· Rexoma Team · IT-Sicherheit  · 6 min read

Infostealer: Wie Angreifer unbemerkt Zugangsdaten aus KMU-Systemen stehlen

Infostealer-Malware stiehlt Passwörter, Browser-Cookies und VPN-Zugänge – oft ohne Alarm zu schlagen. Was KMU konkret dagegen tun können.

Infostealer-Malware stiehlt Passwörter, Browser-Cookies und VPN-Zugänge – oft ohne Alarm zu schlagen. Was KMU konkret dagegen tun können.

Infostealer sind eine der am stärksten unterschätzten Bedrohungen für kleine und mittlere Unternehmen. Sie machen keinen Lärm, verschlüsseln keine Dateien und fordern kein Lösegeld – sie stehlen still und gründlich alle Zugangsdaten, die sie finden können. Der Schaden entsteht erst Tage oder Wochen später, wenn Angreifer die gestohlenen Credentials nutzen, um ins Netzwerk einzudringen, Konten zu übernehmen oder Daten weiterzuverkaufen.

Was ist ein Infostealer?

Ein Infostealer ist eine Schadsoftware, die nach der Infektion eines Systems systematisch Zugangsdaten sammelt und an die Angreifer überträgt. Im Gegensatz zu Ransomware hinterlässt er keine offensichtlichen Spuren – kein Warnsignal, keine verschlüsselten Dateien, keine Lösegeldforderung.

Was Infostealer konkret abgreifen:

  • Browser-Zugangsdaten: Alle in Chrome, Firefox oder Edge gespeicherten Benutzernamen und Passwörter
  • Session-Cookies: Mit gestohlenen Cookies können Angreifer aktive Sitzungen übernehmen – auch ohne Passwort und trotz MFA
  • VPN- und RDP-Zugänge: Direkte Eintrittskarte ins Unternehmensnetzwerk
  • E-Mail-Konten: Über gestohlene Mailzugänge starten Angreifer Folgeangriffe auf Kunden und Partner
  • FTP-Zugangsdaten und SSH-Schlüssel: Serverinfrastruktur wird kompromittiert
  • Kryptowallet-Daten und lokale Dokumente: Zusätzliche Beute je nach Stealer-Variante

Aktuelle Beispiele wie der Infostealer “Miasma” – ein Klon verbreiteter Stealer-Familien, der über gefälschte Pakete in öffentlichen Repositories verteilt wurde und über 100.000 Mal heruntergeladen wurde – zeigen, wie niedrig die Einstiegshürde für Angreifer inzwischen ist. Fertige Infostealer-Kits sind im Darknet für wenige Euro erhältlich, der technische Aufwand für Angreifer sinkt kontinuierlich.

Wie infizieren Infostealer KMU-Systeme?

Phishing-Mails mit infizierten Anhängen

Der klassische Angriffsweg: Eine täuschend echte E-Mail mit einem Anhang (PDF, Word-Dokument, ZIP-Archiv), der beim Öffnen den Stealer startet. Besonders gefährlich sind Mails, die sich als Rechnungen, Lieferbenachrichtigungen oder Bewerbungen tarnen. Der Nutzer sieht ein scheinbar normales Dokument – im Hintergrund läuft der Stealer bereits.

Gefälschte Software-Downloads

Wer nach Gratisversionen kostenpflichtiger Software sucht, landet schnell auf Seiten, die verseuchte Installer anbieten. Der Nutzer sieht eine scheinbar funktionierende Anwendung – parallel dazu wird der Stealer ausgeführt. Besonders häufig betroffen: VPN-Clients, Videokonferenz-Tools und Design-Software.

Kompromittierte Pakete in öffentlichen Repositories

Für Unternehmen mit Entwicklern besonders relevant: Angreifer laden verseuchte Pakete in Repositories wie npm oder PyPI hoch – oft mit Namen, die legitimen Paketen ähneln (Typosquatting). Genau so wurde der Miasma-Infostealer verbreitet. Ein einziger npm install-Befehl kann ausreichen, um einen Entwickler-Rechner und damit potenziell das gesamte Firmennetzwerk zu kompromittieren.

