Credential Theft: Wenn gestohlene Zugänge monatelang unentdeckt bleiben

Das stille Risiko: Credentials im Darknet

Einer der häufigsten – und gleichzeitig am wenigsten sichtbaren – Angriffsvektoren ist der Missbrauch gestohlener Zugangsdaten. Kompromittierte Passwörter, Tokens und Session-Cookies gelangen auf verschiedenen Wegen in die Hände von Kriminellen: durch Phishing, durch Infostealer-Malware, die auf privaten oder beruflichen Geräten der Mitarbeiter läuft, oder durch Datenpannen bei externen Diensten, bei denen Mitarbeiter dieselben Credentials verwenden wie im Unternehmenskontext.

Das Besondere: Zwischen dem Diebstahl der Credentials und ihrem aktiven Einsatz vergehen oft Wochen oder Monate. Credentials werden im Darknet gehandelt, geprüft und teils mehrfach weiterverkauft, bevor ein Angreifer sie für einen gezielten Zugriff nutzt. In dieser Zeit hätte man die Möglichkeit zu handeln – aber nur, wenn man weiß, dass die Zugänge kompromittiert sind.

Wie Infostealer funktionieren und warum sie so gefährlich sind

Infostealer sind eine besonders heimtückische Art von Schadsoftware, die in den letzten Jahren massiv zugenommen hat. Sie werden typischerweise über gefälschte Software-Downloads, Phishing oder Exploit-Kits verbreitet und sammeln im Hintergrund Zugangsdaten aus Browsern, E-Mail-Clients, VPN-Clients und anderen Anwendungen. Die gesammelten Daten werden automatisch an einen Command-and-Control-Server übermittelt und von dort an Darknet-Marktplätze verkauft.

Besonders problematisch: Infostealer laufen häufig auf privaten Geräten, die für Homeoffice oder Remote-Zugriff genutzt werden. Der Mitarbeiter merkt oft nichts, das Gerät funktioniert weiterhin normal – und die Zugangsdaten zum Unternehmens-VPN, zu Cloud-Diensten oder zu SaaS-Plattformen kursieren ab dann im Darknet.

Was eine Credential-Überwachung leisten kann

Eine systematische Überwachung von Credential-Leaks analysiert kontinuierlich Darknet-Quellen – Marktplätze, Foren, Paste-Sites, Telegram-Kanäle – auf Zugangsdaten, die mit Unternehmensdomains assoziiert sind. Das Ergebnis: konkrete Warnungen, wenn Mitarbeiter-Credentials exponiert wurden, inklusive der Information, durch welchen Leak oder welchen Infostealer die Daten gestohlen wurden.

Diese Frühwarnung ermöglicht gezielte Maßnahmen: Passwortreset für betroffene Konten, Überprüfung auf mögliche unberechtigte Zugriffe im entsprechenden Zeitraum, und im Zweifelsfall eine Forensik des betroffenen Geräts.

Das Credential-Risiko in Zahlen

Unsere Analysen zeigen: In einem durchschnittlichen Unternehmen mit 500–2.000 Mitarbeitern tauchen typischerweise mehrere hundert bis einige tausend kompromittierte Credentials pro Jahr in Darknet-Quellen auf. Ein erheblicher Teil davon betrifft aktive Mitarbeiterkonten – nicht nur längst gekündigte E-Mail-Adressen.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Sicherheitsbewertung.