Ein Passwort, das vor drei Jahren bei einem fremden Online-Shop gestohlen wurde, taucht heute beim Login zu Deinem E-Mail-Postfach wieder auf. Genau darauf zielt Credential Stuffing. Angreifer raten hier nichts, sie tippen ein bereits bekanntes Passwort einfach an einer anderen Tür ein.
Für Selbständige und kleine Unternehmen ist das eine der unterschätztesten Bedrohungen, weil sie ohne jede technische Lücke auf Deiner Seite funktioniert. Die gute Seite daran ist, dass Du Dich mit überschaubaren Mitteln wirksam davor schützt.
Was Credential Stuffing von Brute-Force unterscheidet
Bei einem Brute-Force-Angriff probiert eine Software unzählige Zeichenkombinationen durch, bis eine passt. Der Angreifer kennt das Passwort nicht, er erzeugt es durch reines Ausprobieren. Ein langes, ungewöhnliches Kennwort macht diese Methode praktisch aussichtslos, weil die Zahl der nötigen Versuche ins Unermessliche steigt. Wie Du diese Form des Login-Hämmerns ausbremst, beschreibt der Beitrag Brute-Force-Angriffe — den Login absichern im Detail.
Credential Stuffing geht anders vor. Der Angreifer besitzt bereits echte Kombinationen aus E-Mail-Adresse und Passwort, gesammelt aus früheren Datenlecks bei ganz anderen Diensten. Im Umlauf sind Listen mit Milliarden solcher Datensätze, oft frei handelbar in einschlägigen Foren.
Hier hilft Länge allein nicht weiter. Selbst ein zwanzigstelliges Passwort ist wertlos, sobald es einmal in so einer Liste steht, denn der Angreifer muss es nicht knacken. Er kennt es bereits und tippt es einfach ab.
Statt zufällig zu raten, spielt die Angriffs-Software diese fertigen Paare massenhaft gegen viele Login-Formulare aus. Die Logik dahinter ist simpel und wirksam. Wer sein Passwort bei einem Dienst preisgegeben hat, nutzt es mit hoher Wahrscheinlichkeit auch anderswo.
Warum wiederverwendete Passwörter das Einfallstor sind
Das ganze Verfahren steht und fällt mit einer einzigen Gewohnheit, nämlich dem mehrfach genutzten Passwort. Wer überall dasselbe Kennwort verwendet, macht aus einem fremden Datenleck ein Problem für alle eigenen Konten gleichzeitig.
Ein geleaktes Passwort bleibt gültig, bis Du es änderst. Liegt es einmal in so einer Liste, bleibt es dort dauerhaft und wird Jahre später noch durchprobiert. Genau deshalb kommen alte Passwörter zurück, lange nachdem der ursprüngliche Vorfall vergessen ist.
Auch kleine Abwandlungen helfen kaum. Wer aus seinem Standardpasswort je nach Dienst eine Variante mit angehängter Zahl bastelt, liefert den Angreifern bloß ein erkennbares Muster. Solche Reihen lassen sich automatisiert mitraten, sobald eine einzige Variante bekannt ist.
Besonders heikel wird es bei Deiner geschäftlichen E-Mail-Adresse. Über sie laufen die Passwort-zurücksetzen-Funktionen fast aller anderen Dienste. Wer dieses eine Konto übernimmt, öffnet sich der Reihe nach Zugang zu Shop, Hosting, Buchhaltung und Social-Media-Profilen.
Ob Deine Adressen in bekannten Lecks auftauchen, lässt sich übrigens gezielt nachschlagen. Wie das geht, zeigt der Beitrag Datenlecks — geleakte Passwörter erkennen.
Wie Angreifer automatisiert vorgehen
Niemand sitzt vor dem Bildschirm und tippt Millionen Zugangsdaten von Hand ein. Der Angriff läuft vollständig automatisiert über Bot-Netze, die viele tausend Login-Versuche pro Minute verteilen.
