Gestohlene Zugangsdaten sind 2025 der häufigste Ausgangspunkt für Ransomware-Angriffe, nicht spektakuläre Zero-Day-Exploits. Infostealer-Malware greift still im Hintergrund Browser-Passwörter, Session-Cookies und VPN-Credentials ab. Besonders kritisch: Moderne Infostealers stehlen Session-Cookies, die eine aktive Anmeldesitzung repräsentieren und eine Account-Übernahme ermöglichen, ohne dass MFA erneut ausgelöst wird. Dieser Beitrag erklärt die technische Logik, zeigt aktuelle Zahlen und leitet ab, was Schweizer CISOs, IT-Leiter und Verwaltungsräte jetzt konkret tun müssen.
📑 Inhaltsübersicht
Was sind Infostealers? · Die Dimension des Problems: 2,9 Milliarden kompromittierte Credentials · Vom gestohlenen Passwort zur Ransomware: die Angriffskette · Schweizer Unternehmen im Visier · Gesetzliche Meldepflichten: nDSG, FINMA und BACS · Credential-Monitoring mit BitSight Identity Intelligence · Handlungsempfehlungen für CISOs und Verwaltungsräte · Häufig gestellte Fragen
Was sind Infostealers? Definition, Funktionsweise und die unterschätzte Rolle von Session-Cookies
Infostealers sind eine Malware-Kategorie, deren einziges Ziel die möglichst schnelle Extraktion verwertbarer Identitätsdaten ist. Im Unterschied zu klassischer Ransomware, die auf Persistenz und Verschlüsselung setzt, folgen Infostealers dem Prinzip «Smash and Grab»: Einmal auf einem Gerät installiert, extrahieren sie gespeicherte Browser-Passwörter, Autofill-Daten, Krypto-Wallets, VPN-Credentials und MFA-Authenticator-Backups und übermitteln diese binnen Sekunden an einen Command-and-Control-Server, einen Telegram-Bot oder Cloud-Speicher.
Der technisch folgenreichste Aspekt ist jedoch nicht der Passwortdiebstahl, sondern der Diebstahl von Session-Cookies. Ein Session-Cookie repräsentiert eine bereits erfolgreich abgeschlossene Authentifizierung. Wer diesen Cookie besitzt, kann die entsprechende Sitzung übernehmen, ohne das Passwort zu kennen und ohne eine MFA-Abfrage auszulösen. Wer also MFA als ausreichenden Schutz betrachtet, hat einen zentralen Angriffsvektor moderner Account-Übernahmen nicht im Blick.
Infostealers zielen nicht auf Server, sondern auf Identitäten: Browser, Sessions, Wallets
Die dominanten Familien 2024 und 2025
Im Markt der Infostealer-Malware dominieren derzeit fünf Familien. Lumma Stealer gilt als die aktivste Familie: Im Mai 2025 beschlagnahmten US-Behörden und Microsoft in einer koordinierten Aktion rund 2’300 zugehörige Domains. RedLine wird mit 9,9 Millionen infizierten Hosts in Verbindung gebracht und war an 43 Prozent aller erfassten Infektionen beteiligt, bevor eine internationale Polizeioperation die Infrastruktur im Oktober 2024 teilweise zerschlug. StealC übernahm 2025 den zweiten Rang. Raccoon Stealer wurde als Malware-as-a-Service für rund 275 USD pro Monat angeboten. Vidar schliesslich soll im zweiten Halbjahr 2024 über 65 Millionen Passwörter gestohlen haben.
Verbreitet werden diese Familien primär über drei Wege: Phishing-E-Mails mit manipulierten Anhängen oder Links, Fake-Software-Downloads auf täuschend echten Websites sowie Malvertising, also bösartige Werbeanzeigen in Suchmaschinen und auf legitimen Plattformen.
Die Dimension des Problems: 2,9 Milliarden kompromittierte Credentials
Die statistischen Grunddaten helfen, den Wechsel vom Einzelfall zur industriellen Skalierung zu verstehen. Im Jahr 2024 wurden durch Infostealer-Malware 2,1 Milliarden Zugangsdaten gestohlen, bei insgesamt 3,2 Milliarden global kompromittierten Credentials. Gleichzeitig zählten Sicherheitsforscher 23 Millionen infizierte Hosts. IBM X-Force beobachtete einen Anstieg der Infostealer-Verbreitung via Phishing um 84 Prozent und eine weitere Verdreifachung Anfang 2025. BitSight und Cybersixgill verfolgen nach eigenen Angaben täglich 2,9 Milliarden kompromittierte Credential-Sets und überwachen wöchentlich über eine Milliarde Zugangsdaten.
