Kontoübernahme im Jahr 2026: Warum Credential Stuffing weiter gewinnt und was es stoppt
Credential Stuffing gelingt weiterhin, weil Passwort-Wiederverwendung die Ökonomie des Angriffs klar zugunsten der Angreifer verschiebt. 2FA schützt nur die angemeldete Minderheit — Device Intelligence beim Login ist der Hebel.
Kontoübernahme ist die Betrugskategorie, die die meisten Plattformen unterschätzen. Die Verluste tauchen nicht als einzelner Posten auf — sie verteilen sich über „Support-Tickets zu gesperrten Konten", „Rückbuchungen aus angefochtenen Transaktionen", „Abwanderung frustrierter Nutzer, die den Zugang verloren haben" und „regulatorische Strafen, wenn die Kompromittierung meldepflichtig war".
Die aggregierten Kosten sind hoch. Javelin Strategy bezifferte die durch Kontoübernahmen verursachten Verluste in den USA für 2024 auf 11 Milliarden US-Dollar. Die globalen Zahlen liegen höher. Der Trend zeigt nach oben, nicht nach unten — Credential-Leaks summieren sich, Automatisierungswerkzeuge werden günstiger, und die Fähigkeiten der Angreifer überholen bei den meisten Plattformen die der Verteidiger.
Dieser Beitrag richtet sich an Verantwortliche aus den Bereichen Security, Produkt und Risiko bei Plattformen mit schützenswerten Login-Flows. Er erklärt, wie Credential Stuffing im Jahr 2026 tatsächlich aussieht, warum die Abwehrmaßnahmen der meisten Plattformen nicht ausreichen und welche Architekturmuster standhalten.
Die Mechanik des modernen Credential Stuffing
Credential Stuffing ist technisch kein ausgefeilter Angriff. Es ist ein ökonomisches Ausnutzen der Tatsache, dass die meisten Menschen Passwörter über mehrere Dienste hinweg wiederverwenden.
Die Mechanik:
Phase 1: Sammlung von Zugangsdaten. Datenlecks bei anderen Diensten erzeugen Credential Dumps mit Milliarden von Benutzername-Passwort-Paaren. Frische Dumps werden auf privaten Märkten je nach Qualität und Aktualität für 200–2.000 US-Dollar gehandelt. Ältere Dumps sind praktisch kostenlos.
Phase 2: Zielauswahl. Angreifer identifizieren lohnende Ziele — Zahlungsplattformen, Krypto-Börsen, E-Commerce mit gespeicherten Zahlungsmethoden, iGaming-Anbieter mit Einzahlungen, SaaS mit wertvollen Daten. Die Zielliste ist breit, weil die Grenzkosten für das Testen weiterer Plattformen nahezu null sind.
Phase 3: Automatisierung. Skripte oder agentengesteuerte Systeme testen Zugangsdaten-Paare in großem Umfang gegen Login-Endpunkte. Das Volumen liegt typischerweise bei 50.000 bis 200.000 Versuchen pro Stunde aus verteilter Infrastruktur. Moderne Angreifer nutzen Residential-Proxy-Pools, damit einzelne Versuche wie Consumer-Traffic aussehen.
Phase 4: Filtern erfolgreicher Logins. Eine typische Credential-Stuffing-Kampagne gegen eine einzelne Plattform erzielt eine Erfolgsquote von 0.5–3% (Zugangsdaten weiterhin gültig). Erfolgreiche Logins werden nach Wert kategorisiert: Bankkonten gehen an einen Betreiber, Krypto-Wallets an einen anderen, E-Commerce-Konten mit gespeicherten Karten an einen dritten.
Phase 5: Monetarisierung. Gelder abheben, wo möglich; betrügerische Bestellungen aufgeben, wo keine direkte Entnahme möglich ist; Kontaktdaten zur Wiederherstellung ändern, um die Kontrolle zu behalten. An dieser Phase ist oft ein anderer Betreiber beteiligt als jener, der die Stuffing-Kampagne durchgeführt hat — erfolgreiche Zugangsdaten sind eine handelbare Ware.
