Credential Stuffing ist eines der anschaulichsten Beispiele dafür, wie eine persönliche Passwortgewohnheit schnell zu einem Sicherheitsrisiko für Unternehmen werden kann. Der Angriff ist simpel: Kriminelle nehmen Benutzernamen und Passwörter, die bei einem Datenleck offengelegt wurden, und testen sie dann automatisch bei vielen anderen Diensten, in der Hoffnung, dass manche Menschen dieselbe Anmeldung auch woanders wiederverwendet haben.
Für Unternehmen bedeutet das, dass ein Datenleck, mit dem dein Unternehmen nichts zu tun hatte, trotzdem zu deinem Problem werden kann. Wenn ein Mitarbeiter ein persönliches Passwort für ein Arbeitskonto wiederverwendet hat, kann sich ein Datenleck bei Verbrauchern in unbefugten Zugriff auf E-Mails, SaaS-Tools, Finanzplattformen, Admin-Panels oder Kundensysteme verwandeln.
Wir erklären, was Credential Stuffing ist, warum es im großen Stil funktioniert, warum kleine und mittlere Unternehmen besonders gefährdet sind und wie du das Risiko verringern kannst.
Wie sich Credential-Stuffing auf Unternehmen auswirkt
Warum Credential-Stuffing im großen Stil funktioniert
Warum KMU anfälliger für Credential-Stuffing sind
Was ein Credential-Stuffing-Angriff in einem Unternehmen anrichten kann
Wie du Credential-Stuffing-Angriffe verhinderst
Was zu tun ist, wenn du Credential-Stuffing vermutest
Wie sich Credential-Stuffing auf Unternehmen auswirkt
Wir haben bereits ausführlich erklärt, was ein Credential-Stuffing-Angriff ist. Deshalb konzentrieren wir uns jetzt darauf, was Credential-Stuffing für geschäftliche Konten bedeutet: wo ein einziges wiederverwendetes Passwort geschäftliche E-Mails, SaaS-Tools, Administrator-Panels und Kundensysteme gefährden kann.
Diese Art von Angriff ist so effektiv, weil sehr viele Menschen Passwörter wiederverwenden. Wenn jemand dasselbe Passwort für ein persönliches Shopping-Konto, ein Social-Media-Profil und ein Arbeits-Tool verwendet, kann ein Datenleck bei einem Dienst das Passwort für alle drei offenlegen.
Credential-Stuffing unterscheidet sich von einem Brute-Force-Angriff. Angreifer nutzen Brute-Force-Angriffe, um Passwörter zu erraten. Beim Credential-Stuffing verfügen sie bereits über echte Anmeldedaten aus früheren Leaks – sie können dann testen, ob dasselbe Passwort auch woanders funktioniert.
Das macht Credential-Stuffing-Angriffe sehr effizient. Ein einziger geleakter Satz Anmeldedaten kann bei E-Mail-Anbietern, Cloud-Diensten, Plattformen für das Kundenbeziehungsmanagement (CRM), Lohnabrechnungs-Tools, Entwicklerkonten, Dateispeichern und Administratorportalen getestet werden. Selbst eine geringe Erfolgsquote kann wertvoll sein, wenn Angreifer im großen Stil testen.
Warum Credential-Stuffing im großen Stil funktioniert
Credential-Stuffing ist effektiv, weil der Prozess automatisiert werden kann. Kriminelle können sich große Listen mit geleakten Anmeldedaten aus früheren Datenlecks oder Darknet-Marktplätzen beschaffen. Automatisierte Tools testen diese Anmeldedaten dann bei Hunderten von Diensten. Der Prozess kann schnell ablaufen, Versuche wiederholen, IP-Adressen wechseln und normale Anmeldemuster imitieren, um eine einfache Erkennung zu umgehen.
Innerhalb eines Unternehmens ist es extrem schwierig, eine Bedrohung zu erkennen, die durch einen einzigen Anmeldeversuch entsteht. Das erste Anzeichen für einen Angriff auf Anmeldedaten kann eine erfolgreiche Anmeldung von einem ungewohnten Standort, eine Anfrage zum Zurücksetzen des Passworts, eine neue Postfachregel, eine Rechnungsänderung, ein Dateidownload oder ungewöhnliche Aktivitäten in einem SaaS-Tool sein.
Der Angriff profitiert auch von der Art und Weise, wie moderne Arbeit verteilt ist. Mitarbeitende nutzen viele Dienste, oft außerhalb eines einzigen Identitätssystems. Einige Konten werden von Abteilungen ohne IT-Aufsicht erstellt. Einige Tools unterstützen kein Single Sign-On oder keine Zwei-Faktor-Authentifizierung (2FA). Einige Anbieterportale weisen eine schwache Überwachung auf. Credential-Stuffing sucht genau nach diesen Lücken.
Warum KMU anfälliger für Credential-Stuffing sind
Credential-Stuffing kann Organisationen jeder Größe betreffen, aber KMU sind oft besonders gefährdet.
Weniger Ressourcen, mehr Verantwortung
Kleinere Teams arbeiten meist schnell und teilen sich Aufgaben. Mitarbeitende erstellen möglicherweise Konten für neue Software ohne formellen Genehmigungsprozess. Gemeinsam genutzte Anbieter-Logins kursieren vielleicht im Chat oder per E-Mail. Die Wiederverwendung von Passwörtern bleibt möglicherweise unbemerkt, weil es kein eigenes Sicherheitsteam gibt, das eine Passwortrichtlinie überwacht und durchsetzt. Ein vor Jahren erstelltes Passwort schützt möglicherweise immer noch ein wichtiges Geschäftssystem.
Fehlende digitale Grenzen zwischen Privatleben und Arbeit
Das größte Risiko besteht in der Vermischung von privaten und geschäftlichen Anmeldedaten. Wenn ein Mitarbeitender dasselbe Passwort für einen von einem Datenleck betroffenen privaten Dienst und ein geschäftliches Konto verwendet, müssen Angreifer nicht erst in das Unternehmen eindringen. Sie können stattdessen das Datenleck beim privaten Dienst als Einstiegspunkt nutzen.
Deshalb muss sich die Prävention von Credential-Stuffing auf die Verhinderung der Wiederverwendung von Passwörtern konzentrieren. Schulungen helfen, aber auf dem Gedächtnis basierende Passwortgewohnheiten sind nicht skalierbar. Mitarbeitende können ohne Unterstützung nicht für jedes private und geschäftliche Konto sichere, einzigartige Passwörter erstellen und sich diese merken.
KMU sind Ziele für Cyberkriminelle
Das Data Breach Observatory von Proton zeigt, wie oft geleakte Daten Informationen enthalten, die eine Kompromittierung von Konten begünstigen können, wie z. B. Namen, E-Mail-Adressen, Passwörter, Finanzinformationen, Kontaktdaten und andere sensible Informationen.
Heute ist kein Unternehmen zu klein, um ins Visier von Cyberkriminellen zu geraten. Beispielsweise war die französische E-Learning-Plattform GDQuest im Februar 2026 von einem vermuteten Datenleck betroffen, das mehr als 66.000 Datensätze enthielt, darunter E-Mail-Adressen und Benutzernamen. Obwohl GDQuest ein so kleines Unternehmen ist, stellte es ein lohnendes Ziel für Cyberkriminelle dar und wurde über einen nicht offengelegten Angriffsvektor angegriffen.
Ein kleines Datenleck wird zu einem großen Problem
Für kleine Unternehmen liegt die Lehre auf der Hand: Geleakte Daten bleiben nicht auf das Unternehmen beschränkt, bei dem sie zuerst aufgetreten sind. Wenn ein Mitarbeitender ein Passwort aus einem kompromittierten privaten oder Drittanbieter-Konto wiederverwendet, können Angreifer dieselben Anmeldedaten bei geschäftlichen E-Mails, SaaS-Plattformen, Finanz-Tools oder Administrator-Systemen testen. So kann ein externes Datenleck zu einem internen Zugriffsproblem werden.
Was ein Credential-Stuffing-Angriff in einem Unternehmen anrichten kann
Ein Credential-Stuffing-Angriff kann zunächst unbemerkt bleiben: wenn sich ein einzelnes Konto von einem neuen Gerät aus anmeldet, sich eine E-Mail-Regel ändert oder nur ein einziges Dokument heruntergeladen wird. Doch sobald Angreifer über gültige Anmeldedaten verfügen, wächst das Risiko schnell.
Unbefugter Zugriff auf SaaS-Tools
Geschäftsabläufe hängen heute von SaaS-Tools für Projektmanagement, Kundenkommunikation, HR und Vertrieb ab. Wenn Angreifer wiederverwendete Anmeldedaten nutzen, um auf einen dieser Dienste zuzugreifen, finden sie möglicherweise Kundendaten, interne Dokumente, Rechnungen, Kundenlisten oder betriebliche Workflows.
Selbst Tools, die ein geringes Risiko zu bergen scheinen, können nützliche Informationen preisgeben. Ein Projektmanagement-Konto kann zeigen, welche Systeme das Unternehmen nutzt, wer Zahlungen genehmigt, welche Kunden aktiv sind und wo sensible Dateien gespeichert sind.
E-Mail-Kompromittierung und Kontoübernahme
E-Mails sind eines der wertvollsten Ziele bei einem Credential-Stuffing-Angriff auf Unternehmen. Sobald Angreifer Zugriff auf E-Mails erhalten, können sie Passwörter für andere Dienste zurücksetzen, nach Rechnungen oder Verträgen suchen, sich als Mitarbeitende ausgeben, Weiterleitungsregeln einrichten oder Unterhaltungen heimlich überwachen.
Es ist auch wichtig zu bedenken, dass der Zugriff auf E-Mails Phishing begünstigt. Ein Angreifer mit Zugriff auf einen legitimen Posteingang kann überzeugende Nachrichten an Kollegen, Kunden oder Anbieter senden, da die Nachricht von einem vertrauenswürdigen Konto stammt.
Zugriff auf Administrator-Panels und Rechteausweitung
Wenn Credential-Stuffing ein Administrator-Konto erreicht, können die Auswirkungen schwerwiegend sein. Angreifer können neue Konten erstellen, Sicherheitseinstellungen ändern, externe Partner einladen, Kontrollen deaktivieren, Daten exportieren oder Privilegien ausweiten.
Hier wird die Wiederverwendung von Passwörtern besonders gefährlich. Administrator- und privilegierte Konten sollten niemals Passwörter von anderen Diensten wiederverwenden, da deren Kompromittierung viele andere Konten und Systeme beeinträchtigen kann.
Laterale Bewegung in Systemen
Credential-Stuffing ermöglicht auch laterale Bewegungen. Sobald Angreifer Zugriff auf ein Konto erlangen, können sie ihre Erkenntnisse nutzen, um andere Systeme zu testen, höherwertige Konten zu identifizieren und sich durch das Unternehmensnetzwerk zu bewegen.
Beispielsweise kann ein kompromittiertes SaaS-Konto interne Namenskonventionen, geteilte Dokumente, Anbieterportale oder Links zu Administrator-Systemen offenlegen. Angreifer können dann dasselbe Passwort ausprobieren, nach gespeicherten Anmeldedaten suchen oder Abläufe zum Zurücksetzen von Passwörtern nutzen, um auf andere Dienste zuzugreifen.
Ransomware- und Erpressungsrisiko
Credential-Stuffing führt nicht automatisch zu Ransomware. Für sich genommen wird es häufiger für Kontoübernahmen, Betrug oder Datendiebstahl genutzt. Kompromittierte Anmeldedaten können jedoch auch der erste Schritt zu einem weitaus schwerwiegenderen Angriff sein.
Wenn Angreifer Zugriff auf Cloud-Speicher, Administrator-Konsolen, Remote-Zugriffsdienste oder Endpunkt-Management-Tools erhalten, können sie den Vorfall möglicherweise zu Erpressung, Betriebsunterbrechung oder dem Einschleusen von Ransomware ausweiten.
Wie du Credential-Stuffing-Angriffe verhinderst
Die Prävention von Credential-Stuffing beginnt mit der Beseitigung der Schwachstelle, von der diese Art von Angriff abhängt: der Wiederverwendung von Passwörtern. Darauf aufbauend können Unternehmen Schutzebenen einrichten, die unbefugten Zugriff erschweren und leichter erkennbar machen.
Wähle einzigartige Passwörter für jedes Konto
Einzigartige Passwörter sind der stärkste Schutz gegen Credential-Stuffing. Wenn jedes Konto ein anderes Passwort hat, können geleakte Anmeldedaten von einem Dienst nicht wiederverwendet werden, um auf einen anderen zuzugreifen.
Das klingt einfach, ist aber manuell schwer durchzuhalten. Es sollte nicht von den Mitarbeitenden erwartet werden, dass sie sich für jedes geschäftliche Konto einzigartige, sichere Passwörter ausdenken und diese merken. Ein Passwort-Manager für Unternehmen macht dies in der Praxis möglich, indem er einzigartige Passwörter für jeden Dienst generiert und speichert.
