Infostealer: Die neue Einfallspforte für Cyberkriminelle

Unternehmenszugänge sind das neue Ziel Nummer eins für Hacker. Eine Welle von Schadsoftware stiehlt systematisch Login-Daten und öffnet die Türen zu Firmennetzen. Die Kombination mit Künstlicher Intelligenz verschärft die Bedrohungslage dramatisch.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze verschärfen die Lage und IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen. IT-Sicherheit stärken ohne teure Investitionen

Laut dem aktuellen Global Threat Intelligence Report von Flashpoint hat sich die Cyber-Bedrohungslandschaft grundlegend gewandelt. Angreifer konzentrieren sich nicht mehr primär auf komplexe Netzwerk-Exploits. Stattdessen loggen sie sich einfach mit gestohlenen Unternehmensidentitäten ein. Dieser Trend wird durch den industriellen Einsatz von Information-Stealing-Malware, kurz Infostealern, befeuert. Diese Schadprogramme erbeuten im Hintergrund Session-Cookies, Cloud-Tokens und Anmeldedaten von infizierten Geräten.

Parallel enthüllten Rapid7-Forscher eine globale Kampagne, die legitime Webseiten zur Verbreitung dieser Infostealer missbraucht. Die Gefahr trifft damit jeden Mitarbeiter. Kombinieren kriminelle Syndikate diese gigantischen Datenberge mit autonomer KI, steht der Datenschutz in Unternehmen vor einer nie dagewesenen Herausforderung.

Industriemaßstab: 3,3 Milliarden gestohlene Zugänge

Die Dimensionen des Diebstahl sind gewaltig. Allein 2025 infizierten Infostealer weltweit 11,1 Millionen Rechner. Dabei sammelten sie einen Vorrat von 3,3 Milliarden gestohlenen Zugangsdaten, Cookies und persönlichen Datensätzen. Diese werden offen in Foren und Darknet-Märkten gehandelt.

Angreifer müssen heute keine eigene Malware mehr entwickeln. Sie umgehen Perimeter-Abwehrmaßnahmen einfach, indem sie sich als legitime Nutzer anmelden. Der Markt für Infostealer ist dynamisch: Nach der Zerschlagung der Lumma- und Rhadamanthys-Infrastruktur durch Strafverfolgungsbehörden 2025 füllte Vidar 2.0 das Vakuum. Der Diebstahl von Zugangsdaten ist zum Standard-Einfallstor für Ransomware und Erpressungsangriffe geworden.

Täuschungsmanöver: Die globale "ClickFix"-Kampagne

Die Verbreitungswege werden immer trickreicher und nutzen das Vertrauen der Nutzer in bekannte Webseiten. Rapid7-Researchers enthüllten eine seit Dezember 2025 laufende Operation. Dabei wurden über 250 legitime WordPress-Seiten weltweit kompromittiert – darunter Regionalzeitungen, Unternehmensportale und sogar politische Kampagnenseiten in mindestens zwölf Ländern, inklusive Deutschland.

Die Kampagne nutzt eine raffinierte Social-Engineering-Methode namens ClickFix. Besucher einer infizierten Seite sehen eine gefälschte Cloudflare-CAPTCHA-Prüfung. Anstatt einen Button zu klicken, werden sie getäuscht, das Windows-Ausführen-Fenster zu öffnen und ein bösartiges Skript einzufügen. Dieses lädt dann Infostealer wie Vidar oder Vodka Stealer herunter.

Diese fiesen Hacker-Methoden führen aktuell zu Rekord-Schäden in deutschen Unternehmen, da Kriminelle oft fertige Schadprogramme aus dem Netz nutzen. In diesem Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing und CEO-Fraud schützen. Anti-Phishing-Paket kostenlos herunterladen

Da die Infektion von scheinbar vertrauenswürdigen Seiten ausgeht, blockieren Unternehmens-Webfilter die Interaktion oft nicht. Die Angriffsfläche für Firmenzugänge wird so massiv vergrößert.

KI als Bedrohungsmultiplikator

Das reine Volumen gestohlener Daten ist nur die halbe Gefahr. Die andere ist die Integration autonomer KI-Agenten durch Cyberkriminelle. Diese KI-Systeme testen gestohlene Credentials gleichzeitig gegen Tausende von Endpunkten – VPNs, SaaS-Plattformen und Cloud-Infrastrukturen.

Diese KI-gesteuerten Angriffe überrollen herkömmliche Sicherheitsüberwachung. Zudem umgehen Angreifer die Zwei-Faktor-Authentifizierung (2FA), indem sie gestohlene Session-Cookies nutzen. Mit einem solchen Cookie kann ein Angreifer eine bestehende Sitzung fortsetzen, ohne SMS-Codes oder Push-Benachrichtigungen abfangen zu müssen. Das gefährdet auch private Mitarbeiter-Geräte und Drittanbieter-Portale.

Angriff auf die Lieferkette

Die Bedrohung durch Infostealer reicht weit über die eigenen Mitarbeiter hinaus und trifft das Drittanbieter-Risikomanagement. Laut Bitsight stieg die Kompromittierung von Zugangsdaten bei Lieferanten 2025 um 160 Prozent. Angreifer zielen gezielt auf Software-Anbieter, IT-Dienstleister oder Gesundheitslieferanten. Ein einziger infizierter Endpunkt beim Partner kann Hintertüren zu Dutzenden Kundenorganisationen öffnen.

Besonders gefährlich sind fortschrittliche Infostealer wie Acreed. Diese Software kann aktive Session-Tokens kapern und erlaubt Angreifern so, sich auch bei strengen Authentifizierungsprotokollen in Kundennetzen seitwärts zu bewegen. Gestohlene Zugänge sind mittlerweile für fast die Hälfte aller Sicherheitsvorfälle verantwortlich und machen Lieferantennetze zu einem lukrativen Hebel für Kriminelle.

Paradigmenwechsel im Unternehmensschutz nötig

Die Entwicklungen zeigen eine grundlegende Verschiebung der Cyberkriminalität. Der Diebstahl von Identitäten ist einfacher und kostengünstiger als das Ausnutzen von Firewall-Lücken. Die Strafverfolgung versucht gegenzusteuern: Europol und Partner zerschalteten Anfang März 2026 das Cybercrime-Forum LeakBase, einen zentralen Handelsplatz für Infostealer-Logs.

Doch die dezentrale "Malware-as-a-Service"-Struktur sorgt für schnellen Ersatz. Die fortlaufende Sammlung von Zugangsdaten schafft eine langfristige Angriffsfläche, die auch nach der Bereinigung einer Infektion bestehen bleibt.

Unternehmen können sich 2026 nicht mehr allein auf Perimeter-Schutz oder einfache 2FA verlassen. Die Sicherheitsverantwortlichen müssen auf kontinuierliches Identity Threat Exposure Management und robuste Endpoint-Detection-and-Response-Systeme setzen, die Infostealer-Aktivität in Echtzeit erkennen. Strikte, hardwaregebundene Authentifizierung und das regelmäßige Ungültigstellen inaktiver Session-Tokens werden zur neuen Compliance-Pflicht, um den Zugang zum Unternehmen und die Lieferkette zu schützen.