April 2026 hat die folgenschwersten Credential-Stuffing-Angriffe der ersten Hälfte der 2020er-Jahre identifiziert. Die Analyse von Security Boulevard zeigt eine Ära beispielloser Identitätsausbeutung – angetrieben durch massive Datenleaks und immer ausgefeiltere automatisierte Tools. Die Kernaussage: Während die technischen Methoden des Credential Stuffings – also der unbefugte Zugriff mit gestohlenen Nutzernamen und Passwörtern – gleich geblieben sind, haben die schiere Menge verfügbarer Daten und die Verwundbarkeit cloudbasierter Lieferketten das Risikoprofil für Unternehmen weltweit fundamental verändert.
Angesichts von Milliarden gestohlener Zugangsdaten reicht ein herkömmliches Passwort längst nicht mehr aus, um Ihre Konten vor Credential-Stuffing-Angriffen zu schützen. Dieser kostenlose PDF-Ratgeber zeigt Ihnen, wie Sie mit Passkeys eine phishing-sichere Anmeldung bei Amazon, WhatsApp und Co. einrichten. Passkeys einrichten und Passwort-Stress beenden
Der Wendepunkt 2024: Snowflake und Roku
Das Jahr 2024 gilt als Schlüsselmoment für Credential Stuffing. Gleich mehrere spektakuläre Vorfälle zeigten, wie gefährlich identitätsbasierte Angriffe ohne Zero-Day-Exploits sein können. An der Spitze der Rangliste: die Kompromittierung von Organisationen, die die Cloud-Datenplattform Snowflake nutzten. Angreifer verwendeten zuvor durch Infostealer-Malware gestohlene Zugangsdaten, um sich Zugang zu 165 Kundenorganisationen zu verschaffen.
Weil diese Konten keine Multi-Faktor-Authentifizierung (MFA) besaßen, reichten gültige Login-Daten für den Einstieg. Die Folge: Daten von Großkunden wie Ticketmaster, Santander und AT&T wurden offengelegt. Allein bei Ticketmaster sollen die Angreifer 1,3 Terabyte Daten abgegriffen haben – rund 560 Millionen Nutzer betroffen. Branchenanalysten betonten: Der Snowflake-Vorfall war kein Einbruch in die Kerninfrastruktur der Plattform, sondern das Versagen einzelner Organisationen, ihre eigenen Bereiche mit robuster Authentifizierung zu schützen.
Parallel dazu erlebte der Streaming-Dienst Roku Anfang 2024 eine zweistufige Angriffswelle, die fast 600.000 Konten kompromittierte. Im März 2024 wurden zunächst rund 15.000 Konten mit gestohlenen Drittanbieter-Zugangsdaten geknackt. Einen Monat später folgte eine zweite, deutlich größere Welle mit weiteren 576.000 betroffenen Konten. In einigen Fällen nutzten Angreifer gespeicherte Zahlungsmethoden, um Streaming-Abonnements zu kaufen. Die Reaktion von Roku: Die Einführung der Zwei-Faktor-Authentifizierung für die gesamte Nutzerbasis – ein Schritt, der einen breiteren Branchentrend zu erzwungenen Sicherheits-Upgrades widerspiegelte.
Die Infostealer-Flut: Milliarden gestohlener Zugangsdaten
Die Verbreitung von Credential Stuffing wird durch eine massive Zunahme gestohlener Daten befeuert. Im Mai 2025 entdeckte der Cybersicherheitsforscher Jeremiah Fowler eine öffentlich zugängliche, unverschlüsselte Datenbank mit über 184 Millionen eindeutigen Logins und Passwörtern. Die Daten stammten von Plattformen wie Google, Microsoft, Facebook, Instagram und Snapchat.