Ein Befund, der Sicherheitskonzepte grundlegend in Frage stellt
54 Prozent der infizierten Geräte hatten zum Zeitpunkt der Infektion eine Antivirus- oder EDR-Lösung installiert. Infostealers werden so verpackt und verteilt, dass sie in realen Unternehmensumgebungen die vorhandene Schutzsoftware regelmässig umgehen. Für CISOs bedeutet das: Prävention allein ist keine ausreichende Strategie. Kontinuierliche Erkennung, Exposure-Monitoring und eine definierte Reaktionsfähigkeit müssen gleichrangig behandelt werden.
Parallel zu den gestohlenen Daten hat sich ein Untergrundmarkt mit stabilen Preissignalen etabliert. Einfache Kontodaten werden für 1 bis 15 USD gehandelt, Unternehmenszugänge wie Corporate-VPN- oder RDP-Credentials für 50 bis 500 USD. Frische Stealer Logs inklusive Session-Cookies liegen typischerweise zwischen 10 und 100 USD. Die Preise spiegeln Aktualität und Zugangsprivileg: Ein gültiger Session-Cookie eines Administratorenkontos ist ein Vielfaches wert.
Vom gestohlenen Passwort zur Ransomware: die Angriffskette im Detail
Gestohlene Zugangsdaten gelangen selten direkt vom Dieb zum Ransomware-Angreifer. Zwischen diesen Polen hat sich eine spezialisierte Zwischenstufe etabliert: Initial Access Broker. Diese Akteure kaufen Stealer Logs auf Untergrundmärkten, inventarisieren die enthaltenen Unternehmenszugänge, bewerten den Wert der jeweiligen Umgebung und verkaufen den Erstzugang weiter. Für 2025 werden mindestens 14 Millionen USD an On-Chain-Zahlungen im IAB-Markt ausgewiesen. Der durchschnittliche Preis für einen Unternehmenszugang liegt bei rund 2’700 USD. Bemerkenswert ist, dass 71 Prozent der angebotenen Zugänge privilegierte Credentials, häufig Domain-Admin-Rechte, enthalten. Die Zeitachse ist für Verteidiger entscheidend: Opfer tauchen typischerweise 23 bis 36 Tage nach dem IAB-Verkauf auf den Leak-Sites der Ransomware-Gruppen auf.
Das prominenteste Fallbeispiel dieser Kette ist der Snowflake-Breach 2024. Die Bedrohungsgruppe UNC5537 nutzte Infostealer-Credentials, teils stammten diese aus Infektionen aus dem Jahr 2020, und kompromittierte damit 165 Kundenumgebungen von Snowflake. Zu den Betroffenen zählten AT&T mit nahezu allen Mobilfunkkunden-Datensätzen der USA, Ticketmaster mit 590 Millionen Datensätzen sowie Santander Bank mit 30 Millionen Datensätzen. Über 80 Prozent der kompromittierten Konten waren zuvor in Infostealer-Dumps exponiert. Keines dieser Konten hatte MFA aktiviert. Die Lehre ist eindeutig: Nicht aktivierte MFA und keine Überwachung auf Credential-Exposition sind keine technischen Einzelversäumnisse, sondern ein Governance-Problem.
Das zweite Massenphänomen im Zusammenhang mit gestohlenen Zugangsdaten ist Credential Stuffing. Dabei werden Listen kompromittierter Zugangsdaten automatisiert gegen Login-Endpunkte geprüft. Akamai registrierte 2024 rund 26 Milliarden solcher Versuche pro Monat. Der Verizon Data Breach Investigations Report 2025 beziffert den Anteil von Credential Stuffing an allen täglichen Authentifizierungsversuchen auf 19 Prozent. IBM ermittelt einen durchschnittlichen Schadenwert von 4,81 Millionen USD pro Credential-Stuffing-Vorfall. Derselbe Bericht hält fest, dass 54 Prozent aller Ransomware-Opfer vor dem Angriff nachweislich Infostealer-Dumps ihrer Domains in Untergrundmarktplätzen hatten. Wie der Handel mit diesen Daten im Darknet konkret abläuft, beschreibt der zweite Beitrag dieser Reihe: Das Darknet interessiert sich für Schweizer Unternehmen.
