Security
12 min read
1294 views

Credential Stuffing: Wie Datenlecks auf anderen Seiten zu Logins bei Ihnen führen

IT
InstaTunnel Team
Published by our engineering team
Credential Stuffing: Wie Datenlecks auf anderen Seiten zu Logins bei Ihnen führen

Ihre Anwendung verfügt vielleicht über eine abwehrstarke Sicherheitsarchitektur, verschlüsselte Datenbanken und regelmäßige Penetrationstests. Dennoch können Angreifer Nutzerkonten kompromittieren, ohne eine einzige Schwachstelle in Ihrem Code auszunutzen. Der Übeltäter? Credential Stuffing – ein Angriffsvektor, der eine der schwächsten Stellen in der Anwendungssicherheit ausnutzt: Passwort-Wiederverwendung.

Das Credential Stuffing Risiko verstehen

Credential stuffing ist eine Cyberangriffstechnik, bei der bösartige Akteure automatisierte Tools verwenden, um systematisch große Listen gestohlener Nutzername- und Passwort-Kombinationen gegen Login-Endpunkte zu testen. Anders als Brute-Force-Angriffe, die verschiedene Passwort-Kombinationen für ein einzelnes Konto versuchen, nutzt credential stuffing echte Anmeldedaten, die bei vorherigen Datenlecks auf anderen Plattformen gestohlen wurden.

Die Zahlen sind alarmierend: Aktuelle Daten zeigen, dass Angreifer monatlich etwa 26 Milliarden Credential Stuffing-Versuche starten – ein Anstieg um fast 50 % innerhalb von nur 18 Monaten. Laut dem Verizon Data Breach Investigations Report 2025 waren 88 % der Hackerangriffe im Jahr 2024 auf gestohlene oder brute-force-gestützte Anmeldedaten zurückzuführen. Genauer gesagt, waren gestohlene Anmeldedaten die Ursache für 22 % aller Datenlecks im letzten Jahr.

Der Grund für die hohe Verbreitung dieses Angriffsvektors ist einfach: Leckierte Credential-Kombinationen sind äußerst günstig – oft nur wenige Cent pro tausend Anmeldedaten – und automatisierte Tools haben die Einstiegshürden für diese Angriffe deutlich gesenkt. Selbst bei einer durchschnittlichen Erfolgsquote von etwa 0,1 % macht die schiere Menge an verfügbaren Anmeldedaten die Durchführung von credential stuffing für Angreifer wirtschaftlich lohnend.

Warum die Passwörter Ihrer Nutzer Ihr Problem sind

Der Erfolg von credential stuffing basiert auf einem menschlichen Verhalten: Passwort-Wiederverwendung. Trotz jahrzehntelanger Sicherheitsaufklärung verwenden Nutzer weiterhin dieselben Anmeldedaten auf mehreren Diensten. Wenn bei einem Dienst ein Datenleck auftritt, wird jede andere Plattform, auf der der Nutzer dasselbe Passwort verwendet hat, ebenfalls gefährdet.

Stellen Sie sich folgendes Szenario vor: Ein Nutzer erstellt ein Konto auf Ihrer E-Commerce-Plattform mit der E-Mail-Adresse user@example.com und dem Passwort “Summer2024!”. Unbemerkt hat er diese Kombination auch auf einem Forum verwendet, das später durch ein Datenleck kompromittiert wurde. Die Datenbank dieses Forums – mit Millionen von Nutzername- und Passwort-Paaren – wird auf Dark-Web-Marktplätzen verkauft oder öffentlich geleakt. Angreifer füttern diese Anmeldedaten in automatisierte Tools, die versuchen, sich bei Tausenden verschiedener Dienste, inklusive Ihrer Plattform, anzumelden.

Die Sicherheitslage Ihrer Anwendung ist nur so stark wie die Sicherheit aller anderen Dienste, bei denen Ihre Nutzer Konten haben. Das ist die bittere Realität von credential stuffing: Sie verteidigen gegen Lecks, die anderswo passiert sind, bei Infrastrukturen, die Sie nicht kontrollieren, und Nutzer treffen Entscheidungen, die außerhalb Ihres direkten Einflusses liegen.

So funktionieren Credential Stuffing-Angriffe

Moderne credential stuffing-Angriffe sind ausgeklügelte Operationen, die spezialisierte Tools und Infrastruktur nutzen. Das Verständnis der Angriffsmethodik hilft bei der Entwicklung wirksamer Abwehrmaßnahmen.

