Botnetze und Credential-Stuffing: Wie Cyberkriminelle massenweise Zugangsdaten testen

Ein Drittel aller Login-Versuche weltweit ist laut Sicherheitsschätzungen illegal oder automatisiert. Botnetze liefern dafür die Infrastruktur, gestohlene Zugangsdaten den Treibstoff. Credential-Stuffing ist kein Randphänomen – es ist Massenware.

Was Credential-Stuffing von Brute-Force unterscheidet – und warum das wichtig ist

Der Begriff klingt technisch, die Logik dahinter ist erschreckend simpel. Beim Credential-Stuffing probieren Angreifer keine zufälligen Passwörter aus – sie nehmen echte. Kombinationen aus Benutzername, E-Mail-Adresse und Passwort, die aus früheren Datenlecks stammen. Diese Kombos existieren bereits, wurden bereits genutzt, wurden bereits geleakt. Der Angreifer muss nichts erfinden.

Brute-Force arbeitet anders: Ein Konto, ein Angreifer, millionen Rateversuche. Das ist laut, langsam und leicht zu erkennen. Credential-Stuffing ist das Gegenteil. Viele Konten, viele Dienste, reale Zugangsdaten. Tools wie Sentry MBA oder OpenBullet – beide in Sicherheitsforschungsberichten dokumentiert – automatisieren diesen Prozess, rotieren IP-Adressen und umgehen CAPTCHAs. Ohne ein Botnetz dahinter wäre das kaum skalierbar.

Der entscheidende Hebel für Angreifer ist dabei nicht die Komplexität eines Passworts. Es ist die Wiederverwendung. Ein komplexes Passwort, das auf zehn Diensten genutzt wird, ist bei einem einzigen Leak auf allen zehn kompromittiert. Das ist kein theoretisches Szenario. Das ist die tägliche Realität auf Underground-Marktplätzen, wo Milliarden solcher Kombos kursieren.

Das Botnetz: die unsichtbare Infrastruktur hinter jedem Angriff

Ein Botnetz ist im Kern eine Sammlung kompromittierter Geräte – PCs, Router, NAS-Systeme, IoT-Geräte – die alle auf Kommando eines zentralen C2-Servers (Command-and-Control) reagieren. Jedes dieser Geräte sendet Login-Requests, als wäre es ein normaler Nutzer. Aus Sicht des angegriffenen Servers: tausende verschiedene IP-Adressen, organisches Verhalten, unauffällige User-Agents.

Das Pikante daran: Die Geräteeigentümer wissen in der Regel nichts davon. Ihr Router schickt gerade Login-Versuche an einen deutschen Online-Shop, während sie schlafen. Botnetze mit Hunderttausenden kompromittierten Endpunkten sind keine Seltenheit – Operations wie die Zerschlagung von Aisuru und KimWolf 2024 haben gezeigt, welche Dimensionen diese Infrastrukturen erreichen können.

Für Credential-Stuffing sind Botnetze aus einem spezifischen Grund unverzichtbar: Rate-Limiting. Die meisten Login-Systeme sperren nach einer gewissen Anzahl fehlgeschlagener Versuche pro IP-Adresse. Ein Botnetz verteilt diese Versuche auf tausende Adressen. Pro IP kommen vielleicht zwei, drei Versuche – unter dem Radar jedes einfachen Schutzmechanismus.

Die Professionalisierung ist bemerkenswert. Spezialisierte Credential-Stuffing-Tools bieten heute API-Integration, Protokoll-Rotation, modulare CAPTCHA-Solver und automatische Erfolgs-/Misserfolgs-Klassifikation. Das ist keine Bastelarbeit mehr. Das ist ein Produkt.

Der Schwarzmarkt für Zugangsdaten: ein funktionierendes Ökosystem

Um das Ausmaß von Credential-Stuffing-Kampagnen zu verstehen, lohnt ein kurzer Blick auf die Lieferkette dahinter. Auf Underground-Foren und spezialisierten Marktplätzen werden gestohlene Datensätze nicht einfach gehortet – sie werden gehandelt, geclustert, kuratiert und nach Verwendbarkeit bewertet. Ein frischer Leak aus einem bekannten Dienst erzielt deutlich höhere Preise als veraltete Daten, bei denen die meisten Nutzer ihre Passwörter bereits geändert haben.

