Was der Vorfall in Stryker über Handalas Vorgehensweise bei Angriffen verrät.
Den Blog lesen

Was der Stryker-Vorfall über Handalas Vorgehensweise verrät. Zum Blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Grundlagen der Cybersicherheit
  2. Diebstahl von Zugangsdaten

Anmeldedaten-Diebstahl erklärt: Techniken, Erkennung und Schutzmaßnahmen für Unternehmen

Wichtige Erkenntnisse

  • Der Diebstahl von Zugangsdaten ist der häufigste Einbruchsweg. Gestohlene Zugangsdaten waren im Jahr 2025 für 22 % aller Sicherheitsverletzungen verantwortlich (Verizon DBIR), wobei die Zahl der kompromittierten Konten im Vergleich zum Vorjahr um 389 % in die Höhe schoss.
  • Die Lieferkette für Infostealer ist industrialisiert. Allein im ersten Halbjahr 2025 erbeuteten Angreifer 1,8 Milliarden Zugangsdaten – ein Anstieg um 800 % –, während in einer rekordverdächtigen Dark-Web-Zusammenstellung 16 Milliarden Zugangsdaten auftauchten.
  • Die herkömmliche MFA reicht nicht mehr aus. Bei der ShinyHunters-SSO-Kampagne (Januar 2026) wurde die Push-basierte MFA in Echtzeit umgangen. Nur eine phishing MFA (FIDO2/Passkeys) bietet starken Schutz.
  • Angriffe durch den Missbrauch von Zugangsdaten verursachen durchschnittlich Kosten in Höhe von 4,8 Millionen Dollar, und es dauert etwa 292 Tage, bis sie erkannt und eingedämmt sind. Daher ist eine frühzeitige Erkennung von entscheidender Bedeutung.
  • Eine wirksame Verteidigung erfordert eine einheitliche Überwachungsfähigkeit. Ein effektiver Schutz vor dem Diebstahl von Anmeldedaten verbindet Verhaltensanalysen, die Erkennung und Abwehr von Identitätsbedrohungen (ITDR), zero trust sowie die kontinuierliche Überwachung von Anmeldedaten über Netzwerk, Identitätsmanagement und cloud hinweg.

Der Diebstahl von Anmeldedaten nimmt schneller zu, als die meisten Sicherheitsteams reagieren können. Laut dem Verizon DBIR 2025 waren gestohlene Anmeldedaten die Ursache für 22 % aller bestätigten Sicherheitsverletzungen – der höchste Wert unter allen einzelnen Angriffsvektoren –, während der Unit 42-Bericht zur Incident Response 2026 ergab, dass Schwachstellen bei der Identitätsverwaltung in 90 % der Untersuchungen eine wesentliche Rolle spielten. Dieser Leitfaden schlüsselt den Lebenszyklus des Diebstahls von Anmeldedaten von der anfänglichen Erlangung bis zur Ausnutzung auf und stellt den gesamten MITRE ATT&CK Technik-Taxonomie ab und liefert die Erkennungs- und Präventionsstrategien, die Unternehmen benötigen, um sich gegen Angriffe auf Basis gestohlener Anmeldedaten im Jahr 2026 und darüber hinaus zu verteidigen.

Was ist Identitätsdiebstahl?

Der Diebstahl von Anmeldedaten bezeichnet den unbefugten Zugriff auf Authentifizierungsdaten – Benutzernamen, Passwörter, Tokens, Sitzungs-Cookies, API-Schlüssel und Zertifikate –, die dazu verwendet werden, sich als legitime Benutzer auszugeben und sich unbefugten Zugriff auf Systeme, Anwendungen und Daten zu verschaffen. Im Gegensatz zu Brute-Force-Angriffen, bei denen Anmeldedaten erraten werden, zielt der Diebstahl von Anmeldedaten auf bereits vorhandene gültige Anmeldedaten ab, und zwar durch phishing, malware, Social Engineering oder die Ausnutzung unsicherer Speichermöglichkeiten für Anmeldedaten.

Der Diebstahl von Anmeldedaten ist von Bedeutung, da er Angreifern die Möglichkeit gibt, sich als vertrauenswürdige Insider in Umgebungen zu bewegen. Der Verizon DBIR 2025 bestätigte, dass gestohlene Anmeldedaten bei 12.195 bestätigten Vorfällen 22 % aller Sicherheitsverletzungen auslösten – mehr als jeder andere Erstzugriffsvektor. Der eSentire 2025 TRU-Bericht dokumentierte einen Anstieg der Kontokompromittierungen um 389 % im Vergleich zum Vorjahr, wobei gültige Anmeldedaten 55 % aller beobachteten Sicherheitsvorfälle verursachten. Und der Unit 42-Bericht zur Incident Response 2026 zeigte, dass Schwachstellen bei der Identitätsverwaltung – viele davon aufgrund gestohlener oder kompromittierter Anmeldedaten – bei 90 % der Untersuchungen eine wesentliche Rolle spielten, wobei 65 % der Erstzugriffe speziell durch identitätsbasierte Cyberangriffstechniken verursacht wurden.

Diese Zahlen spiegeln einen grundlegenden Wandel wider. Angreifer entscheiden sich zunehmend dafür, sich anzumelden, anstatt sich gewaltsam Zugang zu verschaffen, wodurch der Diebstahl von Zugangsdaten zum bevorzugten Weg für Datenlecks, ransomware und die Kompromittierung der Lieferkette wird.

Diebstahl von Zugangsdaten vs. Credential Stuffing

Das Verständnis des Unterschieds zwischen verwandten Begriffen ist für eine genaue Bedrohungsmodellierung von entscheidender Bedeutung.

Tabelle: Diebstahl von Zugangsdaten vs. Credential Stuffing vs. Credential Harvesting.