Die ökonomische Rechnung begünstigt den Angreifer. Die Kosten pro Login-Versuch betragen Bruchteile eines Cents. Die Kosten pro erfolgreicher Kompromittierung liegen im einstelligen Dollarbereich. Der durchschnittlich entnommene Wert pro Kompromittierung beträgt 1.200–5.000 US-Dollar. Die Stückkostenrechnung trägt Operationen im industriellen Maßstab.
Warum 2FA nicht die Antwort ist, die die meisten Teams erhoffen
Die intuitive Abwehr gegen Credential Stuffing ist die Zwei-Faktor-Authentifizierung. Die Zugangsdaten mögen gültig sein, aber ohne den zweiten Faktor kann sich der Angreifer nicht anmelden. Das stimmt im Prinzip und teilweise auch in der Praxis.
Die ehrliche Einschätzung von 2FA im Jahr 2026:
SMS-basierte 2FA. Die häufigste Form, weil sie am einfachsten einzuführen ist. Zugleich die schwächste. SIM-Swap-Angriffe umgehen SMS-2FA in großem Umfang. Phishing-Kampagnen greifen 2FA-Codes gemeinsam mit Passwörtern ab. Bei hochwertigen Konten investieren Angreifer oft den zusätzlichen Aufwand, um gezielt SMS-2FA auszuhebeln, weil der Wert pro Konto dies rechtfertigt.
TOTP-basierte 2FA. Stärker als SMS. Sie erfordert, dass Nutzer eine Authenticator-App installieren und Geräte registrieren. Das Problem ist die Verbreitung — bei typischen Plattformen liegt die TOTP-Registrierung trotz jahrelanger Anreize bei 25–40% der aktiven Nutzer. Die restlichen 60–75% der Konten haben keinen TOTP-Schutz.
Push-basierte 2FA. Genehmigen/Ablehnen-Aufforderungen auf einem registrierten Mobilgerät. Die stärkste der drei Varianten, weil Phishing einen anspruchsvolleren Aufbau benötigt, um Push-Aufforderungen auszuhebeln. Die Verbreitung ist noch geringer als bei TOTP, weil plattformspezifische Mobile-Apps nötig sind und die Registrierungshürde höher liegt.
WebAuthn / FIDO2. Hardware-verankerte Authentifizierung über Geräte-Biometrie oder Sicherheitsschlüssel. Wehrt die meisten Angriffskategorien ab. Die Verbreitung ist extrem niedrig, weil sie Hardware-Fähigkeiten erfordert, über die der Nutzer möglicherweise nicht verfügt, und weil die UX ungewohnt ist.
Das Muster: Stärkere 2FA-Formen haben eine geringere Verbreitung. Die von Ihrer Plattform unterstützte 2FA ist für einen gewissen Prozentsatz der Nutzer aktiviert, und Credential Stuffing zielt schlicht auf den verbleibenden Prozentsatz. Bei Plattformen mit 35% TOTP-Verbreitung bleiben dem Angreifer noch 65% der Konten.
2FA ist notwendig. Sie ist aber nicht ausreichend.
Was Device Intelligence zum Bild beiträgt
Das Verteidigungsprinzip: Legitime Nutzer melden sich in der Regel von Geräten an, die sie bereits verwendet haben. Dieselbe Person vom selben Laptop, demselben Telefon, demselben Netzwerk — erkennbare Muster wiederkehrenden Zugriffs.
Credential-Stuffing-Angriffe brechen dieses Muster per Definition. Der Angreifer hat keinen Zugriff auf das Gerät des legitimen Nutzers. Jede erfolgreiche Zugangsdatenkombination wird von einer Infrastruktur getestet, die der legitime Nutzer nie verwendet hat. Genau dieses Signal erkennt Device Intelligence (Geräteintelligenz).
Die Architektur:
Beim Login-Versuch: Das SDK auf dem Client erfasst den Device-Fingerprint zusammen mit den Zugangsdaten. Der Server erhält Login-Versuch, Zugangsdaten und Device-Fingerprint gemeinsam.
Serverseitige Prüfung: Wurde dieses Gerät für dieses Konto bereits gesehen? Falls ja — bekanntes Gerät, normales Verhalten, fortfahren. Falls nein — unbekanntes Gerät, zusätzliche Verifizierung erforderlich.