Drive-by-Downloads über manipulierte Werbung

Verseuchte Werbebanner auf legitimen Websites können beim bloßen Besuch eine Infektion auslösen – ohne dass der Nutzer etwas herunterlädt oder anklickt. Veraltete Browser-Plugins oder ungepatchte Browser-Versionen sind hier das Einfallstor.

Warum KMU in Sachsen besonders im Visier sind

Infostealer richten sich nicht primär gegen Großkonzerne – die verfügen über mehrschichtige Sicherheitslösungen, dedizierte Security-Teams und Monitoring rund um die Uhr. Ostdeutsche KMU bieten aus Angreifersicht ein attraktives Verhältnis: wertvolle Zugangsdaten (Bankkonten, ERP-Systeme, Kundendaten, Geschäftsgeheimnisse), aber oft noch keine professionelle Sicherheitsinfrastruktur.

Konkrete Risikofaktoren in typischen KMU:

  • Mitarbeiter nutzen Browser-Passwortmanager für Firmen-Credentials, ohne sich der Schwachstellen bewusst zu sein
  • Kein zentrales Identity- und Access-Management – Zugänge laufen oft über persönliche Konten
  • Antivirenlösungen ohne Verhaltensanalyse erkennen neue Stealer-Varianten nicht zuverlässig
  • Fehlende Netzwerküberwachung – Datenabfluss zu C2-Servern bleibt unbemerkt
  • Entwickler mit weitreichenden lokalen Rechten, die direkten Zugriff auf produktive Systeme haben

Schutzmaßnahmen – konkret und umsetzbar

1. Browser-Passwortmanager durch Unternehmens-Lösung ersetzen

Der eingebaute Passwortmanager von Chrome oder Firefox ist kein sicherer Speicher für Firmenzugänge. Infostealer kennen die Ablageorte dieser Credentials seit Jahren und greifen sie zuverlässig ab. Setzen Sie stattdessen auf einen zentralen Passwortmanager wie Bitwarden (selbst gehostet oder Cloud), der eine verschlüsselte Vault-Datenbank nutzt und vom System-Keychain des Betriebssystems unabhängig ist.

Vorteil: Zugangsdaten werden nicht lokal im Klartext zugänglich abgelegt, der Zugriff ist mit Masterpasswort und MFA gesichert, und bei einem Geräteverlust oder einer Infektion sind die Credentials trotzdem geschützt.

2. Multi-Faktor-Authentifizierung konsequent einsetzen

MFA allein schützt nicht vollständig vor Infostealern – Session-Cookie-Diebstahl kann MFA für aktive Sitzungen umgehen. Dennoch: MFA schützt bei klassischen Credential-Angriffen erheblich und erhöht den Aufwand für Angreifer deutlich. Ergänzend sollten kurze Session-Timeouts konfiguriert werden, damit gestohlene Cookies schnell wertlos werden. Conditional-Access-Regeln (Anmeldung nur von bekannten Geräten erlaubt) schließen eine weitere Lücke.

3. Endpunktschutz mit Verhaltensanalyse

Klassische Signatur-basierte Antivirenlösungen erkennen neue Stealer-Varianten mit Verzögerung – oft erst Stunden oder Tage nach dem Erscheinen einer neuen Variante. Moderne Endpoint-Detection-and-Response-Lösungen (EDR) analysieren das Verhalten von Prozessen in Echtzeit: Verdächtiger Netzwerkverkehr, ungewöhnliche Zugriffe auf Browser-Datenbanken oder massenhafte Dateilesevorgänge werden erkannt und blockiert, bevor der Datenabfluss abgeschlossen ist.

Für KMU in Dresden und Sachsen empfiehlt sich eine EDR-Lösung, die zentral verwaltet wird und keine eigene Sicherheitsabteilung voraussetzt.

