16 Milliarden gestohlene Anmeldedaten: Warum dieser Infostealer-Ausbruch ein Umdenken in der Anwendungssicherheit erfordert

Der aktuelle CyberNews-Bericht über ein Leck von mehr als 16 Milliarden Anmeldeinformationen – zusammengetragen aus Protokollen von Infostealer-Malware und früheren Verstößen – liefert Ihnen wichtige Erkenntnisse, wenn Sie digitale Identitäten zur Absicherung Ihrer Nutzer und Services einsetzen. Auch wenn es sich nicht um ein einzelnes Ereignis handelt, vergrößern die Zusammenführung und leichte Zugänglichkeit dieser umfangreichen Datensammlung die Bedrohungslage erheblich. 

Das Leck betrifft zahlreiche Plattformen, darunter Anmeldedaten großer Dienste wie Apple, Google, Facebook, Microsoft und Unternehmens-SaaS-Plattformen. Damit steigt die Gefahr erfolgreicher Kontoübernahmen sowohl im Verbraucher- als auch im Unternehmensbereich.

Lecks von Anmeldedaten sind kein neues Phänomen. Neu ist die systematische Ausbeutung gestohlener Zugangsdaten. Infostealer sammeln unbemerkt Anmeldedaten von infizierten Endpunkten, die dann gebündelt verkauft oder veröffentlicht werden. Unsere interne Analyse vom Anfang des Jahres zeigt, dass fast ein Drittel aller Anmeldeversuche bei F5-Kunden mit geleakten Zugangsdaten erfolgte. Viele davon stammen von legitimen Nutzern, die kompromittierte Anmeldedaten unbewusst wiederverwenden – ein drohendes Risiko für Übernahmen von Benutzerkonten (Account Takeover).

Hier vervielfacht Automatisierung Bedrohungen. Bots schlafen nie. Sie machen keine Tippfehler. Sie testen Milliarden von Anmeldedaten auf tausenden Seiten mit höchster Präzision. Unser Advanced Persistent Bots Report 2025 zeigt, dass Bots über 10 % des gesamten Web- und API-Datenverkehrs ausmachen, wobei Credential Stuffing und account takeover protection zu den häufigsten Angriffsmustern zählen.

Der CyberNews-Bericht zeigt einen entscheidenden Wandel: Die Hürden für den Missbrauch von Anmeldedaten sind stark gesunken. Mit 16 Milliarden Anmeldedaten im Umlauf müssen Angreifer heute nicht mehr in Ihre Systeme eindringen – sie müssen nur noch eine passende Kombination finden. Durch den Aufstieg von Residential-Proxy-Netzwerken und Bot-as-a-Service-Plattformen können auch unerfahrene Täter hochwirksame Angriffe starten.

Das ist nicht nur ein Sicherheitsproblem – es stellt ein Geschäftsrisiko dar. ATOs führen zu Betrug, Kundenverlust, Markenschäden und regulatorischen Problemen. Traditionelle Schutzmechanismen wie Ratenbegrenzung oder CAPTCHA bieten keinen ausreichenden Schutz mehr.

Auch Organisationen, die Multi-Faktor-Authentifizierung (MFA) eingeführt haben, sind nicht geschützt. Weshalb? Weil Angreifer weiterhin gezielt Anmeldeseiten angreifen, um:

• Prüfen Sie gestohlene Anmeldedaten gründlich, bevor Sie sie verkaufen.
• Starten Sie MFA-Ermüdungsangriffe, indem Sie Nutzer mit Push-Benachrichtigungen überschwemmen.
• Wirken Sie gezielt auf Rückfallprozesse wie Passwortzurücksetzungen oder SMS-basierte Wiederherstellungen ein.
• Wir erfassen Verhaltensdaten, um zukünftige Angriffe gezielt zu verbessern.

Kurz gesagt, wenn Ihre Anmeldeseite online zugänglich ist, greifen Bots darauf zu – und Bots interessieren sich nicht dafür, ob Sie MFA verwenden.  Wir haben im F5 Labs Identity Threat Report umfassend verschiedene Methoden zum Umgehen von MFA analysiert.

Gehen Sie von einem Sicherheitsvorfall aus: Verlassen Sie sich nicht nur auf Passwörter – behandeln Sie sie so, als wären sie schon kompromittiert.

Multi-Faktor-Authentifizierung gezielt erweitern: Auch wenn MFA die Sicherheit erhöht, können raffiniertere Bots sie dennoch umgehen. Diese Bots greifen nicht nur Anmeldeendpunkte an, sondern tarnen sich im legitimen Datenverkehr, was die Erkennung erschwert. Deshalb ist es entscheidend, zwischen harmlosen Bots und böswilligen Aktivitäten sicher zu unterscheiden. 

F5 Distributed Cloud Bot Defense setzt branchenführende proprietäre Methoden zur Signalerfassung und Verschleierung ein und kombiniert sie mit einer deterministischen Bot-Klassifizierung – so verzichten wir bewusst auf Bewertungssysteme. Unsere Threat-Intelligence-Experten erweitern Ihr Sicherheitsteam, erkennen Credential Stuffing in Echtzeit und stoppen es, ohne das Nutzungserlebnis zu beeinträchtigen.  

Aufklären und frühzeitig warnen: Sie müssen die Risiken der mehrfachen Nutzung von Anmeldedaten verstehen. Wir empfehlen, große Datensätze mit gestohlenen Anmeldedaten aus Drittquellen ständig zu überwachen oder kommerzielle und Open-Source-Threat-Intelligence-Dienste zu nutzen, die Verletzungsdaten bündeln. Erkennen Sie verletzte Anmeldedaten frühzeitig und informieren Sie Nutzer proaktiv, damit sie ihre Passwörter umgehend zurücksetzen.

Zusammenarbeiten und teilen: Der branchenübergreifende Austausch von Bedrohungsinformationen ist entscheidend. Je schneller Sie neue Bot-Muster erkennen und darauf reagieren, desto effektiver schützen wir das Ökosystem

Vereinbaren Sie eine Bot-Management-Analyse mit einem F5-Experten.