Tatort: Browser – Wie Infostealer unbemerkt sensible Unternehmensdaten stehlen
Ein Klick zu viel – und der Spuk beginnt
Ein Mitarbeiter eines Finanzdienstleisters besucht eine Website, die ihm auf den ersten Blick vertraut vorkommt. Beim Laden der Seite erscheint ein scheinbar legitimes Captcha-Fenster. Dieses fordert ihn auf, seine Identität zu bestätigen, um fortzufahren. Die Aufforderung ist ihm bekannt und wirkt harmlos. Solche Captchas erscheinen schließlich häufig, um automatisierte Zugriffe zu verhindern. Der Mitarbeiter klickt auf das Kontrollkästchen „Ich bin kein Roboter“.
Plötzlich erscheint ein Pop-up-Fenster mit einer Anweisung. Er soll eine bestimmte Tastenkombination ausführen, um die „menschliche Verifikation“ abzuschließen. Ohne etwas zu ahnen, folgt er der eingeblendeten Anweisung. Was er nicht merkt: Das Captcha-Fenster ist gefälscht und Teil einer ausgeklügelten Phishing-Kampagne.
Von diesem Moment an ist der Computer ein offenes Buch und der digitale Albtraum beginnt: gespeicherte Passwörter, Browser-Cookies für Online-Sitzungen, Autofill-Daten, Zugangsdaten zu E-Mail-Konten und Business-Anwendungen – alles wird ausgelesen. Über Keylogging werden selbst Tastatureingaben aufgezeichnet.
Beispiel für ein gefälschtes Captcha
Was ist hier passiert?
Die vermeintlich harmlose Website war Teil einer groß angelegten Kampagne, bei der Cyberkriminelle mithilfe von SEO-optimierten Fake-Webseiten Schadsoftware verbreiten.
Diese Seiten wirken vertrauenswürdig, erscheinen in den Suchergebnissen gängiger Suchmaschinen und zielen genau auf Nutzer ab, die denken, sie seien vorsichtig.
Während Mitarbeitende Phishing-Merkmale in E-Mails zunehmend erkennen, sind Angriffe über den Webbrowser deutlich schwerer zu identifizieren. Täter missbrauchen das Vertrauen in vermeintlich sichere oder vertraute Webseiten und täuschen legitime Interaktionen – etwa durch gefälschte CAPTCHAs oder Push-Benachrichtigungen – vor. Diese Aktionen wirken wie normales Nutzerverhalten und werden daher von vielen Sicherheitslösungen nicht als verdächtig eingestuft.
Infostealer – die leise Gefahr im Hintergrund
Dieses Szenario ist längst keine Ausnahme mehr. Immer häufiger nutzen Angreifer sogenannte Infostealer, um Zugangsdaten und sensible Unternehmensinformationen direkt von infizierten Geräten zu stehlen. Infostealer sind darauf spezialisiert, persönliche Daten, Kreditkarteninformationen oder vertrauliche Geschäftsdokumente unbemerkt zu sammeln. Das Gefährliche an ihnen ist, dass sie im Hintergrund ohne sichtbare Symptome laufen. Selbst moderne Antivirenlösungen erkennen viele Infostealer nicht, da diese von hochprofessionellen Malware-Autoren entwickelt werden, die ständig an neuen technisch raffinierten Schlupflöchern forschen. Wer den Angriff nicht bemerkt, kann sich auch nicht verteidigen und so werden die Daten unbemerkt mitgelesen.
Laut dem Magazin Cybernews befinden sich derzeit rund 16 Milliarden Datensätze mit persönlichen Nutzerdaten im Umlauf (1). Die tatsächliche Zahl ist jedoch deutlich höher. Unsere Recherchen zeigen, dass allein die sogenannte Alien-Datenbank bereits etwa 23 Milliarden Einträge enthält – die Zahl wächst weiter und quasi täglich erscheinen neue Stealer-Logs, etwa auf den privaten Telegram-Kanälen MoonCloud, DaisyCloud [NEW] oder MetaCloudVIP. Ursache sind sowohl neue Infektionen als auch weiterhin infizierte Opfersysteme, sodass auch zurückgesetzte Passwörter, neu gesetzte Cookies oder aktualisierte Login-Daten ins Darknet gelangen. Dass die Medien dennoch oft von „nur“ 16 Milliarden Datensätzen sprechen, liegt daran, dass ein Großteil dieser Datenbanken im Verborgenen existiert – der Öffentlichkeit weitgehend unbekannt und nur in schwer zugänglichen Bereichen auffindbar. Dort verändern sie sich ständig, wachsen leise weiter und entziehen sich so jeder klaren Beobachtung.
