Login
Kostenlos testen

Wie Sie Credential Stuffing-Angriffe auf Ihrer Website verhindern können

ist captcha.eu

Bei Credential Stuffing-Angriffen werden echte Passwörter verwendet, die bei früheren Einbrüchen gestohlen wurden, und keine Vermutungen angestellt. Dadurch sind sie schneller, schwieriger zu erkennen und schädlicher als Brute-Force-Angriffe. Dieser Leitfaden behandelt die sechs Schutzmaßnahmen, die diese Angriffe stoppen, was zu tun ist, wenn ein Angriff bereits läuft, und welche Endpunkte zuerst geschützt werden sollten.

Geschätzte Lesezeit: 16 Minuten

CAPTCHA.eu kostenlos testen - keine Kreditkarte
Alle Integrationen anzeigen

Auf einen Blick

Was ihn auszeichnet

Angreifer verwenden echte, funktionierende Passwörter aus früheren Einbrüchen, keine zufällig erratenen. Anmeldeversuche sehen auf den ersten Blick legitim aus

Warum sie erfolgreich ist

Etwa 85% der Benutzer verwenden Passwörter für mehrere Dienste. Selbst eine Erfolgsquote von 0,1% bei einer Milliarde Anmeldeinformationen ergibt eine Million kompromittierte Konten

Stärkste Einzelverteidigung

MFA. Sie verhindert die Übernahme von Konten, selbst wenn der Angreifer das richtige Kennwort hat. Daten von Microsoft zeigen, dass mehr als 99% der automatisierten Angriffe auf Konten abgewehrt werden.

Warum CAPTCHA hier passt

Proof-of-work CAPTCHA stoppt Bots, bevor sie Ihre Anmeldelogik erreichen, und erhöht die Kosten für jeden Versuch, unabhängig davon, ob die Anmeldedaten gültig sind

Was dieser Leitfaden behandelt

Wie Credential Stuffing funktioniert

Jede größere Datenpanne hat einen Nebeneffekt: Eine Liste mit funktionierenden Benutzernamen und Kennwörtern landet im Dark Web. Angreifer kaufen diese Listen billig, manchmal für nur ein paar Dollar pro Million Datensätze, und testen sie dann automatisch gegen andere Dienste. Die Logik ist einfach: Wenn jemand dieselbe E-Mail und dasselbe Passwort für eine manipulierte Einzelhandelswebsite und sein Bankkonto verwendet hat, hat der Angreifer nun Zugang zu beiden.

Eine typische Kampagne zum Ausfüllen von Anmeldeinformationen läuft folgendermaßen ab:

  1. Beschaffung von Anmeldedaten. Angreifer kaufen oder laden Datenbanken mit Zugangsdaten von Dark-Web-Marktplätzen herunter. Listen mit Milliarden von Benutzernamen-Passwort-Paaren sind weithin verfügbar und billig.
  2. Bereiten Sie die Liste vor. Tools reichern die Rohdaten an, deduplizieren sie und formatieren sie für automatisierte Tests an mehreren Zielstandorten.
  3. Starten Sie verteilte Anmeldeversuche. Bots senden Anmeldeanfragen an Tausende von IP-Adressen gleichzeitig und verwenden echte Browsersignaturen, um sich in den normalen Datenverkehr einzuschleichen. Jede IP-Adresse sendet nur eine Handvoll Anfragen und bleibt damit unter den Schwellenwerten für die Ratenbegrenzung.
  4. Erfolge stillschweigend sammeln. Wenn eine Anmeldung erfolgreich ist, zeichnet der Bot dies auf. Der Angreifer verkauft dann entweder die funktionierenden Anmeldedaten, übernimmt das Konto, entnimmt den gespeicherten Wert oder nutzt es als Ausgangspunkt für weitere Angriffe.

Das entscheidende Detail ist, dass der Angreifer niemals raten muss. Er gibt Passwörter wieder, die bereits an anderer Stelle funktioniert haben. Das ändert alles daran, wie der Angriff aussieht und wie man ihn erkennt.

Credential Stuffing vs. Brute Force: Was ist der Unterschied?

Beide Angriffe zielen auf Anmeldeformulare ab, und beide nutzen die Automatisierung. Darüber hinaus handelt es sich um sehr unterschiedliche Probleme, die unterschiedliche Verteidigungsmaßnahmen erfordern.

