Zum Inhalt springen
Preise
AnmeldenKostenlose Testphase startenDemo buchen
LERNEN

Was ist Credential Stuffing?

Credential Stuffing (das massenhafte Durchprobieren gestohlener Zugangsdaten) ist ein automatisierter Angriff, bei dem gestohlene Benutzername-Passwort-Paare aus einem Leck in massivem Umfang gegen die Login-Seiten anderer Dienste getestet werden und dabei die Tatsache ausnutzen, dass Menschen dasselbe Passwort auf vielen Websites wiederverwenden.

Anders als beim Erraten von Passwörtern probiert Credential Stuffing keine zufälligen Kombinationen — es spielt Zugangsdaten ab, von denen bereits bekannt ist, dass sie irgendwo gültig sind, sodass selbst eine niedrige Erfolgsrate bei einer großen Liste viele kompromittierte Konten hervorbringt. Es ist einer der häufigsten Wege zur Kontoübernahme und eine der volumenstärksten automatisierten Bedrohungen im Internet. Dieser Leitfaden erklärt, wie der Angriff funktioniert, warum er so oft erfolgreich ist, welche verräterischen Zeichen es gibt und wie Abwehrmaßnahmen auf Geräteebene ihn dort stoppen, wo Ratenbegrenzungen und Passwörter versagen.

Was ist Credential Stuffing?

Credential Stuffing ist das groß angelegte automatisierte Abspielen zuvor gestohlener Login-Zugangsdaten gegen den Authentifizierungs-Endpunkt eines Ziels, in der Hoffnung, dass Nutzer diese Zugangsdaten wiederverwendet haben. Es ist ein Angriff der Skalierung und Wiederverwendung, nicht der Cleverness.

Der Angreifer beginnt mit einer Liste echter Benutzername-Passwort-Paare — oft in Millionenhöhe —, die aus einem unzusammenhängenden Leck stammen. Die Automatisierung übermittelt jedes Paar an das Login-Formular des Ziels. Überall dort, wo ein Nutzer sein Passwort wiederverwendet hat, gelingt der Login, und dieses Konto ist nun kompromittiert. Der Angreifer benötigt keinerlei Kenntnis über ein einzelnes Opfer; die geleakte Liste und die Wiederverwendung von Passwörtern erledigen die gesamte Arbeit.

Das unterscheidet Credential Stuffing von Brute-Force-Angriffen, die Passwörter für einen bekannten Benutzernamen erraten, und vom Password Spraying, das einige gängige Passwörter gegen viele Konten ausprobiert. Credential Stuffing nutzt vollständige, bereits gültige Paare, weshalb es mit Raten erfolgreich ist, die reines Raten nie erreicht.

Wie funktioniert ein Credential-Stuffing-Angriff?

Ein Credential-Stuffing-Angriff funktioniert, indem er eine geleakte Zugangsdatenliste in eine Automatisierung lädt, die Login-Versuche über viele IPs und Geräte verteilt, um Ratenbegrenzungen zu umgehen, und die erfolgreichen Paare für die spätere Monetarisierung sammelt.

Der Angreifer rüstet die Automatisierung — von einfachen Skripten bis zu Headless-Browsern — mit der Zugangsdatenliste aus und richtet sie auf den Login-Endpunkt. Um die naheliegende Abwehr des Sperrens einer IP nach zu vielen Fehlschlägen zu umgehen, wird der Traffic über Residential-Proxy-Netzwerke und rotierte User-Agents verteilt, sodass jeder Versuch so aussieht, als käme er von einem anderen gewöhnlichen Nutzer.

Erfolgreiche Logins werden protokolliert und von den Fehlschlägen getrennt. Diese validierten Konten werden dann direkt ausgenutzt, als verifizierte Zugangsdaten verkauft oder an eine Monetarisierungsstufe weitergereicht, die ihren Wert abschöpft. Die gesamte Pipeline ist industrialisiert: Werkzeuge, Proxy-Zugang und Zugangsdatenlisten sind allesamt leicht verfügbar, weshalb der Angriff so weit verbreitet ist.

Warum ist Credential Stuffing so oft erfolgreich?

