriffen 

Es gibt viele verschiedene Arten von Credential-Harvesting-Malware und zahlreiche Angriffsformen, mit denen Anmeldedaten von Nutzern gestohlen werden – jede mit unterschiedlichen Techniken und Täuschungsgraden. Es ist wichtig, sich der gängigsten Angriffsmethoden bewusst zu sein, um ihnen wirksam vorbeugen zu können.  

Im Folgenden finden Sie einige verschiedene Arten von Credential-Harvesting-Angriffen: 

Phishing 

Phishing ist eine der Hauptmethoden des Credential Harvesting, bei der Angreifer gefälschte E-Mails (oder zunehmend SMS- oder Social-Media-Nachrichten) versenden, die legitim erscheinen sollen. Diese E-Mails werden in der Regel massenhaft versendet und enthalten einen Link oder Anhang, der – sobald ein ahnungsloser Benutzer damit interagiert – Malware auf dem Gerät installiert, um Zugangsdaten zu erfassen.  

Laut IBM ist die Anzahl an Phishing-E-Mails, die wöchentlich Infostealer verbreiten, seit 2022 um 84 % gestiegen. Vishing („Voice Phishing“) nimmt ebenfalls zu – begünstigt durch den Einsatz von KI. 

Keylogging 

Keylogging, kurz für „Keystroke Logging“, ist eine Art von Angriff, bei dem Malware (in diesem Fall ein Keylogger) verwendet wird, um die Tastatureingaben eines Benutzers aufzuzeichnen. Angreifer können diese Malware über verschiedene Methoden auf dem Gerät eines Benutzers platzieren, darunter Phishing und Drive-by-Downloads.  

Sobald er installiert ist, zeichnet ein Keylogger die Tastatureingaben eines Benutzers auf und übermittelt sie an den Angreifer, der sie analysieren kann, um Anmeldedaten wie Benutzernamen und Passwörter zu identifizieren.  

Man-in-the-Middle (MITM) 

In einem Man-in-the-Middle-Angriff positioniert sich ein Cyberangreifer zwischen zwei Kommunikationsparteien – etwa zwischen einem Nutzer und einer Website oder Anwendung – und kann so die Kommunikation unbemerkt abfangen und manipulieren. Es gibt verschiedene Arten von MITM-Angriffen, darunter E-Mail-Hijacking, Session-Hijacking und DNS-Spoofing.  

Sobald der Angreifer die Kontrolle über den Kommunikationskanal übernimmt, kann er dies nutzen, um Benutzeranmeldedaten zu stehlen – zum Beispiel, indem er den Nutzer dazu auffordert, sich auf einer gefälschten Website anzumelden.  

Watering-Hole 

Bei einem Watering-Hole-Angriff zielt ein Bedrohungsakteur auf eine bestimmte Personengruppe ab (beispielsweise Mitarbeitende eines Unternehmens), indem er eine häufig besuchte Website identifiziert und diese mit Malware infiziert.  

Dies kann durch das Auffinden und Ausnutzen von Schwachstellen in der Website erfolgen, was die Bedeutung der kontinuierlichen Überwachung webbasierter Anwendungen auf potenzielle Schwachstellen unterstreicht. 

Mögliche Auswirkungen eines Credential-Harvesting-Angriffs 

Ein Credential-Harvesting-Angriff kann erhebliche und weitreichende Auswirkungen auf Organisationen haben – sowohl in operativer als auch in finanzieller Hinsicht. Wenn Angreifer Zugriff auf gültige Benutzeranmeldedaten erhalten, können sie viele herkömmliche Sicherheitsmaßnahmen umgehen und unbemerkt in Systeme eindringen. Dies kann ihnen unautorisierten Zugriff auf sensible Informationen wie Kundendaten und Finanzunterlagen verschaffen.  

Der daraus resultierende Schaden kann Reputationsverlust, den Verlust des Kundenvertrauens, rechtliche Konsequenzen und behördliche Strafen umfassen. All diese Schäden können den Geschäftsbetrieb erheblich stören und zu langfristigen finanziellen Verlusten führen. Tatsächlich ergab der Cost of a Data Breach Report von IBM, dass im Jahr 2024 die durchschnittlichen globalen Kosten einer Datenpanne bei 4,88 Millionen US-Dollar lagen – ein Anstieg von 10 % gegenüber dem Vorjahr. 

