Sie haben sich ein sicheres Passwort ausgedacht. Es erfüllt alle empfohlenen Kriterien für die Passwortsicherheit: Zahlen, verstreut eingesetzte Großbuchstaben, ein paar gut platzierte ^- und $-Symbole, und es endet noch dazu mit einem umgedrehten Fragezeichen. Es ist perfekt darauf ausgelegt, das sicherste Passwort für jedes Ihrer Konten zu sein. Allerdings birgt die Wiederverwendung desselben Passworts, unabhängig davon, wie komplex es ist, die Gefahr, dass Ihre gesamte Online-Präsenz gefährdet wird, wenn es geknackt wird. In diesem Artikel sprechen wir über „Credential Stuffing“-Angriffe, wie sie sich auf Konten mit wiederverwendeten Passwörtern auswirken und was Sie tun können, um sich zu schützen.
Inhalt:
Was versteht man unter Credential Stuffing und wie funktioniert es?
Beim Credential Stuffing handelt es sich um eine Art von Cyberangriff, bei dem Kriminelle gestohlene Anmeldedaten verwenden, um unbefugten Zugriff auf Benutzerkonten oder Unternehmenssysteme zu erhalten. Für diese Betrugsmaschen beschaffen sie sich Benutzernamen und Passwörter in der Regel aus kompromittierten Datenbanken im Darknet.
Wie der Name schon andeutet, zielen Angriffe auf das „Ausfüllen“ (engl. Stuffing) von Anmeldedaten darauf ab, so viele gestohlene Anmeldekombinationen wie möglich in mehrere Websites oder Unternehmenssysteme zu „stopfen“, in der Hoffnung, Zugang zu diesen Systemen zu erhalten. Credential Stuffing beruht auf Automatisierung und der Annahme, dass viele Menschen bei mehreren Online-Diensten und -Plattformen die gleichen Anmeldedaten verwenden.
Warum ist Credential Stuffing auf dem Vormarsch?
Laut einer ergänzenden Recherche für den Data Breach Investigations Report (DBIR) 2025 von Verizon waren kompromittierte Anmeldedaten bei fast einem Viertel aller untersuchten Datenlecks die primäre Zugriffsmethode. Viele dieser Anmeldedaten wurden im Rahmen eines Credential-Stuffing-Angriffs offengelegt. Vielmehr heißt es in dem Bericht, dass 19 % der täglichen Authentifizierungsversuche mittels Credential Stuffing erfolgten. Der höchste an einem einzigen Tag verzeichnete Prozentsatz von Credential-Stuffing-Angriffen betrug 44 %.
Credential-Stuffing-Angriffe treten aufgrund ihrer Effektivität häufig auf. Cyberkriminelle verfügen über die genauen Anmeldedaten, die sie testen können, und obwohl sie nicht bestätigen können, dass diese Daten noch verwendet werden, finden sie es relativ schnell heraus. Sie setzen Bots und automatisierte Systeme ein, um in kürzester Zeit zahlreiche Kombinationen von Anmeldedaten aus den gehackten Datenbanken zu testen und festzustellen, auf welche Konten sie Zugriff erhalten können. Wenn Nutzer keine Multi-Faktor-Authentifizierung (MFA) eingerichtet haben, sind diese Konten so gut wie gestohlen.
Die Daten, die Cyberkriminelle verwenden, sind leicht zu beschaffen – gestohlene Anmeldedaten sind oft schon für einen Dollar zu haben. Selbst wenn einige der Anmeldedaten nicht funktionieren, ist das für die Hacker kein großer finanzieller Verlust. Außerdem sind Anmeldedaten häufig in Datensätzen enthalten, die Tausende oder sogar Millionen einzelner Datensätze umfassen, was Kriminellen reichlich Testmaterial bietet.
Sobald der Datenpool zusammengestellt ist, beginnen Hacker, Hunderte von automatisierten Anmeldeanfragen an mehrere Dienste zu senden, um zu prüfen, welche davon funktionieren. Wenn ein Satz von Anmeldedaten auf einer großen Plattform funktioniert, werden Hacker ihn wahrscheinlich auch auf anderen Websites oder in anderen Apps testen. Bedenkt man, dass eine durchschnittliche Person etwa 168 Konten hat, ist die Wahrscheinlichkeit, dass ein Passwort wiederverwendet wird, ziemlich hoch.
Optimieren Sie Ihre Online-Sicherheit
Speichern und verwalten Sie Ihre digitalen Werte sicher
NordPass holenCredential Stuffing im Vergleich zu Brute-Force-Angriffen
Oberflächlich betrachtet funktionieren das Credential Stuffing und Brute-Force-Angriffe sehr ähnlich. Kriminelle versuchen, sich Zugriff auf Online-Konten oder Unternehmenssysteme zu verschaffen, um diese zu übernehmen, sensible Informationen zu stehlen oder sie auf andere Weise zu kompromittieren.
