Flexible Sicherheit für Ihre Sorgenfreiheit

Table of Contents

Kostenloses Active-Directory-Audit-Tool

Jetzt ausprobieren
Computer screen displaying strings of characters in a dark room

Credential-Stuffing-Angriffe: Funktionsweise & Tipps zur Prävention

Table of Contents

Credential-Stuffing-Angriffe nehmen zu und werden so schnell nicht verschwinden. Solange Benutzer Passwörter wiederverwenden und Angreifer einfachen Zugang zu geleakten Daten haben, wird die Bedrohung bestehen bleiben. Und da aktuelle Berichte darauf hindeuten, dass das Volumen kompromittierter Anmeldeinformationen im Jahr 2025 bisher um 160 % gestiegen ist, scheinen Hacker mehr Zugang zu Daten zu haben als je zuvor.

Der beste Weg, nicht das nächste Opfer eines Credential-Stuffing-Angriffs zu werden, ist zu verstehen, wie diese funktionieren. In diesem Blog erklären wir, was Credential Stuffing ist, wie es typischerweise abläuft und was Ihre Organisation tun kann, um es zu erkennen und zu verhindern.

Was ist Credential Stuffing?

Credential Stuffing ist eine Art Cyberangriff, bei dem Angreifer gestohlene Benutzernamen- und Passwortkombinationen, die in der Regel aus einer früheren Datenpanne stammen, verwenden, um sich bei anderen Konten auf verschiedenen Plattformen anzumelden.

Diese Methode basiert auf der Annahme, dass viele Menschen dieselben Anmeldeinformationen für mehrere Konten wiederverwenden – zum Beispiel könnten sie denselben Benutzernamen und dasselbe Passwort sowohl für Online-Shopping als auch für Online-Banking verwenden. Das bedeutet, wenn Angreifer einen Satz von Anmeldeinformationen von einer Plattform erhalten, können sie oft unbefugten Zugriff auf andere Plattformen erlangen, ohne Passwörter knacken oder erraten zu müssen.

Leider ist die Wiederverwendung von Passwörtern extrem verbreitet. Eine Studie von Bitwarden ergab, dass 72 % der Gen-Z-Befragten zugaben, Passwörter wiederzuverwenden, und 35 % angaben, ihr Passwort nach einer Datenpanne nie oder selten zu aktualisieren. Das bietet Angreifern zahlreiche Möglichkeiten, offengelegte Anmeldeinformationen auszunutzen.

desktop screen with warnings
Wie viele Ihrer Endbenutzer verwenden ein kompromittiertes Passwort in AD?
Mehr Info

Ist Credential Stuffing eine Art Brute-Force-Angriff?

Credential Stuffing wird im Allgemeinen als Untergruppe von Brute-Force-Angriffen klassifiziert, auch von OWASP. Es gibt jedoch einen wichtigen Unterschied zwischen den beiden Angriffsarten.

Bei traditionellen Brute-Force-Angriffen versuchen Hacker, Passwörter zu erraten, indem sie jede mögliche Kombination (oder Wörterbuchangriffe) ausprobieren, bis sie erfolgreich sind, meist mithilfe von Bots. Credential Stuffing hingegen verwendet bekannte, gültige Anmeldeinformationen, die in Datenpannen offengelegt wurden. Der „Brute-Force“-Aspekt ergibt sich aus der Automatisierung und dem Umfang, nicht aus dem Erraten von Passwörtern.

Während beide automatisierte Anmeldeversuche beinhalten, ist Credential Stuffing weitaus effizienter und schwerer zu erkennen, wenn es nicht ordnungsgemäß gemindert wird.

Password Spraying vs. Credential Stuffing

Diese beiden Angriffe werden oft verwechselt, aber sie funktionieren auf grundlegend unterschiedliche Weise. Credential Stuffing zielt auf viele Konten mit bekannten, gültigen Anmeldeinformationen ab, während Password Spraying viele Konten mit einigen häufig verwendeten schwachen Passwörtern (wie Password1) angreift.

Beide können traditionelle Erkennungsmechanismen umgehen, aber Credential Stuffing ist besonders gefährlich, da es echte Anmeldeinformationen verwendet, denen Benutzer vertrauen.

Wie funktioniert ein Credential-Stuffing-Angriff?