Für IT-Teams stellen Zugangsdaten-Angriffe eine ernsthafte Herausforderung dar. Sobald Anmeldedaten kompromittiert sind, kann es zeitaufwendig und komplex sein, die Sicherheitsverletzung zu identifizieren und unautorisierten Zugriff nachzuverfolgen – insbesondere, wenn Angreifer legitime Zugangsdaten nutzen, um sich lateral im Netzwerk zu bewegen. IT-Mitarbeitende müssen schnell handeln, um die Sicherheitsverletzung einzudämmen, Passwörter zurückzusetzen, Authentifizierungsprotokolle zu stärken und umfassende Untersuchungen durchzuführen, um das volle Ausmaß der Kompromittierung zu bewerten. 

So erkennen Sie einen Credential-Harvesting-Angriff 

Credential-Harvesting-Angriffe sind oft schwer zu erkennen, da sie häufig legitim wirkende Anmeldeseiten und vertrauenswürdige Benutzeranmeldedaten einbeziehen. Dennoch gibt es einige wichtige Warnzeichen, die darauf hindeuten können, dass Ihre Organisation ins Visier genommen wurde. Das frühzeitige Erkennen dieser Anzeichen kann IT-Teams dabei helfen, schnell zu handeln, die Bedrohung einzudämmen und potenzielle Schäden zu minimieren.  

Hier sind einige der häufigsten Warnzeichen, auf die Sie achten sollten: 

• Zunahme von Phishing-E-Mails: Phishing-E-Mails sind etwas, womit die meisten Unternehmen leider gelegentlich zu tun haben – daher ist es wichtig, Mitarbeitende über die Anzeichen von Phishing aufzuklären. Ein plötzlicher Anstieg der von Mitarbeitenden oder Kunden gemeldeten Phishing-E-Mails kann jedoch ein Hinweis darauf sein, dass Ihre Organisation gezielt im Rahmen eines konzentrierten Credential-Harvesting-Angriffs ins Visier genommen wird. Achten Sie insbesondere auf E-Mails, die nach Benutzeranmeldedaten wie Benutzernamen oder Passwörtern fragen. 
• Zunahme von Meldungen zu Social-Engineering-Versuchen: Ähnlich wie beim Phishing kann ein plötzlicher Anstieg der Meldungen von Mitarbeitenden über verdächtige Anrufe oder Textnachrichten darauf hindeuten, dass Angreifer Social-Engineering-Taktiken einsetzen, um Anmeldedaten zu erlangen.  

Anzeichen dafür, dass die Anmeldedaten Ihrer Endbenutzer gestohlen wurden 

• Ungewöhnlich viele Passwort-Zurücksetzungen: Wenn Sie mehr Anfragen als üblich von Nutzern erhalten, die ihr Passwort zurücksetzen möchten oder keinen Zugriff mehr auf ihr Konto haben, kann dies ein Hinweis darauf sein, dass Angreifer versuchen, auf Konten zuzugreifen. Bedrohungsakteure könnten sich an Ihren Helpdesk wenden und sich als legitime Benutzer ausgeben, um Passwörter zurückzusetzen – wie beim jüngsten M&S-Angriff. Ein Anstieg der Anfragen zum Zurücksetzen von Passwörtern kann auch darauf zurückzuführen sein, dass Angreifer bereits kompromittierte Anmeldedaten testen.  
• Unbefugter Zugriff auf Systeme oder Daten: Wenn Sie feststellen, dass sensible Dateien ohne entsprechende Berechtigung geöffnet werden oder ungewöhnliches Benutzerverhalten wie eine Rechteausweitung auftritt, kann dies auf kompromittierte Anmeldedaten hindeuten.  
• Ungewöhnliche Anmeldeaktivitäten: Plötzliche Anmeldungen von unbekannten geografischen Regionen oder IP-Adressen, zu ungewöhnlichen Zeiten oder mehrere fehlgeschlagene Login-Versuche über verschiedene Konten hinweg können darauf hindeuten, dass Angreifer zuvor abgegriffene Anmeldedaten testen.  