Der einfachste Weg, den Unterschied zu verstehen

Stellen Sie sich rohe Gewalt so vor, dass ein Schlosser alle möglichen Schlüsselkombinationen für Ihr Schloss ausprobiert. Das kostet Zeit, macht Lärm und ist offensichtlich, wenn es passiert. Credential Stuffing bedeutet, dass jemand Ihren Schlüssel in einer Fundkiste gefunden hat und ihn unauffällig an Ihrer Tür ausprobiert. Der Schlüssel sieht echt aus, weil er es auch ist. Die einzige Frage ist, ob Sie das Schloss nach dem ursprünglichen Einbruch ausgetauscht haben.

ASPECT
AUSFÜLLEN VON BERECHTIGUNGSNACHWEISEN
BRUTE FORCE
Passwort-Quelle
Echte Passwörter, die bei früheren Einbrüchen gestohlen wurden
Generierte Vermutungen: Zufallskombinationen, Wörterbücher
Erfolgsquote
Gering pro Versuch (~0,1%), aber enorm im Maßstab
Sehr gering; hängt stark von der Passwortstärke ab
Geschwindigkeit
Sehr schnell; verteilt über Tausende von IPs
Langsamer; löst schnell Sperren und Ratenbegrenzungen aus
Schwierigkeiten bei der Erkennung
Hart: Anfragen sehen aus wie normale Benutzeranmeldungen
Einfacher: viele Fehlversuche auf einem Konto fallen auf
Passwortpolitik hilft?
Nein: der Angreifer hat bereits ein funktionierendes Passwort
Ja: längere, komplexe Passwörter verlangsamen den Angriff
Primäre Verteidigung
MFA, CAPTCHA, Überprüfung von verletzten Passwörtern
Kontosperrung, Ratenbegrenzung, CAPTCHA, MFA

Die wichtigste Zeile ist die vorletzte. Starke Kennwortrichtlinien schützen gut vor Brute-Force, weil sie das Erraten erschweren. Gegen Credential Stuffing bieten sie fast keinen Schutz, weil der Angreifer nicht raten kann. Er hat Ihr Kennwort bereits. Aus diesem Grund müssen die beiden Angriffe unterschiedlich betrachtet werden, auch wenn sie einige gemeinsame Verteidigungsmaßnahmen aufweisen.

Einen tieferen Einblick in die Brute-Force-Methode erhalten Sie in unserem Leitfaden über wie man Brute-Force-Angriffe verhindert.

Warum Credential Stuffing so schwer zu erkennen ist

Dies ist die zentrale Herausforderung. Wenn ein Brute-Force-Angriff ausgeführt wird, hinterlässt er offensichtliche Spuren: Dutzende oder Hunderte von fehlgeschlagenen Anmeldeversuchen für dasselbe Konto von derselben IP-Adresse aus. Ihre Protokolle leuchten auf. Überwachungs-Tools lösen Warnungen aus.

Credential Stuffing hinterlässt fast keine dieser Spuren. Der Angreifer verteilt die Anfragen auf Tausende von verschiedenen IP-Adressen. Jede IP-Adresse sendet nur eine oder zwei Anfragen. Die Anmeldeinformationen sind korrekt, so dass viele Versuche sofort erfolgreich sind. Es gibt keine wiederholten Fehlversuche für dasselbe Konto. Der Datenverkehr sieht genauso aus wie bei normalen Benutzern, die sich von verschiedenen Standorten aus anmelden.

Dies führt dazu, dass viele Angriffe zum Ausfüllen von Anmeldedaten monatelang unentdeckt bleiben. Im Fall von 23andMe verbrachten die Angreifer fünf Monate innerhalb der Plattform, bevor das Unternehmen entdeckte, was passiert war. Sie fanden es nur heraus, weil gestohlene Daten in einem Hackerforum zum Verkauf angeboten wurden, und nicht, weil die interne Überwachung irgendetwas entdeckt hatte.

Die versteckten Kosten eines erfolgreichen Angriffs

Laut dem IBM-Bericht "Cost of a Data Breach Report 2025" kosten Datenschutzverletzungen weltweit durchschnittlich $4,44 Millionen und es dauert im Durchschnitt 241 Tage, um sie zu erkennen und einzudämmen. Der finanzielle Schaden umfasst neben den direkten Verlusten durch kompromittierte Konten auch die Behebung von Betrugsfällen, die Benachrichtigung von Kunden, Bußgelder und Reputationsschäden.