Dreistufiges Verdikt:
- ALLOW: bekanntes Gerät, normales Muster, geringes Risiko → Login wird fortgesetzt
- CHALLENGE: unbekanntes Gerät oder verdächtiges Muster → Step-up-Verifizierung (SMS-Code, E-Mail-Bestätigung, biometrische Aufforderung)
- BLOCK: als bösartig bekannter Device-Fingerprint (Teil eines Credential-Stuffing-Clusters, Anti-Detect-Browser usw.) → Login abgelehnt
Der Challenge-Schritt ersetzt das Modell „immer 2FA verlangen" durch „zusätzliche Verifizierung nur dann verlangen, wenn das Gerätemuster auf ein Risiko hindeutet". Legitime Nutzer von ihren gewohnten Geräten erleben null Reibung. Verdächtige Versuche von nie gesehenen Geräten werden mit einer Challenge belegt. Als bösartig bestätigte Infrastruktur wird blockiert.
Die Rechnung zu False Positives ist wichtig. Eine Plattform mit 1 Million Logins pro Monat, bei der 5% der legitimen Nutzer in einem beliebigen Monat einen neuen Laptop oder ein neues Telefon kaufen, erzeugt allein aus diesem Übergang 50.000 Challenge-Ereignisse pro Monat. Richtig umgesetzt sind diese Challenges schnell (SMS-Code, App-Benachrichtigung) und die Reibung ist akzeptabel. Schlecht umgesetzt (erzwungene vollständige Neuverifizierung, Sperren von Konten bis zur Support-Prüfung) überwiegt die Reibung für legitime Nutzer den Sicherheitsgewinn.
Die gut abgestimmte Architektur erzeugt False-Positive-Raten unter 0.5% — eine Challenge pro 200 legitimen Logins. Das ist akzeptabel, weil die Challenges reibungsarm und schnell sind.
Was ist mit dem Angreifer, der dazulernt?
Versierte Angreifer kennen Device Intelligence. Der naheliegende Gegenzug besteht darin, das Gerätemuster des legitimen Nutzers nachzubilden. Können Angreifer das?
Die ehrliche Antwort: teilweise. Einige Angriffsmuster passen sich an Device Intelligence an:
Muster 1: Geräteangepasstes Credential Stuffing. Der Angreifer reichert Credential Dumps mit Gerätehinweisen aus demselben Leak an (User-Agent, IP-Geolokalisierungsverlauf). Er testet jede Zugangsdatenkombination von einer Infrastruktur aus, die grob dem Profil des legitimen Nutzers entspricht. Diese Anpassung ist real, aber nicht trivial — sie erfordert Daten, die der Angreifer nicht immer hat, und eine passende Infrastruktur ist schwerer zu beschaffen als das Fälschen des User-Agent.
Muster 2: Kontoübernahme per Phishing statt Stuffing. Der Angreifer bringt den legitimen Nutzer dazu, sich über eine kontrollierte Umgebung anzumelden, und greift dabei sowohl Zugangsdaten als auch Gerätemerkmale ab. Diese Angriffskategorie existiert, arbeitet aber in weit geringerem Volumen als Credential Stuffing — Phishing ist Arbeit pro Opfer, Stuffing findet im industriellen Maßstab statt.
Muster 3: SIM-Swap kombiniert mit Wiederverwendung von Zugangsdaten. Der Angreifer übernimmt die Telefonnummer und nutzt dann geleakte Zugangsdaten plus die erbeutete Telefonnummer, um sowohl passwortbasierte Abwehr als auch SMS-basierte 2FA auszuhebeln. Device Intelligence erkennt dies dennoch, weil das Login-Gerät des Angreifers für das Konto neu ist. Der SIM-Swap hebelt SMS-2FA aus, aber nicht die gerätebasierte Abwehr.
Das Muster: Device Intelligence hebt die Hürde deutlich an, ohne den Angriff unmöglich zu machen. In Kombination mit risikobasierter Step-up-Authentifizierung zwingt sie Angreifer, entweder deutlich mehr pro Konto zu investieren (was die Ökonomie des Massen-Stuffings zerstört) oder gezielt einzelne hochwertige Ziele zu suchen und fokussierte Angriffe zu fahren (die im Volumen klein und leichter zu untersuchen werden).