Begriff Definition Wesentlicher Unterschied
Diebstahl von Zugangsdaten Die weit gefasste Kategorie, die alle Methoden zum Diebstahl von Authentifizierungsdaten (Passwörter, Tokens, Cookies, Schlüssel) umfasst Sammelbegriff, der den gesamten Lebenszyklus eines Angriffs abdeckt
Credential Stuffing Eine bestimmte Technik (T1110.004) die bereits bekannt gewordene Benutzernamen-Passwort-Kombinationen nutzt, um sich bei anderen Diensten anzumelden Nutzt die Wiederverwendung von Passwörtern aus; setzt einen vorherigen Sicherheitsverstoß voraus
Sammeln von Zugangsdaten Die Phase des Anmeldedaten-Diebstahls, in der Angreifer in großem Umfang Anmeldedaten mittels phishing, Infostealern oder Scraping sammeln Der Schwerpunkt liegt auf der Beschaffung, nicht auf der Nutzung

Angesichts einer Wiederverwendungsrate von Passwörtern von 51 % über verschiedene Dienste hinweg (Verizon DBIR 2025) ist Credential Stuffing nach wie vor äußerst effektiv – doch es stellt nur eine von vielen Techniken im Rahmen des allgemeinen Passwortdiebstahls dar.

So funktioniert der Diebstahl von Zugangsdaten

Der moderne Diebstahl von Zugangsdaten funktioniert wie eine industrialisierte Lieferkette mit vier klar abgegrenzten Phasen. Das Verständnis jeder einzelnen Phase hilft Sicherheitsteams dabei, in jeder Stufe Erkennungsmaßnahmen zu ergreifen.

  1. Erlangung. Angreifer verschaffen sich Zugangsdaten durch phishing , malware, Social Engineering oder die Ausnutzung offengelegter Speicherstellen für Zugangsdaten. Phishing(PhaaS)-Plattformen – erhältlich für 200 bis 300 US-Dollar pro Monat – waren im Jahr 2025 für 63 % der Kontokompromittierungen verantwortlich, wobei sie „Adversary-in-the-Middle“ (AitM)-Techniken einsetzten, um MFA zu umgehen und Sitzungstoken zu stehlen (eSentire 2025).
  2. Erfassung. Gestohlene Anmeldedaten werden aus Anmeldedaten-Speichern, Betriebssystem-Speicherauszügen, Browser-Passwort-Speichern und durch das Abfangen von Netzwerkdaten gesammelt. malware im ersten Halbjahr 2025 1,8 Milliarden Anmeldedaten malware – ein Anstieg um 800 % – und zwar auf 5,8 Millionen kompromittierten Hosts (Flashpoint-Analyse zu Infostealern 2025).
  3. Validierung. Angreifer nutzen automatisierte Tools, um gesammelte Anmeldedaten in großem Umfang bei den Ziel-Diensten zu testen. Tools zur Überprüfung von Anmeldedaten validieren gestohlene Kombinationen zügig und unterscheiden dabei aktive Konten von abgelaufenen Anmeldedaten.
  4. Ausnutzung. Validierte Anmeldedaten ermöglichen den Zugriff auf Konten, laterale Bewegung, Privilegienerweiterung, Datenexfiltration und ransomware . Die schnellsten 25 % der Angriffe erreichten im Jahr 2025 bereits nach 72 Minuten die Datenexfiltration – gegenüber 285 Minuten im Jahr 2024 –, während die durchschnittliche Ausbruchszeit bei Cyberkriminalität auf 29 Minuten sank (CrowdStrike Global Threat Report 2026).
Der Lebenszyklus des Diebstahls von Anmeldedaten – von der ersten Erlangung bis zur Nutzung.
Der Lebenszyklus des Diebstahls von Anmeldedaten – von der ersten Erlangung bis zur Nutzung.

Die Wirtschaft mit Zugangsdaten im Dark Web verstärkt diesen Trend in jeder Phase. Bei einem Datenleck im Februar 2026, das alle bisherigen Rekorde brach, wurden 16 Milliarden gesammelte Zugangsdaten im Dark Web veröffentlicht, und der Verizon DBIR 2025 ergab, dass nur 49 % der Passwörter eines durchschnittlichen Nutzers über verschiedene Dienste hinweg einzigartig waren – was bedeutet, dass die Wiederverwendung von 51 % der Passwörter zu Credential Stuffing in massivem Ausmaß führt.

Arten von Angriffen zum Diebstahl von Zugangsdaten

Angreifer nutzen eine Vielzahl von Techniken zum Diebstahl von Anmeldedaten, von denen viele offiziell unter MITRE ATT&CK TA0006 (Credential Access) erfasst sind. Das MITRE ATT&CK dokumentiert 17 Techniken mit über 50 Untertechniken im Rahmen dieser Taktik. Hier sind die wichtigsten Kategorien.

Ausgabe von Anmeldedaten (T1003). Angreifer extrahieren Anmeldedaten direkt aus dem Arbeitsspeicher des Betriebssystems, der Active Directory-Datenbank oder der Replikation des Domänencontrollers. Zu den Techniken gehört die LSASS-Speicherextraktion (T1003.001), Zugriff auf NTDS-Dateien (T1003.003) sowie DCSync-Angriffe (T1003.006). Tools wie Mimikatz werden häufig mit dem Auslesen von Anmeldedaten in Szenarien nach einer Kompromittierung in Verbindung gebracht.

Brute-Force-Angriffe (T1110). Passwort-Spraying (T1110.003) testet gängige Passwörter für zahlreiche Konten, um eine Sperrung zu vermeiden, während Credential Stuffing (T1110.004) nutzt bereits kompromittierte Kontenpaare für neue Dienste aus.

