Bis 2026 sind gestohlene Anmeldeinformationen kein sekundäres Anliegen mehr: Sie sind eine strategische Priorität für jedes Sicherheitsteam. Es gibt jedoch ein störendes Paradox: viele Organisationen erkennen das Risiko, aber sie setzen sich weiterhin auf Lösungen für "die Grundlagen zu treffen" - Kontrollen, die Boxen markieren - anstatt dedizierte und spezifische Programme zur Konfrontation von Infostealern, diejenigen Malware-Familien entwickelt, um Anmeldeinformationen, Cookies und Sitzungstoken zu exfiltrieren.
Die Zahlen helfen, die Größe des Problems zu verstehen. Eine kürzlich von Lunar in Auftrag gegebene Umfrage, Webz.io-getriebene Web-Dunkle-Monitoring-Plattform, deutet darauf hin, dass die meisten Organisationen verpflichtete Anmeldeinformationen ein hohes oder sehr hohes Risiko betrachten, und für viele ist es unter den drei wichtigsten Sicherheitsprioritäten. Gleichzeitig zeigen die von der Industrie erhobenen Daten enorme Mengen an Anmeldeinformationen im Umlauf: Allein 2025 wurden Milliarden von engagierten Aufzeichnungen identifiziert, eine Zahl, die Kostenvorausschätzungen in etwas Schwindel verwandelt. Der Jahresbericht über die Kosten von IBM-Leckages legt die durchschnittlichen Kosten einer Lücke fest, die sich auf mehrere Millionen Dollar pro Zwischenfall bezieht ( IBM Kosten eines Datenbruchberichts)
Und trotz dieses Bewusstseins bleiben viele Verteidigungen im Angesicht der technischen Realität der Angriffe naiv. Ausdrücke wie "wir haben MFA überall" oder "unsere EDR- und Zero Trust-Architektur schützen uns schon" klingen beruhigend, aber nicht genug. Wenn sich ein Mitarbeiter in eine kritische Anwendung von einem nicht verwalteten Inlandsgerät einloggt, erkennen herkömmliche Lösungen wie EDR oder Netzwerkrichtlinien nicht, dass der Zugriff von einem gestohlenen Token oder Cookie stammt. Mit anderen Worten, die Kontrollen, die den Umfang und die Endpunkte schützen, decken nicht notwendigerweise die Telemetrie und den Kontext ab, der es ermöglichen, die Sitzungen zu erkennen und zu beantworten.
Das Verhalten der Infostealer erklärt, warum. Diese Malware-Familien sammeln nicht nur Benutzernamen und Passwörter; sie extrahieren Session-Cookies, Token und andere Artefakte, die es einem Angreifer ermöglichen, "die Tür zu berühren": ohne wieder durch ein Authentifizierungsformular zu gehen, ohne eine MFA-Herausforderung zu verursachen und oft ohne offensichtliche Drucke auf den Authentifizierungsprotokollen zu hinterlassen. Das Ergebnis ist, dass der böswillige Schauspieler Daten sehr schnell verschieben, erkunden und ausfiltern kann, bevor die traditionellen Kontrollen relevante Warnungen zeigen. Um die Art des Risikos zu verstehen, ist es notwendig, technisches Material zu überprüfen, wie Infostealer arbeiten und welche Informationen sie normalerweise erfassen ( Kaspersky - InfoStealers)
Der Zyklus eines typischen Angriffs ist in der Regel unermüdlich effizient. Zuerst wird das Opfer durch verschiedene Vektoren infiziert: von Phishing-Kampagnen und böswilligen Browsererweiterungen bis hin zu Piratensoftware oder kompromittierten Repositories. Der Infostealer schneidet Anmeldeinformationen und Cookies vom Browser oder System ab, sendet diese Informationen an einen Server, der vom Angreifer gesteuert wird, und diese Daten werden in "Logs" oder Combolisten zusammengefasst, die in Foren, privaten Chats und geheimen Märkten gekauft und verkauft werden. Ein Käufer kann diese legitimen Geräte sofort nutzen, um mit einem überraschend kurzen Zeitfenster auf Unternehmensdienstleistungen zuzugreifen. Werden die Expositionsüberprüfungen einmal im Monat oder mit veralteten Datenquellen durchgeführt, kann die Organisation den Vorfall entdecken, wenn es zu spät ist.
Generische Lösungen scheitern, wenn Spezialisierung erforderlich ist. Viele Unternehmen wenden die punktuelle Lückenüberwachung an oder stützen ihre Erkennung auf öffentlichen Listen von gefilterten Passwörtern, ohne forensische Kapazität oder Kontext, um wieder aufzubauen, welche Konten betroffen waren, welche Geräte beeinträchtigt wurden oder wenn Cookies und Token gestohlen wurden. Der Mangel an triangulierten und standardisierten Daten wandelt jede Warnung ins Rauschen um: Es ist nicht bekannt, wer informiert, was man wiederherstellen oder wie man die Antwort priorisiert. Darüber hinaus verhindern Latenz bei der Erfassung von Daten aus kriminellen Quellen und das Fehlen einer Integration mit automatisierten Workflows (IMS, SOAR, IDP).