Die Angriffs-Infrastruktur

Angreifer setzen meist Botnets – Netzwerke kompromittierter Computer – oder Residential Proxy-Dienste ein, um ihre Login-Versuche über Tausende von IP-Adressen zu verteilen. Diese Verteilung macht es äußerst schwierig, Angriffe allein anhand des Anfrageursprungs zu erkennen und zu blockieren. Manche Angreifer verwenden bis zu 200.000 verschiedene IP-Adressen in einer einzigen Kampagne, wobei jede nur wenige Login-Versuche durchführt, um Rate-Limiting zu umgehen.

Automatisierte Credential-Testing-Tools

Das credential stuffing-Ökosystem umfasst zahlreiche speziell entwickelte Tools wie OpenBullet, SNIPR und Sentry MBA. Diese Anwendungen bieten benutzerfreundliche Oberflächen zum Laden von Credential-Listen, Konfigurieren von Login-Sequenzen und Verwalten von Proxy-Rotation. Viele verfügen über Funktionen, die speziell dazu dienen, gängige Sicherheitsmaßnahmen zu umgehen, z.B.:

  • Automatisierte CAPTCHA-Lösung durch Drittanbieter-Services
  • Browser-Fingerabdruck-Randomisierung, um als unterschiedliche Geräte zu erscheinen
  • Menschliche Verzögerungen zwischen Anfragen
  • Sitzungsmanagement für Authentifizierungsprozesse
  • Erkennung erfolgreicher Anmeldungen

Der Ablauf eines Angriffs

Ein typischer credential stuffing-Angriff folgt diesen Schritten:

  1. Credential-Erwerb: Angreifer beschaffen sich Nutzername-Passwort-Listen aus vorherigen Lecks, kaufen sie auf Dark-Web-Märkten oder laden sie aus öffentlichen Leak-Repositories herunter.

  2. Zielauswahl: Angreifer konfigurieren ihre Tools mit Ihrer Login-URL und identifizieren die benötigten Parameter (Benutzernamen-Feld, Passwort-Feld, CSRF-Tokens etc.).

  3. Proxy-Konfiguration: Sie richten Residential Proxies oder kompromittierte Geräte-Netzwerke ein, um ihre Anfragen über viele IP-Adressen zu verteilen.

  4. Automatisiertes Testen: Das Tool versucht systematisch jede Credential-Kombination gegen Ihren Login-Endpunkt und wertet die Antworten aus, um erfolgreiche Logins zu erkennen.

  5. Kontozugriff: Erfolgreich kompromittierte Konten werden in Listen zusammengefasst, um sie direkt auszunutzen, weiterzuverkaufen oder in weiteren Angriffen zu verwenden.

Die reale Auswirkung

Die Folgen erfolgreicher credential stuffing-Angriffe gehen weit über einfache Kontenübernahmen hinaus. Im Jahr 2024 erlitten Roku zwei separate credential stuffing-Angriffe, bei denen 591.000 Kundenkonten kompromittiert wurden. Es handelte sich nicht um theoretische Schwachstellen oder Proof-of-Concept-Exploits – es waren tatsächliche Kundenkonten, die von unbefugten Dritten eingesehen wurden, weil Nutzer Passwörter wiederverwendet hatten.

Credential stuffing endet selten nur beim Login. Sobald Angreifer Zugriff auf Konten haben, können sie:

  • Gespeicherte Zahlungsinformationen stehlen und betrügerische Käufe tätigen
  • Persönliche Daten für Identitätsdiebstahl nutzen
  • Treuepunkte oder gespeicherte Guthaben vor Entdeckung verwenden
  • Informationen über die Zielorganisation sammeln
  • Zu ausgefeilteren Angriffen mit legitimen Kontozugängen übergehen
  • Kontodaten ändern, um dauerhaften Zugriff zu sichern
  • Daten extrahieren, die für Social Engineering-Angriffe auf andere Nutzer genutzt werden können

Der finanzielle Schaden kann erheblich sein. Organisationen erleiden direkte Verluste durch betrügerische Transaktionen, Kosten für Incident-Response und Forensik, regulatorische Bußgelder wegen Datenschutzverletzungen, Kundenzahlungen sowie langfristigen Reputationsverlust, der das Nutzervertrauen und die Akquisition beeinträchtigt.

Abwehrstrategien für Entwickler

Auch wenn Sie nicht kontrollieren können, ob andere Dienste gehackt werden oder Nutzer Passwörter wiederverwenden, können Sie mehrere Schutzschichten implementieren, die Ihre Exposition gegenüber credential stuffing deutlich verringern.