Die Arbeitsteilung ist dabei hoch entwickelt. Eine Gruppe beschafft die rohen Leak-Daten, eine andere dedupliziert und sortiert sie nach Dienst oder geografischer Region, eine dritte betreibt das Botnetz, das die Kampagne ausführt. Wer keinen eigenen technischen Unterbau hat, mietet sich einfach Botnetz-Kapazität als Service – Credential-Stuffing-as-a-Service ist ein reales Geschäftsmodell, das auf denselben Prinzipien basiert wie legitime Cloud-Dienste: bezahlen, konfigurieren, loslaufen lassen.

Besonders aktiv sind Kampagnen gegen Dienste mit hohem Wiederverkaufswert kompromittierter Konten: Streaming-Plattformen, Gaming-Accounts mit virtuellen Gütern, Frequent-Flyer-Programme und Bonuspunkte-Systeme sowie Konten bei Zahlungsdienstleistern. Angreifer kalkulieren nüchtern: Was lässt sich mit dem übernommenen Konto monetarisieren? Wertvolle virtuelle Items, gespeicherte Zahlungsdaten, Treuepunkte – all das hat auf Sekundärmärkten einen Preis.

Zahlen, die nicht abstrakt bleiben sollten

Die Synthient-Sammlung, die 2025 auf Underground-Märkten kursierte, enthielt nach Recherchen von BornCity rund 1,3 Milliarden Passwörter und fast 2 Milliarden E-Mail-Adressen. Ein Datensatz dieser Größe ist für Credential-Stuffing-Kampagnen direkt verwertbar: sortieren, deduplizieren, nach Dienst clustern, loslaufen lassen.

Nach einem von BlackMount zitierten Check-Point-Report stieg Credential-Diebstahl 2025 um rund 160 Prozent gegenüber dem Vorjahr. Schätzungen verschiedener Sicherheitsanbieter gehen davon aus, dass rund ein Drittel aller Login-Versuche weltweit unerlaubte oder automatisierte Angriffe sind – ein Drittel, das Brute-Force, Credential-Stuffing und ähnliche Methoden umfasst. Diese Zahl verdient eine Sekunde Nachdenken: Jeder dritte Login-Versuch an einem durchschnittlichen Web-Dienst kommt nicht von einem echten Nutzer.

Wenig überraschend: Im Juni 2026 registrierten mehrere Passwortmanager-Dienste gleichzeitig ungewöhnlich hohe Login-Volumina. Eine koordinierte Credential-Stuffing-Kampagne, die ausgerechnet die Infrastruktur angreift, die Nutzer schützen soll. Plot Twist: Der Passwortmanager als Angriffsziel ist kein Widerspruch – er ist Kalkül.

Warum Passwortmanager ins Fadenkreuz geraten

Angreifer sind keine Romantiker. Sie optimieren ihren Return on Compromise. Ein kompromittierter Passwortmanager-Account liefert potenziell Dutzende oder Hunderte weitere Zugangsdaten auf einmal. SSO-Konten, Cloud-Admin-Zugänge, E-Mail-Konten – alles, was als Schlüssel zu weiteren Ressourcen fungiert, wird bevorzugt angegriffen.

Wichtig für den Faktencheck: Die Juni-2026-Kampagne zielte auf Login-Konten der Passwortmanager-Dienste, nicht auf Schwachstellen in der Software selbst. Angreifer nutzten geleakte Zugangsdaten, um sich einzuloggen – klassisches Credential-Stuffing. Ein Passwortmanager macht Nutzer also nicht per se zur Zielscheibe, solange das Hauptkonto solide geschützt ist.

Das Grundproblem: Wer denselben Benutzernamen und dasselbe Passwort für den Passwortmanager-Account nutzt wie für einen längst geleakten Dienst, hat ein Problem. Keines mit dem Passwortmanager. Eines mit der Wiederverwendung.

Meiner Einschätzung nach ist diese Kampagne ein Warnsignal, das gezielt die schwächste Stelle im modernen Sicherheitsmodell angreift: das Vertrauen, dass der eine sichere Ort wirklich sicher ist – ohne MFA. Mit aktivierter Multi-Faktor-Authentifizierung läuft die überwiegende Mehrheit dieser Angriffe ins Leere, selbst wenn das Passwort korrekt eingegeben wird.

So erkennen Betreiber Credential-Stuffing-Angriffe

Für Website- und Shop-Betreiber ist Credential-Stuffing ein operatives Problem. Die Signale sind meist vorhanden – aber nur, wenn man aktiv hinschaut.

Login-Spikes: Plötzliche Anstiege fehlgeschlagener Login-Versuche, besonders außerhalb normaler Nutzungszeiten. Ein E-Commerce-System, das nachts um 3 Uhr tausende Auth-Requests sieht, hat ein Problem.