Ein Beispiel aus der Praxis: 23andMe

Im Oktober 2023 deckte das Gentestunternehmen 23andMe einen Angriff auf die Zugangsdaten auf, durch den die persönlichen Daten von etwa 6,9 Millionen Nutzern offengelegt wurden. Das Ausmaß der Sicherheitsverletzung macht sie zu einer der deutlichsten Fallstudien dafür, wie Credential Stuffing weit über die erste Kompromittierung hinaus eskalieren kann.

Fallstudie: 23andMe (2023)

Die Angreifer erlangten Listen mit Anmeldeinformationen aus früheren, nicht damit zusammenhängenden Datenschutzverletzungen und nutzten diese, um auf 23andMe-Konten zuzugreifen, deren Inhaber ihre Passwörter wiederverwendet hatten. Ungefähr 14.000 Konten wurden auf diese Weise direkt kompromittiert. Die Funktion “DNA-Verwandte” von 23andMe, mit der Benutzer genetische Abstammungsdaten mit verbundenen Profilen austauschen können, vergrößerte den Einbruch jedoch dramatisch. Durch den Zugriff auf 14.000 Konten konnte der Angreifer die verknüpften Daten von weiteren 5,5 Millionen Profilen und die Stammbaumdaten von 1,4 Millionen weiteren Profilen abgreifen. Bei keinem dieser zusätzlichen Benutzer wurden die Konten direkt kompromittiert. Ihre Daten waren nur deshalb gefährdet, weil ein verbundener Benutzer ein Passwort wiederverwendet hatte.

Die fünfmonatige Entdeckungslücke (der Angriff lief von April bis September 2023 und wurde erst entdeckt, als die gestohlenen Daten auf BreachForums auftauchten) verdeutlicht das Überwachungsversagen, durch das Credential Stuffing unbemerkt ablaufen kann. 23andMe ordnete daraufhin die Rücksetzung von Passwörtern an und führte eine zweistufige Überprüfung ein. Das Unternehmen sah sich mit einer Sammelklage in Höhe von $30 Millionen konfrontiert und meldete im März 2025 Konkurs nach Chapter 11 an. Die Aufsichtsbehörden im Vereinigten Königreich und in Kanada stellten fest, dass keine angemessenen Überwachungskontrollen vorhanden waren.

Die Sicherheitsverletzung bei 23andMe veranschaulicht drei Lektionen, die für fast jede Website mit Benutzerkonten gelten. Erstens: Die Passwörter Ihrer Benutzer von anderen Websites stellen ein Risiko für Ihre Plattform dar, selbst wenn Sie noch nie einen Verstoß erlitten haben. Zweitens können Plattformfunktionen, die Konten miteinander verbinden, die Auswirkungen einer einzigen kompromittierten Anmeldung vervielfachen. Drittens: Wenn Sie nicht auf die richtigen Signale achten, werden Sie nicht wissen, dass ein Angriff im Gange ist, bis jemand anderes es Ihnen sagt.

Sechs Abwehrmaßnahmen, die funktionieren

  • Multi-Faktor-Authentifizierung

    MFA ist der wirksamste Schutz gegen Credential Stuffing. Der Grund dafür ist strukturell: Selbst wenn ein Angreifer den richtigen Benutzernamen und das richtige Kennwort hat, erfordert MFA einen zweiten Überprüfungsschritt (einen zeitbasierten Code, eine Push-Benachrichtigung oder einen Hardwareschlüssel), über den der Angreifer nicht verfügt. Microsofts Analyse von Vorfällen, bei denen Konten kompromittiert wurden, ergab, dass MFA mehr als 99% davon hätte verhindern können. Diese Zahl bezieht sich direkt auf Credential Stuffing, da das gesamte Angriffsmodell davon abhängt, dass ein gestohlenes Kennwort ausreicht, um sich anzumelden. Für Website-Betreiber liegt die Priorität klar auf der Hand: Machen Sie MFA für Administratorkonten und Konten mit hohen Rechten obligatorisch und bieten Sie es allen Benutzern an. Wenn Sie MFA nicht für jeden Benutzer durchsetzen können, setzen Sie sie für Aktionen mit hohem Risiko ein: Änderungen von Kontodaten, Zahlungsströme und Zurücksetzen von Passwörtern. FIDO2-Passkeys und Authentifizierungs-Apps werden jetzt weitgehend unterstützt und verringern die Reibung, die MFA in der Vergangenheit bei den Benutzern unbeliebt gemacht hat.