Data Breaches betreffen nicht nur Einzelpersonen, sondern oft auch die Mitarbeiter verschiedener Firmen. So werden Cyberkriminellen unwissentlich die Türen geöffnet. Beispielsweise können Betrüger über geleakte Zugangsdaten reale Identitäten übernehmen, sich in Unternehmens-Accounts einloggen, E-Mails mitlesen oder sogar im Namen des Opfers antworten – oft mit neuen, infizierten Anhängen. Der Web-Browser wird zunehmend zum Tatort und die eigenen Mitarbeiter unfreiwillig zu Mittätern.
Ein florierender Schwarzmarkt im Darknet
Sind die gestohlenen Daten erst einmal gesammelt, landen sie häufig im Darknet oder Deepnet. Dort werden sie von sogenannten Initial Access Brokern in kriminellen Foren verkauft. Diese Broker handeln mit Zugangsdaten zu Unternehmensnetzwerken, Postfächern oder Cloud-Diensten – und ermöglichen damit weitere Angriffe mit Ransomware oder Betrug. Unter dem Motto “chaos as a service” haben die drei Gruppierungen Scattered Spider, Lapsus$ und ShinyHunters gezeigt, wie erfolgreich die Zusammenarbeitverschiedener Akteure funktioniert. Bei ihren Angriffen auf Salesforce-Instanzen ist es ihnen gelungen, Daten von mehr als 700 Firmen aus unterschiedlichen Branchen zu gewinnen (2).
Ein Bild aus dem Scattered Lapsus$ Hunters Telegram Channel
Laut der Europäischen Agentur für Cybersicherheit (ENISA) führen rund 70 % aller Malware-Angriffe, darunter Infostealer, zu Datenlecks. Das Darknet dient dabei als Marktplatz und Daten sind die Währung. Angreifer arbeiten arbeitsteilig, organisiert und mit erstaunlicher Professionalität – inklusive „Qualitätskontrolle“ und interner Streitbeilegung (3). Infostealer stellen somit die größte Cyber-Gefahr dar, da sie als Key Enabler von Cyberkriminellen weitere Cyberangriffe mit Ransomware oder Fraud erst ermöglichen (3).
Kleine Leaks, große Folgen
Die Zeit zwischen Datendiebstahl und Missbrauch beträgt laut BSI durchschnittlich etwa fünf Tage (4). In den ersten Tagen versuchen Angreifer, so viele Daten wie möglich zu erbeuten (z.B. Zugangsdaten, Cookies, Tokens). Danach wird es zunehmend schwieriger, neue, verwertbare Informationen zu gewinnen, weshalb die Angreifer oft zum nächsten Schritt übergehen. Dazu gehören entweder der Verkauf der Daten im Darknet an Ransomware-Gruppen oder gezielte Betrugs- und Erpressungskampagnen.
In dieser kurzen Anfangsphase, in der die erbeuteten Informationen ins Darknet gelangen, wo sie in aktiven Quellen zirkulieren, angereichert und gehandelt werden, besteht oftmals die letzte Chance, einen Infostealer-Befall zu identifizieren und Folgeangriffe abzuwehren. Diese Quellen sind stark abgeschottet und nur spezialisierten Ermittlern oder Threat-Intelligence-Teams zugänglich.