Das Ausspähen von Anmeldedaten aus Passwort-Speichern (T1555). Angreifer haben es auf im Browser gespeicherte Anmeldedaten abgesehen (T1555.003) und Passwortmanager (T1555.005). Laut dem Picus Red-Bericht 2026, T1555 (Anmeldedaten aus Passwort-Speichern) tauchten bei 23,49 % aller analysierten Angriffe auf – damit gehören sie zu den am häufigsten beobachteten Techniken zum Diebstahl von Anmeldedaten.

phishing nach Zugangsdaten. Bei phishingAngriffen werden gefälschte Anmeldeseiten, die Manipulation von Unternehmens-E-Mails und phishing eingesetzt, phishing Nutzer dazu zu verleiten, ihre Zugangsdaten preiszugeben. PhaaS-Plattformen haben diesen Angriffsweg industrialisiert.

Kerberoasting (T1558.003). Angreifer fordern Kerberos-Diensttickets für Dienstkonten an und knacken diese offline, um Passwörter im Klartext wiederherzustellen, wodurch Erweiterung von Berechtigungen.

Netzwerküberwachung (T1557). Man-in-the-Middle-Angriffe, einschließlich LLMNR/NBT-NS-Poisoning (T1557.001), den Authentifizierungsdatenverkehr im Netzwerk abfangen, um die übertragenen Anmeldedaten zu erfassen.

Ungesicherte Anmeldedaten (T1552). In Klartextdateien gespeicherte Anmeldedaten (T1552.001) oder über Metadaten-APIs cloud zugänglich (T1552.005) werden von Angreifern mit Systemzugriff direkt abgegriffen.

MFA-Umgehung (T1556.006, T1621). Angreifer manipulieren Authentifizierungsprozesse oder nutzen die „MFA-Müdigkeit“ aus, indem sie wiederholt Push-Benachrichtigungen versenden, um Multi-Faktor-Sicherheitsmaßnahmen zu umgehen.

Zuordnung von MITRE ATT&CK -Modell

Die folgende Tabelle ordnet die wichtigsten Techniken MITRE ATT&CK für den Zugriff MITRE ATT&CK ihren jeweiligen Angriffsmethoden und Erkennungsansätzen zu.

Tabelle: Zuordnung der MITRE ATT&CK -Zugriffstechniken MITRE ATT&CK (TA0006) zu Erkennungsansätzen.

Technik-ID Technikname Angriffsmethode Erkennungsansatz
T1003.001 Auslesen von Betriebssystem-Anmeldedaten: LSASS-Speicher Anmeldedaten aus dem Speicher des Windows-LSASS-Prozesses extrahieren Überwachen Sie den Zugriff auf LSASS durch nicht standardmäßige Prozesse
T1003.003 Auslesen von Betriebssystem-Anmeldedaten: NTDS Auf die Active Directory-Domänen-Datenbankdatei zugreifen Erkennen der Verwendung von ntdsutil.exe und der Erstellung von Volume-Schattenkopien
T1003.006 Auslesen von Betriebssystem-Anmeldedaten: DCSync Missbrauch des Replikationsprotokolls für Domänencontroller Überwachen Sie ungewöhnliche Replikationsanfragen von Hosts, die keine Domänencontroller sind
T1110.003 Brute-Force-Angriff: Password Spraying Gängige Passwörter für zahlreiche Konten überprüfen Warnmeldung zu verteilten Authentifizierungsfehlern bei verschiedenen Konten
T1110.004 Brute-Force-Angriff: Credential Stuffing Verwende gestohlene Anmeldedaten für neue Dienste Erkennen Sie zahlreiche Anmeldeversuche aus ungewöhnlichen Quellen
T1555.003 Anmeldedaten aus Passwort-Speichern: Webbrowser Im Browser gespeicherte Anmeldedaten abrufen Dateizugriffe auf Browser-Anmeldedatenbanken überwachen
T1555.005 Anmeldedaten aus Passwort-Speichern: Passwort-Manager Ziel: Anmeldedaten-Speicher von Drittanbietern Unbefugte Zugriffe auf Passwort-Tresor-Dateien erkennen
T1056.001 Eingabeerfassung: Keylogging Tastatureingaben aufzeichnen, um Anmeldedaten bei der Eingabe zu erfassen Auf Anzeichen für Keylogger-Prozesse und API-Hooks überwachen
T1557.001 Man-in-the-Middle-Angriff: LLMNR/NBT-NS-Poisoning Falsche Namensauflösung zum Abfangen von Anmeldedaten Auf LLMNR-/NBT-NS-Antworten von unerwarteten Hosts überwachen
T1558.003 Kerberos-Tickets stehlen oder fälschen: Kerberoasting Kerberos-Diensttickets offline anfordern und knacken Warnmeldung bei einer hohen Anzahl von Anfragen nach Kerberos-Service-Tickets
T1558.001 Kerberos-Tickets stehlen oder fälschen: Golden Ticket TGTs unter Verwendung eines gestohlenen KRBTGT-Hashs erstellen Erkennen von TGT-Anomalien und ungewöhnlicher Domänenauthentifizierung
T1539 Web-Sitzungs-Cookie stehlen Sitzungscookies für den authentifizierten Zugriff abrufen Überwachen Sie die Wiederverwendung von Sitzungstoken von neuen Standorten aus
T1528 Anwendungstoken stehlen OAuth- oder API-Token für den Zugriff auf Dienste abrufen OAuth-Berechtigungsmuster und Anomalien bei der Token-Nutzung verfolgen
T1552.001 Ungesicherte Anmeldedaten: Anmeldedaten in Dateien Nach Anmeldedaten im Klartext in Dateien und Skripten suchen Repositorys auf geheime Daten überprüfen; bei Zugriff auf Dateien mit Anmeldedaten eine Warnmeldung ausgeben
T1552.005 Ungesicherte Anmeldedaten: Cloud Metadata API Endpunkte für cloud nach Anmeldedaten abfragen Überwachen Sie die Zugriffsmuster auf die Metadaten-API durch Workloads
T1556.006 Authentifizierungsprozess anpassen: MFA MFA-Mechanismen deaktivieren oder ändern Änderungen an der MFA-Konfiguration und an Richtlinien erkennen
T1621 Erstellung von MFA-Anfragen Umgehung der MFA aufgrund von Push-Benachrichtigungsmüdigkeit Warnmeldung bei wiederholten MFA-Push-Anfragen innerhalb kurzer Zeit
T1606.002 Web-Anmeldedaten erstellen: SAML-Token SAML-Token für den föderierten Zugriff generieren Überwachung auf Anomalien bei SAML-Assertions und Änderungen bei der Signatur

