Was ist der Unterschied zwischen Credential Stuffing und einem Brute-Force-Angriff?

Bei einem Brute-Force-Angriff werden zufällige oder systematisch generierte Passwörter ausprobiert, bis das richtige gefunden wird. Credential Stuffing hingegen verwendet echte Benutzernamen-Passwort-Kombinationen, die bei früheren Datenlecks gestohlen wurden. Dadurch ist Credential Stuffing effizienter, da die verwendeten Zugangsdaten bereits irgendwo funktioniert haben.

Kann ein VPN vor Credential Stuffing schützen?

Ein VPN schützt nicht direkt vor Credential Stuffing. Wenn Zugangsdaten bereits kompromittiert sind, kann ein Angreifer sie unabhängig davon verwenden, ob man ein VPN nutzt oder nicht. Ein VPN kann jedoch indirekt helfen, indem es die eigene IP-Adresse verschleiert und es Trackern erschwert, verschiedene Online-Konten miteinander zu verknüpfen.

Wie kann man herausfinden, ob die eigenen Zugangsdaten von einem Datenleck betroffen sind?

Dienste wie HaveIBeenPwned ermöglichen es, die eigene E-Mail-Adresse oder Telefonnummer mit bekannten Datenlecks abzugleichen. Viele Passwort-Manager bieten inzwischen ebenfalls integrierte Funktionen zur Überwachung von Datenlecks an, die automatisch Alarm schlagen, wenn eigene Zugangsdaten in einem Datenleck auftauchen.

Warum sind Erfolgsquoten beim Credential Stuffing so niedrig, und warum ist es trotzdem eine Bedrohung?

Erfolgsquoten liegen in der Regel zwischen 0,1 % und 2 %, da viele Nutzer inzwischen unterschiedliche Passwörter verwenden oder Dienste entsprechende Schutzmaßnahmen einsetzen. Dennoch bleibt Credential Stuffing eine ernsthafte Bedrohung: Wenn Millionen von Zugangsdaten getestet werden, führt selbst eine geringe Erfolgsquote zu Tausenden kompromittierter Konten – ein Aufwand, der für Angreifer als lohnenswert gilt.

Credential Stuffing

Credential Stuffing: Wenn ein Datenleck viele nach sich zieht

Wer schon einmal ein Passwort für mehrere Konten wiederverwendet hat – und das tun die meisten Menschen –, ist ein potenzielles Ziel für Credential Stuffing. Es handelt sich um eine der häufigsten und wirkungsvollsten Angriffsmethoden, die Cyberkriminelle heute einsetzen. Sie nutzt eine sehr menschliche Gewohnheit aus: Bequemlichkeit über Sicherheit zu stellen.

Was steckt dahinter?

Credential Stuffing ist eine Art automatisierter Cyberangriff, bei dem Hacker große Listen mit geleakten Benutzernamen und Passwörtern – in der Regel aus früheren Datenlecks – nehmen und diese systematisch bei Dutzenden oder Hunderten verschiedener Websites ausprobieren. Die Logik dahinter ist simpel: Wer dieselbe E-Mail-Adresse und dasselbe Passwort sowohl in einem Gaming-Forum als auch für sein Online-Banking verwendet, ermöglicht es Angreifern, mit dem Zugang zu einem Konto automatisch auch das andere zu kompromittieren.

Im Gegensatz zu Brute-Force-Angriffen, bei denen zufällige oder wörterbuchbasierte Passwörter ausprobiert werden, verwendet Credential Stuffing echte Zugangsdaten, die sich bereits irgendwo als gültig erwiesen haben. Dadurch ist diese Methode deutlich effizienter und schwerer zu erkennen.