Wie ein wirksamer Einsatz aussieht
Ein digitaler Kreditgeber mit 200.000 aktiven Kunden, durchschnittliches Kontoguthaben 500 US-Dollar. Vor dem Einsatz: 230 Kontoübernahme-Vorfälle pro Monat, durchschnittlicher direkter Verlust pro Vorfall 1.200 US-Dollar. Insgesamt: 276.000 US-Dollar pro Monat an direkten Verlusten, zuzüglich Reputationsschaden und Support-Aufwand.
Eingesetzte Architektur:
- Das SDK auf der Login-Seite erfasst bei jedem Versuch den Device-Fingerprint
- Serverseitiger Verify-Aufruf, bevor die Authentifizierung abgeschlossen wird
- Regel: Wenn der Device-Fingerprint für dieses Konto noch nie gesehen wurde, lautet das Verdikt CHALLENGE
- Challenge-Mechanismus: SMS- oder E-Mail-Bestätigung (je nachdem, was registriert ist)
- Automatische Blockierung für Fingerprints in bekannten Credential-Stuffing-Clustern
Ergebnisse nach 60 Tagen:
- ATO-Vorfälle pro Monat: 230 → 7
- Reduktion der direkten Verluste: von 276.000 US-Dollar auf 8.000 US-Dollar pro Monat
- Blockrate bei Credential-Stuffing-Versuchen: 99.6% in der Phase der Geräteverifizierung
- False-Positive-Rate: 0.3% — etwa 1 von 350 legitimen Logins erhält eine CHALLENGE
- Support-Aufkommen zu Problemen beim Kontozugang: um 60% gesunken
- Kundenabwanderung aufgrund von Kontokompromittierung: um 89% gesunken
Der Einsatz dauerte 4 Arbeitstage. Die Backend-Integration war unkompliziert — der bestehende Authentifizierungs-Flow blieb unverändert, die Device-Intelligence-Schicht wurde als Wrapper hinzugefügt, der das Verdikt vor dem Auth-Complete-Ereignis zurückgab.
Die ROI-Rechnung: Die Erkennungsinfrastruktur kostete in dieser Größenordnung rund 2.000 US-Dollar pro Monat. Einsparung: 268.000 US-Dollar pro Monat. Ein ROI von 134× im ersten Jahr, mit abnehmenden Grenzerträgen, sobald sich die Angriffsrate auf dem niedrigeren Gleichgewicht einpendelt.
Was das für Ihr Team bedeutet
Wenn Sie eine Plattform mit einem Login-Endpunkt betreiben, der irgendetwas Wertvolles schützt — Geld, Daten, Inhalte, Kontostatus —, drei Beobachtungen:
Beobachtung 1: Sie haben ein ATO-Problem, ob Sie es messen oder nicht. Die meisten Plattformen unterschätzen ATO-Verluste, weil sie sich über mehrere Posten verteilen. Die ehrliche Messübung umfasst: das Zählen von Support-Tickets zu gesperrten Konten, das Zuordnen von Rückbuchungen zu Kontokompromittierungen, wo möglich, das Erheben von Abwanderungsgründen und das Prüfen erfolgreicher Login-Muster auf Ereignisse mit noch nie gesehenen Geräten. Die Zahl, die dabei herauskommt, liegt meist beim 2- bis 3-Fachen dessen, was die Führung annimmt.
Beobachtung 2: 2FA allein reicht nicht aus. Sie ist notwendig, deckt aber nur den Prozentsatz der Nutzer ab, die sich registriert haben. Credential Stuffing zielt auf den nicht registrierten Anteil, der in der Regel über 60% liegt. Device Intelligence deckt Nutzer ab, die sich nicht für 2FA registriert haben — und das sind die meisten.
Beobachtung 3: Erkennung beim Login ist ein Hebel. Die meisten Betrugskategorien erfordern eine nachträgliche Untersuchung. ATO per Credential Stuffing lässt sich bereits beim Login-Versuch selbst erkennen. Das macht sie zu einem der wirkungsvollsten Erkennungseinsätze: den Angriff am Erfolg hindern, statt hinterher aufzuräumen.