Schweizer Unternehmen im Visier: Bedrohungslage und aktuelle Vorfälle
Die Schweiz ist kein Randmarkt für organisierte Cyberkriminalität. Ihre exportorientierte Wirtschaft, die hohe Dichte an Finanz- und Pharmaunternehmen sowie die komplexen Lieferketten machen sie zu einem attraktiven Ziel. Laut Check Point verzeichnete die Schweiz im ersten Quartal 2025 den weltweit höchsten prozentualen Anstieg von Cyberangriffen: plus 113 Prozent im Jahresvergleich, mit durchschnittlich 1’279 Angriffen pro Woche und Organisation.
222 Pflichtmeldungen gingen im ersten Jahr der obligatorischen Meldepflicht beim BACS ein. 11,4 Prozent der gemeldeten Angriffe auf kritische Infrastrukturen betrafen Credential-Diebstahl.
Reale Vorfälle der jüngeren Vergangenheit belegen die Bandbreite: Der Xplain-Vorfall betraf 1,3 Millionen Dateien, darunter 5’182 mit Personendaten und 121 klassifizierte Dokumente. NZZ und CH Media wurden Opfer der Play-Ransomware-Gruppe. BERNINA International verlor durch ALPHV/BlackCat rund 200 GB Daten. Zudem trafen DDoS-Kampagnen der pro-russischen Gruppe NoName057(16) Bundeswebsites, die SBB, mehrere Banken sowie 318 Schweizer Gemeinden.
Kompromittierte Zugangsdaten als Insider-Bedrohung: 83 Prozent der Organisationen berichteten im vergangenen Jahr mindestens einen Vorfall durch missbrauchte Mitarbeiterzugänge. Die durchschnittlichen jährlichen Kosten solcher Vorfälle belaufen sich auf 17,4 Millionen USD. Das BACS warnt zudem explizit vor einer nordkoreanischen Bedrohungsgruppe, die Schweizer Finanz- und Kryptofirmen ins Visier genommen hat.
Für Schweizer Entscheider ist die strategische Konsequenz klar: Zugangsdaten sind keine technische Detailgrösse. Sie sind ein Vermögenswert, dessen Exposition kontinuierlich überwacht werden muss, vergleichbar mit anderen geschäftskritischen Risiken.
Gesetzliche Meldepflichten: Was Schweizer Unternehmen bei Credential-Diebstahl wissen müssen
Credential-Diebstahl ist in der Schweiz in mehreren regulatorischen Rahmenwerken melderelevant. Entscheidend ist dabei nicht nur, ob eine Meldung erforderlich ist, sondern dass die Fristen ohne vorgängige Vorbereitung kaum einzuhalten sind. Wer keine Sicht auf die eigene Zugangsdaten-Exposition hat, wird im Ernstfall zu spät reagieren. Der Zusammenhang zwischen Angriffsflächen-Sichtbarkeit und Incident-Fähigkeit ist Gegenstand des ersten Beitrags dieser Reihe: Warum Ihre digitale Angriffsfläche grösser ist, als Sie denken.
Die wichtigsten Melderahmen im Überblick
nDSG (in Kraft seit 1. September 2023): Bei Datenschutzverletzungen mit hohem Risiko für die Persönlichkeitsrechte Betroffener gilt faktisch eine Meldefrist von 72 Stunden an den EDÖB. Bussen bis CHF 250’000 richten sich gegen die verantwortliche natürliche Person, nicht gegen das Unternehmen. Das unterscheidet das nDSG strukturell von der europäischen DSGVO.
FINMA-Rundschreiben 2023/1 (in Kraft seit 1. Januar 2024): Für beaufsichtigte Finanzinstitute gelten Meldefristen von 24 Stunden für eine erste Einschätzung und 72 Stunden für einen detaillierten Bericht. Laut FINMA Risk Monitor betreffen 37 Prozent der Cybervorfälle im Finanzsektor unautorisierte Zugriffe, in denen Credential-Missbrauch häufig eine zentrale Rolle spielt.
Obligatorische Meldepflicht für kritische Infrastrukturen (in Kraft seit 1. April 2025): Betreiber kritischer Infrastrukturen müssen Cyberangriffe innerhalb von 24 Stunden dem BACS melden. Ab dem 1. Oktober 2025 sind bei Nichtmeldung Bussen bis CHF 100’000 vorgesehen.