So funktioniert es

Der Ablauf folgt in der Regel einem vorhersehbaren Muster:

Datenbeschaffung – Angreifer kaufen oder laden kompromittierte Zugangsdatenbänke aus Darknet-Marktplätzen herunter. Manche Listen enthalten Hunderte von Millionen an Benutzernamen-Passwort-Kombinationen.
Automatisierung – Mithilfe spezialisierter Tools (manchmal als „Account Checker" oder Credential-Stuffing-Frameworks bezeichnet) laden Angreifer die gestohlenen Zugangsdaten und richten sie auf eine Ziel-Anmeldeseite aus.
Verteilter Angriff – Um Rate-Limiting oder IP-Sperren zu umgehen, leiten Angreifer den Datenverkehr über Botnetze oder eine große Anzahl von Residential-Proxys um, sodass es so aussieht, als kämen die Anmeldeversuche von Tausenden verschiedener Nutzer auf der ganzen Welt.
Erfassen gültiger Konten – Die Software markiert alle erfolgreichen Anmeldungen und verschafft den Angreifern Zugang zu verifizierten Konten. Diese werden entweder direkt ausgenutzt, weiterverkauft oder für weitere Betrugsmaschen verwendet.

Die Erfolgsquoten sind generell niedrig – oft zwischen 0,1 % und 2 % –, doch wenn Millionen von Zugangsdaten getestet werden, bedeuten selbst 0,5 % Tausende kompromittierter Konten.

Warum das für VPN-Nutzer relevant ist

VPN-Nutzer sind nicht immun gegen Credential Stuffing – tatsächlich gibt es einen spezifischen Aspekt, den man kennen sollte. Einige VPN-Anbieter waren selbst Ziel solcher Angriffe. Bei vergangenen Vorfällen haben Credential-Stuffing-Angriffe auf VPN-Dienste dazu geführt, dass Angreifer Zugang zu Nutzerkonten und in manchen Fällen zu deren verbundenen Geräten oder privaten Konfigurationen erlangt haben.

Darüber hinaus schützt ein VPN nicht davor, wenn die eigenen Zugangsdaten bereits kompromittiert sind. Ein VPN verbirgt die eigene IP-Adresse und verschlüsselt den Datenverkehr, kann aber nicht verhindern, dass ein Angreifer sich mit einem Passwort, das man auf einer kompromittierten Website wiederverwendet hat, in Netflix-, E-Mail- oder Bankkonten einloggt.

Allerdings kann ein VPN dazu beitragen, die eigene Angriffsfläche auf indirekte Weise zu verringern. Durch die Verschleierung der echten IP-Adresse wird es für Tracker und Datenhändler schwieriger, Profile zu erstellen, die verschiedene Online-Konten miteinander verknüpfen – was den Schaden im Fall eines Datenlecks begrenzen kann.

Beispiele aus der Praxis

Im Jahr 2020 trafen Credential-Stuffing-Angriffe gleichzeitig mehrere VPN-Anbieter und Video-Streaming-Dienste, wobei Angreifer Zugangsdaten testeten, die aus nicht zusammenhängenden Gaming- und Einzelhandelslecks stammten.
Disney+ erlebte kurz nach dem Launch eine Welle von Kontoübernahmen – nicht aufgrund eines Datenlecks bei Disney selbst, sondern weil Nutzer Passwörter aus anderen kompromittierten Diensten wiederverwendet hatten.
Finanzinstitute verzeichnen täglich Millionen von Credential-Stuffing-Versuchen, die meisten davon werden durch Rate-Limiting und Multi-Faktor-Authentifizierung abgewehrt.

So schützt man sich

Die Gegenmaßnahmen sind einfach – auch wenn die Änderung alter Gewohnheiten es nicht immer ist:

Ein einzigartiges Passwort für jedes Konto verwenden. Ein Passwort-Manager macht das praktikabel.
Zwei-Faktor-Authentifizierung (2FA) aktivieren, wo immer möglich. Selbst wenn ein Angreifer das Passwort kennt, verfügt er nicht über den zweiten Faktor.
Leak-Datenbanken überprüfen, wie zum Beispiel HaveIBeenPwned, um festzustellen, ob eigene Zugangsdaten bereits kompromittiert wurden.
Kontoanmeldungen überwachen, um unbekannte Standorte oder Geräte zu erkennen.

Credential Stuffing funktioniert, weil Menschen Passwörter wiederverwenden. Wer das unterlässt, macht sich gegen diese Angriffsmethode weitgehend unverwundbar.

Credential StuffingFortgeschritten