Was ist "Credential Stuffing"? Alles, was Sie wissen müssen!

In dieser Kurzanleitung behandeln wir die Grundlagen des Credential Stuffing, Credential Stuffing-Angriffe und wie man einen Credential Stuffing-Angriff verhindern kann.

Herzlichen Glückwunsch, dass Sie hier sind: Sie sind im Begriff, Ihre Online-Sicherheit auf ein völlig neues Niveau zu heben! Heute erfahren Sie alles, was Sie über Credential Stuffing-Angriffe wissen müssen. Bei dieser beliebten Cyberattacke nutzen böswillige Angreifer Anmeldedaten, die sie bei Datenschutzverletzungen erlangt haben, um in andere Konten einzubrechen. Da die Menschen ihre Passwörter immer wieder verwenden, ist dies ein sehr effektiver Angriff, vor dem Sie sich aber auch leicht schützen können!


Die meisten von uns haben Online-Konten eingerichtet und für einige, wenn nicht alle, dasselbe einfache Passwort oder denselben Benutzernamen verwendet. Wahrscheinlich hat man Ihnen auch schon gesagt oder Sie gewarnt, dass Sie für jedes Ihrer Online-Konten ein anderes Passwort erstellen und darauf achten sollten, dass es Groß- und Kleinbuchstaben, Zahlen und sogar Symbole enthält. Ein wichtiger Grund, dies zu tun, ist die Vermeidung eines Angriffs zum Ausfüllen von Anmeldeinformationen.

Was ist ein Angriff zum Ausfüllen von Anmeldeinformationen?

Ein Credential Stuffing-Angriff liegt vor, wenn Angreifer große Mengen an Anmeldedaten von einem Dienst stehlen (der in eine Datenschutzverletzung verwickelt ist) und die Daten verwenden, um in Ihre Konten auf anderen Online-Plattformen einzubrechen. In diesem Leitfaden beantworten wir Fragen wie “Was ist Credential Stuffing” und “Was ist ein Credential Stuffing Angriff” und zeigen Möglichkeiten auf, wie Sie sich davor schützen können, Opfer eines solchen Angriffs zu werden.

Inhaltsverzeichnis:

Credential Stuffing ist eine Art von Cyberangriff, bei dem massenhaft Benutzerdaten wie Benutzernamen, Passwörter und E-Mail-Adressen aus einem Datensatz entnommen und dann verwendet werden, um sich mithilfe automatisierter Tools bei anderen Diensten anzumelden. Aber wie gelangen Hacker an Ihre Anmeldedaten? Angreifer versuchen, Listen von Kennwörtern, E-Mail-Adressen und Benutzernamen (Anmeldedaten) aus Datenschutzverletzungen zu erhalten und sich damit bei vielen anderen Konten anzumelden - das ist einer der Gründe, warum es so wichtig ist, für jedes Online-Konto, das Sie haben, ein anderes, sicheres Kennwort zu verwenden. Wenn Sie dasselbe schwache Passwort verwenden, wie z. B. [name1234], laufen Sie Gefahr, Opfer eines Credential Stuffing-Angriffs zu werden.

Einem Bericht von Digital Shadows zufolge gibt es derzeit mehr als 15 Milliarden gestohlene Anmeldedaten im Internet. Aufgrund der einfachen und massenhaften Verfügbarkeit dieser Anmeldedaten sowie intelligenter Tools zum Ausfüllen von Anmeldedaten, die Bots verwenden, um gängige Anmeldeschutzmechanismen zu umgehen, ist das Ausfüllen von Anmeldedaten zu einer der am häufigsten verwendeten Techniken geworden, um Zugang zu Benutzerkonten zu erhalten.

Wie ein Credential Stuffing-Angriff abläuft

  1. Böswillige Angreifer erhalten Passwörter und Benutzernamen durch einen Phishing-Angriff, einen Website-Einbruch oder eine Passwort-Dump-Site.
  2. Diese gestohlenen Anmeldedaten werden mit Hilfe von Bots und automatisierten Tools auf Websites wie Social-Media-Sites oder Online-Banken getestet.
  3. Wenn die Anmeldedaten mit einer anderen Website übereinstimmen, hat der Angreifer erfolgreich Zugang zu einem anderen Benutzerkonto erlangt.

Anatomy of a credential stuffing attack. Anatomy of a credential stuffing attack.

Ein Credential Stuffing-Angriff findet statt, wenn Angreifer durch eine Datenpanne Zugang zu Benutzerdaten erhalten. Die Angreifer versuchen dann, sich mit den gestohlenen Daten Zugang zu anderen Benutzerkonten zu verschaffen.