Multi-Faktor-Authentifizierung (MFA)

MFA bleibt eine der effektivsten Abwehrmaßnahmen gegen credential stuffing. Selbst wenn Angreifer gültige Anmeldedaten besitzen, können sie eine richtig implementierte zweite Authentifizierungsebene meist nicht umgehen. Das Schlüsselwort ist hier “richtig implementiert” – die Wirksamkeit von MFA hängt stark von der verwendeten Methode ab.

Zeitbasierte Einmalpasswörter (TOTP) mit Authenticator-Apps bieten starken Schutz. SMS-Codes bieten moderaten Schutz, sind aber anfällig für SIM-Swap-Angriffe. Push-Benachrichtigungen auf registrierte Geräte bieten ein gutes Gleichgewicht zwischen Sicherheit und Nutzerkomfort. Hardware-Security-Keys bieten den stärksten Schutz, sind aber aufgrund von Kosten und Komplexität weniger verbreitet.

Die Implementierungsstrategie ist entscheidend. Es ist sinnvoll, MFA für hochriskante Aktionen verpflichtend zu machen – z.B. bei Passwortänderungen, Zahlungsaktualisierungen oder Zugriff auf sensible Daten. Risiko-basiertes MFA, das bei verdächtigen Aktivitäten zusätzliche Authentifizierungsmaßnahmen auslöst, ist eine weitere Option.

Intelligente Rate-Limiting-Strategien

Effektives Rate Limiting bei credential stuffing erfordert mehr als nur einfache Anfragezahlen. Traditionelle Limits, die nur auf IP-Adressen basieren, sind bei verteilten Angriffen kaum wirksam.

Setzen Sie auf multi-dimensionale Rate-Limiting-Ansätze, die berücksichtigen:

  • Pro-IP-Limits: Angemessene Schwellenwerte für Login-Versuche pro IP, ohne legitime Nutzer zu beeinträchtigen
  • Pro-Konto-Limits: Begrenzung der fehlgeschlagenen Anmeldeversuche pro Konto, unabhängig von der IP
  • Geschwindigkeitskontrollen: Überwachung des Gesamtvolumens an Authentifizierungsanfragen
  • Fehlerquoten-Analyse: Erkennung, wenn die Fehlversuchsrate bei bestimmten Konten oder IPs stark ansteigt

Die Reaktion auf Rate-Limiting sollte abgestuft sein. Erste Verstöße könnten CAPTCHA-Herausforderungen auslösen, um legitime Nutzer nicht zu behindern. Bei wiederholten Verstößen können temporäre Kontosperren erfolgen, verbunden mit Benachrichtigungen an die Nutzer.

APIs für Passwort-Lecks prüfen

Eine der effektivsten Schutzmaßnahmen ist die Überprüfung von Nutzerpasswörtern gegen Datenbanken bekannter kompromittierter Passwörter. Dienste wie Have I Been Pwned (HIBP) pflegen entsprechende Datenbanken und bieten APIs, um zu prüfen, ob ein Passwort bereits in einem Leak vorkommt – ohne das tatsächliche Passwort zu senden.

Das Pwned Passwords API von HIBP nutzt ein K-Anonymity-Modell, das die Privatsphäre schützt. So funktioniert es:

  1. Hashen Sie das Passwort mit SHA-1
  2. Senden Sie nur die ersten 5 Zeichen des Hashes an die API
  3. Die API liefert alle Hashes in ihrer Datenbank, die mit diesen 5 Zeichen beginnen
  4. Ihre Anwendung prüft, ob der vollständige Hash in der Rückgabe erscheint

Dadurch erhält die API nie das tatsächliche Passwort oder den vollständigen Hash, was den Datenschutz wahrt und gleichzeitig eine Leck-Prüfung ermöglicht.

Implementieren Sie die Leck-Prüfung an strategischen Punkten im Authentifizierungsprozess:

Bei Registrierung: Verhindern Sie, dass Nutzer Konten mit bekannten kompromittierten Passwörtern erstellen. Wenn ein Nutzer ein Leck-Passwort verwendet, zeigen Sie eine Meldung, dass dieses Passwort in einem Datenleck aufgetaucht ist und nicht verwendet werden kann.

Beim Passwortwechsel: Überprüfen Sie auch bei Änderungen, ob das neue Passwort in einem Leak vorkommt.