IP-Muster: Viele Versuche aus geografisch unwahrscheinlichen Quellen, ungewöhnliche Verteilung über Residential-Proxies oder Tor-Exit-Nodes. Akamai und SentinelOne dokumentieren in ihren technischen Analysen zu Credential-Stuffing, wie Botnetz-Traffic sich von organischem Nutzerverhalten unterscheidet.

User-Agent-Anomalien: Ungewöhnliche oder veraltete Browser-Strings, identische Strings über hunderte verschiedene IPs, fehlende Browser-Fingerprint-Konsistenz.

Erfolgsrate: Credential-Stuffing-Kampagnen haben typischerweise sehr niedrige Erfolgsraten – oft unter einem Prozent. Das klingt wenig. Bei einer Million Versuchen sind das aber immer noch tausende kompromittierte Konten.

Gegenmaßnahmen auf Betreiberseite umfassen Rate-Limiting pro IP und Account, verhaltensbasierte Bot-Erkennung, generische Fehlermeldungen (die nicht zwischen „falsches Passwort“ und „unbekannte E-Mail“ unterscheiden) sowie das Monitoring auf ungewöhnliche Session-Muster nach dem Login. Letzteres ist brisant: Angreifer, die erfolgreich eingeloggt sind, verhalten sich oft maschinell – schnelle Navigation, keine Mouse-Events, sofortige API-Calls.

Zugangsschutz für Privatnutzer: was wirklich zählt

Der Rat „nehmen Sie ein langes, komplexes Passwort“ ist 2026 veraltet. Nicht weil er falsch wäre, sondern weil er den falschen Parameter adressiert. Gegen Credential-Stuffing ist Einzigartigkeit entscheidend, nicht Komplexität. Ein 20-stelliges Passwort, das auf drei Diensten genutzt wird, ist bei einem Leak dreifach kompromittiert.

Der praktische Zugangsschutz besteht aus drei nicht verhandelbaren Schritten:

• Einzigartige Passwörter je Dienst: Ein Passwortmanager macht das möglich, ohne dass man sich hunderte Zeichenketten merken muss. Das Hauptkonto des Managers muss seinerseits mit einer starken, einzigartigen Passphrase und zwingend mit MFA gesichert sein.
• Multi-Faktor-Authentifizierung: TOTP-Apps (Time-based One-Time Password) oder Hardware-Token wie YubiKeys machen geleakte Passwörter für Angreifer weitgehend wertlos. ESET WeLiveSecurity beschreibt ausführlich, warum MFA die wirksamste Einzelmaßnahme gegen Credential-Stuffing bleibt.
• Leak-Checks: Dienste wie Have I Been Pwned ermöglichen es, E-Mail-Adressen gegen bekannte Leak-Datenbanken zu prüfen. Wer dort auftaucht, sollte betroffene Passwörter sofort ändern – und überprüfen, wo dieses Passwort noch genutzt wurde.

Langfristig zeichnet sich der Weg ab: Passkeys. Sie werden lokal auf dem Gerät generiert, nie in lesbarer Form auf einem Server gespeichert und sind nicht zwischen Diensten wiederverwendbar. Eine geleakte Passwortliste mit einer Milliarde Einträgen nützt gegen Passkey-Authentifizierung schlicht nichts. SentinelOne ordnet diese Entwicklung in den breiteren Kontext der Credential-Stuffing-Abwehr ein: weg vom statischen Geheimnis, hin zu kryptografisch gebundenen Authentifizierungsverfahren.

Was Unternehmen jetzt konkret tun müssen

Credential-Stuffing ist kein Problem, das sich mit einer Firewall-Regel löst. Es erfordert mehrere Verteidigungsschichten, von denen keine für sich allein ausreicht.

Technische Ebene: Bot-Management-Lösungen, die über einfaches IP-Blocking hinausgehen und Verhaltensanalysen durchführen. Rate-Limiting muss sowohl pro IP als auch pro Account greifen. CAPTCHAs helfen als zusätzliche Hürde, sind aber gegen professionelle Botnetz-Tools mit integrierten Solvern keine zuverlässige Barriere mehr.

Prozessebene: Login-Anomalien müssen in Echtzeit ins SIEM fließen. Wer Credential-Stuffing-Angriffe erst im Monatsbericht bemerkt, hat das Fenster für schnelle Reaktion verpasst. Nutzer sollten bei verdächtigen Logins sofort benachrichtigt werden – Push, E-Mail, SMS, irgendetwas.