Der Picus Red Report 2026 verzeichnete zudem einen Rückgang von 38 % bei ransomware fest, was auf einen allgemeinen Trend hin zu einer durch Zugangsdaten ermöglichten „stillen Präsenz“ hindeutet – bei der Angreifer gestohlene Zugangsdaten nutzen, um sich einen dauerhaften, verdeckten Zugriff zu sichern, anstatt auffällige malware.

Neue Angriffswege beim Diebstahl von Zugangsdaten

Die Landschaft des Diebstahls von Zugangsdaten entwickelt sich rasch weiter und geht über den herkömmlichen Passwortdiebstahl hinaus. Mehrere Angriffsvektoren, die von Mitbewerbern regelmäßig übersehen werden, stellen ein wachsendes Risiko für Unternehmen dar.

Diebstahl von Tokens und Sitzungen (T1539, T1528). Beim Diebstahl von Anmeldedaten zielen Angreifer zunehmend auf Authentifizierungstoken und Sitzungscookies ab, statt auf Passwörter. Durch den Diebstahl von Sitzungscookies wird die mehrstufige Authentifizierung (MFA) vollständig umgangen, da der Angreifer eine bereits authentifizierte Sitzung übernimmt. Der Missbrauch von OAuth-Token gewährt dauerhaften API-Zugriff, der auch nach einer Passwortzurücksetzung bestehen bleibt. Dieser Angriffsvektor gewinnt zunehmend an Bedeutung, da Unternehmen zunehmend auf cloud und SaaS-lastige Architekturen umsteigen.

malware . Infostealer breiten sich von Windows auf macOS aus; Forscher von Microsoft dokumentieren plattformübergreifende Varianten wie DigitStealer, MacSync und AMOS, die auf dateilose Ausführung und AppleScript-Automatisierung setzen. Neue Verbreitungsmethoden wie ClickFix (gefälschte CAPTCHA-Fallen) umgehen herkömmliche E-Mail-Sicherheitskontrollen.

Durch KI ermöglichter Diebstahl von Anmeldedaten. Der IBM X-Force Threat Index 2026 meldete, dass über 300.000 ChatGPT-Anmeldedaten im Dark Web aufgetaucht sind und die Angriffe insgesamt um 44 % zugenommen haben. Gestohlene Anmeldedaten werden dazu genutzt, agentische KI-Systeme als Waffen einzusetzen – was SecurityWeek als das „Blast-Radius-Problem“ bezeichnet –, wobei kompromittierte Anmeldedaten nicht nur Zugriff auf einzelne Konten, sondern auf ganze automatisierte Arbeitsabläufe gewähren. Die Sicherheit agentischer KI wird zu einem kritischen Thema, da KI-Agenten die Berechtigungen ihrer Dienstkonten erben.

AngriffeCloud . Der Diebstahl von Anmeldedaten ist die häufigste Angriffsmethode auf cloud ; laut Thales sind 67 % der Unternehmen davon betroffen. Der Bericht „Unit 42 2026“ ergab, dass 99 % der cloud , -Rollen und -Dienste übermäßige Berechtigungen besaßen – darunter auch Zugriffe, die seit 60 oder mehr Tagen ungenutzt waren –, was eine weitreichende Angriffsfläche für gestohlene cloud schuf.

Der Diebstahl von Zugangsdaten in der Praxis

Beispiele aus der Praxis zeigen, wie sich der Diebstahl von Zugangsdaten vom ersten Zugriff bis hin zu katastrophalen Folgen entwickelt. Diese Fallstudien weisen ein gemeinsames Muster auf: eine einzige gestohlene Zugangsdaten, fehlende oder umgehbare Multi-Faktor-Authentifizierung (MFA) und massive Folgewirkungen.

Datenpanne bei Snowflake (2024). Der Angreifer UNC5537 nutzte Anmeldedaten, die über malware gestohlen worden waren malware einige davon stammten bereits aus dem Jahr 2020 malware , um auf etwa 160 Kundeninstanzen von Snowflake zuzugreifen, darunter AT&T, Ticketmaster und die Santander Bank. Bei keinem der betroffenen Konten war die MFA aktiviert, sodass eine Ein-Faktor-Authentifizierung mit den gestohlenen, bereits Jahre alten Anmeldedaten möglich war. Die Angriffskette reichte von der Infektion mit Infostealer-Malware über das Sammeln von Anmeldedaten und den Verkauf im Dark Web bis hin zur Kontoübernahme und Datenexfiltration bei 160 Organisationen. (AnalyseCloud Alliance; Analyse von Google/Mandiant zu UNC5537)

Diagramm: Angriffskette des Snowflake-Hacks, die den Verlauf von der Infektion mit einem Infostealer (2020) über das Sammeln von Anmeldedaten, den Verkauf im Dark Web, den Zugriff auf Konten ohne MFA und die Datenexfiltration über 160 Instanzen hinweg bis hin zu den Folgewirkungen auf AT&T, Ticketmaster und Santander zeigt. Bildunterschrift: „Angriffskette des Snowflake-Hacks: Wie Jahre zuvor gestohlene Anmeldedaten einen massiven Angriff auf die Lieferkette ermöglichten.“