Ein typischer Credential-Stuffing-Angriff folgt einem einfachen, aber effektiven Prozess:

  1. Datenerfassung: Der erste Schritt besteht darin, dass der Angreifer geleakte Anmeldeinformationen aus früheren Pannen erhält. Diese werden oft auf Dark-Web-Marktplätzen gekauft oder in Open-Source-Dumps gefunden.
  2. Zielidentifikation: Der Angreifer wählt Zielanwendungen oder -dienste aus, gegen die die Anmeldeinformationen getestet werden sollen. Dies sind oft hochwertige Plattformen wie Banken, E-Commerce oder Unternehmensportale.
  3. Automatisierung und Tools: Angreifer konfigurieren Bots oder automatisierte Credential-Stuffing-Tools, um massenhafte Anmeldeversuche auf vielen Websites unter Verwendung der gestohlenen Anmeldeinformationslisten zu starten.
  4. Testen von Anmeldeinformationen: Die Bots versuchen Anmeldungen in großem Umfang und suchen nach erfolgreichen Übereinstimmungen.
  5. Ausnutzung: Erfolgreiche Anmeldungen können zu Finanzbetrug, Datendiebstahl, weiterer lateraler Bewegung oder dem Verkauf gültiger Anmeldeinformationen führen.

Diese Methode ist für Angreifer attraktiv, da sie minimalen Aufwand erfordert und massiv skaliert werden kann, insbesondere wenn Organisationen grundlegende Schutzmaßnahmen wie Ratenbegrenzung oder Multi-Faktor-Authentifizierung fehlen.

Statistiken beziffern die Erfolgsquote von Credential-Stuffing-Angriffen in der Regel auf 0,1 % bis 2 %. Das mag nicht viel erscheinen, aber bei dem Umfang, in dem diese Angriffe stattfinden, kann dies Hunderte oder Tausende von kompromittierten Konten bedeuten.

Reale Beispiele für Credential-Stuffing-Angriffe

Credential Stuffing stand in den letzten Jahren im Mittelpunkt vieler hochkarätiger Sicherheitsverletzungen. Hier sind einige bemerkenswerte Fälle:

  • Roku (2024): Roku erlitt zwei große Credential-Stuffing-Angriffe, die insgesamt rund 591.000 Konten betrafen. Angreifer nutzten kompromittierte Anmeldeinformationen von anderen Websites, um auf Roku-Konten zuzugreifen und unautorisierte Käufe zu tätigen, was Roku dazu veranlasste, die Zwei-Faktor-Authentifizierung für alle Konten einzuführen.
  • PayPal (2023): Die Zahlungsplattform PayPal meldete, dass bei einem Credential-Stuffing-Angriff im Jahr 2023 schätzungsweise 35.000 Konten kompromittiert wurden. Dabei nutzten Angreifer Anmeldeinformationen, die bei einem früheren Datenleck erlangt wurden.
  • Zoom (2020): Über 500.000 Zoom-Anmeldeinformationen wurden 2020 im Darknet zum Verkauf angeboten. Die Anmeldeinformationen wurden durch Credential Stuffing gesammelt, wobei Hacker Zoom nach der weit verbreiteten Einführung von Remote-Arbeit ins Visier nahmen.

In jedem Fall lag das Grundproblem nicht in einem Fehler bei der Passwortspeicherung des Zielsystems, sondern in der Wiederverwendung kompromittierter Anmeldeinformationen durch Benutzer über mehrere Konten hinweg.

Wie man Credential Stuffing erkennt

Credential Stuffing kann sehr schwer zu erkennen sein; da es echte Anmeldeinformationen verwendet, imitiert es das Verhalten eines legitimen Benutzers. Es gibt jedoch Muster, die auf den ersten Blick harmlos erscheinen mögen, aber böswilliges Verhalten in großem Umfang offenbaren.

Einige häufige Indikatoren, auf die Sie achten sollten, sind:

  • Ungewöhnliche Anmeldeversuche: Ein plötzlicher Anstieg fehlgeschlagener Anmeldeversuche oder Anmeldungen aus mehreren geografischen Regionen innerhalb kurzer Zeit sind ein klassischer Indikator für verdächtige Aktivitäten.
  • Erhöhte Bot-Aktivität: Die Erkennung von automatisiertem Bot-Verhalten, wie sehr schnelle Anmeldeanfragen, die Verwendung unterschiedlicher User-Agents oder Versuche, CAPTCHAs zu umgehen, begleitet oft Credential Stuffing.
  • Hohes Volumen an Kontosperrungen: Ein Anstieg der Benutzer, die aufgrund fehlgeschlagener Anmeldeversuche aus ihren Konten ausgesperrt werden, kann auf automatisierte Tests von Anmeldeinformationen hindeuten.
  • Unautorisierte Käufe oder ungewöhnliche Kontoaktivitäten: Dies ist in der Regel ein Zeichen dafür, dass Credential Stuffing erfolgreich war und Hacker Zugriff auf ein Konto erhalten haben.