Die beiden Angriffsarten unterscheiden sich jedoch in ihrer Herangehensweise. Bei Brute-Force-Angriffen verwenden Kriminelle automatisierte Prozesse, um so viele mögliche Kombinationen der Anmeldedaten ihrer Ziele wie möglich zu erraten. Laut Adrianus Warmenhoven verwenden die Angreifer KI-gestützte Tools, um Anmeldemuster vorherzusagen und das Volumen der kompromittierten Daten zu maximieren, was zu effektiveren Angriffen führt.
Bei Credential-Stuffing-Angriffen nutzen Kriminelle Daten, die sie aus kompromittierten Datenbanken gesammelt haben. Das heißt, sie wissen, dass die Kombinationen bereits irgendwo funktioniert haben, auch wenn sie die genaue Website oder das genaue System möglicherweise nicht kennen. Dadurch sind Credential-Stuffing-Angriffe erfolgreicher als Brute-Force-Angriffe.
So verhindern Sie Credential-Stuffing-Angriffe
Der Schutz vor Credential Stuffing beruht auf dem grundlegenden Problem, das hinter vielen anderen Cyberangriffen steckt: die Sicherheit von Anmeldedaten. Leider zielen Kriminelle oft direkt auf Dienstanbieter ab. Wenn diese Anbieter keinen ausreichenden Schutz vor Datenlecks bieten, können Sie selbst nicht viel tun, um Ihre Daten zu schützen. Trotzdem können Sie auf grundlegende Sicherheitspraktiken setzen, um das Risiko zu verringern, Opfer eines Credential-Stuffing-Angriffs zu werden.
Verwenden Sie Ihre Passwörter nicht wieder
Wir haben es bereits angedeutet – die Verwendung eines einzigen Passworts für jedes einzelne Konto, ganz gleich, wie stark es sein mag, ist ein Rezept für eine Katastrophe. Selbst wenn Sie es nur für zwei Konten verwenden, steigt dadurch automatisch das Risiko, dass es kompromittiert wird. Sobald die Plattform gehackt wird und das Passwort in einem Datenpaket irgendwo im Darknet landet, kann Cyberkriminelle nichts mehr davon abhalten, es zu erlangen und es in einem Credential-Stuffing-Angriff zu testen.
Zum Schutz Ihrer persönlichen Daten sollten Sie niemals dasselbe Passwort wiederverwenden. Stattdessen können Sie einen Passwort-Generator verwenden, um für jedes von Ihnen genutzte Konto ein einzigartiges und komplexes Passwort zu erstellen. Sie können die Länge und die Komplexität des Passworts anpassen und festlegen, welche Symbole Sie ein- oder ausschließen möchten. Wir empfehlen, ein Passwort zu erstellen, das mindestens 15 Zeichen lang ist und aus einer zufälligen Kombination von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht.
Richten Sie eine Multi-Faktor-Authentifizierung (MFA) ein
Die Multi-Faktor-Authentifizierung ist ein zusätzlicher Schritt zur Identitätsprüfung, der aktiviert wird, wenn Sie versuchen, sich bei einem Ihrer Online-Konten anzumelden. Eine der häufigsten MFA-Arten ist ein mehrstelliger Code, den Sie nach der Verwendung Ihrer Anmeldedaten eingeben müssen. Normalerweise wird Ihnen der Code per E-Mail zugeschickt oder von einem Programm generiert: zum Beispiel einem Authenticator. Mit der Multi-Faktor-Authentifizierung bleiben Cyberkriminelle, selbst wenn sie versuchen, Ihre gestohlenen Anmeldedaten für Credential Stuffing zu verwenden, ohne Zugriff auf den MFA-Code auf Ihrem Gerät erfolglos.
Holen Sie sich einen Passwort-Manager
Die Empfehlung, für jedes Konto ein eigenes Passwort zu verwenden, kann überwältigend sein, vor allem, wenn Sie mit persönlichen und beruflichen Anmeldedaten jonglieren müssen. Mit einem Passwort-Manager lässt sich dieses Problem jedoch ganz einfach lösen. Ein solches Tool hilft Ihnen, Ihre Passwörter, Kreditkarten und anderen persönlichen Informationen sicher zu speichern und darauf zuzugreifen, wann immer Sie sie brauchen.