DORA (anwendbar in der EU seit 17. Januar 2025): Die Schweiz ist nicht direkt gebunden. Schweizer ICT-Dienstleister, die EU-Finanzinstitute bedienen, Tochtergesellschaften europäischer Gruppen sowie grenzüberschreitend tätige Unternehmen sind jedoch indirekt betroffen. DORA verlangt umfassendes Third-Party Risk Management, das in der Praxis auch Nachweise zu Credential-Monitoring und Incident-Response-Fähigkeit in der Lieferkette einschliesst.
Credential-Monitoring mit BitSight Identity Intelligence
Auf der Abwehrseite verschiebt sich der Schwerpunkt von der Passwort-Policy hin zur kontinuierlichen Überwachung der Credential-Exposition. Die Frage lautet nicht mehr nur: Sind unsere Passwörter komplex genug? Sondern: Sind Credentials oder Session-Cookies aus unserer Domain bereits in Stealer Logs oder Untergrundmarktplätzen verfügbar, und falls ja, seit wann?
BitSight bietet dafür seit April 2025 das Modul Identity Intelligence an. Es verfolgt wöchentlich über eine Milliarde Credentials über Clear Web, Deep Web und Dark Web und sammelt täglich rund 7 Millionen Intelligence-Items aus über 1’000 Untergrund-Foren und Marktplätzen. Entscheidend ist dabei, dass Identity Intelligence nicht nur Passwort-Paare erfasst, sondern ausdrücklich auch Session-Token-Expositionen erkennt. Das schliesst die Lücke, die ein reines Passwort-Monitoring offen lässt.
Die technische Tiefe des Moduls ist auf die Übernahme von Cybersixgill zurückzuführen, die BitSight Ende 2024 für rund 115 Millionen USD abschloss. Damit sind Funktionen wie Threat-Actor-Profiling, die Erkennung laufender Ransomware-Verhandlungen und Supply-Chain-Targeting in der Plattform verankert. Im Kontext der Security Ratings gilt ein Wert unter 500 als statistisch belastbarer Frühindikator: Unternehmen in diesem Bereich haben eine fünffach höhere Wahrscheinlichkeit, einen öffentlich bekannten Sicherheitsvorfall zu erleiden, als solche mit einem Rating über 700.
Handlungsempfehlungen: Sieben Massnahmen gegen Credential-Diebstahl
Der Umgang mit Infostealer-Risiken erfordert keine einzelne Technologie, sondern eine Kombination aus Monitoring, Härtung und einer klar definierten Reaktionsfähigkeit. Die folgenden sieben Massnahmen sind für Schweizer Organisationen jeder Grösse und Branche prioritär.
1. Kontinuierliches Credential-Monitoring einführen. Reagieren Sie nicht erst, wenn ein Breach öffentlich bekannt wird. Ziel ist die frühestmögliche Erkennung exponierter Zugangsdaten, damit betroffene Konten rotiert werden können, bevor ein Initial Access Broker sie verwertet.
2. MFA konsequent durchsetzen und Session-Token-Rotation prüfen. MFA ist notwendig, aber nicht hinreichend. Erzwingen Sie MFA besonders für Admin-Konten, SaaS-Administrationsoberflächen und Fernzugänge. Prüfen Sie zusätzlich, ob Session-Laufzeiten und Re-Authentication-Intervalle verkürzt werden müssen, weil Session-Cookies der eigentliche Angriffshebel sind.
3. Browser-Passwort-Richtlinien verschärfen. Das Speichern von Unternehmenspasswörtern in Browsern ist eine der häufigsten Ursachen für erfolgreiche Infostealer-Exfiltration. Ergänzen Sie ein striktes Verbot durch einen kontrollierten Passwort-Manager mit zentraler Administration.
4. Mitarbeiterschulung realistisch gestalten. Trainieren Sie nicht nur das Erkennen von Phishing-Mails. Zeigen Sie konkret, wie Fake-Software-Downloads, gefälschte Update-Seiten und manipulierte Suchmaschinenwerbung funktionieren. Infostealers verbreiten sich heute primär über diese Kanäle.
5. Incident-Response-Plan für Credential-Kompromittierung definieren. Legen Sie vorab fest, wer bei Infostealer-Verdacht entscheidet, welche Konten sofort gesperrt werden, wie Sessions invalidiert werden, welche Logs gesichert werden müssen und wie die Kommunikation sowie die Meldewege an BACS, EDÖB und FINMA ablaufen.
