Rufen Sie uns kostenlos rund um die Uhr an:   +49 (0) 800 - 5200 112
zurück zu News/Artikel
Allgemein
26.08.2025

Credential Theft 2025: 160 % mehr Fälle

Zugangsdaten im Visier: Credential Theft steigt 2025 um 160 %

Credential Theft – also der Diebstahl von Zugangsdaten wie Benutzernamen, Passwörtern oder Authentifizierungstokens – zählt 2025 zu den größten und am schnellsten wachsenden Bedrohungen in der IT-Sicherheit. Laut einem aktuellen Bericht von Check Point¹ hat sich die Zahl der Fälle allein im Vergleich zum Vorjahr um 160 % erhöht. Mittlerweile sind 20 % aller Datenpannen auf gestohlene Zugangsdaten zurückzuführen. Besonders alarmierend: Im Schnitt bleiben solche kompromittierten Logins 94 Tage unentdeckt – genug Zeit für Angreifer, um unbemerkt großen Schaden anzurichten.

Warum Credential Theft 2025 so gefährlich ist³

Die Dynamik dieser Angriffsform hat sich in den letzten Monaten deutlich verändert. Cyberkriminelle setzen heute auf eine Kombination aus altbewährten Methoden und neuen Technologien, um Zugangsdaten abzugreifen und zu missbrauchen.

Ein wesentlicher Treiber ist KI-gestütztes Phishing: Täuschend echt wirkende E-Mails und gefälschte Login-Seiten lassen sich heute in Sekunden erstellen. Selbst erfahrene und geschulte Mitarbeitende tun sich schwer, diese Fälschungen zu erkennen.

Hinzu kommt der massive Einsatz von Infostealer-Malware – Schadprogramme, die Passwörter, Cookies und andere Anmeldedaten direkt aus Browsern, Speicher oder Systemdateien auslesen und an Kriminelle weiterleiten.

Ein weiteres Einfallstor sind ungeschützte Code-Repositories. Hier finden sich oft hartkodierte Zugangsdaten für Cloud- oder Produktionssysteme, die von Angreifern automatisiert gescannt und missbraucht werden.

Und selbst dort, wo Multi-Faktor-Authentifizierung (MFA) aktiviert ist, werden neue Umgehungstechniken genutzt – etwa MFA-Prompt-Bombing oder der Diebstahl von Session-Cookies, um den zweiten Faktor zu umgehen.

Aktuelles Praxisbeispiel: 16 Milliarden gestohlene Logins⁴

Ein Vorfall aus dem Juni 2025 verdeutlicht die Dimension des Problems. Sicherheitsexperten fanden rund 16 Milliarden Login-Datensätze in knapp 30 ungesicherten Datenbanken.

  • Herkunft: Großteils aus Infostealer-Malware, ergänzt durch historische Leaks.
  • Inhalt: Login-URLs, Benutzernamen und Passwörter – eine Goldgrube für Angreifer.
  • Einordnung: Laut Associated Press, The Guardian und BleepingComputer waren keine neuen Großplattformen wie Google, Apple oder Facebook direkt betroffen. Die Daten stammten aus zuvor kompromittierten Quellen, bleiben jedoch hochgefährlich, da sie für Kontoübernahmen, Cloud-Angriffe und Identitätsdiebstahl genutzt werden können.

Weitere bekannte Fälle aus den letzten 18 Monaten

  • Snowflake (2024) - Laut der Mandiant-Analyse über UNC5537 wurden etwa 165 betroffene Snowflake-Kunden benachrichtigt. In allen Fällen wurden gestohlene Kundenanmeldedaten (aus Infostealer-Malware) verwendet - explizit bei Konten, bei denen zum Zeitpunkt der Kompromittierung keine Multi-Faktor-Authentifizierung (MFA) aktiviert war.⁵
  • 23andMe (2023) - Laut einer arXiv-Studie (Holthouse et al., Februar 2025) wurden im Oktober 2023 etwa 14.000 23andMe-Konten durch Credential Stuffing kompromittiert – ausgelöst durch wiederverwendete Zugangsdaten. Durch den Zugriff auf die DNA-Relatives- und Family-Tree-Funktionen verbreitete sich der Schaden auf etwa 5,5 Millionen Nutzer und zusätzlich 1,4 Millionen Profile. Zu diesem Zeitpunkt war MFA nicht verpflichtend, und es fehlten Schutzmechanismen wie Rate Limiting.⁶
  • Session-Token-Diebstahl - Ein dokumentierter realer Vorfall zeigt, wie eine Sitzungsübernahme ablief: Laut Triskele Labs klickte ein Nutzer auf einen bösartigen Link, führte eine legitime Anmeldung inklusive MFA durch – eine Minute später hatte der Angreifer durch gestohlenen Session-Token Zugriff, ohne MFA erneut durchlaufen zu müssen.⁷