MFA allein stoppt den Angriffsverkehr nicht

MFA verhindert zwar die Übernahme von Konten, aber es hält Bots nicht davon ab, Anmeldeversuche zu unternehmen. Tausende von MFA-blockierten Versuchen belasten immer noch Ihren Server, verbrauchen Ressourcen und erzeugen Rauschen in Ihren Protokollen. Aus diesem Grund funktioniert MFA am besten in Kombination mit den darunter liegenden Schichten.

  • Proof-of-Work-CAPTCHA bei Anmelde- und Authentifizierungsvorgängen

    CAPTCHA setzt an einem anderen Punkt in der Angriffskette an als MFA. Anstatt die Übernahme eines Kontos nach einer erfolgreichen Anmeldung zu verhindern, erhöht CAPTCHA die Kosten für jeden Anmeldeversuch, bevor er Ihre Authentifizierungslogik erreicht. Dies ist von enormer Bedeutung für Credential Stuffing, bei dem Angreifer darauf angewiesen sind, Millionen von Anfragen kostengünstig und automatisch zu übermitteln. Die Art des CAPTCHA ist hier von Bedeutung. KI-gestützte Lösungstools und menschliche Lösungsdienste”. Herkömmliche visuelle CAPTCHA (Bildraster, “Ich bin kein Roboter”-Kontrollkästchen) werden zunehmend von KI-gesteuerten Lösungstools und menschlichen Lösungsdiensten umgangen. Gegen einen gut ausgerüsteten Angreifer, der eine groß angelegte Kampagne zum Ausfüllen von Anmeldeinformationen durchführt, bietet ein visuelles CAPTCHA weniger Schutz als es den Anschein hat. Ein Proof-of-Work CAPTCHA ist strukturell anders aufgebaut. Anstatt ein visuelles Rätsel zu präsentieren, muss der Browser eine kleine kryptografische Berechnung durchführen, bevor die Anmeldeanfrage fortgesetzt werden kann. Für einen echten Benutzer geschieht dies unsichtbar im Hintergrund. Für einen Bot, der Tausende von Anmeldeversuchen pro Minute unternimmt, erfordert nun jeder einzelne Versuch Rechenarbeit, was die Kosten unabhängig von der Fähigkeit des Angreifers, das Bild zu lösen, in die Höhe treibt. Das OWASP Credential Stuffing Prevention Cheat Sheet identifiziert CAPTCHA als eine der Schlüsselkontrollen zur Verlangsamung von Credential Stuffing-Angriffen und verweist insbesondere auf seine Rolle bei der Erhöhung der Kosten und des Zeitaufwands für automatisierte Anmeldeversuche.

CAPTCHA.eu stoppt Bots, bevor sie Ihre Anmeldelogik erreichen

Unsichtbare Proof-of-Work-Verifizierung bei jedem Anmeldeversuch. Keine Bilderrätsel. Keine Cookies. Alle Daten werden in Österreich nach EU-Recht verarbeitet. WACA Silber zertifiziert vom TÜV Österreich nach WCAG 2.2 AA.

Kostenlose Testversion starten
Sehen Sie, wie Login-Missbrauch funktioniert

  • Überprüfung von verletzten Passwörtern

    Dieser Schutz wird nicht ausreichend genutzt und ist äußerst wirksam. Wenn ein Benutzer ein Konto anlegt oder sein Kennwort ändert, vergleicht Ihr System das neue Kennwort mit einer Datenbank von Anmeldeinformationen, von denen bekannt ist, dass sie bei früheren Datenschutzverletzungen preisgegeben wurden. Wenn es eine Übereinstimmung findet, lehnt es das Passwort ab und fordert den Benutzer auf, ein anderes zu wählen. Die Untersuchung des Generalstaatsanwalts des Bundesstaates New York zum Thema Credential Stuffing hat ergeben, dass die Überprüfung von Passwörtern nach Sicherheitsverletzungen eine der wirkungsvollsten Kontrollen ist, die den Betreibern zur Verfügung stehen, insbesondere weil sie Benutzer daran hindert, Konten mit Passwörtern zu erstellen, die bereits in den Datenbanken von Angreifern im Umlauf sind. Der Dienst Have I Been Pwned bietet eine kostenlose API für genau diesen Zweck an, mit der Sie Passwörter mit Milliarden bekannter missbrauchter Zugangsdaten vergleichen können, ohne das eigentliche Passwort zu übermitteln. Diese Kontrolle kann einen bereits laufenden Angriff nicht stoppen, aber sie verringert Ihre Gefährdung im Laufe der Zeit erheblich, indem sie Ihre anfälligsten Konten eliminiert, bevor Angreifer sie erreichen.