6. Lieferantenkette systematisch prüfen. Zugänge gelangen häufig über kompromittierte Drittparteien ins eigene Netzwerk. Credential-Hygiene gehört deshalb in Lieferantenverträge, Sicherheitsfragebögen und Review-Zyklen. DORA verstärkt diesen Druck für Schweizer ICT-Dienstleister mit EU-Kundschaft.
7. Regulatorische Meldefristen als Planungsgrösse behandeln. Die 24-Stunden-Frist ans BACS für kritische Infrastrukturen, die faktische 72-Stunden-Frist nach nDSG sowie die FINMA-Meldefristen sind im Ernstfall ohne Vorbereitung kaum einzuhalten. Bereiten Sie Meldeprozesse, Eskalationspfade und forensische Mindestdaten bereits jetzt vor. Sprechen Sie mit unseren Experten, um Ihre aktuelle Melde- und Reaktionsfähigkeit einzuschätzen.
Credential-Exposition Ihres Unternehmens einschätzen
Sie möchten wissen, ob Zugangsdaten oder Session-Tokens Ihrer Domain bereits in Stealer Logs oder Untergrundmarktplätzen kursieren? Als Beratungspartner für Cyber-Risikointelligenz unterstützen wir Sie bei der Einrichtung von Credential-Monitoring, der Priorisierung exponierter Identitäten und der Vorbereitung auf gesetzliche Meldepflichten.
Häufig gestellte Fragen zu Infostealers und gestohlenen Zugangsdaten
Was ist ein Infostealer und wie infiziert er meinen Computer?
Infostealers sind Malware-Programme, die gespeicherte Passwörter, Session-Cookies und andere Identitätsdaten aus Browsern und Anwendungen extrahieren. Die Infektion erfolgt typischerweise über Phishing-E-Mails, Fake-Software-Downloads oder Malvertising. Da Infostealers nach kurzer Aktivität oft keine weiteren Spuren hinterlassen, werden sie von klassischen Antivirus-Lösungen häufig nicht erkannt.
Mein Unternehmen hat MFA aktiviert. Schützt das vor gestohlenen Zugangsdaten?
Nicht vollständig. Moderne Infostealers stehlen gezielt Session-Cookies, die eine bereits authentifizierte Sitzung repräsentieren. Wer diesen Cookie besitzt, kann eine aktive Session übernehmen, ohne das Passwort zu kennen und ohne eine erneute MFA-Abfrage auszulösen. Daher muss ein vollständiges Schutzkonzept auch Session-Token-Expositionen überwachen, nicht nur Passwort-Paare.
Wie lange dauert es, bis gestohlene Zugangsdaten für einen Angriff genutzt werden?
Stealer Logs erscheinen oft innerhalb weniger Stunden nach dem Diebstahl auf Untergrundmärkten. Initial Access Broker kaufen und vermarkten diese Daten weiter. Laut aktuellen Analysen tauchen betroffene Unternehmen typischerweise 23 bis 36 Tage nach dem IAB-Verkauf auf den Leak-Sites von Ransomware-Gruppen auf. Frühzeitiges Credential-Monitoring kann dieses Zeitfenster für eine Reaktion öffnen.
Ab wann muss mein Unternehmen einen Credential-Diebstahl melden?
Das hängt vom regulatorischen Rahmen ab. Nach dem Schweizer Datenschutzgesetz (nDSG) gilt faktisch eine Meldefrist von 72 Stunden an den EDÖB, wenn ein hohes Risiko für Betroffene besteht. Betreiber kritischer Infrastrukturen müssen seit April 2025 Cyberangriffe innerhalb von 24 Stunden beim BACS melden. FINMA-regulierte Institute haben je nach Ereignis Meldefristen von 24 beziehungsweise 72 Stunden. Im Zweifel sollte gemeldet werden.
Was ist der Unterschied zwischen Darknet-Monitoring und BitSight Identity Intelligence?
Einfaches Darknet-Monitoring sucht nach Erwähnungen von Unternehmensnamen oder Domains auf bekannten Marktplätzen. BitSight Identity Intelligence geht weiter: Das Modul überwacht wöchentlich über eine Milliarde Credentials über Clear Web, Deep Web und Dark Web, erkennt Session-Token-Expositionen und priorisiert Befunde nach Kritikalität. Die Integration mit Security Ratings und EASM liefert ein vollständiges Bild der externen Bedrohungslage.
