Zum Inhalt springen
Alle Ratgeber

// Ratgeber

Infostealer: Wie Zugangsdaten von Unternehmen im Dark Web landen

Ein einziges infiziertes Gerät kann reichen: Ein Infostealer liest in Sekunden gespeicherte Passwörter, Cookies und Sitzungs-Tokens aus dem Browser aus und schickt sie an Angreifer. Diese Stealer-Logs werden gebündelt gehandelt — und tauchen später als Zugangsdaten Ihrer Firma wieder auf. Dabei braucht es keinen Angriff auf Ihre Server; oft reicht der private Laptop eines Mitarbeitenden.

Aktualisiert: 2026-07-07

Sofortmaßnahmen

  1. 1Betroffene Passwörter sofort von einem sauberen Gerät ändern — nicht vom möglicherweise infizierten Gerät.
  2. 2Alle aktiven Sitzungen abmelden (Session-Revoke), damit gestohlene Cookies wertlos werden.
  3. 3Zwei-Faktor-Authentifizierung prüfen und auf phishing-resistente Passkeys oder Sicherheitsschlüssel umstellen.
  4. 4Geschäftskonten priorisieren: E-Mail, Microsoft 365 / Google Workspace, VPN, Admin- und Zahlungszugänge.
  5. 5Das verdächtige Gerät durch die IT prüfen und im Zweifel neu aufsetzen lassen.
  6. 6Wiederverwendete Passwörter identifizieren und überall ersetzen; einen Passwort-Manager einführen.
  7. 7Prüfen, ob Firmendomains oder E-Mail-Adressen extern in Leak- oder Stealer-Log-Kontexten auftauchen (z. B. mit einem Leak-Checker des Hasso-Plattner-Instituts).
  8. 8Den Vorfall dokumentieren; bei personenbezogenen Daten die Datenschutz- und Meldepflichten (DSGVO, 72 Stunden) einbeziehen.

Was Sie nicht tun sollten

  • Passwörter nicht vom infizierten Gerät aus ändern.
  • Nicht nur ein Passwort ändern und wiederverwendete Passwörter übersehen.
  • Sich nicht allein auf ein neues Passwort verlassen, ohne aktive Sitzungen abzumelden.
  • Private Geräte mit Firmenzugängen nicht ignorieren.
  • Nicht abwarten — Stealer-Logs werden oft erst Wochen später ausgenutzt.

Wann professionelle Hilfe sinnvoll ist

SKOPION prüft passiv und aus extern zugänglichen Quellen, ob zu Ihrer Organisation Hinweise auf Zugangsdaten-Exposition, Stealer-Log- oder Dark-Web-Kontexte vorliegen — und priorisiert konkrete Schutzmaßnahmen. Wir scannen oder bereinigen keine Geräte und ersetzen kein Antivirenprogramm oder EDR; der Fokus liegt auf extern sichtbaren Risiko- und Expositionssignalen.

Kontakt aufnehmen

Häufige Fragen

Sind wir betroffen, obwohl unsere Server sicher sind?
Ja, das ist möglich. Infostealer treffen einzelne Geräte — auch private Laptops mit Firmenlogins. Der Zustand Ihrer Server ändert daran nichts.
Reicht ein neues Passwort?
Nicht immer. Werden Sitzungs-Cookies gestohlen, bleibt der Zugriff trotz neuem Passwort bestehen, bis alle Sitzungen abgemeldet sind. Passkeys und MFA erhöhen den Schutz deutlich.
Wie wird Exposition erkannt, ohne unsere Geräte anzufassen?
Über extern sichtbare, legal zugängliche Quellen — ob Firmendomains oder E-Mail-Adressen in bekannten Leak- oder Stealer-Log-Kontexten und Dark-Web-Quellen auftauchen, ohne Zugriff auf Ihre Systeme.
Was sind die wichtigsten Sofortmaßnahmen?
Passwörter von einem sauberen Gerät ändern, Sitzungen abmelden, Passkeys/MFA aktivieren, Geschäftskonten priorisieren und das verdächtige Gerät prüfen lassen.

Quellen