  • Ratenbegrenzung und Erkennung von Anomalien

    Die standardmäßige IP-basierte Ratenbegrenzung (Sperrung einer IP nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche) ist weniger wirksam gegen Credential Stuffing als gegen Brute Force, da jede IP in einer Stuffing-Kampagne in der Regel nur eine oder zwei Anfragen stellt. Dennoch spielt die Ratenbeschränkung eine wichtige Rolle, wenn sie mit Bedacht eingesetzt wird. Der effektivere Ansatz kombiniert Schwellenwerte für einzelne Konten mit der Erkennung globaler Anomalien. Schwellenwerte für einzelne Konten zeigen an, wenn ein und dasselbe Konto innerhalb eines kurzen Zeitfensters Anmeldeversuche von vielen verschiedenen IPs erhält. Die Erkennung globaler Anomalien zeigt an, wenn Ihr Anmeldeendpunkt plötzlich deutlich mehr Datenverkehr als die Basiswerte erhält, auch wenn sich kein einzelnes Konto oder eine einzelne IP verdächtig verhält. Zusammen fangen diese Muster verteilte Kampagnen ab, die sich einer einfachen IP-Ratenbegrenzung entziehen. Weitere überwachungswürdige Signale sind: Anmeldeversuche, die von bekannten Proxy- oder Hosting-Provider-IP-Bereichen ausgehen, Anmeldungen von ungewöhnlichen geografischen Standorten für bestehende Konten und erfolgreiche Anmeldungen, auf die unmittelbar eine Änderung der Kontodetails folgt. Das OWASP Credential Stuffing Cheat Sheet empfiehlt, mehrere Signale zu kombinieren, anstatt sich auf einen einzelnen Schwellenwert zu verlassen.

  • Konsistente Fehlermeldungen bei fehlgeschlagener Anmeldung

    Dies ist ein kleines Detail, das wichtiger ist, als es scheint. Wenn Ihre Anmeldeseite unterschiedliche Meldungen für “falsches Passwort” und “Konto existiert nicht” ausgibt, können Angreifer diese Unterschiede nutzen, um zu überprüfen, welche Benutzernamen in ihrer Liste echte Konten sind. Eine einfache Änderung: Geben Sie immer dieselbe allgemeine Meldung zurück, unabhängig davon, ob der Benutzername existiert oder das Passwort falsch ist. “E-Mail-Adresse oder Kennwort ist falsch” sagt nichts aus. “Wir konnten kein Konto mit dieser E-Mail-Adresse finden” ist ein Geschenk für einen Angreifer, der eine Liste mit überprüften Benutzernamen erstellt. Die gleiche Logik gilt für die Rücksetzung von Passwörtern. Die Rückgabe unterschiedlicher Antworten für gültige und ungültige E-Mail-Adressen ermöglicht es Angreifern, Ihre Benutzerbasis ohne jegliche Anmeldedaten aufzuzählen.

  • Benachrichtigung und Überwachung der Benutzer

    Selbst wenn alle oben genannten Maßnahmen getroffen werden, werden einige Angriffe erfolgreich sein. Eine schnelle Erkennung begrenzt den Schaden. Die effektivsten Überwachungssignale für Credential Stuffing unterscheiden sich von denen für Brute-Force-Angriffe. Achten Sie auf: eine allgemeine Zunahme des Anmeldevolumens ohne eine entsprechende Zunahme erfolgreicher Anmeldungen, erfolgreiche Anmeldungen von unbekannten geografischen Standorten oder Geräten für bestehende Konten, Änderungen von Kontodetails (E-Mail-Adresse, Passwort, Lieferadresse) kurz nach der Anmeldung und erhöhte Anforderungsraten für das Zurücksetzen des Passworts. Benutzer sofort benachrichtigen, wenn sie sich von einem neuen Gerät oder Standort aus anmelden. Geben Sie den Nutzern Einblick in ihren jüngsten Anmeldeverlauf. Wenn sie sehen können, dass sich jemand um 3 Uhr morgens in einem anderen Land angemeldet hat, können sie Maßnahmen ergreifen, bevor der Angreifer bleibenden Schaden anrichtet. Auf diese Weise wird auch ein Teil der Erkennungslast von Ihrem Sicherheitsteam auf Ihre Benutzer verlagert, was sich besser skalieren lässt als eine zentralisierte Überwachung allein.