Authentifizierungsebene: MFA sollte für alle sicherheitskritischen Konten verpflichtend sein, nicht optional. Besonders für Konten mit erhöhten Berechtigungen – Admins, Finanzkonten, E-Mail-Konten, die als Passwort-Reset-Adresse dienen – ist freiwillige MFA ein Witz. Wer hier spart, zahlt später.

Meiner Meinung nach unterschätzen besonders kleine und mittelgroße Unternehmen die Angriffswahrscheinlichkeit systematisch. Ein Online-Shop mit zehntausend Kunden ist für automatisierte Credential-Stuffing-Kampagnen genauso ein Target wie ein großer Plattformbetreiber – er bietet nur weniger Widerstand. Die strukturellen Schwächen bei der Cybersicherheit im KMU-Bereich sind zu ausgeprägt, um mit der Professionalisierung der Angreiferseite Schritt zu halten. Das ist kein Vorwurf. Es ist ein Problem.

Gegenargumente und ihre Grenzen: Warum technische Schutzmaßnahmen allein nicht reichen

Es gibt ein verbreitetes Argument, das besonders in Unternehmenskreisen kursiert: Wenn man eine moderne Web Application Firewall betreibt und IP-basiertes Rate-Limiting aktiv hat, sei man ausreichend geschützt. Das stimmt – aber nur solange, wie Angreifer diese Schwelle nicht kennen und nicht umgehen. Professionelle Credential-Stuffing-Kampagnen testen zunächst mit niedrigem Volumen, um Sperrschwellen zu kartieren, und passen das Anfragemuster dann entsprechend an.

Ein weiteres häufiges Missverständnis: Hashing von Passwörtern in der eigenen Datenbank schütze vor den Folgen eines Leaks. Das stimmt für die eigene Datenbank – aber Credential-Stuffing-Angreifer nutzen keine gehashten Passwörter. Sie nutzen Klartextpasswörter aus Leaks, bei denen das Hashing bereits gebrochen wurde oder bei denen Passwörter unsicher gespeichert waren. Die eigene sichere Speicherpraxis schützt nicht vor dem Schaden, den mangelhaft gesicherte Drittanbieter anrichten.

Und schließlich: Einige Sicherheitsverantwortliche verweisen auf Kontosperrungen nach wiederholten Fehlversuchen als ausreichende Maßnahme. Credential-Stuffing-Tools sind jedoch explizit darauf ausgelegt, genau unterhalb dieser Schwellen zu operieren. Wer die Sperre bei fünf Fehlversuchen setzt, bekommt vom Botnetz exakt vier Versuche pro Konto – verteilt über Stunden oder Tage, von tausenden verschiedenen IPs. Die Sperrlogik greift schlicht nicht.

Brute-Force-Unterschied, Passkeys und was bleibt

Eine Verwechslung, die sich hartnäckig hält: Credential-Stuffing und Brute-Force werden oft synonym verwendet. Das ist falsch und praktisch relevant. Brute-Force-Abwehr – etwa strenge Kontosperrungen nach wenigen Fehlversuchen – stoppt Credential-Stuffing nur bedingt, weil Credential-Stuffing-Tools bewusst unter diesen Schwellenwerten operieren. Eine Kontosperre nach fünf Fehlversuchen pro Stunde schützt nicht, wenn das Botnetz genau vier Versuche pro Konto pro Stunde einplant.

Passkeys adressieren das strukturell anders. Sie setzen am Ursprungsproblem an: Es gibt kein statisches Geheimnis, das geleakt werden könnte. Kein Passwort in einer Datenbank, das bei einem Breach abfließt. Kein wiederverwendbares Credential, das auf Underground-Marktplätzen landet. Die Frage, ob Passkeys die breite Akzeptanz erreichen, die für einen echten Paradigmenwechsel nötig wäre, ist allerdings noch offen – und hängt stark von der Umsetzungsqualität auf Plattformseite ab.

Was bleibt: Solange Passwörter dominieren und Datenlecks zunehmen, bleibt Credential-Stuffing die effizienteste Angriffsmethode gegen Account-Sicherheit. Die Infrastruktur – Botnetze, Leak-Datenbanken, Automatisierungstools – ist ausgereift, kommerziell verfügbar und skalierbar. Die Frage ist nicht mehr, ob ein Dienst angegriffen wird. Die Frage ist, ob er es bemerkt – und ob Nutzer bereits die Weichen gestellt haben, bevor der nächste große Leak die Runde macht.

Haben Sie bereits geprüft, auf wie vielen Diensten Sie dasselbe Passwort nutzen?