Jenseits des Logins – Einblicke eines Fraud-Spezialisten in die Wertschöpfungskette des Passwort-Diebstahls

Seit Jahren predigen wir die Gebote der Passwort-Sicherheit: lang, einzigartig, komplex. Und seit Jahren kämpfen wir mit der „Bequemlichkeitslücke“ – der Kluft zwischen dem Bewusstsein bezüglich der Gefahrenlage und unserem tatsächlichen Verhalten im Alltag, das von kognitiver Last und dem Wunsch nach Einfachheit getrieben wird. Doch um die wahre Dringlichkeit hinter diesen Regeln zu verstehen, müssen wir aufhören, Passwörter als bloße Schlüssel zu betrachten. Wir müssen sie als das sehen, was sie für Kriminelle sind: der Rohstoff für eine milliardenschwere Betrugsindustrie. Als Fraud-Spezialist sehe ich täglich die verheerenden Folgen, die weit über einen gehackten Social-Media-Account hinausgehen. Die Kompromittierung eines Passworts ist nicht der Endpunkt des Angriffs, sondern der Startschuss für eine kriminelle Wertschöpfungskette, an deren Ende nicht selten der finanzielle Ruin und der vollständige Verlust der digitalen Identität stehen.

Die Lieferkette des Betrugs – Vom Datenleck zur Handelsware

Der Prozess beginnt mit der Beschaffung. Hacker kompromittieren massenhaft Datenbanken oder nutzen Phishing, um an Zugangsdaten zu gelangen. Diese Daten werden dann auf dem Schwarzmarkt gehandelt. Ein einfacher Social-Media-Login mag für wenige Euro den Besitzer wechseln, doch der Zugang zu einem etablierten E-Commerce-Konto mit hinterlegter Zahlungshistorie ist ein Vielfaches dessen wert. Die Wiederverwendung von Passwörtern wirkt hier wie ein Brandbeschleuniger. Durch Credential Stuffing, bei dem gestohlene Login-Daten automatisiert auf hunderten anderen Diensten ausprobiert werden, vervielfachen Kriminelle ihren Ertrag. Aus dem Rohstoff „Passwort“ wird so das Halbfabrikat „verifizierter Account-Zugang“. Wie effektiv diese Lieferkette funktioniert, ist alarmierend: Gestohlene Anmeldedaten sind eine der häufigsten Methoden, mit denen sich externe Angreifer Zugang zu Unternehmen verschaffen, wie der jährliche Verizon Data Breach Investigations Report regelmäßig aufzeigt, wobei diese Methode in einem Großteil der hacking-basierten Angriffe eine Rolle spielt.

Die Monetarisierung – Was nach dem erfolgreichen Login wirklich passiert

Für das Opfer fühlt es sich vielleicht nur wie ein verlorener Zugang an. Für den Betrüger beginnt jetzt die eigentliche Arbeit. Seine Vorgehensweise lässt sich in drei Phasen unterteilen:

1. Rekonstruktion und Profiling: Der erste Schritt nach einem erfolgreichen Login ist selten der direkte Betrug. Zunächst einmal wird das Konto des Opfers analysiert. Welche Kreditkarten sind hinterlegt? Welche Lieferadressen wurden genutzt? Wie sieht die Bestellhistorie aus? Welche persönlichen Informationen (Geburtsdatum, Telefonnummer etc.) sind im Profil gespeichert? Aus diesen Mosaiksteinen erstellt der Täter ein detailliertes Opferprofil. Ein kompromittiertes E-Mail-Konto ist hier der Super-GAU, denn es ist das Nervenzentrum unserer digitalen Identität und enthält oft Passwort-Rücksetz-Links für unzählige andere Accounts.
2. Direkter Betrug und „Cashing Out“: Mit den gesammelten Informationen werden nun teure Waren bestellt – oft Elektronik oder Luxusgüter. Um die eigene Identität zu verschleiern, werden diese an sogenannte „Paketagenten“ oder „Mules“ geschickt. Das sind Mittelsmänner, die gegen eine geringe Provision Pakete annehmen und an die eigentlichen Drahtzieher im Ausland weiterleiten. Das Opfer bemerkt den Betrug oft erst, wenn die Abbuchung auf der Kreditkartenabrechnung erscheint oder Mahnungen eintreffen.
3. Die Königsklasse: Der synthetische Identitätsdiebstahl: Die gefährlichste Form des Betrugs ist die Schaffung einer synthetischen Identität. Hierbei kombiniert ein Täter echte Informationen eines Opfers (z. B. Name und Geburtsdatum) mit gefälschten oder anderen gestohlenen Daten, um eine komplett neue, fiktive Person zu erschaffen. Mit dieser neuen Identität werden dann Bankkonten eröffnet, Kredite beantragt oder Sozialleistungen erschlichen. Dieser Betrug ist besonders perfide, da er für das Opfer oft monate- oder jahrelang unentdeckt bleibt.