Sicherheitsverletzung bei PowerSchool (Januar 2025). Ein einziger Satz kompromittierter Anmeldedaten – ohne MFA-Schutz – verschaffte einem Angreifer Zugriff auf das Kundensupport-Portal von PowerSchool, wodurch letztlich personenbezogene Daten von rund 62 Millionen Schülern und Lehrern an 18.000 Schulen offengelegt wurden, darunter Sozialversicherungsnummern und medizinische Informationen. (Analyse von TechTarget zu PowerSchool)

ShinyHunters-SSO-Kampagne (Januar 2026). Die Hackergruppe ShinyHunters (bekannt als UNC6661) griff rund 100 Organisationen an und nutzte dabei ausgefeiltephishing , um Okta-SSO-Anmeldedaten zu stehlen und von den Angreifern kontrollierte Geräte in die MFA der Opfer einzubinden. Zu den Zielen gehörten Atlassian, Canva, Epic Games, HubSpot, Harvard und UPenn. Die Angreifer nutzten ein Echtzeit-Webpanel, um phishing dynamisch zu manipulieren, während sie mit den Opfern telefonierten – was zeigt, dass herkömmliche push-basierte MFA nicht mehr ausreicht. (ShinyHunters-SSO-Kampagne; Google/Mandiant-Analyse zu ShinyHunters)

Colonial Pipeline (2021). Die Angreifer nutzten einen einzigen Satz gestohlener VPN-Zugangsdaten aus einem alten Konto ohne Zwei-Faktor-Authentifizierung, um sich Zugang zum Netzwerk von Colonial Pipeline zu verschaffen, und setzten ransomware „DarkSide“ ein, ransomware den Kraftstoffvertrieb an der gesamten Ostküste der USA für sechs Tage lahmlegte. Dieser Fall zeigt, dass inaktive Konten mit gültigen Zugangsdaten eine kritische Angriffsfläche darstellen.

Das Muster bei allen vier Vorfällen ist eindeutig: Der Diebstahl von Zugangsdaten in Verbindung mit fehlender oder umgehbarer Multi-Faktor-Authentifizierung sowie inaktiven, nicht verwalteten Zugangsdaten schafft einzelne Schwachstellen, die eine laterale Bewegung, eine Ausweitung über die Lieferkette und katastrophale Datenlecks ermöglichen.

Auswirkungen auf das Geschäft und Kosten des Diebstahls von Zugangsdaten

Datendiebstähle, bei denen Zugangsdaten missbraucht werden, verursachen messbare finanzielle und betriebliche Kosten, die Investitionen in die Erkennung und Prävention von Datendiebstahl rechtfertigen.

Tabelle: Quantifizierte geschäftliche Auswirkungen von Identitätsdiebstahl im Zeitraum 2025–2026.

Metrisch Wert Quelle Jahr
Durchschnittliche Kosten pro Sicherheitsverletzung durch gestohlene Zugangsdaten 4.8 Millionen IBM: Kosten einer Data Breach 2025
Durchschnittliche Zeit bis zur Identifizierung und Eindämmung 292 Tage IBM: Kosten einer Data Breach 2025
Ransomware , deren Zugangsdaten zuvor offengelegt wurden 54% Verizon DBIR 2025 2025
Ein Infostealer für Unternehmen protokolliert Zugangsdaten von Mitarbeitern 2,05 Millionen Flare-Studie 2026 2026
Zunahme von Angriffen durch KI-gestützte Angreifer 89 % im Vergleich zum Vorjahr CrowdStrike-Bericht über globale Bedrohungen 2026 2026

Der Bericht von Flare Research für 2026 ergab zudem, dass sich die Gefährdung von Unternehmensidentitäten mehr als verdoppelt hat – von 6 % der Infostealer-Infektionen Anfang 2024 auf fast 14 % Ende 2025. Der Zusammenhang zwischen dem Diebstahl von Anmeldedaten und ransomware direkt: Bei 54 % der ransomware waren zuvor Anmeldedaten in Infostealer-Protokollen offengelegt worden, wobei 40 % davon Unternehmens-E-Mail-Adressen enthielten (Verizon DBIR 2025).

Diese Kennzahlen zur Cybersicherheit verdeutlichen eine zentrale Herausforderung: Angriffe, die auf Zugangsdaten abzielen, sind sowohl am kostspieligsten als auch am schwersten zu erkennen, sodass Angreifer fast 10 Monate Zeit haben, bevor Unternehmen den Vorfall erkennen und eindämmen können.

Erkennung und Verhinderung von Identitätsdiebstahl

Ein wirksamer Schutz vor dem Diebstahl von Zugangsdaten erfordert mehrschichtige Erkennungs- und Präventionsmaßnahmen. Ziel ist es, sowohl die Wahrscheinlichkeit eines Zugriffs auf Zugangsdaten als auch die Verweildauer nach einem solchen Zugriff zu verringern.

Erkennungsansätze

Verhaltensanalyse. Überwachen Sie auf anomale Authentifizierungsmuster, darunter unmögliche Reisen (Anmeldungen von geografisch weit entfernten Orten innerhalb unmöglich kurzer Zeiträume), ungewöhnliche Anmeldezeiten, abnormaler Ressourcenzugriff und verdächtige Privilegienerweiterung. Die Verhaltenserkennung deckt den Missbrauch von Anmeldedaten auf, der statische Regeln und signaturbasierte Tools umgeht.