Wo man anfangen sollte: welche Endpunkte man zuerst schützen sollte

Wenden Sie diese Schutzmaßnahmen zuerst auf Ihre risikoreichsten Datenströme an. Anmeldeformulare sind das Hauptziel, da ein erfolgreiches Credential Stuffing Login dem Angreifer sofort vollen Zugriff auf das Konto gibt. Nach der Anmeldung sollten Sie der Rücksetzung von Passwörtern Vorrang einräumen, da Angreifer durch unterschiedliche Antworten auf gültige und ungültige E-Mail-Adressen echte Konten aufzählen können, ohne Anmeldedaten zu benötigen. Dann API-Authentifizierungsendpunkte, die oft nicht so gut geschützt sind wie Web-Anmeldeformulare. Und schließlich Registrierungsformulare, bei denen durch erfolgreiches Stuffing gefälschte oder geklonte Konten erstellt werden können. Wenn Sie in dieser Reihenfolge vorgehen, decken Sie den größten Teil der Angriffsfläche für Credential Stuffing ab.

Wenn ein Angriff bereits läuft: sofortige Schritte

Um einen Angriff zum Ausfüllen von Anmeldedaten zu erkennen, sind andere Signale erforderlich, als Sie vielleicht erwarten. Da einzelne Anfragen normal aussehen, sind die deutlichsten Anzeichen Muster auf Volumenebene: eine plötzliche Spitze im Anmeldeverkehr, ein ungewöhnliches Verhältnis zwischen erfolgreichen und fehlgeschlagenen Anmeldungen oder neue Konten, die mit Mustern erstellt werden, die auf eine Automatisierung hindeuten (aufeinanderfolgende Benutzernamen, identische Browsersignaturen, Massenregistrierungen in einem kurzen Zeitfenster).

Wenn Sie einen aktiven Angriff erkennen, begrenzt diese Sequenz den Schaden:

  • CAPTCHA sofort einschalten oder verschärfen.

    Selbst der Einsatz von Proof-of-Work-CAPTCHA in der Mitte eines Angriffs erhöht die Kosten für Bots, die immer noch Versuche unternehmen, und kann die Kampagne innerhalb von Minuten verlangsamen oder stoppen.

  • Wenden Sie eine vorübergehende Geoblockierung oder Proxy-Blockierung auf den Anmeldeendpunkt an.

    Der Datenverkehr für Credential Stuffing läuft häufig über Hosting-Provider-Bereiche und offene Proxys. Cloudflare und ähnliche Dienste veröffentlichen IP-Listen für diese. Sie zu blockieren ist unvollkommen, verschafft aber Zeit.

  • Erzwingen Sie MFA oder eine erneute Authentifizierung bei Konten, die anomale Aktivitäten aufweisen.

    Jedes Konto, das eine erfolgreiche Anmeldung von einem ungewöhnlichen Ort oder Gerät aus erhalten hat, sollte angefochten werden, bevor die Sitzung fortgesetzt wird.

  • Setzen Sie Kennwörter für Konten zurück, die verdächtige erfolgreiche Anmeldungen aufweisen.

    Benachrichtigen Sie die betroffenen Nutzer mit klaren Anweisungen. Seien Sie konkret: Erklären Sie, dass ihre Anmeldedaten möglicherweise bei einem früheren Verstoß an anderer Stelle offengelegt wurden und dass sie dasselbe Passwort nicht für andere Dienste verwenden sollten.

  • Prüfen Sie auf nachgelagerte Aktivitäten in kompromittierten Konten.

    Änderungen von Kontodetails, Hinzufügen von Zahlungsmethoden, Einlösen von gespeicherten Werten und Datenexporte sind die Aktionen, die ein Angreifer nach dem Eindringen durchführt. Überprüfen Sie diese in dem Fenster, das den Angriff umgibt.

  • Bewahren Sie Ihre Protokolle für das gesamte Angriffsfenster auf.

    Gemäß GDPR und NIS2 haben Sie möglicherweise Meldepflichten, wenn auf personenbezogene Daten zugegriffen wurde. Rohprotokolle sind die Grundlage für jede Reaktion auf einen Vorfall oder eine behördliche Meldung.

Fügen Sie CAPTCHA.eu in wenigen Minuten zu Ihrem Anmeldefluss hinzu

WordPress, TYPO3, Keycloak, Magento, und eigene Stacks. In Österreich gehostet, ohne Kochfunktion, keine Rätsel für echte Benutzer. 100 kostenlose Anfragen zum Start.

Kostenlose Testversion starten
Alle Integrationen anzeigen

Die EU-Dimension: Warum Credential Stuffing ein GDPR-Problem ist

Für europäische Website-Betreiber ist ein erfolgreicher Credential Stuffing-Angriff nicht nur ein Sicherheitsvorfall. Nach der Datenschutz-Grundverordnung stellt der unbefugte Zugriff auf personenbezogene Daten in Benutzerkonten eine Verletzung des Schutzes personenbezogener Daten dar und löst eine 72-stündige Meldepflicht an Ihre Aufsichtsbehörde sowie eine mögliche Benachrichtigung der betroffenen Benutzer aus. Der Fall 23andMe führte zu behördlichen Untersuchungen durch das britische Information Commissioner's Office und das Office of the Privacy Commissioner of Canada, zum Teil deshalb, weil das Erkennungsversagen eine rechtzeitige Meldung der Datenschutzverletzung verhinderte.

Dies hat eine direkte Auswirkung darauf, wie Sie über Schutzmaßnahmen gegen das Ausfüllen von Anmeldeinformationen denken. Der Einsatz von CAPTCHA und MFA ist nicht nur eine Sicherheitsentscheidung. Es ist auch Teil Ihrer Verpflichtung nach Artikel 32 der DSGVO, “geeignete technische Maßnahmen” zum Schutz personenbezogener Daten zu ergreifen. Wenn Sie dies nicht tun und in der Folge eine Datenschutzverletzung erleiden, geraten Sie bei einer behördlichen Überprüfung in eine schwierige Lage.

Die Wahl des CAPTCHA hat auch Auswirkungen auf die Einhaltung von Vorschriften. Herkömmliche CAPTCHA-Dienste setzen in der Regel Tracking-Cookies auf den Anmeldeseiten, was die Anforderungen an die ePrivacy-Einwilligung auslöst und die Einrichtung der Einwilligungsverwaltung komplexer macht. CAPTCHA.eu arbeitet von Haus aus ohne Cookies, was die Frage der Einhaltung von Vorschriften für Betreiber, die Bot-Schutz ohne Zustimmungs-Overhead für Authentifizierungsabläufe wünschen, völlig ausschließt.

Häufig gestellte Fragen

Was ist Credential Stuffing in einfachen Worten?

Beim Credential Stuffing nehmen Angreifer Benutzernamen und Kennwörter, die sie von einer Website gestohlen haben, und probieren sie automatisch auf anderen Websites aus. Das funktioniert, weil viele Menschen dasselbe Passwort für mehrere Dienste verwenden. Der Angreifer muss nicht raten. Er verwendet echte Anmeldedaten, die bereits an anderer Stelle funktioniert haben.

Wie unterscheidet sich das Ausfüllen von Anmeldeinformationen von einem Brute-Force-Angriff?

Bei Brute-Force-Angriffen werden Passwörter durch Ausprobieren erraten, indem so lange Kombinationen ausprobiert werden, bis eine funktioniert. Beim Credential Stuffing werden bekannte, funktionierende Passwörter aus früheren Angriffen verwendet. Brute-Force-Angriffe sind leicht zu erkennen, da sie zu vielen fehlgeschlagenen Anmeldeversuchen führen. Credential Stuffing ist viel schwieriger zu erkennen, da die Anmeldedaten korrekt sind und der Datenverkehr aussieht, als ob sich legitime Benutzer anmelden würden.

Verhindert CAPTCHA das Ausfüllen von Anmeldeinformationen?

Ja, aber es kommt auf den Typ an. Traditionelle bildbasierte CAPTCHA werden zunehmend von KI-gestützten Lösungstools umgangen. Proof-of-Work-CAPTCHA ist effektiver, da es für jeden Anmeldeversuch eine kryptografische Berechnung erfordert, was die Kosten für eine groß angelegte Stuffing-Kampagne unabhängig von den Bilderkennungsfähigkeiten des Angreifers erhöht. CAPTCHA funktioniert am besten als eine von mehreren Schichten, kombiniert mit MFA und Anomalieerkennung.

Was ist der wirksamste Schutz gegen Credential Stuffing?

MFA ist die stärkste Kontrolle, da sie die Übernahme eines Kontos verhindert, selbst wenn der Angreifer das richtige Passwort hat. Über MFA hinaus ist die wirkungsvollste Kombination: Proof-of-Work-CAPTCHA an den Anmeldeendpunkten, Überprüfung auf verletzte Passwörter bei der Registrierung und Passwortänderung und Anomalieüberwachung für ungewöhnliche Anmeldemuster. Keine einzelne Schicht ist für sich allein ausreichend.