Beim Login: Wenn ein Nutzer mit einem bekannten Leck-Passwort authentifiziert, fordern Sie eine obligatorische Passwortzurücksetzung an. Das schließt Sicherheitslücken, bevor sie ausgenutzt werden. Sie können diese Prüfung bei jedem Login durchführen oder eine Stichprobe verwenden.

Fortschrittliche Bot-Erkennung und Verhaltensanalyse

Moderne credential stuffing-Tools versuchen, menschliches Verhalten nachzuahmen, doch subtile Hinweise können automatisierte Aktivitäten dennoch offenbaren. Verhaltensanalyse bietet eine zusätzliche Schutzschicht.

Überwachen Sie Muster, die menschliches Verhalten von Bots unterscheiden:

  • Timing-Muster: Menschen zeigen natürliche Variationen beim Tippen und Pausen. Bots sind oft zu gleichmäßig oder zu schnell.
  • Mausbewegungen und Interaktionen: Legitime Nutzer bewegen die Maus unregelmäßig, klicken auf verschiedene Elemente und korrigieren Eingaben. Bots bewegen sich direkt und präzise.
  • Browser-Fingerabdrücke: Kombinationen aus User-Agent, Bildschirmauflösung, installierten Fonts, Canvas-Fingerprinting und WebGL-Parametern können Bot-Aktivitäten erkennen.
  • Sitzungsverhalten: Bots versuchen oft, sich sofort nach Laden der Login-Seite anzumelden, während Menschen sich Zeit nehmen.

Setzen Sie CAPTCHAs selektiv ein, basierend auf Risikobewertungen, um die Nutzererfahrung zu wahren. Zeigen Sie CAPTCHAs nur bei verdächtigen Verhaltensmustern.

Kontosperrung mit Nutzerbenachrichtigung

Wenn Ihr System verdächtige Anmeldeaktivitäten erkennt – z.B. mehrere fehlgeschlagene Versuche von verschiedenen IPs oder Login-Versuche mit korrektem Nutzernamen, aber falschem Passwort – setzen Sie Schutzmaßnahmen um, die Sicherheit und Nutzerkomfort ausbalancieren.

Sperren Sie das Konto vorübergehend nach Erreichen eines Schwellenwerts, aber informieren Sie den Nutzer sofort per E-Mail. Teilen Sie ihm mit, dass verdächtige Aktivitäten festgestellt wurden, und bieten Sie eine einfache Möglichkeit, den Zugriff wiederherzustellen. Diese Benachrichtigung warnt den Nutzer vor Angriffen, bietet eine Wiederherstellung und schreckt Angreifer ab.

Überwachungs- und Erkennungssysteme

Effektiver Schutz erfordert Sichtbarkeit in Angriffsmuster. Implementieren Sie umfassendes Logging und Monitoring:

Loggen Sie alle Authentifizierungsversuche mit Details wie Zeitstempel, IP, User-Agent, Konto-ID (auch bei Fehlschlägen), Erfolg/Fehler-Status und Sicherheitsmaßnahmen. Speichern Sie diese Logs sicher und mit angemessener Aufbewahrungsdauer.

Erstellen Sie Dashboards und Alarme, die Credential Stuffing-Indikatoren in Echtzeit anzeigen:

  • Plötzliche Anstiege im Authentifizierungsverkehr
  • Erhöhte Fehlerquoten
  • Mehrere Konten, die von derselben IP angegriffen werden
  • Ungewöhnliche geographische Verteilungen
  • Hohe Angriffsgeschwindigkeit bei einzelnen Konten
  • Muster bei sequenziellen Tests (ähnliche Nutzernamen)

Automatisierte Alarme ermöglichen schnelle Reaktionen. Bei Erkennung einer Credential Stuffing-Kampagne können Sie temporär Schutzmaßnahmen wie erhöhte CAPTCHA-Anforderungen, strengere Rate-Limiting-Mechanismen oder MFA für wichtige Konten aktivieren.

Sicherheits-Header und Login-Seiten-Schutzmaßnahmen

Setzen Sie bewährte Sicherheitspraktiken für Ihre Authentifizierungsendpunkte um:

  • Nur HTTPS für Authentifizierungsverkehr verwenden
  • CSRF-Tokens implementieren
  • Richtige CORS-Richtlinien setzen
  • Sicherheits-Header wie Content-Security-Policy verwenden

Erwägen Sie zusätzliche Schutzmaßnahmen auf Ihrer Login-Seite, z.B. generische Fehlermeldungen, die nicht zwischen “ungültiger Nutzername” und “ungültiges Passwort” unterscheiden, um Account-Enumeration zu verhindern. Honeypot-Felder, die nur Bots sehen, können automatisierte Einreichungen erkennen.