Dieser Fund wurde im Juni 2025 noch übertroffen: Forscher von Cybernews beschrieben den bis dato größten Leak seiner Art mit 16 Milliarden Login-Datensätzen. Diese „kolossale“ Datensammlung verteilte sich auf 30 verschiedene Datensets, einige mit bis zu 3,5 Milliarden Einträgen. Die Daten stammten überwiegend von Infostealern – Schadsoftware, die Zugangsdaten direkt von infizierten Geräten abgreift – und nicht von zentralen Einbrüchen bei den Dienstanbietern selbst. Cybersicherheitsexperten wie Bob Diachenko warnten: Diese strukturierten Daten, inklusive URLs und dazugehöriger Login-Details, lieferten Angreifern frisches, sofort nutzbares Material für Account-Übernahmen und gezieltes Phishing in globalem Maßstab.
Bis Ende 2024 hatten die Credential-Theft-Angriffe laut Marktforschern von SlashNext in der zweiten Jahreshälfte um 703 Prozent zugelegt. Grund dafür waren Phishing-Kits und Social-Engineering-Techniken, darunter QR-Codes und KI-gestützte Sprachangriffe, die traditionelle Netzwerksicherheitsmaßnahmen umgingen.
Lieferketten-Verwundbarkeiten: Wenn Dienstleister zur Gefahr werden
Der Retrospective-Bericht zeigt auch, wie Angreifer die Backend-Infrastruktur von Service-Providern ins Visier nehmen. Im Mai 2024 warnte der Identitätsmanagement-Anbieter Okta vor einer Angriffswelle auf seine Customer Identity Cloud (CIC). Angreifer nutzten Endpunkte für Cross-Origin Resource Sharing (CORS) aus, um Credential-Stuffing-Kampagnen gegen Okta-Kunden zu orchestreren. Oktas Empfehlung: Unternehmen, die die Funktion nicht nutzen, sollten sie komplett deaktivieren.
Ein weiterer schwerwiegender Lieferketten-Vorfall ereignete sich im April 2024 bei Dropbox Sign (ehemals HelloSign). Angreifer verschafften sich Zugang zu einem automatisierten Systemkonfigurationstool und kompromittierten ein Backend-Dienstkonto mit erweiterten Rechten. So gelangten sie an Kundeninformationen, darunter gehashte Passwörter und Authentifizierungstoken wie API-Keys und OAuth-Token. Obwohl der Einbruch auf die Sign-Infrastruktur beschränkt blieb, musste Dropbox alle betroffenen Passwörter zurücksetzen und API-Keys austauschen, um weitere Schäden zu verhindern.
Ähnlich gelagert war der Fall Finastra im November 2024. Der Finanztechnologie-Konzern meldete verdächtige Aktivitäten auf seiner Secure File Transfer Platform. Ermittlungen ergaben, dass kompromittierte Zugangsdaten der Einstiegsvektor waren – mit potenziell 400 Gigabyte abgeflossener Daten. Da Finastra über 8.000 Finanzinstitute zu seinen Kunden zählt, verdeutlichte der Vorfall die systemischen Risiken mangelhafter Credential-Sicherheit in der Banken-Lieferkette.
Die regulatorische Wende: MFA wird Pflicht
Die anhaltende Bedrohung durch identitätsbasierte Angriffe hat 2025 zu deutlichen regulatorischen Veränderungen geführt. Im Januar 2025 wurde die HIPAA-Sicherheitsregel aktualisiert – mit einer direkten Konsequenz aus der zunehmenden Credential-Stuffing-Welle im Gesundheitswesen: Multi-Faktor-Authentifizierung wird für den Zugriff auf geschützte Gesundheitsdaten zur Pflicht. Dies folgte auf spektakuläre Vorfälle wie die Ascension-Health-Panne im Dezember 2024, bei der Patientendaten durch eine Schwachstelle in der Software eines ehemaligen Geschäftspartners kompromittiert wurden.