Credential Stuffing ist erfolgreich, weil die Wiederverwendung von Passwörtern weit verbreitet ist, geleakte Zugangsdaten reichlich und billig sind und die für den Angriff nötige Automatisierungs- und Proxy-Infrastruktur zur Massenware geworden ist. Jeder Teil der Gleichung begünstigt den Angreifer.

Die Wiederverwendung von Passwörtern ist die Grundursache. Wenn dieselbe E-Mail-Adresse und dasselbe Passwort die Konten einer Person über viele Dienste hinweg entsperren, legt ein einziges Leck sie alle offen, und Angreifer müssen nur die Dienste finden, bei denen das Opfer seine Zugangsdaten wiederverwendet hat. Die Wiederverwendung macht aus einem Leck einen Generalschlüssel.

Angebot und Werkzeuge erledigen den Rest. Enorme Zugangsdaten-Datensätze zirkulieren frei, Residential Proxys lassen Traffic legitim erscheinen, und fertige Werkzeuge automatisieren den gesamten Prozess. Weil selbst eine kleine Erfolgsrate über eine gewaltige Liste hinweg Tausende Konten hervorbringt, arbeitet die Ökonomie stark zugunsten des Angreifers — was genau der Grund ist, warum die Abwehr diese Ökonomie angreifen muss.

Was sind die Anzeichen eines Credential-Stuffing-Angriffs?

Die Signaturen von Credential Stuffing sind ein sprunghafter Anstieg der Login-Versuche, eine ungewöhnlich hohe Fehlerrate und Traffic-Muster, die trotz der Bemühungen, menschlich zu wirken, Automatisierung offenbaren. Zusammen betrachtet sind sie kaum mit organischer Aktivität zu verwechseln.

Das Volumen ist das erste Anzeichen: ein plötzlicher Anstieg der Login-Versuche weit über die normale Grundlinie hinaus, oft auf den Authentifizierungs-Endpunkt konzentriert. Weil die meisten abgespielten Zugangsdaten nicht übereinstimmen, klettert die Fehlerrate auf Werte, die keine legitime Nutzergruppe hervorbringt — ein Login-Erfolgsverhältnis, das das umkehrt, was Sie normalerweise sehen würden.

Die Zusammensetzung des Traffics verrät die Automatisierung. Selbst über viele IPs verteilt, teilen die Versuche verräterische Merkmale: automatisierungstypische TLS-Fingerprints, Rechenzentrums- oder bekannte Proxy-Ursprünge, die in das Residential-Rauschen gemischt sind, mechanisches Timing und Gerätesignale, die über vermeintlich unzusammenhängende Sitzungen hinweg wiederkehren. Die Korrelation auf Geräteebene entlarvt die einzelne Kampagne, die sich hinter Tausenden IPs verbirgt.

  • Ein scharfer Anstieg des Login-Volumens gegen den Authentifizierungs-Endpunkt.
  • Eine abnorm hohe Login-Fehlerrate, da die meisten abgespielten Paare fehlschlagen.
  • Über viele IPs verteilter Traffic, der dennoch Geräte- oder TLS-Merkmale teilt.
  • Verräterische Automatisierungsmerkmale: Proxy- und Rechenzentrums-Ursprünge, Fingerprints von Skripting-Bibliotheken und mechanisches Timing.

Warum können Passwörter und Ratenbegrenzungen es nicht stoppen?

Passwörter und IP-Ratenbegrenzungen versagen, weil der Angriff gültige Zugangsdaten nutzt und sich über Tausende IPs verteilt, wodurch er beide Abwehrmaßnahmen konstruktionsbedingt aushebelt. Jede wurde für ein Bedrohungsmodell gebaut, das Credential Stuffing bewusst umgeht.

Starke Passwortrichtlinien schützen nur die Konten Ihres eigenen Dienstes; sie richten nichts gegen eine Zugangsangabe aus, die der Nutzer von einer anderen, geleakten Website wiederverwendet hat. Das Passwort ist gültig, also besteht es jede Stärke- und Korrektheitsprüfung. Die Schwachstelle liegt in einer Wiederverwendung, die die Plattform weder sehen noch kontrollieren kann.