Mehrschichtige Verteidigungsstrategie

Kein einzelner Schutz bietet vollständigen Schutz gegen credential stuffing. Effektive Sicherheit basiert auf mehreren Schichten, die sich ergänzen.

Beginnen Sie mit den Grundmaßnahmen: Rate-Limiting, Passwort-Leck-Prüfung und Monitoring. Diese bieten sofortigen Schutz ohne große Nutzerbeeinträchtigung.

Fügen Sie dann Verhaltensanalysen und selektive CAPTCHA-Herausforderungen hinzu, um verdächtige Aktivitäten zu erkennen, ohne die Nutzererfahrung zu beeinträchtigen. Diese intelligenten Systeme passen sich an Angriffsmuster an.

Fördern Sie die MFA-Nutzung durch Nutzeraufklärung und Anreize. Pflicht-MFA bietet den stärksten Schutz, aber auch optionale MFA mit hoher Akzeptanz reduziert die Angriffsfläche erheblich.

Überprüfen Sie regelmäßig Ihre Verteidigungsmaßnahmen durch Analyse der Logs, Branchen-Trends und simulierte credential stuffing-Tests, um Schwachstellen frühzeitig zu erkennen.

Fazit

Credential stuffing ist eine grundlegende Herausforderung in der Anwendungssicherheit: Ihre Verteidigung muss Sicherheitslücken auf Systemen außerhalb Ihrer Kontrolle und Passwort-Wiederverwendung der Nutzer berücksichtigen. Die Persistenz dieses Angriffs liegt in seiner Wirksamkeit – er funktioniert, weil Nutzer Passwörter wiederverwenden, egal wie viel Sicherheitsaufklärung sie erhalten.

Als Entwickler und Sicherheitsexperten müssen wir diese Realität akzeptieren und entsprechende Abwehrmaßnahmen aufbauen. Durch Multi-Faktor-Authentifizierung, intelligente Rate-Limiting-Strategien, Passwort-Leck-Prüfungen, Verhaltensanalysen und Monitoring können Sie Ihre Anfälligkeit gegenüber credential stuffing erheblich reduzieren, selbst wenn Nutzer schwache oder wiederverwendete Passwörter verwenden.

Die Bedrohung durch credential stuffing entwickelt sich ständig weiter. Angreifer experimentieren mit KI-gesteuerten Tools, die menschliches Verhalten besser nachahmen und sich in Echtzeit an Abwehrmaßnahmen anpassen. Um immer einen Schritt voraus zu sein, sind kontinuierliche Wachsamkeit, regelmäßige Sicherheitsüberprüfungen und die Bereitschaft, neue Schutztechnologien zu implementieren, notwendig.

Die Sicherheit Ihrer Anwendung ist nur so stark wie das schwächste wiederverwendete Passwort Ihrer Nutzer – es sei denn, Sie setzen die Schutzmaßnahmen um, die diese Kette durchbrechen. Die Werkzeuge und Techniken dazu sind vorhanden. Die Frage ist, ob Sie sie vor den Angreifern einsetzen, bevor diese Zugang erlangen.

Related InstaTunnel pages

Continue from this article into the most relevant product guides and workflows.

Plans and limitsCompare Free, Pro, and Business limits for tunnels, MCP endpoints, bandwidth, and teams.Trust and security centerReview security controls, reliability practices, status references, and operational safeguards.InstaTunnel documentationRead setup steps, CLI commands, webhook guides, MCP usage, and troubleshooting workflows.Use-case playbooksBrowse practical workflows for webhooks, OAuth callbacks, MCP tunnels, and demo links.

Related Topics

#credential stuffing, password reuse attacks, account takeover prevention, stolen credentials, data breach security, multi-factor authentication, MFA implementation, rate limiting, password breach checking, Have I Been Pwned API, bot detection, authentication security, login endpoint protection, automated attacks, cybersecurity for developers, application security, credential stuffing defense, password security, breach prevention, CAPTCHA implementation, behavioral analysis, account security, developer security best practices, authentication monitoring, credential stuffing mitigation, password compromise, security headers, defense in depth, user authentication, login security, compromised passwords, credential theft, security API, authentication best practices, web application security, password breach detection, account protection, credential validation, security monitoring, fraud prevention, identity protection, access control security, password policy, security implementation, threat detection, cyberattack prevention, stolen password protection, authentication logging, security alerts

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Read DocumentationView Pricing

Share this article

Share on XShare on LinkedIn

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles