Bauversicherungsmakler Glossar Cyber

Credential stuffing einfach erklärt | Cyber-Glossar

Geschrieben von Bauversicherungsmakler Glossar | Jul 14, 2026 1:08:44 PM

Definition

Credential Stuffing ist eine automatisierte Angriffsmethode, bei der zuvor aus Datenlecks erbeutete Kombinationen aus Benutzername und Passwort massenhaft und automatisiert auf anderen Plattformen ausprobiert werden, um sich dort erfolgreich anzumelden.

Erklärung / Hintergrund

Credential Stuffing nutzt aus, dass viele Menschen dieselben Zugangsdaten für mehrere Online-Dienste verwenden. Angreifer verwenden dazu große Listen bereits geleakter Benutzername-Passwort-Kombinationen aus früheren Datenlecks und testen diese automatisiert mithilfe von Bots gegen zahlreiche Anmeldeseiten, bis einzelne Kombinationen erfolgreich funktionieren.

Für Unternehmen ist Credential Stuffing relevant, weil ein einzelner erfolgreicher Login ausreicht, um Zugriff auf E-Mail-Konten, Cloud-Dienste oder Projektplattformen zu erlangen, selbst wenn das eigene System nie direkt kompromittiert wurde. Der Angriff findet vollautomatisiert und in großer Zahl statt.

Für Architektur- und Ingenieurbüros ist dies relevant, weil Mitarbeitende häufig dieselben oder ähnliche Passwörter für private und geschäftliche Konten verwenden. Ein Datenleck bei einem völlig unabhängigen Dienst kann so mittelbar den Zugriff auf geschäftliche Projektplattformen und E-Mail-Konten ermöglichen.

Abzugrenzen ist Credential Stuffing vom klassischen Phishing, bei dem Zugangsdaten aktiv erschlichen werden, sowie von Credentials-Fraud als allgemeinerem Begriff für den betrügerischen Missbrauch von Zugangsdaten jeder Herkunft. Captcha und Multi-Faktor-Authentifizierung zählen zu den wirksamsten technischen Gegenmaßnahmen gegen diese Angriffsform.

Praxisrelevanz

Für Sie als Geschäftsführerin oder Geschäftsführer eines Planungsbüros ist Credential Stuffing relevant, weil dieser Angriff unabhängig von der Sicherheit der eigenen Systeme wirkt und allein auf der Wiederverwendung von Passwörtern durch Mitarbeitende beruht. Eine klare Richtlinie zur Verwendung individueller, ausreichend komplexer Passwörter für geschäftliche Konten sowie der verpflichtende Einsatz von Multi-Faktor-Authentifizierung reduzieren dieses Risiko erheblich. Für die Cyberversicherung ist relevant, dass viele Bedingungswerke Multi-Faktor-Authentifizierung mittlerweile als Mindestanforderung an die IT-Sicherheit voraussetzen, gerade zum Schutz vor automatisierten Login-Angriffen wie Credential Stuffing. Ein Passwort-Manager kann Mitarbeitenden zusätzlich helfen, für jeden Dienst individuelle Zugangsdaten zu verwenden und diese sicher zu verwalten, ohne sie mehrfach einzusetzen.

Praxisbeispiel

Ein Mitarbeiter eines Architekturbüros verwendet für sein privates Streaming-Konto dasselbe Passwort wie für sein geschäftliches E-Mail-Konto. Nach einem Datenleck beim Streaming-Anbieter gelangen seine Zugangsdaten in eine öffentlich kursierende Leak-Datenbank. Wenige Wochen später testen Angreifer automatisiert genau diese Kombination gegen zahlreiche Unternehmens-E-Mail-Systeme, darunter auch das des Architekturbüros, und erhalten erfolgreich Zugriff auf das geschäftliche Postfach. Erst eine ungewöhnliche Anmeldung von einem fremden Standort aus, gemeldet durch eine aktivierte Sicherheitsbenachrichtigung, macht den Vorfall überhaupt sichtbar und ermöglicht ein rechtzeitiges Eingreifen der IT-Abteilung, bevor größerer Schaden an sensiblen Projektdaten entstehen kann. Der betroffene Mitarbeiter wird zusätzlich zur Nutzung eines Passwort-Managers angehalten.

FAQ

Was ist Credential Stuffing?

Credential Stuffing ist eine automatisierte Angriffsmethode, bei der aus Datenlecks erbeutete Zugangsdaten massenhaft auf anderen Plattformen ausprobiert werden, um dort erfolgreich einzuloggen.

Warum funktioniert Credential Stuffing so häufig?

Viele Menschen verwenden dieselben Zugangsdaten für mehrere Online-Dienste, sodass ein Datenleck bei einem Dienst auch andere Konten gefährden kann.

Warum ist Credential Stuffing für Architektur- und Ingenieurbüros relevant?

Mitarbeitende nutzen häufig ähnliche Passwörter für private und geschäftliche Konten, wodurch ein fremdes Datenleck mittelbar geschäftliche Systeme gefährden kann.

Welche Rolle spielt Credential Stuffing für die Cyberversicherung?

Viele Bedingungswerke setzen Multi-Faktor-Authentifizierung als Mindestanforderung voraus, gerade zum Schutz vor automatisierten Angriffen wie Credential Stuffing.

Wie schützt man sich wirksam vor Credential Stuffing?

Individuelle, komplexe Passwörter für jeden Dienst, ein Passwort-Manager und verpflichtende Multi-Faktor-Authentifizierung reduzieren das Risiko erheblich.

Verwandte Begriffe

Credentials-Fraud – beschreibt als Oberbegriff den betrügerischen Missbrauch von Zugangsdaten allgemein.

Social Engineering – nutzt im Gegensatz zu Credential Stuffing gezielt menschliches Verhalten statt geleakter Datenbanken.

Captcha – erschwert automatisierte Login-Versuche wie beim Credential Stuffing.

Cyberversicherung – deckt je nach Vertrag finanzielle Folgen erfolgreicher Credential-Stuffing-Angriffe ab.