Zum Inhalt springen
NEWS
IT-SicherheitStand: 11. Juli 2026

Infostealer: Wie Schadsoftware heimlich Zugangsdaten stiehlt - und wie KMU sich schützen

Im Oktober 2025 sorgte ein Datensatz für Schlagzeilen, der die Tragweite einer oft unterschätzten Bedrohung verdeutlicht: Das Warndienst-Projekt Have I Been Pwned (HIBP) des Sicherheitsforschers Troy Hunt nahm rund 183 Millionen gestohlene Zugangsdaten in seine Datenbank auf. Diese Daten stammten nicht aus dem Einbruch bei einem einzelnen Dienst, sondern wurden von der Firma Synthient aus sogenannten Infostealer-Protokollen zusammengetragen. Der Sammelbestand umfasste rund 3,5 Terabyte Daten. Für kleine und mittlere Unternehmen (KMU) ist das ein wichtiges Signal, denn Infostealer treffen Geschäftskonten genauso wie private Zugänge.

Was ist ein Infostealer?

Ein Infostealer ist eine spezialisierte Schadsoftware, deren einziger Zweck das Abgreifen von Zugangsdaten und anderen sensiblen Informationen ist. Sie nistet sich unbemerkt auf einem Computer oder Smartphone ein und durchsucht das Gerät systematisch nach im Browser gespeicherten Passwörtern, automatisch ausgefüllten Formularen, Cookies und aktiven Anmelde-Sitzungen. Die gesammelten Daten werden anschließend an die Server der Angreifer übertragen.

Besonders heikel: Neben Benutzernamen und Passwörtern greifen viele Infostealer auch sogenannte Session-Cookies ab. Mit diesen kann ein Angreifer eine bereits angemeldete Sitzung übernehmen und so unter Umständen sogar die Mehr-Faktor-Anmeldung umgehen. Eine erklärende Übersicht zu Begriffen wie Session-Hijacking und Co. finden Sie in unserem Cybersecurity-Lexikon.

Wie gelangt die Schadsoftware auf die Geräte?

Infostealer verbreiten sich vor allem über zwei Wege. Erstens über vermeintlich kostenlose oder „geknackte“ Software (Cracks), Tools und Spiele, in denen die Schadsoftware versteckt ist. Zweitens über Sicherheitslücken in veralteter Software, über die sich der Schädling unbemerkt installieren lässt. Auch manipulierte E-Mail-Anhänge, gefälschte Download-Seiten und Werbeanzeigen kommen als Einfallstor in Frage.

Die erbeuteten Daten landen häufig in öffentlich zugänglichen Cloud-Speichern oder in Telegram-Kanälen, wo andere Kriminelle sie sammeln, zusammenführen und mit älteren Leaks abgleichen. Genau aus solchen Quellen stammte auch der Synthient-Datensatz.

Passend zum Thema
E-Mail-Sicherheit für Unternehmen
Wir setzen das für kleine und mittlere Unternehmen um, mit festem Ansprechpartner statt Hotline.

Warum das für KMU gefährlich ist

Bei dem genannten Datensatz waren laut den Analysen rund 91 Prozent der Datensätze bereits aus früheren Leaks bekannt, doch etwa 16,4 Millionen E-Mail-Adressen tauchten erstmals auf. Wichtig zur Einordnung: Es handelte sich nicht um einen Einbruch bei Google oder einem anderen Anbieter, auch wenn manche Berichte fälschlich von einem „Gmail-Leak“ sprachen. Vielmehr bündelte der Datensatz über Monate hinweg von infizierten Geräten abgegriffene Daten.

Für ein KMU bedeutet das: Ein einziger infizierter Mitarbeiter-Rechner kann ausreichen, um Zugangsdaten zu Microsoft 365, zum Onlinebanking, zu Lieferantenportalen oder zur Buchhaltung preiszugeben. Angreifer nutzen solche Daten für Kontoübernahmen, Rechnungsbetrug oder als Einstieg für Ransomware. Ein gehärtetes Microsoft-365-Konto ist daher ein zentraler Baustein der Abwehr; Hinweise dazu liefert unsere Seite zu Microsoft 365.

Die wichtigsten Schutzmaßnahmen

  • Keine raubkopierte oder aus unklaren Quellen stammende Software installieren und Downloads auf Mitarbeitergeräten einschränken.
  • Betriebssystem, Browser und Anwendungen konsequent aktuell halten, um bekannte Sicherheitslücken zu schließen.
  • Passwörter nicht ungeschützt im Browser speichern, sondern einen dedizierten Passwort-Manager einsetzen.
  • Mehr-Faktor-Anmeldung aktivieren, idealerweise phishing-resistente Verfahren wie Passkeys, um den Wert gestohlener Passwörter zu senken.
  • Moderne Endpunkt-Sicherheit (EDR/MDR) statt eines reinen Virenscanners nutzen, um verdächtiges Verhalten früh zu erkennen.
  • Bei Verdacht betroffene Konten prüfen, Passwörter ändern und aktive Sitzungen abmelden.

Häufige Fragen

Schützt mich die Mehr-Faktor-Anmeldung vollständig vor Infostealern?

Nein, nicht in jedem Fall. Stiehlt ein Infostealer gültige Session-Cookies, kann ein Angreifer eine bereits angemeldete Sitzung übernehmen, ohne den zweiten Faktor erneut eingeben zu müssen. MFA bleibt dennoch sehr wichtig, weil sie reine Passwortdiebstähle wirkungslos macht. Phishing-resistente Passkeys erhöhen den Schutz zusätzlich.

Woran erkenne ich, ob unsere Konten betroffen sind?

Über kostenlose Dienste wie Have I Been Pwned lässt sich prüfen, ob eine E-Mail-Adresse in bekannten Datensätzen auftaucht. Ein Treffer bedeutet, dass die zugehörigen Passwörter umgehend geändert und aktive Sitzungen beendet werden sollten. In Microsoft 365 lassen sich verdächtige Anmeldungen zudem über die Sicherheitsfunktionen nachverfolgen.

Reicht ein klassischer Virenscanner gegen Infostealer aus?

Ein Virenscanner ist eine sinnvolle Grundlage, stößt aber bei neuen oder getarnten Schädlingen an Grenzen. Moderne Lösungen erkennen verdächtiges Verhalten und nicht nur bekannte Signaturen. Wir empfehlen daher einen mehrschichtigen Ansatz aus aktueller Software, Endpunkt-Schutz und geschulten Mitarbeitenden.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH (H5M) unterstützt KMU im Raum Karlsruhe dabei, ihre Microsoft-365-Umgebung und ihre Endgeräte gegen Infostealer und Kontoübernahmen abzusichern. Dazu gehören die Einrichtung phishing-resistenter Anmeldeverfahren, moderne Endpunkt-Sicherheit, Patch- und Geräteverwaltung sowie die Sensibilisierung Ihrer Mitarbeitenden. Wie ein durchdachter Betrieb das im Alltag entlastet, zeigen unsere Managed Services. Möchten Sie Ihren Schutz konkret bewerten lassen, vereinbaren Sie ein unverbindliches Erstgespräch.

Quellen

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Fehler entdeckt oder eine Anmerkung zum Thema? Schreiben Sie uns an info@h5m.de. Wir freuen uns über Ihren Hinweis.