Erkennung und Reaktion auf Identitätsbedrohungen (ITDR). ITDR-Plattformen erkennen den Missbrauch von Anmeldedaten auf der Identitäts-Ebene – sie überwachen in Echtzeit auf Anomalien in Sitzungen, den Missbrauch von Authentifizierungsprotokollen, die Ausweitung von Berechtigungen und identitätsbasierte laterale Bewegungen. ITDR lässt sich in SIEM- und SOAR-Lösungen integrieren, um Reaktionsszenarien zu automatisieren, sobald Anzeichen für einen Diebstahl von Anmeldedaten auftreten.

Netzwerküberwachung und -reaktion (NDR). Die Analyse des Netzwerkverkehrs erkennt die Exfiltration von Anmeldedaten, Command-and-Control-Kommunikation sowie laterale Bewegungen unter Verwendung gestohlener Anmeldedaten – und bietet so Transparenz, selbst wenn endpoint kompromittiert sind oder fehlen.

Honeytokens und Testzugangsdaten. Verteilen Sie Scheinzugangsdaten in der gesamten Umgebung. Wenn ein Angreifer versucht, ein Honeytoken zu verwenden, löst dies einen detaillierten Alarm aus, der bestätigt, dass gerade ein Diebstahl von Zugangsdaten stattfindet.

Präventionsmaßnahmen

Unternehmen sollten die folgenden Kontrollmaßnahmen einführen, um den Diebstahl von Zugangsdaten zu verhindern. Jeder Schritt bezieht sich auf eine bestimmte Phase des Lebenszyklus des Diebstahls von Zugangsdaten.

  1. Führen Sie für alle Konten eine phishing MFA (FIDO2/Passkeys) ein
  2. Überprüfung von Passwörtern anhand von Datenbanken mit kompromittierten Anmeldedaten gemäß NIST SP 800-63B
  3. Implementieren Sie die Verwaltung privilegierter Zugriffe mit Just-in-Time-Bereitstellung
  4. Einführen zero trust mit kontinuierlicher Überprüfung gemäß NIST SP 800-207
  5. Überwachen Sie das Dark Web auf die Offenlegung von Zugangsdaten Ihres Unternehmens
  6. Inaktive Konten deaktivieren und die Verwaltung des Lebenszyklus von Anmeldedaten durchsetzen
  7. Setzen Sie Passwortmanager ein, um die Wiederverwendung von Passwörtern zu vermeiden (51 % Wiederverwendungsrate laut Verizon DBIR 2025)
  8. Schulen Sie Ihre Mitarbeiter darin, Social Engineering und Voice phishing zu erkennen

Phishing MFA als neuer Standard

Herkömmliche Multi-Faktor-Authentifizierung – SMS-Codes, Push-Benachrichtigungen und TOTP – lässt sich zunehmend umgehen. Die ShinyHunters-SSO-Kampagne demonstrierte im Januar 2026, wie sich die MFA in Echtzeit durch phishing die Registrierung von Angreifer-kontrollierten Geräten umgehen lässt (Analyse von Google/Mandiant zu ShinyHunters).

Das NIST empfiehlt phishing Authentifizierungsverfahren – insbesondere FIDO2/WebAuthn und Passkeys – als Standard für eine starke Authentifizierung. Die CISA hat Erfolgsgeschichten von Bundesbehörden veröffentlicht, die FIDO2 implementiert haben, und der sich abzeichnende Konsens ist eindeutig: Organisationen sollten phishing MFA einsetzen, anstatt sich auf veraltete MFA-Methoden zu verlassen, die durch Techniken zum Diebstahl von Zugangsdaten umgangen werden können.

Diebstahl von Zugangsdaten und Compliance

Maßnahmen zum Schutz vor dem Diebstahl von Zugangsdaten entsprechen direkt den Anforderungen der wichtigsten Sicherheitsrahmenwerke und Compliance-Standards. Die folgende Zuordnungstabelle hilft GRC-Teams dabei, Investitionen in den Schutz von Zugangsdaten mit Prüfungsnachweisen zu verknüpfen.

Tabelle: Maßnahmen zum Schutz vor dem Diebstahl von Zugangsdaten, zugeordnet zu den wichtigsten Compliance-Rahmenwerken.

Rahmenwerk Kontroll-ID Bedeutung des Diebstahls von Zugangsdaten Link zur Quelle
NIST CSF 2.0 PR.AA, DE.CM Identitätsmanagement, Authentifizierung, kontinuierliche Überwachung NIST Cybersecurity Framework
NIST SP 800-63B AAL2/AAL3 Passwortüberprüfung anhand kompromittierter Datenbanken; phishing MFA NIST SP 800-63B
CIS Controls Version 8 Bedienelemente 5, 6, 16 Kontoverwaltung, Zugriffskontrolle, Überprüfung von Anmeldedaten Zuordnung von CIS-Steuerelementen
ISO 27001:2022 A.8.5, A.5.16, A.8.16 Sichere Authentifizierung, Identitätslebenszyklusmanagement, Überwachung Referenz zur Zuordnung nach ISO 27001
PCI DSS v4.0 Anforderung 8, Anforderung 10 MFA für den Zugriff auf Karteninhaberdaten sowie zur Protokollierung und Überwachung der Authentifizierung Verweis auf die PCI-DSS- und HIPAA-Standards
HIPAA 164.312(d), 164.308(a)(5) Personenauthentifizierung, Schulungen zur Sensibilisierung für Sicherheitsfragen Verweis auf die PCI-DSS- und HIPAA-Standards

Künftige Trends und neue Überlegungen

Die Landschaft im Bereich des Diebstahls von Zugangsdaten verändert sich rasant. In den nächsten 12 bis 24 Monaten werden mehrere Trends bestimmen, wie Unternehmen den Schutz vor und die Erkennung von Zugangsdatendiebstahl angehen.

