// Ratgeber
Infostealer: Wie Zugangsdaten von Unternehmen im Dark Web landen
Ein einziges infiziertes Gerät kann reichen: Ein Infostealer liest in Sekunden gespeicherte Passwörter, Cookies und Sitzungs-Tokens aus dem Browser aus und schickt sie an Angreifer. Diese Stealer-Logs werden gebündelt gehandelt — und tauchen später als Zugangsdaten Ihrer Firma wieder auf. Dabei braucht es keinen Angriff auf Ihre Server; oft reicht der private Laptop eines Mitarbeitenden.
Aktualisiert: 2026-07-07
Sofortmaßnahmen
- 1Betroffene Passwörter sofort von einem sauberen Gerät ändern — nicht vom möglicherweise infizierten Gerät.
- 2Alle aktiven Sitzungen abmelden (Session-Revoke), damit gestohlene Cookies wertlos werden.
- 3Zwei-Faktor-Authentifizierung prüfen und auf phishing-resistente Passkeys oder Sicherheitsschlüssel umstellen.
- 4Geschäftskonten priorisieren: E-Mail, Microsoft 365 / Google Workspace, VPN, Admin- und Zahlungszugänge.
- 5Das verdächtige Gerät durch die IT prüfen und im Zweifel neu aufsetzen lassen.
- 6Wiederverwendete Passwörter identifizieren und überall ersetzen; einen Passwort-Manager einführen.
- 7Prüfen, ob Firmendomains oder E-Mail-Adressen extern in Leak- oder Stealer-Log-Kontexten auftauchen (z. B. mit einem Leak-Checker des Hasso-Plattner-Instituts).
- 8Den Vorfall dokumentieren; bei personenbezogenen Daten die Datenschutz- und Meldepflichten (DSGVO, 72 Stunden) einbeziehen.
Was Sie nicht tun sollten
- Passwörter nicht vom infizierten Gerät aus ändern.
- Nicht nur ein Passwort ändern und wiederverwendete Passwörter übersehen.
- Sich nicht allein auf ein neues Passwort verlassen, ohne aktive Sitzungen abzumelden.
- Private Geräte mit Firmenzugängen nicht ignorieren.
- Nicht abwarten — Stealer-Logs werden oft erst Wochen später ausgenutzt.
Wann professionelle Hilfe sinnvoll ist
SKOPION prüft passiv und aus extern zugänglichen Quellen, ob zu Ihrer Organisation Hinweise auf Zugangsdaten-Exposition, Stealer-Log- oder Dark-Web-Kontexte vorliegen — und priorisiert konkrete Schutzmaßnahmen. Wir scannen oder bereinigen keine Geräte und ersetzen kein Antivirenprogramm oder EDR; der Fokus liegt auf extern sichtbaren Risiko- und Expositionssignalen.
Kontakt aufnehmenHäufige Fragen
- Sind wir betroffen, obwohl unsere Server sicher sind?
- Ja, das ist möglich. Infostealer treffen einzelne Geräte — auch private Laptops mit Firmenlogins. Der Zustand Ihrer Server ändert daran nichts.
- Reicht ein neues Passwort?
- Nicht immer. Werden Sitzungs-Cookies gestohlen, bleibt der Zugriff trotz neuem Passwort bestehen, bis alle Sitzungen abgemeldet sind. Passkeys und MFA erhöhen den Schutz deutlich.
- Wie wird Exposition erkannt, ohne unsere Geräte anzufassen?
- Über extern sichtbare, legal zugängliche Quellen — ob Firmendomains oder E-Mail-Adressen in bekannten Leak- oder Stealer-Log-Kontexten und Dark-Web-Quellen auftauchen, ohne Zugriff auf Ihre Systeme.
- Was sind die wichtigsten Sofortmaßnahmen?
- Passwörter von einem sauberen Gerät ändern, Sitzungen abmelden, Passkeys/MFA aktivieren, Geschäftskonten priorisieren und das verdächtige Gerät prüfen lassen.