Proton Pass for Business hilft Teams dabei, sichere, einzigartige Passwörter zu erstellen, diese in Ende-zu-Ende-verschlüsselten Tresoren zu speichern, das automatische Ausfüllen zu nutzen und den Zugriff sicher zu teilen. Dies verringert direkt die Angriffsfläche, auf die Credential-Stuffing angewiesen ist.
Nutze die Überprüfung der Passwortsicherheit, um schwache oder mehrfach verwendete Passwörter zu finden
Unternehmen benötigen außerdem Einblick in bestehende Passwortrisiken. Die Wiederverwendung von Passwörtern häuft sich oft im Laufe der Zeit an, insbesondere bei älteren Konten, geteilten Tools und Konten, die außerhalb formeller IT-Prozesse erstellt wurden.
Überprüfung der Passwortsicherheit hilft dabei, schwache oder wiederverwendete Passwörter zu identifizieren, sodass Teams diese ändern können, bevor Angreifer sie ausnutzen. Proton Pass for Business hilft dir dabei, schwache und wiederverwendete Passwörter innerhalb einer Organisation zu erkennen, wodurch du die Anmeldedaten mit dem größten Risiko priorisieren und schützen kannst.
Aktiviere 2FA als zweite Verteidigungslinie
2FA fügt eine zweite Schutzebene hinzu, wenn ein Passwort gefährdet ist. Selbst wenn Angreifer über den richtigen Benutzernamen und das richtige Passwort verfügen, benötigen sie immer noch einen weiteren Faktor, um auf das Konto zuzugreifen. Das hilft Organisationen dabei, die Wahrscheinlichkeit zu verringern, dass schwache, gestohlene oder wiederverwendete Anmeldedaten direkt zu unbefugtem Zugriff führen, während gleichzeitig die allgemeine Sicherheitslage von Konten mit hohem Risiko gestärkt wird.
Diese Art der Verteidigung sollte für E-Mails, Passwort-Manager, Admin-Konten, Finanztools, Identitätsanbieter, Cloud-Speicher und alle Systeme, die den Zugriff auf andere Dienste zurücksetzen oder kontrollieren können, priorisiert werden.
2FA ist eine Ergänzung und kein Ersatz für einzigartige Passwörter. Wenn ein wiederverwendetes Passwort offengelegt wird, können Angreifer immer noch durch wiederholte Anmeldeversuche, Sperrungen, Versuche, Mitarbeiter zum Teilen von 2FA-Codes zu verleiten, oder Angriffe auf Systeme, bei denen 2FA nicht erzwungen wird, Störungen verursachen. Dennoch verringert die Verwendung eines Authenticators das Risiko, dass ein einzelnes gestohlenes Passwort zu einer sofortigen Gefährdung führt.
Nutze die Dark Web-Überwachung für offengelegte Anmeldedaten
Die Dark Web-Überwachung hilft Unternehmen zu erkennen, ob die Anmeldedaten von Mitarbeitern in Datenlecks auftauchen. In der Praxis funktioniert dies durch das Scannen von Datensätzen aus Datenlecks und Dark-Web-Quellen, die mit Leaks von Anmeldedaten in Verbindung stehen, wie Foren, Marktplätze und andere Orte, an denen gestohlene Daten im Umlauf sein können. Sie verhindert zwar nicht das ursprüngliche Datenleck, gibt Teams jedoch die Möglichkeit zu reagieren, bevor offengelegte Anmeldedaten missbraucht werden.
Proton Pass enthält den Pass Monitor, der Leaks von Anmeldedaten erkennen und dich warnen kann, wenn deine Informationen in einem Datenleck auftauchen. Das Data Breach Observatory 2026 von Proton zeigt außerdem auf, wie geleakte Geschäftsdaten im Umlauf sind und warum Organisationen einen besseren Einblick in die Offenlegung von Anmeldedaten benötigen.
Wenn die Überwachung offengelegte Anmeldedaten findet, sollte die Reaktion schnell erfolgen: Ändere das betroffene Passwort, überprüfe, ob es an anderer Stelle wiederverwendet wurde, widerrufe verdächtige Sitzungen, überprüfe die Kontoaktivität und aktiviere nach Möglichkeit 2FA.
