Dasselbe Passwort für verschiedene Konten zu nutzen, gilt weithin als Kavaliersdelikt. Den meisten Internetnutzern dürfte dennoch bewusst sein, dass ein wiederverwendetes Passwort ein Sicherheitsrisiko darstellt. Es scheitert allerdings an der Umsetzung dieses Wissens: Einer Umfrage von Nordpass zufolge, verwenden 50 Prozent der Befragten ihr Passwort mehrfach wieder. Die Gründe dafür sind allzu menschlich: Sich mehrere, möglichst komplexe Passwörter zu merken, ist anstrengend. Insbesondere die große Anzahl an Online-Accounts zwingt scheinbar einige dazu, Zugangsdaten über mehrere Konten hinweg zu nutzen.
Cyberkriminellen nutzen diese Marotte gezielt aus, indem sie geleakte Passwörter und E-Mail-Adressen bei verschiedenen Diensten ausprobieren. Cybersicherheitsexperten sprechen hierbei von Credential Stuffing. Ein Vergleich macht die Gefahr deutlich, die mit doppelt genutzten Passwörtern einhergeht: Man stelle sich vor, das eigene Haus sowie Auto und Bargeldtresor wären mit einem einzigen Schlüssel gesichert. Gerät dieser Schlüssel in die Hände eines Kriminellen, hat der Zugang zum gesamten Leben.
In diesem Blogpost erklären wir, warum Credential Stuffing so gefährlich ist, wie Cyberkriminelle vorgehen und wie sich Nutzer effektiv schützen.
Was macht Credential Stuffing so gefährlich und effektiv?
Für Cyberkriminelle ist Credential Stuffing eine dankbare Möglichkeit, um schnell an Geld und sogar Daten zu kommen: Die Kombination aus Benutzernamen und Passwort gehört immer noch zu den gängigsten Sicherungsmethoden für Online-Accounts. Darüber hinaus lassen sich solche Attacken weitestgehend automatisieren: Bots oder andere Tools können innerhalb kürzester Zeit erbeutete Zugangsdaten bei einer Vielzahl verschiedener Online-Konten ausprobieren: vom Streaming- bis hin zum Cloud-Speicheranbieter. Online-Banking ist zum Glück mittlerweile durch Zwei-Faktor-Authentifizierung vor unbefugtem Zugriff abgesichert.
Im Vergleich zu Brute-Force-Angriffen, bei denen Angreifer versuchen, ein Passwort anhand zufälliger oder häufig verwendeter Muster zu erraten, ist Credential Stuffing einfacher: Es stützt sich auf Informationen, die Nutzer selbst oder ihre Online-Dienste bereits vor Jahren preisgegeben haben. Bei einem Brute-Force-Angriff kann der Cyberkriminelle einen Alarm auslösen, wenn er sich wiederholt mit falschen Login-Daten anmeldet. Beim Credential Stuffing greift er auf bereits gültige Anmeldedaten zurück und die Angriffe bleiben meist unbemerkt.
Neue Schadsoftware hilft Cybergaunern bei der Passwortjagd
Credential Stuffing ist keineswegs neu. Mehrere Trends haben das Problem aber verschärft. Die Menge an Schadsoftware zum Informationsdiebstahl ist explosionsartig angestiegen. Diese Infostealer erfassen unbemerkt Anmeldedaten direkt von den Geräten ihrer Opfer. Sogar für die als sicher geltenden Passwort-Manager stellen sie ein Problem dar, wenn die digitalen Wanzen im richtigen Moment mithören.
Gleichzeitig verwenden Angreifer (KI-gestützte) Skripte, die normales menschliches Verhalten simulieren. Hiermit umgehen sie grundlegende Abwehrmaßnahmen und können gleichzeitig Anmeldedaten heimlicher und in größerem Umfang ausprobieren.
In der Vergangenheit kam es bereits zu großen Datenlecks:
- 2025 bot ein Hacker eine riesige Sammlung an Zugangsdaten in einem Darknet-Forum an. Mit Hilfe von Infostealern und aus anderen Quellen kam so 15,8 Millionen Zugangsdaten zusammen – angeboten für günstige 641 Euro.
- Kunden von Snowflake, einem Cloud-Anbieter, waren 2024 Ziel einer groß angelegten Angriffswelle. Der Dienst selbst wurde nicht gehackt. Stattdessen nutzten Angreifer zuvor gestohlene Zugangsdaten, um sich bei Kundenkonten anzumelden. In mehreren Fällen kam es zu Datendiebstahl und anschließenden Erpressungsversuchen.
- Im Jahr 2022 meldete PayPal, dass fast 35.000 Kundenkonten durch Credential Stuffing kompromittiert wurden. Auch der Zahlungsdienstleister wurde nicht gehackt. Die Angreifer nutzten lediglich Anmeldedaten aus älteren Datenlecks und griffen auf Konten von Benutzern zu, die dieselben Passwörter für mehrere Konten verwendet hatten.
Vorsicht statt Nachsicht
Hier sind einige praktische Tipps, mit denen Nutzer sicher bleiben:
- Verwenden Sie niemals dasselbe Passwort für mehrere Websites oder Dienste. Ein Passwort-Manager hilft, da er für jedes Konto sichere, einzigartige Passwörter generieren und speichern kann.
- Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung (2FA). Selbst wenn Angreifer Ihre Zugangsdaten erbeutet haben, können sie sich ohne diesen zweiten Faktor nicht anmelden.
- Bleiben Sie wachsam. Nutzen Sie Dienste wie haveibeenpwned.com, um zu überprüfen, ob Ihre E-Mail-Adresse oder Anmeldedaten bereits offengelegt wurden. Ist dies der Fall, ergreifen und ändern Sie sofort Ihre Passwörter, insbesondere für Konten mit sensiblen Daten. Einige Passwort-Manager gleichen gespeicherte Zugangsdaten automatisch mit solchen Datenbanken ab und warnen Nutzer bei unsicheren Passwörtern.
So schützen Sie Ihr Unternehmen
Credential Stuffing ist ein Hauptvektor für Kontoübernahmen, Betrug und groß angelegten Datendiebstahl in verschiedenen Branchen, darunter Einzelhandel, Finanzen, SaaS und Gesundheitswesen. Viele Unternehmen verlassen sich bei der Authentifizierung immer noch ausschließlich auf Passwörter. Selbst wenn 2FA verfügbar ist, wird es keineswegs immer standardmäßig durchgesetzt. Unternehmen sollten außerdem die Anzahl der Anmeldeversuche begrenzen, Netzwerklisten oder IP-Whitelists verlangen, ungewöhnliche Anmeldeaktivitäten überwachen und Bot-Erkennungssysteme oder CAPTCHAs einsetzen, um automatisierten Missbrauch zu blockieren. Zudem sollten Entscheider in Betracht ziehen, die passwortlose Authentifizierung, wie z. B. Passkeys, in ihrem Unternehmen einzuführen. Credential Stuffing ist damit unmöglich.
Fazit
Credential Stuffing ist eine überraschend einfache, kostengünstige und skalierbare Angriffstechnik. Sie funktioniert, weil sie menschliche Gewohnheiten ausnutzt und veraltete Sicherheitsvorkehrungen unterläuft. Datenlecks werden in Zukunft nicht seltener, das Gegenteil dürfte der Fall sein. Daher ist es nur eine Frage der Zeit, bis die eigenen Login-Daten in einem Darknet-Forum landen. Mit den richtigen Sicherheitsmaßnahmen allerdings bleiben Nutzer sicher.
