Phishing starten

Infostealer enttarnen Identitäten: So stoppen Unternehmen das Risiko

Infostealer verknüpfen Zugangsdaten, Cookies und Geräteindikatoren zu vollständigen Identitätsprofilen. Der Artikel erklärt Risiken durch Credential-Reuse, Session-Hijacking und schwache AD-Hygiene – und zeigt konkrete Gegenmaßnahmen von Passkeys über AD-Scanning bis Awareness.
Inhaltsverzeichnis

Lesezeit: 6 Min.

Infostealer enttarnen Identitäten: So stoppen Unternehmen das Risiko

Infostealer sind längst mehr als simple Passwort-Diebe. Neue Angriffe verknüpfen gestohlene Zugangsdaten mit echten Personen – über Geräte-Fingerabdrücke, Browser-Cookies und Nutzungsverhalten. Das verschärft das Risiko für Unternehmen, weil private und geschäftliche Konten immer öfter ineinander greifen.

Eine aktuelle Auswertung von rund 90.000 Stealer-Dumps zeigt: Wiederverwendung von Passwörtern, abgegriffene Sessions und unzureichende Kontrollen im Active Directory (AD) sind der Brandbeschleuniger. Die gute Nachricht: Mit kontinuierlichem Scanning, smarter MFA und Security Awareness lässt sich der Zyklus durchbrechen.

Warum Infostealer heute gefährlicher sind

Früher landeten in Stealer-Dumps vor allem Passwörter und Autofill-Daten. Heute enthalten sie zusätzlich: Browser-Cookies, Refresh- und Access-Tokens, Geräte-IDs, Telemetrie und Hinweise auf Gewohnheiten. Diese Datenspur macht es Angreifern leicht, Identitäten quer über persönliche und Unternehmens-Accounts zu mappen – ein perfektes Sprungbrett für Account Takeover, Credential Stuffing und Ransomware.

  • Keyword-Fokus: Infostealer, Zugangsdaten

Von Cookies zu Kontenübernahmen: So entsteht Identitätsdiebstahl

Credential Reuse im Arbeitsalltag

Menschen recyceln Passwörter – auch Profis. Wenn ein privates Konto durch Phishing oder Malvertising fällt, tauchen die Login-Daten oft in Stealer-Paketen auf. Stimmen Benutzername oder Schema (z. B. vorname.nachname@firma.de) mit dem Unternehmensaccount überein, ist der nächste Login-Versuch nur einen Klick entfernt. Laut Auswertungen großer Stealer-Sammlungen ist Wiederverwendung eines der zentralen Risiken für IT-Sicherheit.

Empfehlung: Setze unternehmensweit auf Passwort-Manager, erzwungene Einzigartigkeit und Ablehnung kompromittierter Passwörter (Abgleich mit bekannten Leaks). Prüfe regelmäßig per AD-Scanning, ob Mitarbeiterpasswörter in Breach-Datenbanken auftauchen.

  • Keyword-Fokus: Credential Reuse, AD-Scanning

Session-Hijacking über Cookies und Tokens

Moderne Infostealer ergattern Session-Cookies und OAuth-Token direkt aus dem Browser. Damit umgehen Angreifer oft die MFA, denn die Sitzung ist bereits verifiziert. Besonders kritisch: SSO zu Microsoft 365, Google Workspace oder Entwicklerplattformen. Einmal drin, drohen Datendiebstahl, Mail-Regel-Manipulation für Folgebetrug und im schlimmsten Fall Ransomware-Verteilung.

Abhilfe: Kürzere Cookie-Laufzeiten, bedingter Zugriff (Device-Compliance), signierte Token, regelmäßiges Session-Invalidieren nach Risk Events und striktes Browser-Hardening. Setze auf phishing-resistente MFA (FIDO2/Passkeys) statt Einmalcodes per SMS oder App-Push, die anfällig für MFA-Fatigue sind.

  • Keyword-Fokus: MFA, Session-Hijacking

Unternehmensrisiko: AD, SaaS und Schatten-IT

Wenn gestohlene Identitäten auf Unternehmensressourcen treffen, entscheidet die Hygiene im Active Directory und in SaaS-Umgebungen über den Schaden. Kontinuierliches AD-Scanning entdeckt schwache, wiederverwendete oder bereits kompromittierte Passwörter frühzeitig. In Kombination mit Identity Threat Detection & Response (ITDR) lassen sich seitliche Bewegungen erkennen, bevor sie zur Domain-Kompromittierung führen.