Darknet Monitoring als Frühwarnsystem
Hier setzt Darknet Monitoring an: Durch gezielte Beobachtung dieser geschlossenen Bereiche lassen sich kompromittierte Accounts oder interne Zugangsdaten frühzeitig erkennen – noch bevor sie aktiv missbraucht werden. Das Darknet Monitoring durchsucht dafür kontinuierlich geschlossene Foren, Marktplätze und Leak-Seiten nach E-Mail-Domains, Markennamen und Suchbegriffen. Dadurch wird ein bislang blinder Fleck in der Bedrohungslage sichtbar. Wer Datenlecks früh erkennt, verhindert größeren Schaden durch weitere Angriffe. Das schützt auch vor Reputationsschäden und Compliance-Risiken. Weil Infostealer meist lange unentdeckt bleiben, reicht die interne Überwachung allein nicht aus. Darknet Monitoring liefert die externe Sicht, die nötig ist, um stille Kompromittierungen aufzudecken und rechtzeitig zu handeln.
Kostenloser Darknet Check-up der neuesten Leaks für Unternehmen
Unser Ziel ist es, Unternehmen in der kritischen Anfangsphase Einblick zu geben und dabei zu unterstützen, eine mögliche Betroffenheit zu prüfen. Deshalb bietet RISK IDENT in Kooperation mit der Animus Blue GmbH einen kostenlosen Darknet Check-up an. Animus Blue prüft für dein Unternehmen, ob in aktuellen Stealer-Logs Hinweise auf Datenlecks oder kompromittierte Zugangsdaten im Darknet auffindbar sind.
>> Jetzt kostenlose Darknet-Analyse sichern <<
Empfehlungen zur Erhöhung der IT-Sicherheit
- Verwende einen Passwort-Manager, idealerweise mit Browser-Integration. Dieser erstellt starke Passwörter, speichert sie sicher und füllt sie in der Browservariante nur auf den echten, zugehörigen Webseiten aus – das schützt auch vor Phishing.
- Lade Software ausschließlich von seriösen Quellen herunter und achte darauf, dass sie digital signiert ist.
- Captchas fordern oft zur Auswahl bestimmter Bilder auf, niemals jedoch zur Eingabe von Tastenkombinationen.
- Angreifer übernehmen häufig Accounts. So können sie mitlesen und scheinbar legitime, erwartete E-Mails versenden, die keinerlei Verdacht erregen. Frage im Zweifel lieber einmal mehr, als einmal zu wenig nach.
- Schütze deine Konten mit MFA (Multi-Faktor-Authentifizierung), um unbefugte Zugriffe zu erschweren.
- Prüfe MFA-Anfragen immer sorgfältig – insbesondere solche ohne „Number Matching“. Angreifer versuchen oft wiederholt, sich mit gestohlenen Zugangsdaten einzuloggen und erzeugen so massenhafte MFA-Anfragen in der Hoffnung, dass sie versehentlich bestätigt werden (sogenannte MFA-Fatigue).
- Sei vorsichtig mit Browser-Erweiterungen und Push-Benachrichtigungen – beide können erhebliche Sicherheitsrisiken darstellen.
Über Animus Blue GmbH
Bei Animus Blue arbeiten IT-Sicherheitsexperten, Cybercrime-Ermittler, ethische Hacker und Juristen Seite an Seite. Gemeinsam betrachten wir Cyber-Risiken aus technischer sowie rechtlicher Sicht. Mit unseren Leistungen sichern wir IT-Systeme, schützen digitale Ressourcen und helfen Unternehmen gleichzeitig dabei, Compliance-Vorgaben praktisch umzusetzen.
Unsere Leistungen:
- CyberRisikoCheck (in Kooperation mit dem BSI)
- Threat Intelligence (inkl. OSINT-Checks & Darknet Monitoring)
- 24/7-Überwachung Ihrer IT (Security Operations Center, inkl. SIEM)
- Patch Management
- Red Teaming & Pentesting
- Compliance-Beratung
Externe Quellen:
- https://cybernews.com/de/sicherheit/16-mrd-ungeschutzte-zugangsdaten-gefunden/
- https://www.reuters.com/sustainability/boards-policy-regulation/almost-1-billion-salesforce-records-stolen-hacker-group-claims-2025-10-03/
- https://www.enisa.europa.eu/sites/default/files/2025-10/ENISA%20Threat%20Landscape%202025.pdf
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=5