Der Paradigmenwechsel in der Verteidigung

Wenn wir diese kriminelle Wertschöpfungskette verstehen, wird klar, warum die alten Weisheiten beim Passwortschutz in der heutigen Gemengelage nicht mehr ausreichen. Eine moderne Verteidigungsstrategie muss an den entscheidenden Hebeln ansetzen:

Zerschlagen der Lieferkette durch Passwort-Manager: Die konsequente Nutzung eines Passwort-Managers, der für jeden Dienst ein einzigartiges Passwort generiert, ist keine reine Bequemlichkeit, sondern ein gezielter Schlag gegen die wirtschaftliche Grundlage der Betrüger. Ein Datenleck bei Dienst A wird dadurch wertlos für einen Angriff auf Dienst B, C und D. Die Methode des Credential Stuffing läuft ins Leere. Der Rohstoff „Passwort“ verliert massiv an Wert.

Blockieren der Übernahme durch Multi-Faktor-Authentifizierung (MFA): MFA ist die direkte Antwort auf den Account-Takeover. Selbst mit dem korrekten Passwort scheitert der Angreifer an der zweiten Hürde. Hierbei sollte der Nutzung von Authenticator-Apps klar der Vorzug vor der SMS-basierten 2FA gegeben werden, da Kriminelle durch SIM-Swapping (die Übernahme einer Mobilfunknummer) auch SMS abfangen können. Ihre Wirksamkeit ist so hoch, dass das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) grundsätzlich dazu rät, sie nach Möglichkeit überall zu nutzen, da Kriminellen selbst mit einem gestohlenen Passwort der Zugriff verwehrt bleibt.

Reduzierung der Angriffsfläche durch Datenhygiene: Man sollte sich öfter mal die Fragen stellen: Muss meine Kreditkarte hier dauerhaft gespeichert sein? Brauche ich diesen alten Account von vor zehn Jahren noch? Jedes nicht mehr genutzte Konto und jede unnötig gespeicherte Information ist ein potenzielles Sicherheitsrisiko. Eine regelmäßige digitale Inventur und das Löschen alter Daten sind essenzielle Bestandteile der proaktiven Betrugsprävention.

Mit einfachen Mitteln kann man sich bereits effektiv schützen und die Wertschöpfungskette der Betrüger zerschlagen

Die Bedrohung durch schwache Passwörter ist kein abstraktes IT-Problem. Es ist die Grundlage für ein kriminelles Ökosystem, das darauf ausgelegt ist, Vertrauen zu missbrauchen und finanziellen Schaden anzurichten. Indem wir die Mechanismen dieses Systems verstehen und unsere Verteidigung gezielt darauf ausrichten, verwandeln wir eine lästige Pflicht in eine wirksame strategische Entscheidung. Die Investition in einen Passwort-Manager und die konsequente Nutzung von MFA sind die effektivsten Hebel, um diese kriminelle Wertschöpfungskette bereits an ihrem Ursprung zu unterbrechen.

 Autor: Carmen Honacker, Cybercrime and Fraud Consultant bei RISK IDENT

Entdecken Sie mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky