Das Paradoxon ist offensichtlich: Obwohl 85 Prozent der befragten Organisationen gestohlene Zugangsdaten als signifikantes Risiko erkennen, setzten viele immer noch auf oberflächliche Lösungen. MFA überall, EDR-Systeme und Zero-Trust-Architektur – für viele ist das genug. Ein großer Irrtum. Denn diese Technologien versagen kläglich, wenn Kriminelle bereits über Session-Cookies verfügen und sich als legitime Nutzer anmelden können, ohne ein einziges Passwort eingeben zu müssen.
Die Geschwindigkeit ist das Kernproblem. Ein typischer Infostealer-Angriff verläuft in wenigen Stunden: Der Rechner eines Opfers wird kompromittiert – durch Zero-Day-Exploits, ClickFix-Kampagnen, böswillige Browser-Erweiterungen oder manipulierte Open-Source-Projekte. Die Malware extrahiert Anmeldedaten und Session-Cookies aus Browsern. Die gestohlenen Daten werden gebündelt und auf Underground-Märkten oder privaten Kanälen verkauft. Ein Angreifer nutzt die erbeuteten Session-Tokens, um ins Unternehmensnetzwerk einzudringen – ohne MFA-Herausforderung, ohne Passwort-Eingabe, oft ohne Spur im Authentifizierungs-Log.
Bis dahin haben viele Unternehmen noch gar nicht bemerkt, dass etwas passiert ist. Nur 32 Prozent der befragten Unternehmen nutzen überhaupt dedizierte Credential-Monitoring-Lösungen, 17 Prozent haben keine Überwachung in diesem Bereich. Mehr als 60 Prozent überprüfen kompromittierte Zugangsdaten monatlich, selten oder gar nicht.
Das klassische Problem: Legacy-Monitoring-Tools erkennen zwar, dass ein Breach stattgefunden hat, liefern aber keine forensischen Details. Welche Konten wurden kompromittiert? Welche Geräte sind infiziert? Welche SaaS-Anwendungen sind gefährdet? Welche Session-Cookies wurden gestohlen? Diese Antworten bleiben aus. Damit bleibt auch das Wissen über die echte Auswirkung des Angriffs im Dunkeln.
Die Bedrohung ist real und vielfältig. Malware-Familien wie LummaC2, Rhadamanthys, Vidar und Acreed sind weiterhin aktiv und umgehen selbst reife Sicherheitsumgebungen. Besonders überraschend für viele: Auch macOS-Nutzer sind nicht sicher. Families wie Atomic macOS Stealer (AMOS), Odyssey und MacSync zeigen, dass die vermeintlich sicherere Plattform von Apple durchaus anfällig ist.
Was braucht es also, um dieser neuen Realität gerecht zu werden? Eine grundlegende Neuausrichtung der Breach-Monitoring-Strategie. Das bedeutet: kontinuierliche Überwachung von Breach-Quellen, Infostealer-Logs, Combolists, Underground-Märkten und Telegram-Kanälen. Automation, um Fehlalarme zu reduzieren und sich auf relevante Expositionen zu konzentrieren. Integration in bestehende SIEM-, SOAR- und Identity-Provider-Systeme, um sofortige Reaktionen zu ermöglichen – Credential-Reset, Session-Invalidierung, Account-Blockierung.
Organisationen, die diesen Weg einschlagen, erleben einen fundamentalen Mindset-Shift. Sie behandeln die Infostealer-Bedrohung nicht mehr als Nebenprodukt ihrer Security-Operations, sondern als eigenständige Domäne mit klaren Zuständigkeiten, Metriken und automatisierten Reaktions-Playbooks. Im Jahr 2026 ist das nicht mehr optional – es ist eine Notwendigkeit.