Wie man Credential-Stuffing-Angriffe verhindert

Die Verhinderung von Credential Stuffing kann schwierig sein, aber es gibt Schritte, die Sie unternehmen können, um Ihre Organisation davor zu schützen.

1. Multi-Faktor-Authentifizierung (MFA) erzwingen

Die Implementierung von MFA für alle Konten ist eine der effektivsten Methoden, um Credential-Stuffing-Angriffe erfolgreich zu verhindern. Die Anforderung, dass Benutzer ihre Identität durch eine sekundäre Methode überprüfen, fügt eine kritische Barriere hinzu, die Angreifer daran hindern kann, auf Konten zuzugreifen, selbst wenn sie gültige Anmeldeinformationen besitzen.

2. Benutzer über Passwort-Hygiene aufklären

Bieten Sie regelmäßige Mitarbeiterschulungen zur Bedeutung der Verwendung starker, einzigartiger Passwörter über alle Konten hinweg und zu den Gefahren der Passwortwiederverwendung an.

3. Überwachung auf kompromittierte Anmeldeinformationen

Das Identifizieren und Beheben kompromittierter Anmeldeinformationen, bevor sie in einem Angriff verwendet werden, ist entscheidend, um Credential Stuffing zu verhindern. Mit Specops Password Auditor erhalten Sie ein kostenloses, schreibgeschütztes Audit Ihres Active Directory, das Konten und Passwörter mit 1 Milliarde anfälliger Anmeldeinformationen aus Datenpannen abgleicht. Laden Sie es noch heute kostenlos herunter, um nach schwachen und kompromittierten Passwörtern zu suchen.

4. Ratenbegrenzung implementieren

Legen Sie Schwellenwerte fest, um die Anzahl der Anmeldeversuche von einer einzelnen IP-Adresse oder einem Konto innerhalb eines bestimmten Zeitraums zu begrenzen. Dies kann automatisierte Credential-Stuffing-Angriffe verlangsamen oder stoppen, bevor sie ein großes Ausmaß erreichen.

5. Verdächtige Automatisierung und Bots blockieren

Verwenden Sie Bot-Erkennungs- und -Minderungstools wie CAPTCHA, Browser-Fingerprinting oder Verhaltensanalyse, um automatisierte Anmeldeversuche zu identifizieren und zu blockieren. Diese Technologien helfen, zwischen legitimen Benutzern und bösartigen Bots zu unterscheiden, die versuchen, gestohlene Anmeldeinformationen auszunutzen.

Verhindern Sie, dass Benutzer kompromittierte Passwörter wählen

Credential-Stuffing-Angriffe leben von schwachen und kompromittierten Anmeldeinformationen, was bedeutet, dass ihre Eindämmung mit starken Passwortrichtlinien beginnt.

Specops Password Policy stärkt Ihre Abwehrmaßnahmen, indem es benutzerdefinierte Passwortregeln durchsetzt und die Verwendung kompromittierter Passwörter in Echtzeit blockiert. Mit Zugriff auf eine wachsende Datenbank von über vier Milliarden bekannten kompromittierten Passwörtern warnt es Benutzer automatisch, wenn ihre Passwörter in aktiven Angriffslisten gefunden werden, und leitet sie an, sichere, konforme Alternativen zu erstellen.

Schützen Sie Ihre Organisation vor Credential Stuffing mit intelligenterer Passworterzwingung. Testen Sie Specops Password Policy noch heute kostenlos.

Zuletzt aktualisiert am 19/11/2025

Back to Blog

Related Articles

Kostenloses Active-Directory-Audit-Tool

Authentication and password security is more important than ever. Our password audit tool scans your Active Directory and identifies password-related vulnerabilities. The collected information generates multiple interactive reports containing user and password policy information.

Jetzt ausprobieren

© 2025 Specops Software. All rights reserved.