Mit einem Passwort-Manager wie NordPass können Sie Ihre Anmeldedaten mühelos erstellen, speichern und verwalten. Er macht die manuelle Eingabe von Passwörtern und Benutzernamen überflüssig, indem er passende Anmeldedaten aus dem Tresor automatisch in die Website oder App einfügt. NordPass erkennt automatisch neue Anmeldedaten und ermöglicht es Ihnen, diese mit einem einzigen Klick zu speichern. So sparen Sie Zeit und vermeiden den Ärger durch versehentliche Tippfehler und vergessene Passwörter.
Überprüfen Sie regelmäßig, ob Ihre Anmeldedaten offengelegt wurden
Wenn Sie wissen, ob Ihr Benutzername oder Ihr Passwort kompromittiert wurde, ist dies ein entscheidender Faktor, um einen Credential-Stuffing-Angriff zu verhindern und die Sicherheit Ihres Kontos zu gewährleisten. Auf einigen Websites haben Sie die Möglichkeit, Ihre Benutzeraktivitäten einzusehen und sich Daten wie fehlgeschlagene Anmeldeversuche anzeigen zu lassen, einschließlich des Zeitpunkts und des Ortes, an dem sie stattgefunden haben. So können Sie feststellen, wann Ihr Passwort für Cyberkriminelle zugänglich geworden sein könnte.
Allerdings können Sie nicht manuell die Anmeldeaktivitäten jeder einzelnen Website, die Sie nutzen, auf Datenlecks überprüfen. Zwar sollten Sie benachrichtigt werden, wenn es auf einer Plattform zu einem Datenleck kommt, von dem Ihre persönlichen Daten betroffen sind, doch bis diese offizielle Mitteilung eintrifft, kann es bereits zu spät sein. Stattdessen können Sie ein Tool zur Überwachung des Darknet einrichten. Ein gutes Tool hierfür ist der NordPass Datenleck-Scanner. Er durchsucht das Darknet automatisch nach Ihren persönlichen Daten wie Passwörtern, E-Mail-Adressen und Kreditkartendaten und benachrichtigt Sie, sobald er eine Übereinstimmung findet.
Setzen Sie auf Fingerabdrücke und Verhaltensanalysen zum Nachweis Ihrer Identität
Credential Stuffing ist in hohem Maße auf Bots angewiesen, um den Versuch, unbefugten Zugriff zu erlangen, zu automatisieren und in kurzer Zeit durchzuführen. Diese Bots verfügen über einen eigenen, einzigartigen digitalen Fingerabdruck, anhand dessen sie identifiziert und von echten, menschlichen Nutzern unterschieden werden können. Jedes Mal, wenn Sie sich selbst auf einer Website anmelden, hinterlassen Sie einen Fingerabdruck, mit dem der Dienstanbieter Sie identifizieren kann. Falls ein Bot verwendet wird, um Anmeldedaten ohne Ihr Wissen einzugeben, würde die Website den nicht übereinstimmenden Fingerabdruck erkennen und eine Sicherheitsreaktion wie eine CAPTCHA-Anfrage auslösen oder den Zugriff ganz sperren.
Die Verhaltensanalyse ist ein technisch anspruchsvollerer Ansatz zur Vermeidung von Credential-Stuffing-Angriffen. Sie ermöglicht es Plattformen, menschliche Nutzer mithilfe von verhaltensbasierten biometrischen Daten, wie Mausbewegungen, Tippgeschwindigkeit und Verweildauer auf der Website, von Bots zu unterscheiden. Erkennt die Website eine geringe oder gar keine Cursorbewegung, eine ungewöhnlich hohe Klickrate und Tippgeschwindigkeit oder eine unnatürliche Eingabe von Anmeldedaten durch automatisches Kopieren und Einfügen, kann sie dieses Verhalten als botähnlich einstufen und den Anmeldeversuch verhindern.
Fazit
Credential-Stuffing-Angriffe haben eine hohe Erfolgsquote, lassen sich aber leicht vermeiden, wenn Sie sichere Verfahren zur Verwaltung von Anmeldedaten anwenden. Wenn Sie bereits ein einzelnes wiederverwendetes Passwort durch ein einzigartiges Passwort ersetzen, ist mindestens ein Konto besser vor Cyberkriminellen geschützt. Mit NordPass Premium können Sie all Ihre Anmeldedaten mühelos aktualisieren und die Multi-Faktor-Authentifizierung direkt in Ihrem Tresor einrichten. So haben Sie ständig ein Auge auf gefährdete und kompromittierte Anmeldedaten dank Funktionen wie dem Tool zur Überwachung der Passwortqualität. Bleiben Sie aufmerksam und lassen Sie nicht zu, dass Kriminelle die Sicherheit Ihrer Konten gefährden.