Schütze dein Proton-Konto mit Proton Sentinel
Proton Sentinel bietet erweiterten Kontoschutz für Proton-Konten. Durch automatisierte Erkennung und menschliche Analysten identifiziert und blockiert es verdächtige Versuche zur Kontoübernahme. Es kann helfen zu verhindern, dass ein Angreifer auf deine Daten zugreift, selbst wenn er den Benutzernamen und das Passwort deines Proton-Kontos erfolgreich gestohlen hat.
Bedenke, dass Proton Sentinel nur zum Schutz deines Proton-Kontos verfügbar ist. Für die anderen Geschäftsdienste, die deine Mitarbeiter nutzen, wie SaaS-Plattformen, Finanztools, Admin-Panels oder Partnerportale, sollten deine umfassenderen Verteidigungsstrategien weiterhin auf einzigartigen Passwörtern, 2FA, Überwachung und klaren Zugriffsrichtlinien basieren.
Integriere den Schutz vor Credential Stuffing in das tägliche Zugriffsmanagement
Die effektivste Präventionsstrategie besteht nicht darin, von den Mitarbeitern zu verlangen, sich mehr zu merken. Es geht darum, ihnen ein System zu geben, das eine Wiederverwendung überflüssig macht.
Proton Pass for Business hilft Teams dabei, indem es starke, einzigartige Passwörter generiert, diese in verschlüsselten Tresoren speichert, schwache oder wiederverwendete Passwörter mit der Überprüfung der Passwortsicherheit identifiziert und das sichere Teilen im gesamten Team unterstützt. Das macht den Schutz vor Credential Stuffing von einem bloßen Ratschlag zu einer täglichen Zugriffspraxis.
Nutze E-Mail-Aliasse
E-Mail-Aliase blenden deine persönlichen oder geschäftlichen E-Mail-Adressen aus, wenn du dich für neue Konten oder Dienste registrierst. Sie sind eine hervorragende Möglichkeit, um sicherzustellen, dass Cyberkriminelle deine E-Mail-Adresse nicht im gesamten Internet verfolgen können.
Proton Pass for Business hilft auch dabei, das Risiko von Credential Stuffing durch E-Mail-Aliase von SimpleLogin zu reduzieren. Mitarbeiter können für jeden Dienst, für den sie sich registrieren, einen einzigartigen E-Mail-Alias verwenden. Das bedeutet, dass ein Datenleck bei einem Dienst nicht automatisch ihre primäre geschäftliche E-Mail-Adresse für Credential-Stuffing-Versuche an anderer Stelle offenlegt.
Was zu tun ist, wenn du Credential Stuffing vermutest
Identifiziere zunächst die betroffenen Konten. Achte auf ungewöhnliche Anmeldeorte, wiederholte fehlgeschlagene Anmeldeversuche, neue Geräte, unerwartete Passwortrücksetzungen, Weiterleitungsregeln für das Postfach, neue Admin-Benutzer, ungewöhnliche Dateidownloads sowie Änderungen an Zahlungs- oder Sicherheitseinstellungen.
Ergreife dann unverzüglich Maßnahmen:
- Setze die Passwörter für betroffene Konten zurück.
- Überprüfe, ob diese Passwörter an anderer Stelle wiederverwendet wurden.
- Widerrufe aktive Sitzungen.
- Aktiviere oder erzwinge MFA.
- Überprüfe die Kontoaktivität und die Audit-Protokolle.
- Entferne unbefugte Benutzer oder Integrationen.
- Überprüfe E-Mail-Regeln und Weiterleitungseinstellungen.
- Benachrichtige betroffene Kunden, Partner oder Aufsichtsbehörden, falls erforderlich.
Verringere nach der Eindämmung das Risiko einer Wiederholung. Verschiebe betroffene Konten in einen Passwort-Manager für Unternehmen, ersetze wiederverwendete Passwörter durch einzigartige Anmeldedaten, überprüfe geteilte Konten und nutze die Überprüfung der Passwortsicherheit, um verbleibende schwache oder wiederverwendete Passwörter zu finden.
Wenn die offengelegten Daten personenbezogene Informationen enthalten, kann der Vorfall auch datenschutzrechtliche Pflichten begründen. Der Leitfaden von Proton zum Schutz vor Datenlecks für Unternehmen kann Teams dabei helfen zu verstehen, wie sie das Risiko von Datenlecks verringern und Sicherheitskontrollen vor dem nächsten Vorfall stärken können.