Der Übergang von einem reaktiven Ansatz zu einem reifen Lückenüberwachungsprogramm beinhaltet unter anderem die Kontinuität in der Sammlung von Signalen und die Fähigkeit, sie mit nützlichem Kontext zu bereichern. Dies bedeutet die Einbeziehung von Daten aus verschiedenen Quellen - Infostealer, Combolisten, Märkte und Messaging-Kanäle, in denen Anmeldeinformationen gehandelt werden - und die Normalisierung dieser Informationen, so dass sie nicht wiederholt oder verloren in irrelevanten Geräuschen. Ziel ist es, einen einzigartigen und raffinierten Blick auf die Ausstellungen zu haben, die die Organisation wirklich beeinflussen.
Automatisierung ist der Schlüssel, Alarme in Aktionen zu verwandeln. Es reicht nicht aus zu wissen, dass ein Business-Domain auf einer gefilterten Liste erscheint; es ist notwendig, diese Beweise in Spielbücher zu übersetzen, die konkrete Schritte automatisieren: Sitzungen zu invalidieren, die Wiederherstellung von Anmeldeinformationen zu zwingen, den Zugang zur IDP zu blockieren und Aufgaben im IMS oder SOAR zu orchestrieren, so dass Analysten keine Zeit auf wiederholten Routinen verschwenden. Wenn diese Teile verbunden sind, wird das Fenster, das der Angreifer ausnutzt, drastisch verkürzt.
Ein weiteres häufiges Handicap ist das falsche Gefühl der Sicherheit pro Plattform. Viele Teams glauben, dass macOS Immunität von diesen Angriffen bietet, und dennoch sind Apple-spezifische Familien entstanden, die Cookies und Anmeldeinformationen stehlen. Berichte von verschiedenen Akteuren in der Branche erkennen, wie Infostealer ausgefeilt und diversifiziert wurden, um mehrere Betriebssysteme und Anwendungsökosysteme zu beeinflussen.
Die Umsetzung einer effektiven Überwachungsstrategie erfordert einen Gedankenwechsel. Die Überwachung von Anmeldeinformationen sollte nicht mehr ein "punctual product" sein und als kontinuierliches Programm mit klaren, metrischen Verantwortlichkeiten und definierten Verfahren angesehen werden. Dies beinhaltet die Zuordnung eines Leiters der Infostealers-Domain, die Erstellung der realen risikobasierten Verifikations-Cadence und die Gestaltung von Spielbüchern, die automatisch ausgeführt werden, wenn bestätigte Beweise angezeigt werden. Es erfordert auch Investitionen in Lösungen, die eine forensische Telemetrie bieten, die oft an "die Standards treffen" Ansätze fehlt.
Die gute Nachricht ist, dass es Werkzeuge und Betriebssysteme gibt, die diesen Sprung ermöglichen. Plattformen, die unterirdische Daten hinzufügen und bereichern und mit dem Corporate Security Stack integrieren, ermöglichen die Umwandlung von Belichtungen in automatische und messbare Antworten. Interoperabilität mit Identitäten, Orchestrationssystemen und auffallenden Managementplattformen schließt den Kreis zwischen Erkennung und Mediation.
Es ist keine Übertreibung zu sagen, dass die Kosten für die Nichtanpassung enorm sein können. Von direkten wirtschaftlichen Verlusten bis hin zu namhaften und regulatorischen Schäden kann eine Sitzung von einem schädlichen Schauspieler unberechtigten Zugriff auf kritische Informationen beinhalten. Daher wird empfohlen, dass Sicherheitsteams ihre aktuellen Praktiken überprüfen, den Nachweis gestohlener Token und Cookies priorisieren und keine Kontrollen einhalten, die das Risiko nur teilweise mindern. Um gute Sitzungsmanagement- und Sicherheitspraktiken zu vertiefen, sind OWASP Guides eine gute technische Ressource ( OWASP Session Management)
Wenn Sie überprüfen möchten, welche Anmeldeinformationen mit Ihrer Organisation bereits in kriminellen Ökosystemen verbreitet sind, gibt es Initiativen, die eine zugängliche Überwachung für Organisationen aller Größen bieten, die Deckung und Integrationsfähigkeit kombinieren. Mit kontinuierlicher Sichtbarkeit und automatischen Antwortmechanismen ist es möglich, viele der Ausstellungsfenster zu schließen, die es Angreifern heute ermöglichen, mit Straflosigkeit zu handeln. Als Referenz für Industrieinitiativen, die Arbeit von Webz.io, die offenes Signal und unterirdische Intelligenz für verschiedene Geschäftszwecke zusammenbringt ( Webz.io.)
Kurz gesagt, die Lösung ist nicht, mehr unabhängige Werkzeuge hinzuzufügen oder sich ausschließlich auf MFA oder EDR zu verlassen. Es geht darum, ein Programm zur Überwachung von Anmeldeinformationen und Sitzungen zu erstellen, das kontinuierlich, kontextuell und automatisiert ist um spezialisierte Quellen zu integrieren und Teams zu befähigen, schnelle und genaue Entscheidungen zu treffen. Die Kosten der Anfälligkeit sind heute zu hoch, um weiterhin mit Ansätzen von vor einigen Jahren zu funktionieren.
Für diejenigen, die das Problem vertiefen wollen und wie sie ihre Prozesse anpassen, empfehle ich Ihnen, die Kosten-of-gaps-Berichte zu überprüfen, die technische Natur von Infostealern zu studieren und Lösungen zu bewerten, die die Integration mit ihren bestehenden Sicherheitsflüssen bieten. Die Ressourcen von Industrie- und Praxisführern sind reichlich vorhanden und können als Ausgangspunkt für die Gestaltung eines Programms dienen, das das Risiko tatsächlich reduziert.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...