Die IP-basierte Ratenbegrenzung ging von einem Angreifer aus, der von einer Adresse aus operiert, sodass das Sperren nach einer Serie von Fehlschlägen ihn aufhielt. Residential-Proxy-Netzwerke reißen diese Annahme ein, indem sie jedem Versuch eine frische, legitim aussehende IP geben und jede Quelle unter dem Schwellenwert halten. Die Ratenbegrenzung nach IP hat schlicht nichts Dauerhaftes zu zählen. Die dauerhafte Kennung, die der Angreifer nicht günstig rotieren kann, ist das Gerät.

Wie stoppt Device Intelligence Credential Stuffing?

Device Intelligence stoppt Credential Stuffing, indem sie das Gerät hinter jedem Versuch identifiziert, sodass Ratenbegrenzung und Blockade auf einer dauerhaften Identität arbeiten, die die IP-Rotation übersteht, und indem sie die Automatisierung kennzeichnet, von der der Angriff abhängt. Sie kontert die zentrale Umgehung des Angriffs direkt.

Weil die Geräteidentität über IPs hinweg fortbesteht, ist ein einzelnes Betrugsgerät, das auf den Login einhämmert, erkennbar, egal hinter wie vielen Residential Proxys es sich verbirgt. Ratenbegrenzungen, die pro Gerät — nicht pro IP — durchgesetzt werden, haben endlich etwas Stabiles zu zählen, sodass der Angreifer sein Budget nicht mehr durch das Ausleihen einer anderen Adresse zurücksetzen kann.

Darüber hinaus entlarven Bot- und Automatisierungssignale die Werkzeuge selbst: Headless-Browser-Artefakte, TLS-Fingerprints von Skripting-Bibliotheken und verräterische Verhaltensmerkmale markieren den Traffic als automatisiert, ungeachtet der gültigen Zugangsdaten, die er trägt. Und weil dasselbe Gerät über Konten hinweg wiederkehrt, offenbart die Gerätekorrelation die gesamte Kampagne — was Tausende verstreute Versuche in einen identifizierbaren Angreifer verwandelt, den Sie rundheraus blockieren können.

Wie können Unternehmen sich gegen Credential Stuffing verteidigen?

Unternehmen verteidigen sich gegen Credential Stuffing mit einer geschichteten Strategie: Erkennung und Ratenbegrenzung auf Geräteebene, Bot-Erkennung im Login-Ablauf, risikobasierte Authentifizierung und Überwachung auf die Signaturen des Angriffs. Die Schichten schließen die Lücken, die jede Kontrolle für sich allein offenlässt.

Abwehrmaßnahmen auf Geräteebene sind das Herzstück, weil sie die IP-Rotations-Umgehung neutralisieren, die den Angriff überhaupt möglich macht — Ratenbegrenzung und Blockade nach Gerät statt nach Adresse. Die Bot-Erkennung fügt eine zweite Front hinzu und erwischt die Automatisierung über Umgebungs-, Netzwerk- und Verhaltenssignale, selbst wenn die Zugangsdaten gültig sind.

Um diese herum verlangt die risikobasierte Authentifizierung eine verstärkte Verifizierung, wenn ein Login verdächtig wirkt, und mindert so den Wert etwaiger durchgerutschter Zugangsdaten, und die Überwachung auf Volumenspitzen und Anomalien der Fehlerrate gibt frühzeitig Warnung vor einer laufenden Kampagne. Das Fördern einzigartiger Passwörter und von MFA reduziert die zugrunde liegende Wiederverwendung, die der Angriff ausnutzt. Gemeinsam bringen die Schichten die Ökonomie des Angriffs zum Erliegen.

Ein Begriff auf dieser Seite ist Ihnen unbekannt? Jedes obige Konzept wird in unserem Device-Intelligence-Glossar definiert.

Bevorzugen Sie eine knappe Definition? Siehe Credential-Stuffing-Bot im Glossar.

FAQ

Häufig gestellte Fragen

Begrenzen Sie die Rate des Geräts, nicht der IP

TRACIO gibt jedem Versuch eine persistente Geräteidentität, die die Proxy-Rotation übersteht, sodass Credential Stuffing sein Budget nicht durch den Wechsel der IP zurücksetzen kann. Starten Sie kostenlos und legen Sie es lahm.