Durch KI beschleunigte Angriffe auf Zugangsdaten. Der „CrowdStrike 2026 Global Threat Report“ dokumentierte einen Anstieg der KI-gestützten Angreiferaktivitäten um 89 %, und der „IBM X-Force 2026 Threat Index“ meldete einen Gesamtanstieg der Angriffe um 44 %. KI ermöglicht es Angreifern, überzeugendere phishing in großem Maßstab zu entwickeln, die Überprüfung von Zugangsdaten zu automatisieren und die Ausnutzung nach einer Kompromittierung zu beschleunigen. Das Aufkommen des Diebstahls von Anmeldedaten für KI-Agenten – die ersten Infostealer, die auf Anmeldedaten für KI-Agenten abzielten, wurden im Februar 2026 entdeckt – signalisiert, dass sich die Angriffsfläche auf autonome Systeme ausweitet.

Beschleunigte Einführung von Passkeys und FIDO2. Da sich herkömmliche MFA zunehmend als umgehbar erweist, wird die Einführung von Passkeys und FIDO2-Hardware-Token in Unternehmen an Fahrt gewinnen. Der regulatorische Druck nimmt zu: Die Aktualisierung der NIST SP 800-63 Rev. 4 und die Umsetzung der EU-NIS2-Richtlinie im Jahr 2026 könnten neue Anforderungen an eine phishing Authentifizierung mit sich bringen.

Weg von ransomware „Silent Residency“. Der „Picus Red Report 2026“ dokumentierte einen Rückgang der ransomware um 38 %, wobei Angreifer zunehmend gestohlene Anmeldedaten nutzen, um sich einen dauerhaften, verdeckten Zugriff für Datendiebstahl und Spionage zu sichern, anstatt auffällige ransomware einzusetzen. Diese Entwicklung erfordert eine verhaltensbasierte Erkennung, die Muster des Missbrauchs von Anmeldedaten über längere Verweildauern hinweg identifiziert.

Konvergenz von NDR und ITDR. Die Erkennungsfunktionen von Netzwerk-, Identitäts- und cloud verschmelzen zunehmend miteinander. Unternehmen sollten Plattformen den Vorrang geben, die Identitätssignale (unmögliche Bewegungen, Ausweitung von Berechtigungen, ungewöhnliche Authentifizierung) mit Netzwerkverhalten (laterale Bewegungen, Datenexfiltration) und cloud korrelieren, um den Diebstahl von Anmeldedaten in der gesamten hybriden Umgebung zu erkennen.

Empfehlungen zur Vorbereitung. Unternehmen sollten die Einführung phishing MFA für alle Konten beschleunigen (wobei privilegierte Konten und Dienstkonten Vorrang haben sollten), eine kontinuierliche Überwachung der Anmeldedaten auf Offenlegung im Dark Web einführen, in Verhaltensanalysen investieren, die den Missbrauch von Anmeldedaten ohne Rückgriff auf Signaturen erkennen, und Leitfäden für die Reaktion auf Vorfälle im Zusammenhang mit Anmeldedaten erstellen, die den gesamten Lebenszyklus des Diebstahls von Anmeldedaten abdecken.

Moderne Ansätze zur Abwehr von Identitätsdiebstahl

Die Branche konzentriert sich zunehmend auf verschiedene Verteidigungsmaßnahmen gegen den Diebstahl von Anmeldedaten: ITDR-Plattformen, die identitätsbasierte Angriffe in Echtzeit erkennen, Verhaltensanalysen, die den Missbrauch von Anmeldedaten ohne Signaturen aufdecken, NDR mit Identitätskorrelation für Transparenz auf Netzwerkebene, SIEM/SOAR-Automatisierung für die Reaktion auf Vorfälle im Zusammenhang mit Anmeldedaten sowie zero trust , die eine kontinuierliche Überprüfung gewährleisten.

Den wirksamsten Ansätzen liegt ein gemeinsames Prinzip zugrunde: Man geht davon aus, dass Anmeldedaten kompromittiert werden, und baut Erkennungs- und Reaktionsmechanismen auf, die Angreifer nach dem ersten Zugriff, aber noch bevor sie ihre Ziele erreichen, aufspüren. Dies bedeutet eine einheitliche Überwachbarkeit über Netzwerk, Identitätsmanagement und cloud hinweg cloud Signale über alle drei Ebenen hinweg korreliert werden, um den tatsächlichen Missbrauch von Anmeldedaten aufzudecken.

Wie Vectra AI den Schutz vor dem Diebstahl von Zugangsdaten Vectra AI

Attack Signal Intelligence Vectra AI Attack Signal Intelligence das Verhalten von Angreifern über Netzwerk, Identitäten und cloud hinweg, cloud Techniken zum Diebstahl von Anmeldedaten aufzudecken, die herkömmlichen Tools entgehen. Die Plattform korreliert identitätsbasierte Signale – unmögliche Bewegungsmuster, Privilegieneskalation, ungewöhnliche Authentifizierungsmuster – mit Netzwerkverhalten, um tatsächlichen Missbrauch von Anmeldedaten aufzudecken. Dadurch wird die Anzahl unnötiger Warnmeldungen reduziert und gleichzeitig die Erkennung von Bedrohungen sowie die Reaktion darauf beschleunigt. Mit 12 Referenzen in MITRE D3FEND (mehr als jeder andere Anbieter) und 35 Patenten im Bereich Cybersicherheits-KI Vectra AI die Signalklarheit, die SOC-Betriebsteams benötigen, um Angriffe auf Zugangsdaten abzuwehren, bevor sie zu Sicherheitsverletzungen führen. Erfahren Sie, wie die ITDR- und NDR-Funktionen Vectra AI zusammenwirken, um vor dem Diebstahl von Zugangsdaten in hybriden Umgebungen zu schützen.