Jüngste Angriffe zum Ausfüllen von Anmeldeinformationen

- Norton LifeLock - Im Jahr 2023 wurde Norton Lifelock Password Manager Opfer eines Credential Stuffing-Angriffs, bei dem Angreifer gestohlene Anmeldedaten verwendeten, um Zugang zu Benutzerkonten zu erhalten. Mehr als 925.000 Personen waren davon betroffen.

- Zoom - Im Jahr 2020 versuchten Angreifer, sich mit Hilfe von Daten aus früheren Sicherheitsverletzungen Zugang zu Zoom-Benutzerkonten zu verschaffen. Über 500.000 Zoom-Konten wurden bei diesem Angriff kompromittiert und im Dark Web verkauft.

- Nintendo - Im Jahr 2020 wurde das globale Spiele- und Unterhaltungsunternehmen Nintendo Opfer eines Angriffs, bei dem 160 000 Nintendo-Konten angegriffen wurden.

Im Laufe der Jahre gab es viele skandalöse Datenschutzverletzungen bei einer Reihe von multinationalen Unternehmen wie LinkedIn im Jahr 2021, Yahoo in den Jahren 2014 und 2017 (Sie sollten sich überlegen, Ihr Yahoo-Konto zu löschen) und Facebook im Jahr 2019 - da Facebook so viel über Sie weiß, ist dies besonders schlimm. Wenn Sie wissen möchten, ob Ihre Daten geleakt wurden, können Sie den persönlichen Datenleck-Check von Cyber News oder HaveIBeenPwned nutzen.

Aber was kann ein Angreifer tun, wenn er mein Konto erfolgreich gehackt hat?

Sobald ein Angreifer Ihre Anmeldedaten für ein Konto hat, die möglicherweise auch für ein anderes Ihrer Konten gelten, kann er eine Reihe von Dingen tun.

- Gespeicherte Werte oder Guthaben abheben oder Einkäufe tätigen.

- Zugang zu sensiblen Informationen wie privaten Nachrichten, Bildern, Dokumenten oder sogar Kreditkartennummern erlangen.

- Spam- und Phishing-Nachrichten von Ihrem Konto aus versenden.

- Ihre Anmeldedaten an sich zu nehmen und sie an andere Angreifer zu verkaufen oder zu tauschen.

Credential Stuffing-Angriffe sind eine ernsthafte Cyberbedrohung, da sie den Weg für viele andere Angriffe ebnen, mit denen böswillige Akteure Ihnen Schaden zufügen können: Identitätsdiebstahl, gezielte Phishing-Angriffe oder einfach nur Zugriff auf Ihr PayPal- oder Amazon-Konto, um Ihre Zahlungsdaten für sich zu nutzen.

Credential Stuffing vs. Brute-Force-Angriff - was ist der Unterschied?

Laut OWASP ist Credential Stuffing eine Untergruppe von Brute-Force-Angriffen, obwohl sich ein Credential Stuffing-Angriff in Wirklichkeit ganz anders verhält als ein herkömmlicher Brute-Force-Angriff. Bei einem Brute-Force-Angriff versuchen Angreifer, Passwörter zu erraten - ohne vorherigen Kontext oder Anhaltspunkte. Bei einem Brute-Force-Angriff werden gemischte Zeichen und Zahlen oder allgemeine Passwortvorschläge verwendet, um Zugang zu Konten zu erhalten. Dies ist ähnlich - aber nicht dasselbe - wie Credential Stuffing, bei dem Angreifer echte gestohlene Daten aus einer Datenschutzverletzung verwenden.

Um sich vor Brute-Force-Angriffen zu schützen, empfiehlt es sich, sichere Passwörter zu verwenden, die aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Leider spielt die Stärke Ihres Passworts keine Rolle, wenn es darum geht, Sie vor einem Credential Stuffing-Angriff zu schützen - der beste Weg, dies zu verhindern, ist die Verwendung unterschiedlicher Passwörter für jedes Konto, das Sie haben.

Wie Sie sich vor einem Credential Stuffing-Angriff schützen können

Der Hauptgrund für erfolgreiche Credential Stuffing-Angriffe liegt darin, dass Benutzer dieselben Passwörter für mehrere Konten verwenden - ja, das ist Ihr Stichwort, um Ihre Passwörter zu aktualisieren! Zum Glück haben wir einen Leitfaden für Sie, wie Sie sichere Passwörter erstellen und behalten können.