Angesichts der rasanten Zunahme von Cyberangriffen und verschärfter regulatorischer Pflichten müssen Unternehmen ihre IT-Infrastruktur proaktiv schützen. Dieses kostenlose E-Book liefert Ihnen fundierte Informationen zu aktuellen Bedrohungen und zeigt, wie Sie Sicherheitslücken auch ohne hohes Budget schließen können. Gratis E-Book: Cyber Security Trends und Schutzmaßnahmen
Parallel dazu treiben technologische Entwicklungen die Sicherheitsbranche um. Im März 2025 warnten Cybersicherheitsforscher vor einer neuen Klasse von KI-Agenten – sogenannten „Computer-Using Agents“. Diese können komplexe Web-Aufgaben automatisieren und damit den Aufwand für groß angelegte Credential-Stuffing-Angriffe drastisch senken. Da sie menschliches Verhalten besser simulieren als traditionelle Bots, stellen sie bestehende Bot-Erkennungsmechanismen vor neue Herausforderungen.
Die Antwort vieler Organisationen: die beschleunigte Einführung passwortloser Authentifizierungsstandards wie Passkeys. Identitätsanbieter wie Okta propagieren Passkeys als phishing-resistente Alternative, die gestohlene Passwörter wertlos macht. Zudem haben gerichtliche Vergleiche – wie die von 23andMe im Jahr 2024 vorgeschlagenen 30 Millionen US-Dollar nach einem Credential-Stuffing-Vorfall – klare finanzielle und rechtliche Präzedenzfälle geschaffen.
Analyse: Der Teufelskreis aus Infostealern und Credential Stuffing
Die Daten der letzten zwei Jahre zeigen: Der „Teufelskreis“ aus Infostealer-Infektionen und anschließendem Credential Stuffing ist zum Haupttreiber von Webanwendungs-Einbrüchen geworden. Während traditionelle Brute-Force-Angriffe Passwörter erraten, setzt modernes Credential Stuffing auf die hohe Erfolgsquote gültiger, geleakter Zugangsdaten. Statistiken aus der Mitte der 2020er-Jahre deuten auf eine Login-Erfolgsrate von bis zu 2 Prozent hin – das bedeutet: Ein einziger Datensatz mit einer Million Zugangsdaten kann zu Zehntausenden erfolgreichen Account-Übernahmen führen.
Die Verwundbarkeit dezentraler Identitäten wird durch die explosionsartige Verbreitung von SaaS-Anwendungen noch verstärkt. Mit dem Wegfall zentralisierter IT-Perimeter stieg die Zahl der Identitäten pro Organisation massiv an – die Angriffsfläche wuchs entsprechend. Die Vorfälle bei Snowflake und Finastra zeigten: Selbst wenn die Kerninfrastruktur eines Dienstleisters sicher ist, können falsch verwaltete Zugangsdaten von Endnutzern oder die Offenlegung von API-Tokens in öffentlichen Repositories (wie beim Internet-Archive-Vorfall 2024) zu katastrophalen Datenverlusten führen.
Ausblick: Das Ende der Passwörter?
Für die zweite Hälfte des Jahrzehnts erwarten Sicherheitsexperten eine radikale Abkehr von traditionellen zeichenbasierten Geheimnissen. Der von Experten 2025 empfohlene „Passwort-Frühjahrsputz“ dürfte bald durch die vollständige Abschaffung von Passwörtern zugunsten biometrischer und hardwaregestützter Identitätstoken ersetzt werden.
Für Unternehmen bleibt die Priorität klar: die Abschaffung der Ein-Faktor-Authentifizierung und die Implementierung von „Credential Guard“ -Technologien, die geleakte Passwörter in Echtzeit erkennen und blockieren können. Mit 16 Milliarden bereits im Umlauf befindlichen Datensätzen müssen Sicherheitsexperten 2026 davon ausgehen, dass jedes aktuell verwendete Passwort wahrscheinlich bereits kompromittiert ist. Die Zukunft der digitalen Identität wird davon abhängen, Nutzer mit Methoden zu verifizieren, die nicht auf statischen, teilbaren und letztlich stehlbaren Informationen beruhen.