Folgen für Unternehmen³

Ein einziger kompromittierter Account kann fatale Konsequenzen haben:

  • Zugriff auf vertrauliche Kundendaten
  • Einschleusen von Malware in interne Systeme
  • Manipulation von Konfigurationen und Prozessen
  • Lahmlegung von Produktionsumgebungen

Die finanziellen Schäden reichen von Lösegeldforderungen über Umsatzverluste bis hin zu dauerhaften Reputationsschäden.

Schutzmaßnahmen gegen Credential Theft²

Unternehmen, die sich vor Credential Theft schützen wollen, sollten auf eine mehrschichtige IT-Sicherheitsstrategiesetzen:

Technische Maßnahmen:

  • MFA konsequent einsetzen – insbesondere für Administrator-, Service- und Drittanbieter-Konten.
  • Single Sign-On (SSO) implementieren, um zentrale Kontrolle zu behalten und schnelle Sperrungen zu ermöglichen.
  • Monitoring & Threat Detection aktivieren, um ungewöhnliche Login-Aktivitäten oder Credential-Dumps zu erkennen.
  • Sicheres Secrets-Management für Passwörter und API-Keys in Entwicklungs- und Produktionsumgebungen.

Organisatorische Maßnahmen:

  • Awareness-Trainings durchführen, um Phishing- und Social-Engineering-Risiken zu minimieren.
  • Klare Passwort- und Zugriffsrichtlinien etablieren, inklusive Passwortmanager und Verbot der Passwortwiederverwendung.
  • Incident-Response-Pläne für Credential-Theft-Szenarien bereit halten.

Fazit

Credential Theft 2025 ist keine abstrakte Gefahr, sondern eine tägliche Realität. Mit rasant steigenden Fallzahlen, hochentwickelten Angriffsmethoden und massiven Datensammlungen im Umlauf ist das Risiko für Unternehmen so hoch wie nie zuvor. Wer jetzt in präventive Maßnahmen investiert – von MFA über Awareness-Schulungen bis zu sicherem Secrets-Management – reduziert das Risiko erheblich.

Quellen:

¹Check Point Bericht über CredentialTheft (2025): https://www.itpro.com/security/cyber-attacks/credential-theft-has-surged-160-percent-in-2025

²TechRadar: Air France und KLM Datenpanne, März 2025: https://www.techradar.com/pro/security/air-france-and-klm-customers-may-have-had-personal-details-exposed-following-data-breach

³SPDLoad Blog - Cybersecurity Trends 2025: https://spdload.com/blog/cybersecurity-trends/

⁴The Guardian - Internet users advised to change passwords after 16bn logins exposed: https://www.theguardian.com/technology/2025/jun/21/internet-users-advised-to-change-passwords-after-16bn-logins-exposed

⁵UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion, Juni 2024: https://cloud.google.com/blog/topics/threat-intelligence/unc5537-snowflake-data-theft-extortion

⁶The 23andMe Data Breach, Februar 2025: https://arxiv.org/abs/2502.04303

⁷The timeline of a real-world MFA bypass case: https://www.triskelelabs.com/blog/real-world-mfa-bypass-case-and-how-we-stopped-it

Weitere Artikel Entdecken
Allgemein

NIS2: Aktueller Umsetzungsstand

31.07.2025
Webcast/Podcast

Security-Insider: 100. Jubiläumsfolge mit Jannik Christ

16.06.2025
Allgemein

Business Continuity - Disaster Recovery

29.04.2025
Impressum | Datenschutz