Wie sich Credential-Harvesting-Angriffe verhindern lassen 

Da Credential-Harvesting-Angriffe häufig darauf basieren, Benutzer zu täuschen oder Schwachstellen in Authentifizierungsprozessen auszunutzen, müssen Organisationen wachsam bleiben und starke Schutzmaßnahmen implementieren, um ihr Risiko zu verringern. 

Hier sind einige wirksame Maßnahmen zur Verhinderung von Credential Harvesting: 

• Implementieren von Multi-Faktor-Authentifizierung (MFA): Selbst wenn ein Angreifer gültige Anmeldedaten erlangt, kann die Multi-Faktor-Authentifizierung ihn daran hindern, Zugriff auf Ihre Systeme zu erhalten. Tatsächlich berichtet Microsoft, dass Multi-Faktor-Authentifizierung 99,9 % aller Angriffe auf Benutzerkonten verhindern kann. Die Anforderung einer zweiten Form der Identifikation (zum Beispiel ein Code aus einer Authentifizierungs-App) fügt eine entscheidende Schutzschicht hinzu. Allerdings kann auch die Multi-Faktor-Authentifizierung umgangen werden, sie allein bietet also keinen vollständigen Schutz.  
• Schulen von Mitarbeitenden: Regelmäßige Schulungen zur Cybersicherheit helfen Nutzern dabei, Phishing-Versuche und andere Social-Engineering-Taktiken zu erkennen und zu vermeiden – und sie verstehen die Bedeutung starker Passwörter und der Notwendigkeit, diese nicht in falsche Hände geraten zu lassen.  
• Aktualisieren von Systemen und Software: Das Beheben von Schwachstellen in Anwendungen und Systemen verringert die Angriffsfläche, die Angreifern zur Verbreitung von Credential-Harvesting-Malware zur Verfügung steht.  
• Überprüfung auf kompromittierte Anmeldedaten: Auch wenn eine starke Passwort-Richtlinie gegen einige anmeldebezogene Angriffe helfen kann, ist sie nicht unfehlbar. Selbst starke Passwörter können kompromittiert werden – zum Beispiel durch Passwort-Wiederverwendung oder Social Engineering. Daher ist es wichtig, regelmäßig ein Audit Ihres Active Directory durchzuführen, um kompromittierte Anmeldedaten zu identifizieren. Unser kostenloses Tool Specops Password Auditor kann einen schreibgeschützten Scan Ihres Active Directory durchführen und einen vollständigen Bericht über passwortbezogene Schwachstellen liefern – basierend auf einer Datenbank mit 1 Milliarde kompromittierter Passwörter. Tools wie dieses liefern unschätzbare Einblicke in Ihre Passwortsicherheit und ermöglichen es Ihnen, proaktive Maßnahmen zu ergreifen, um sich gegen opportunistische Hacker zu verteidigen. 

Schützen Sie die Anmeldeinformationen Ihrer Endbenutzer vor Angriffen  

Specops Password Auditor ist ein wertvolles Tool, um passwortbezogene Risiken zu identifizieren – allerdings erfasst es nur eine Momentaufnahme. 

Für einen proaktiveren Ansatz scannt Specops Password Policy mit Breached Password Protection kontinuierlich Ihr Active Directory nach Anmeldeinformationen, die möglicherweise kompromittiert wurden – einschließlich solcher, die bei Credential-Harvesting-Angriffen erfasst wurden. Mit über 4 Milliarden eindeutig bekannten, kompromittierten Passwörtern in seiner Blockliste hilft es Ihnen, gestohlene Benutzerdaten zu identifizieren, bevor Angreifer sie ausnutzen können. 

In Kombination mit Multi-Faktor-Authentifizierung bietet dies einen mehrschichtigen Schutz, da es das Risiko der Wiederverwendung von Zugangsdaten reduziert und eine frühzeitige Erkennung von Passwortkompromittierungen ermöglicht. 

Möchten Sie erfahren, wie Specops dabei helfen kann, kompromittierte Anmeldeinformationen in Ihrem Active Directory zu identifizieren? Kontaktieren Sie uns noch heute für eine Demo.  

FAQ