Die Plattformen, die das gut handhaben, teilen ein Muster: Sie messen ihre tatsächliche ATO-Rate vierteljährlich, setzen Device Intelligence auf der Login-Ebene ein — unabhängig von ihrer 2FA-Verbreitung — und behandeln die False-Positive-Rate als primäre zu optimierende Kennzahl.
Die nächsten 18 Monate
Drei Prognosen:
Prognose 1: Die Qualität der Credential Dumps steigt. Jüngste Datenlecks werden reichhaltigeren Kontext enthalten (Gerätemerkmale, Verhaltensmuster, Netzwerkverlauf), der es Angreifern ermöglicht, die Erwartungen der Verteidiger wirksamer zu erfüllen. Die Messlatte für die Erkennung steigt.
Prognose 2: Agentengesteuertes Credential Stuffing wird zum Standard. LLM-gesteuerte Agenten übernehmen den gesamten Ablauf — einschließlich Wiederherstellung, Bearbeitung von MFA-Challenges und Navigation nach dem Login — und machen jede erfolgreiche Kompromittierung gründlicher. Die Erkennungsaufgabe verschiebt sich hin zum Identifizieren agentengesteuerter Sitzungen, selbst wenn sie menschlich wirken.
Prognose 3: Plattformen, die bis Ende 2026 keine Device Intelligence einsetzen, sind einem erheblichen Risiko ausgesetzt. Die Kombination aus günstigeren Credential Dumps, clevereren Angreifern und besseren Angreifer-Tools bedeutet, dass Plattformen mit reiner 2FA-Abwehr deutlich steigende ATO-Raten sehen werden, während gut geschützte Plattformen ihre weiter senken.
Das Zeitfenster, um dem einen Schritt voraus zu sein, sind die nächsten 12–18 Monate. Plattformen, die jetzt einsetzen, haben eine verteidigungsfähige Position. Plattformen, die warten, werden gegenüber Angreifern mit besseren Tools hinterherlaufen.
Wo Tracio ins Bild passt
Tracio ist Device Intelligence, die unter anderem für die Login-Abwehr entwickelt wurde. Die Architektur deckt die Signale ab, die Credential Stuffing zuverlässig erkennen: Device-Fingerprinting (130+ Signale), Analyse auf Netzwerkebene (TCP/TLS-Fingerprinting, ASN-Reputation), Verhaltensmuster beim Login (Tipprhythmus, Maus-Jitter, Timing-Merkmale) und den Abgleich mit als bösartig bekannten Clustern aus dem kundenübergreifenden Signalaustausch.
Das Verdikt — ALLOW, CHALLENGE oder BLOCK — kommt in unter 50 Millisekunden zurück. Die Integration ist schnell: Die Device-Intelligence-Schicht umschließt Ihren bestehenden Authentifizierungs-Flow, ohne Backend-Änderungen zu erfordern. Das Verdikt teilt Ihrem Auth-System mit, ob es normal fortfahren, eine zusätzliche Verifizierung anfordern oder den Versuch ablehnen soll.
Die polymorphe JavaScript-Schicht rotiert täglich und nimmt Angreifern die Möglichkeit, wirksame Umgehungen gegen statische Erkennung auszuliefern. Das kundenübergreifende Signalnetzwerk teilt anonymisierte Fingerprint-Daten plattformübergreifend und erkennt Credential-Stuffing-Operationen, die sich über mehrere Ziele erstrecken.
Einführungszeitraum für die meisten Plattformen: 1–3 Tage von der Registrierung bis zur Produktion. Der Free-Tarif umfasst 2.500 Verifizierungen pro Monat — genug, um einen aussagekräftigen Piloten auf einem Teil des Login-Traffics zu fahren und Ihre tatsächliche ATO-Rate zu messen.
Neugierig, wie Ihre tatsächliche ATO-Rate aussieht?
Starten Sie Ihre kostenlose Testphase — 2.500 Verifizierungen gratis, keine Kreditkarte erforderlich. Buchen Sie eine Demo, um zu sehen, wie Ihre spezifischen Login-Traffic-Muster mit Tracios vollständiger Erkennungsschicht aussehen.