Schlussfolgerung

Der Diebstahl von Anmeldedaten ist nicht nur eine Angriffstechnik – er ist der vorherrschende Weg, über den Angreifer in Unternehmensumgebungen eindringen, sich dort halten und sich darin bewegen. Angesichts der Tatsache, dass 22 % aller Sicherheitsverletzungen auf gestohlene Anmeldedaten zurückzuführen sind, Infostealer in nur sechs Monaten 1,8 Milliarden Anmeldedaten gesammelt haben und die Kosten für Sicherheitsverletzungen im Durchschnitt bei 4,8 Millionen US-Dollar liegen, ist diese Bedrohung sowohl allgegenwärtig als auch quantifizierbar.

Das Muster, das sich bei allen größeren Sicherheitsverletzungen – von Snowflake über PowerSchool bis hin zu ShinyHunters – zeigt, verdeutlicht eine klare Erkenntnis: Prävention allein reicht nicht aus. Unternehmen müssen davon ausgehen, dass Zugangsdaten kompromittiert werden, und in Erkennungsfunktionen investieren, die den Missbrauch von Zugangsdaten frühzeitig aufdecken, bevor Angreifer sich seitlich ausbreiten, Daten abziehen oder ransomware . Das bedeutet: phishing MFA als Mindeststandard, Verhaltensanalysen über Identitäts- und Netzwerkschichten hinweg sowie eine einheitliche Überwachbarkeit der gesamten hybriden Umgebung.

Die Unternehmen, die den Diebstahl von Zugangsdaten als ein Signalproblem betrachten – und nicht nur als ein Präventionsproblem –, sind diejenigen, die Angriffe innerhalb von Minuten statt erst nach Monaten erkennen.

Erfahren Sie, wie Vectra AI Angriffe auf Zugangsdaten im Netzwerk, im Identitätsbereich und cloud Vectra AI .

Grundlagen der Cybersicherheit

Was ist ein Angriff auf die Supply Chain ? Risiken und Prävention verstehen

Angriffe auf die Lieferkette dringen in Unternehmen ein, indem sie auf Schwachstellen bei Drittanbietern, Softwareanbietern oder Dienstleistungspartnern abzielen. Mit der zunehmenden Abhängigkeit von externen Partnern steigt auch das Risiko dieser raffinierten Cyber-Bedrohungen.

Mehr lesen
Bedrohungsakteure in der Cybersicherheit verstehen

Cyber-Bedrohungen gehen nicht mehr von einzelnen Personen aus, sondern sind das Ergebnis einer Vielzahl von ausgeklügelten und gut organisierten Einheiten mit unterschiedlichen Zielen und Fähigkeiten.

Mehr lesen
ransomware der Verschlüsselung abfangen: Leitfaden für 2025 | Vectra AI

Erfahren Sie, was ransomware , wie Angriffe funktionieren und welche Abwehrstrategien sich bewährt haben. Bedrohungsdaten für 2025, Präventionsmaßnahmen und Expertenratschläge zur Erkennung.

Mehr lesen
Exploits in der Cybersicherheit: Arten, Beispiele und Prävention

Erfahren Sie, was Exploits sind, wie sie funktionieren und wie Sie sich dagegen schützen können. Behandelt werden Zero-Days, Exploit-Ketten, CISA KEV und Bedrohungsstatistiken für 2025.

Mehr lesen
Datenverstöße: Was sie kosten und wie man sie verhindern kann

Erfahren Sie, was Datenverstöße sind, wie sie entstehen, wie hoch ihre tatsächlichen Kosten sind (durchschnittlich 4,44 Millionen US-Dollar) und wie Sie sie verhindern können. Enthält Fallstudien zu Mega-Verstößen aus den Jahren 2024–2025.

Mehr lesen
Malware: Über 12 Arten, wie sie funktionieren und wie man sie erkennt

Erfahren Sie, was malware , entdecken Sie mehr als 12 Arten und erfahren Sie, wie moderne Erkennungsmethoden – einschließlich verhaltensbasierter KI – Bedrohungen aufspüren, die herkömmlichen Tools entgehen.

Mehr lesen
Dateilose malware: Warum sie Antivirenprogramme umgeht und wie man sie stoppen kann

Dateilose malware vertrauenswürdige Betriebssystem-Tools malware , um sich im Speicher auszuführen und so Antivirenprogramme zu umgehen. Erfahren Sie, wie sie funktioniert, welche Kampagnen es in der Praxis gibt und welche Erkennungsstrategien es gibt.

Mehr lesen
Was ist Kerberoasting?

Kerberoasting ist eine ausgeklügelte Angriffstechnik, die das Kerberos-Authentifizierungsprotokoll ausnutzt, um Passwörter für Dienstkonten in Windows zu knacken ...

Mehr lesen
ransomware mit doppelter Erpressung: Erkennen Sie sie, bevor Daten verloren gehen

ransomware mit doppelter Erpressung ransomware Datendiebstahl mit Verschlüsselung. Erfahren Sie mehr über den Angriffsverlauf, Erkennungsstrategien und wie Sie Ihr Unternehmen im Jahr 2026 schützen können.

Mehr lesen
Alle Grundlagen der Cybersicherheit anzeigen

Häufig gestellte Fragen

Was ist Identitätsdiebstahl?

Was ist der Unterschied zwischen dem Diebstahl von Zugangsdaten und Credential Stuffing?

Wie stehlen Hacker Zugangsdaten?

Wie verhindert man den Diebstahl von Zugangsdaten?

Wie hoch sind die Kosten eines Angriffs auf Zugangsdaten?

Wie erkennt man den Diebstahl von Zugangsdaten?

Was ist das Sammeln von Zugangsdaten?