Die Anfragen kommen dabei aus hunderten verschiedener IP-Adressen, damit kein einzelner Absender auffällt. Für Deinen Server sieht jeder einzelne Versuch aus wie ein ganz normaler Besucher, der sich anmelden möchte. Gerade das macht die Erkennung so schwer, denn klassische Sperren nach zu vielen Fehlversuchen greifen pro Adresse und laufen bei verteilten Angriffen ins Leere.
Schon eine winzige Erfolgsquote rechnet sich für die Angreifer. Bei einer Million getesteter Kombinationen reichen wenige Treffer, um den Aufwand bezahlt zu machen. Übernommene Konten werden anschließend weiterverkauft, für Betrug genutzt oder als Versand-Basis für weitere Angriffe missbraucht.
Die Spuren bleiben oft lange unbemerkt, weil sich der Angreifer ja mit korrekten Daten anmeldet. Es gibt keine zerbrochene Tür, nur eine Anmeldung, die technisch völlig unauffällig aussieht. Häufig fällt der Zugriff erst auf, wenn von Deinem Konto aus Spam verschickt wird oder eine Bestellung auftaucht, die Du nie ausgelöst hast.
Wie Du Deine Konten wirksam absicherst
Der stärkste Hebel ist, jedem Dienst ein eigenes Passwort zu geben. Dann bleibt ein geleaktes Kennwort ein lokales Problem dieses einen Anbieters und springt nicht auf Deine übrigen Konten über. Ein Passwort-Manager nimmt Dir das Merken komplett ab und erzeugt für jede Anmeldung eine eigene, lange Zeichenfolge. Wie Du so ein Werkzeug einrichtest, beschreibt der Beitrag Passwort-Manager — sichere Passwörter ohne Merken.
Die zweite Verteidigungslinie ist die Zwei-Faktor-Authentifizierung. Selbst wenn ein Angreifer Dein korrektes Passwort besitzt, scheitert er am zweiten Faktor, den nur Du auf Deinem Gerät erzeugst. Genau hier verpufft ein Credential-Stuffing-Angriff, weil das geleakte Passwort allein nicht mehr genügt. Bei Deinem E-Mail-Postfach und Deinem Hosting-Zugang ist dieser zweite Faktor besonders wichtig, weil über diese Konten der Zugriff auf alles Übrige läuft.
Damit Du erkennst, wann es ernst wird, lohnt ein Blick auf die Login-Aktivität Deiner wichtigsten Konten:
- Login-Benachrichtigungen: Aktiviere bei E-Mail und Hosting die Hinweise bei Anmeldungen von neuen Geräten oder Standorten.
- Fehlversuche im Blick: Häufen sich gescheiterte Logins, ist das ein deutliches Signal für einen laufenden automatisierten Angriff.
- Aktive Sitzungen prüfen: Viele Dienste zeigen, welche Geräte gerade angemeldet sind, und erlauben es, fremde Sitzungen sofort zu beenden.
Ändere ein Passwort sofort, sobald ein Dienst ein Datenleck meldet oder eine Prüfung Deine Adresse in einer Leak-Liste findet. Ein frisch gesetztes Kennwort macht den alten Eintrag in den kursierenden Listen wertlos. Plane diese Prüfung am besten als feste Routine ein, etwa einmal im Quartal für Deine wichtigsten Geschäftskonten.
Fazit
Credential Stuffing lebt von gestohlenen Passwörtern, die irgendwo ein zweites Mal passen. Der Angriff braucht keine technische Lücke in Deiner Webseite. Ihm genügt eine bequeme Gewohnheit, und genau die hast Du selbst in der Hand.
Mit einem eigenen Passwort pro Dienst, einem Passwort-Manager und Zwei-Faktor-Authentifizierung nimmst Du dieser Methode strategisch die Grundlage. Dann kann ein altes Passwort zwar zurückkommen, es öffnet aber keine Tür mehr.