Wie erkenne ich, ob meine Website Opfer eines Credential Stuffing-Angriffs geworden ist?

Im Gegensatz zu Brute-Force führt Credential Stuffing bei einzelnen Konten nicht zu offensichtlichen Spitzen bei fehlgeschlagenen Anmeldungen. Die deutlichsten Anzeichen sind: ein allgemeiner Anstieg des Login-Volumens ohne einen entsprechenden Anstieg der Seitenaktivität, erfolgreiche Logins von ungewöhnlichen Orten oder Geräten für bestehende Konten, Änderungen der Kontodetails kurz nach dem Login und erhöhte Raten von Passwortrücksetzungsanfragen. Moderne CAPTCHA-Dashboards liefern Daten zum Verifizierungsvolumen, mit denen ungewöhnliche Traffic-Muster frühzeitig erkannt werden können.

Ist Credential Stuffing ein GDPR-Problem für europäische Websites?

Ja. Wenn ein Angriff zum Ausfüllen von Anmeldeinformationen zu einem unbefugten Zugriff auf Benutzerkontodaten führt, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO. Sie löst eine 72-stündige Meldepflicht an Ihre Aufsichtsbehörde und möglicherweise an die betroffenen Nutzer aus. Der Einsatz geeigneter technischer Kontrollen, einschließlich CAPTCHA und MFA, ist Teil Ihrer Verpflichtung nach Artikel 32 der DSGVO, personenbezogene Daten durch geeignete technische Maßnahmen zu schützen.

Verhindert eine strenge Passwortrichtlinie das Ausfüllen von Anmeldeinformationen?

Nein. Passwortrichtlinien schützen vor Brute Force, indem sie das Erraten erschweren. Gegen das Ausfüllen von Anmeldeinformationen bietet sie so gut wie keinen Schutz. Der Angreifer hat bereits ein funktionierendes Kennwort. Was hilft, ist das Screening von verletzten Passwörtern (um zu verhindern, dass Benutzer Passwörter festlegen, die bereits bei früheren Verletzungen aufgedeckt wurden) und MFA (wodurch ein korrektes Passwort allein nicht ausreicht).

Welche Datenströme sollten für den Schutz vor Credential Stuffing vorrangig behandelt werden?

Anmeldeformulare sind das Hauptziel. Schützen Sie aber auch: Passwort-Rücksetzungsströme (wo unterschiedliche Antworten für gültige und ungültige E-Mails Angreifern die Möglichkeit geben, Benutzernamen zu validieren), Registrierungsformulare (wo die gleiche Logik gilt) und API-Authentifizierungsendpunkte (die oft nicht den Schutz bieten, der auf Web-Anmeldeformulare angewendet wird). Setzen Sie Prioritäten in dieser Reihenfolge.

Verwandte Lektüre

Primäre Quellen

OWASP Spickzettel zur Vermeidung von Credential Stuffing: Empfehlungen für eine mehrschichtige Verteidigung und Anleitung zur Aufdeckung
Generalstaatsanwaltschaft des Staates New York: Leitfaden für Unternehmen bei Credential Stuffing-AngriffenErgebnisse der behördlichen Untersuchungen und Empfehlungen zur Kontrolle
Microsoft Sicherheits-Blog: MFA blockiert über 99,9% der Angriffe auf Konten
Wurde ich reingelegt: Pwned Passwörter API: empfohlenes kostenloses Tool für die Überprüfung von verletzten Passwörtern bei der Registrierung und Passwortänderung
IBM Bericht über die Kosten einer Datenpanne 2025: $4,44 Mio. durchschnittliche Kosten für eine Sicherheitsverletzung, 241 Tage durchschnittliche Zeit zur Identifizierung und Eindämmung
Verizon Data Breach Investigations Report 2025gestohlene Zugangsdaten bei etwa einem Drittel aller Sicherheitsverletzungen; 88% der Sicherheitsverletzungen im Rahmen von Hacking-Mustern waren auf gestohlene Zugangsdaten zurückzuführen
23andMe Formular 8-K/A SEC-Einreichung, Dezember 2023Quelle bestätigt, dass 14.000 Konten über Credential Stuffing kompromittiert wurden und 6,9 Millionen Nutzer über die DNA-Relatives-Funktion betroffen sind

kürzliche Posts

de_DEGerman
en_USEnglish fr_FRFrench es_ESSpanish nl_NLDutch it_ITItalian de_DEGerman