Eine der einfachsten Möglichkeiten, alle Ihre Passwörter mit eindeutigen und starken Passwörtern zu aktualisieren, ist die Verwendung eines Passwort-Managers, der auch einen Passwort-Generator wie KeePassXC enthält. Auf diese Weise werden alle Ihre Kennwörter sicher gespeichert, und Sie müssen sich nur an die Anmeldung beim Kennwortmanager erinnern, um Zugang zu all Ihren Anmeldedaten zu erhalten. Die Verwendung von Passwortmanagern hat zwei Seiten einer Medaille - wie der Angriff auf den Norton Lifelock Password Manager gezeigt hat, bei dem Zugangsdaten gestohlen wurden: Wenn der Passwort-Manager ein Leck hat oder eine Datenschutzverletzung erleidet, besteht die Gefahr, dass alle Ihre dort gespeicherten Passwörter einem Credential Stuffing-Angriff zum Opfer fallen. Deshalb ist es wichtig, dass Sie nur einen Passwortmanager verwenden, der Ihre Passwörter durch Verschlüsselung schützt und dessen Code als Open Source veröffentlicht ist, wie Bitwarden oder KeePass. Wenn Sie sich für unsere oben verlinkte Empfehlung für die besten Passwörter entscheiden, ist die Wahrscheinlichkeit, dass Ihre dort gespeicherten Passwörter Opfer einer Datenpanne werden, gleich null: Diese Apps sichern Ihre Passwörter mit Ihrem eigenen Verschlüsselungscode, so dass nur Sie Ihre Passwörter entschlüsseln können. Selbst wenn es zu einer Datenpanne kommt, kann der Angreifer Ihre Passwörter nicht abfangen.

Um zu verhindern, dass Sie Opfer eines Credential Stuffing-Angriffs werden, sollten Sie für jedes Konto ein anderes, eindeutiges und sicheres Kennwort verwenden.

Werden Sie nicht Opfer einer weiteren Yahoo-Datenpanne!

Wenn Sie ein Yahoo!-E-Mail-Benutzer sind, ist die Wahrscheinlichkeit groß, dass Sie bereits von einer Datenschutzverletzung betroffen waren. Im Jahr 2013 kam es zu einer massiven Datenpanne, von der alle 3 Milliarden Nutzerkonten betroffen waren, und 2014 folgte eine weitere Panne, bei der mehr als 500 Millionen Yahoo! Mail-Nutzerkonten kompromittiert wurden. Es ist an der Zeit, Yahoo! zu verlassen und sich für eine datenschutzfreundliche Alternative wie Tuta Mail zu entscheiden.

Wenn Sie Ihr Yahoo!-Konto löschen möchten, finden Sie hier eine Schritt-für-Schritt-Anleitung, wie Sie Ihr Yahoo!-Konto löschen können. Wenn Sie zu einem E-Mail-Anbieter wechseln möchten, bei dem der Datenschutz im Vordergrund steht und der noch nicht von einer Datenpanne betroffen war, empfehlen wir Ihnen Tuta Mail. Finden Sie heraus, wie Tuta Mail und Yahoo! Mail im Vergleich stehen, indem Sie unseren Leitfaden zu Yahoo vs. Tuta Mail lesen.

In der heutigen Online-Welt wird der Schutz der Privatsphäre immer schwieriger und für Internetnutzer unerreichbar. Möchten Sie ein neues E-Mail-Konto bei Gmail einrichten? Oder ein Hemd online kaufen? Dann müssen Sie zuerst eine Liste mit privaten Informationen angeben! So sollte das Internet nicht sein.

Leider sind große Technologieunternehmen wie Microsoft, Google und Meta so macht-, geld- und datenhungrig, dass sie Ihre privaten Informationen sammeln, Sie über ihre Anwendungen verfolgen und Ihre Daten an Werbetreibende verkaufen, um Gewinne zu erzielen. Im Gegenzug werden Sie durch Werbung gezielt angesprochen und erhalten nicht die Privatsphäre, die Sie verdienen. Ein großes Problem dabei ist, dass Sie für die Nutzung dieser verschiedenen Online-Dienste immer Ihre privaten Daten angeben müssen, z. B. Ihre Handynummer oder E-Mail-Adresse. Wenn also einer dieser Dienste von einer Datenschutzverletzung betroffen ist, ist es sehr wahrscheinlich, dass Ihre privaten Informationen nicht mehr so privat sind!

Wir empfehlen Ihnen, zu einem E-Mail-Anbieter wie Tuta Mail zu wechseln, der bei der Einrichtung eines Kontos keine privaten Daten abfragt. Bei Tuta Mail können Sie sich anonym anmelden, es ist kostenlos, und Ihre gesamte Mailbox ist Ende-zu-Ende verschlüsselt.

Tuta ist ein E-Mail- und Kalenderservice, der in Deutschland entwickelt wurde und den strengen EU-Gesetzen zur Datenschutz-Grundverordnung unterliegt. Darüber hinaus ist Tuta vollständig Open Source und hält sich an strenge Datenschutz- und Sicherheitsprotokolle. Tuta Mail ist führend in Sachen E-Mail-Datenschutz und Sicherheit, wenn nicht sogar der sicherste E-Mail-Anbieter der Welt.

Melden Sie sich noch heute für Ihr kostenloses Tuta-Mail-Konto an und genießen Sie den Datenschutz, den Sie verdienen.