Was ist Credential Stuffing? Einfach erklärt
Credential Stuffing ist eine Angriffsmethode, bei der Cyberkriminelle automatisiert gestohlene Benutzernamen und Passwörter auf verschiedenen Websites und Diensten ausprobieren. Die Angreifer nutzen dabei aus, dass viele Menschen dieselben Zugangsdaten für mehrere Online-Konten verwenden.
Der Begriff setzt sich zusammen aus „Credentials“ (Zugangsdaten) und „Stuffing“ (stopfen, vollstopfen). Dabei werden automatisierte Bots eingesetzt, die in kürzester Zeit Tausende oder sogar Millionen von Login-Versuchen durchführen.
Die Erfolgsquote liegt typischerweise zwischen 0,1% und 2% – klingt wenig, bedeutet aber bei Millionen von Versuchen trotzdem Tausende erfolgreiche Einbrüche. Besonders gefährdet sind Accounts bei Online-Shops, Streaming-Diensten, Social-Media-Plattformen und Banking-Diensten.
Wie funktionieren Credential-Stuffing-Angriffe?
Der Angriffsprozess beginnt mit Datenlecks und Hacks. Wenn große Plattformen gehackt werden, landen oft Millionen von E-Mail-Adressen und Passwörtern im Darknet. Diese Datenbanken werden dort verkauft oder sogar kostenlos verbreitet.
Angreifer sammeln diese Datensätze und bereiten sie für automatisierte Angriffe vor. Sie nutzen spezielle Bot-Software, die Login-Formulare auf Websites erkennt und systematisch die gestohlenen Zugangsdaten durchprobiert.
Um nicht entdeckt zu werden, setzen die Kriminellen verschiedene Techniken ein. Sie verteilen ihre Angriffe auf viele verschiedene IP-Adressen, nutzen Proxy-Server und passen die Geschwindigkeit der Anfragen an, um nicht als Bot erkannt zu werden.
Besonders perfide: Die Angreifer testen die Zugangsdaten nicht nur bei dem Dienst, von dem sie ursprünglich gestohlen wurden. Sie probieren sie systematisch bei allen großen Online-Diensten aus – Amazon, Netflix, PayPal, Facebook und so weiter.
Wenn ein Login erfolgreich ist, wird das Konto entweder direkt für betrügerische Aktivitäten genutzt oder die funktionierenden Zugangsdaten werden weiterverkauft. Netflix- oder Spotify-Accounts etwa werden im Darknet für wenige Euro gehandelt.
Die Automatisierung macht den Unterschied: Während ein Mensch vielleicht ein paar Dutzend Logins pro Stunde testen könnte, schaffen Bots Tausende pro Minute. Das macht Credential Stuffing zu einer extrem effizienten Angriffsmethode.
Warum sind Credential-Stuffing-Angriffe so gefährlich?
Die Gefahr betrifft jeden, der Online-Dienste nutzt. Laut Studien verwenden über 60% der Internetnutzer identische Passwörter für mehrere Accounts. Genau diese Gewohnheit macht Credential Stuffing so erfolgreich.
Stellt euch vor: Euer Passwort wird bei einem Hack eines Forums gestohlen, das ihr vor Jahren mal genutzt habt. Wenn ihr dasselbe Passwort auch für euer E-Mail-Konto verwendet, haben Angreifer plötzlich Zugriff auf eure gesamte digitale Identität.
Die Konsequenzen können drastisch sein. Geklaute Shopping-Accounts werden für betrügerische Bestellungen genutzt. Streaming-Dienste werden weiterverkauft. Social-Media-Accounts werden für Spam oder Erpressung missbraucht.
Besonders kritisch wird es bei E-Mail-Accounts. Wer Zugriff auf eure E-Mails hat, kann über die „Passwort vergessen“-Funktion auch alle anderen Accounts übernehmen. Euer E-Mail-Postfach ist der Schlüssel zu eurer digitalen Identität.
Der beste Schutz: Einzigartige Passwörter für jeden Dienst und Zwei-Faktor-Authentifizierung aktivieren. Passwort-Manager helfen dabei, den Überblick zu behalten, ohne sich Dutzende komplexe Passwörter merken zu müssen.
Credential Stuffing vs. Phishing: Das sind die Unterschiede
Viele verwechseln Credential Stuffing mit Brute-Force-Angriffen. Der Unterschied: Beim Brute-Force werden systematisch alle möglichen Passwortkombinationen durchprobiert. Credential Stuffing nutzt dagegen echte, bereits gestohlene Zugangsdaten.
Ein weiteres Missverständnis: „Mich betrifft das nicht, ich nutze nur sichere Websites.“ Tatsächlich können selbst große, gut geschützte Plattformen gehackt werden. Entscheidend ist nicht, wie sicher eine einzelne Website ist, sondern ob ihr Passwörter mehrfach verwendet.
Auch die Vorstellung, nur „wichtige“ Accounts bräuchten sichere, einzigartige Passwörter, ist gefährlich. Angreifer nutzen auch unwichtig erscheinende Accounts als Einstieg. Das alte Forum-Konto von vor zehn Jahren kann der Türöffner sein.
Credential Stuffing ist auch nicht dasselbe wie Phishing. Beim Phishing werden Nutzer aktiv getäuscht, um ihre Zugangsdaten preiszugeben. Credential Stuffing nutzt bereits vorhandene, gestohlene Daten – ohne dass ihr etwas davon mitbekommt.
Wie schützt ihr euch vor Credential Stuffing?
Websites wie „Have I Been Pwned“ zeigen euch, ob eure E-Mail-Adresse bei bekannten Datenlecks kompromittiert wurde. Wenn ja, solltet ihr sofort alle Passwörter ändern, die ihr möglicherweise mehrfach verwendet habt.
Verwandte Bedrohungen sind Password Spraying (wenige häufige Passwörter bei vielen Accounts) und Account Takeover (vollständige Kontoübernahme). Alle profitieren von schwachen Passwort-Praktiken.
Die Entwicklung geht in Richtung passwortloser Authentifizierung. Technologien wie Passkeys, biometrische Verfahren oder Hardware-Tokens machen Credential Stuffing langfristig unwirksam. Bis dahin bleiben einzigartige Passwörter und Zwei-Faktor-Authentifizierung eure beste Verteidigung.
Unternehmen setzen zunehmend auf Bot-Erkennung, Rate-Limiting und Risikoanalysen beim Login. Diese Maßnahmen erschweren Credential-Stuffing-Angriffe, können sie aber nicht vollständig verhindern. Eure eigene Passwort-Hygiene bleibt der wichtigste Schutzfaktor.