Typische Schwachstellen:

  • Legacy-Authentifizierung ohne MFA
  • Überprivilegierte Service-Accounts und fehlende Rotation von Secrets
  • Unverwaltete Browser/Endgeräte in der Schatten-IT
  • Fehlende Überwachung atypischer Logins und Impossible Travel

Verknüpfe AD-Checks mit SaaS-Risikorichtlinien: Conditional Access, Blocklist für Tor/VPN-Exit-Nodes, Geofencing, Security-Baselines für Browser und eine klare Bring‑Your‑Own‑Device-Policy.

  • Keyword-Fokus: Active Directory, ITDR

Kurzbeispiel aus der Praxis

Ein mittelständischer Zulieferer wundert sich über massenhafte fehlgeschlagene Logins bei M365. Ursache: Ein Entwickler installierte privat eine „kostenlose“ IDE-Erweiterung, die einen Stealer enthielt. Der Dump enthielt Browser-Cookies und ein identisches Passwort wie im Firmenkonto. Ergebnis: Zugriff auf Git-Repos und interne Roadmaps. Erst das Invalideren aller Sessions und ein AD-Abgleich gegen kompromittierte Passwörter stoppten die Angreifer.

Was jetzt zu tun ist: 10 konkrete Maßnahmen

  1. Passkeys/FIDO2 priorisieren: Phishing-resistente MFA für SSO und kritische Admin-Konten einführen.
  2. Kontinuierliches AD-Scanning: Auf schwache, wiederverwendete und geleakte Passwörter prüfen; kompromittierte Konten automatisiert sperren.
  3. Session-Schutz härten: Kürzere Token-Lebenszeiten, Re-Auth bei Risikoereignissen, Device-Compliance als Bedingung.
  4. Browser und Endpunkte härten: Deaktiviere unsichere Autofill-Funktionen; EDR/XDR gegen Stealer-Familien wie RedLine, Raccoon & Co.
  5. Security Awareness stärken: Schulungen zu Malvertising, Office-Makros, Fake-Installern; ergänze das durch Phishing-Simulationen.
  6. Zero Trust durchsetzen: Least Privilege, Segmentierung, Just‑In‑Time‑Zugriffe für Admins.
  7. Cloud-Richtlinien schärfen: Conditional Access, Geo- und Risk-basierte Richtlinien, Blocklisten für riskante IP-Ranges.
  8. Secrets-Management modernisieren: Rotation, Vaulting, Vermeidung von Secrets in Code/CI.
  9. Patchen & Exploit-Prävention: Stealer kommen oft ohne Zero-Day – aber aktuelle Browser/Plugins reduzieren die Angriffsfläche deutlich.
  10. IR-Runbooks üben: Playbooks für Cookie-Diebstahl & Token-Invalidierung, Massen-Passwortrücksetzung, Forensik und Kommunikation vorbereiten.

Vertiefe das Thema mit unseren Ressourcen: Awareness-Trainings, Phishing-Simulationen und aktuelle Security-Blogbeiträge.

  • Keyword-Fokus: Security Awareness, Zero Trust

Pro & Contra: Kontinuierliches AD-Scanning

  • Pro: Frühwarnsystem gegen Credential-Reuse; evidenzbasierte Maßnahmen; reduziert laterale Bewegungen.
  • Contra: Initialer Aufwand für Rollout und Datenschutzbewertung; erfordert klare Prozesse für Reaktion und Kommunikation.

Fazit & Ausblick

Identitäten sind der neue Perimeter – und Infostealer die effektivsten Einbrecherwerkzeuge. Entscheidend ist, den „Reuse‑Kreislauf“ zu unterbrechen: kompromittierte Passwörter erkennen, Sessions absichern und menschliche Faktoren adressieren. Wer jetzt auf kontinuierliches AD-Scanning, phishing‑resistente MFA, starke Browserhygiene und Security Awareness setzt, reduziert das Risiko von Kontoübernahmen und Ransomware signifikant.

Starte heute: Führe einen Credential-Exposure-Check durch, härte deine SSO-/MFA-Policy und plane vierteljährliche Awareness-Trainings. Mehr Einblicke geben unsere aktuellen Security-Analysen.

Tags: #Infostealer #IdentitySecurity #ActiveDirectory #CredentialReuse #Phishing

Share the Post:
Verwandte Beiträge
Starten sie heute noch eine Demo

*“ zeigt erforderliche Felder an

Name*
Einwilligung*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.
SECMIND
Phishing-as-a-Service
Ihre Verteidigung gegen Phishing und Cyberangriffe
Quick Links
Rechtliches
Kontakt

+49 2056 999 28 79

info@secmind.de

Social Media
Facebook Instagram Linkedin Xing