DatenschutzHackerangriffeCyberkriminalität

Gestohlene Zugangsdaten: Die neue Einfallspforte für Cyberkriminelle

Gestohlene Zugangsdaten: Die neue Einfallspforte für Cyberkriminelle
Zusammenfassung

Die Cyberbedrohungslandschaft verschiebt sich fundamental: Angreifer nutzen nicht mehr primär Sicherheitslücken, sondern gestohlene Anmeldedaten, um in Unternehmensnetzwerke einzudringen. Eine aktuelle Analyse von Recorded Future offenbart ein alarmierendes Wachstum gestohlener Zugangsdaten auf illegalen Märkten – im Jahr 2025 wurden fast zwei Milliarden Anmeldedaten indexiert, mit einer Steigerung von 90 Prozent vom ersten zum vierten Quartal. Besonders besorgniserregend ist die Industrialisierung von Infostealer-Malware und KI-gestützten Phishing-Angriffen, die es Cyberkriminellen erleichtern, in großem Stil Credentials zu sammeln und zu missbrauchen. Von den analysierten gestohlenen Daten waren zwei Drittel mit kritischen Systemen wie Okta, Microsoft Azure oder VPNs verknüpft – also Zugängen mit breiter Netzwerkabdeckung. Besonders kritisch: 31 Prozent der Malware-Credentials enthielten aktive Session-Cookies, die es Angreifern ermöglichen, die Multifaktor-Authentifizierung zu umgehen. Für deutsche Unternehmen und Behörden bedeutet dies eine drastische Neubewertung ihrer Sicherheitsstrategie: Der Fokus muss von perimeterbasierten Defensen auf kontinuierliche Identitätsüberwachung und intelligente Zugriffskontrollen verlagert werden, um gegen diese wachsende Bedrohung gewappnet zu sein.

Die Daten sprechen eine klare Sprache: Identitätsbasierte Angriffe sind zur primären Bedrohung für Unternehmensnetze geworden. Dies bestätigen auch andere Sicherheitsforschungsinstitute. Google konnte zeigen, dass gestohlene Zugangsdaten in 21 Prozent der Ransomware-Vorfälle 2025 der initiale Zugriffspunkt waren, während Verizon solche kompromittierten Credentials in 22 Prozent der untersuchten Fälle als Top-Zugriffsmethode identifizierte.

Besonders tückisch ist die Missbrauchsmethode mittels gestohlener Session-Cookies. Recorded Future analysierte 276 Millionen Zugangsdaten mit aktiven Session-Cookies – das sind 31 Prozent aller malware-bezogenen Credentials. Diese Cookies ermöglichen es Angreifern, bereits authentifizierte Sitzungen zu kapern, ohne ein Passwort zu benötigen. Das Perfide daran: Sie umgehen Multifaktor-Authentifizierung (MFA) vollständig.

Wer wird ins Visier genommen? Die Analyse von sieben Millionen gestohlenen Zugangsdaten mit zuordenbaren URLs offenbarte ein strategisches Muster. Fast zwei Drittel der Credentials zielten auf hochwertige Systeme ab – etwa Okta-Login-Seiten, Microsoft Azure Active Directory-Portale oder Unternehmens-VPNs. Diese Systeme bieten Angreifern maximale Reichweite im Netzwerk. Weitere bevorzugte Ziele sind Remote Monitoring and Management Tools (RMM), Cloud-Plattformen und E-Mail-Infrastruktur.

Die Ursachen für diese Entwicklung sind vielfältig. Alexander Leslie, Senior Advisor bei Recorded Future, identifiziert die Industrialisierung von Infostealer-Malware, Malware-as-a-Service-Angebote und KI-gestützte Phishing- sowie Social-Engineering-Methoden als Katalysatoren. Diese Trends senken die Einstiegshürden für Cyberkriminelle massiv und erhöhen gleichzeitig Volumen und Qualität der gestohlenen Daten.

Was können Organisationen tun?

Leslie empfiehlt eine Strategieumschwung: Weg von perimeter- und MFA-zentrierten Defensen, hin zu kontinuierlicher Identitätsüberwachung und schneller Reaktion. Konkret sollten Unternehmen:

  • Geräte- und verhaltensbasierte bedingte Zugriffspolitiken durchsetzen
  • Phishing-resistente MFA-Verfahren wie FIDO2 implementieren
  • Kontinuierliche Überwachung exponierter Credentials etablieren
  • Hochrisiko-Zugangsdaten für IAM, Sicherheitstools und SIEM als Tier-0-Assets mit strikter Segregation, Vaulting und Rotation behandeln
  • Real-time Exposure Detection für diese kritischen Systeme einführen

Die Botschaft ist unmissverständlich: Identität ist die neue Angriffsfläche. Angreifer loggen sich nicht mehr ein – sie loggen sich ein.

Ähnliche Artikel