4. Netzwerkverkehr überwachen und Firewall-Regeln verschärfen

Infostealer kommunizieren mit Command-and-Control-Servern (C2), um gestohlene Daten zu übertragen. Eine OPNsense Firewall mit aktivem Intrusion Detection System (IDS/IPS) erkennt und unterbindet diesen Datenabfluss – auch wenn die Malware bereits auf einem Endgerät aktiv ist. DNS-Filtering blockiert zusätzlich bekannte Malware-Domänen, bevor überhaupt eine Verbindung zustande kommt.

Outbound-Filterung ist in vielen KMU-Netzwerken noch nicht konfiguriert – dabei ist sie eine der wirkungsvollsten Maßnahmen gegen Datenabfluss.

5. Regelmäßige Credential-Checks und Darknet-Monitoring

Prüfen Sie regelmäßig, ob Zugangsdaten Ihrer Domain bereits in bekannten Datenlecks aufgetaucht sind. Der kostenlose Domain-Check von “Have I Been Pwned” (haveibeenpwned.com) liefert einen ersten Überblick. Im professionellen Umfeld gibt es Dienste, die Darknet-Leaks und Stealer-Log-Datenbanken automatisch auf Unternehmens-Credentials überwachen und bei Treffern sofort alarmieren.

6. Installationsrechte einschränken

Infostealer benötigen keine Administratorrechte – sie laufen problemlos mit normalen Benutzerrechten. Dennoch: Wenn Mitarbeiter keine beliebige Software installieren können, wird der häufigste Infektionsweg (gefälschte Installer, verseuchte Downloads) deutlich unwahrscheinlicher. Windows-Gruppenrichtlinien oder Application-Allowlisting reduzieren die Angriffsfläche erheblich, ohne den Arbeitsalltag wesentlich einzuschränken.

Sie suchen Unterstützung in Dresden?

Rexoma IT hilft KMU in Dresden und ganz Sachsen dabei, sich wirksam gegen Infostealer und Credential-Diebstahl zu schützen – ohne Ihr Tagesgeschäft zu belasten. Wir analysieren Ihren aktuellen Sicherheitsstand, implementieren passgenaue Lösungen und überwachen Ihre Systeme dauerhaft. Von der OPNsense-Firewall mit IDS über zentrale Passwortmanagement-Lösungen bis zum Darknet-Monitoring – wir kümmern uns.

Jetzt Kontakt aufnehmen


FAQ: Infostealer und KMU-Schutz

Wie merke ich, dass mein System mit einem Infostealer infiziert ist?

Oft gar nicht – das ist das Kernproblem. Typische Hinweise sind ungewöhnliche Loginversuche auf Ihren Konten, Meldungen von Dienstleistern über verdächtige Zugriffe, oder Alerts Ihrer Sicherheitslösung. Ohne aktives Monitoring bleiben Infektionen oft wochenlang unentdeckt, bis die gestohlenen Daten bereits genutzt wurden.

Kann Antivirus einen Infostealer erkennen?

Gängige Antivirenlösungen erkennen bekannte Stealer-Familien zuverlässig. Neue Varianten oder modifizierte Versionen – wie der Miasma-Infostealer – werden von reinen Signatur-basierten Lösungen oft erst Stunden oder Tage nach Erscheinen erkannt. EDR-Lösungen mit Verhaltensanalyse sind deutlich reaktionsschneller, weil sie nicht auf bekannte Signaturen angewiesen sind.

Schützt MFA vor Cookie-Diebstahl durch Infostealer?

Nicht vollständig. Infostealer können aktive Session-Cookies stehlen und damit eine bereits authentifizierte Sitzung übernehmen – MFA wurde zu diesem Zeitpunkt bereits erfolgreich durchgeführt. Kurze Session-Timeouts und Conditional-Access-Regeln (Anmeldung nur von registrierten Geräten erlaubt) reduzieren dieses Risiko erheblich.

Sind Entwickler in KMU besonders gefährdet?

Ja. Entwickler haben oft weitreichende lokale Rechte, Zugriff auf produktive Systeme und installieren regelmäßig externe Pakete und Tools. Ein kompromittierter Entwickler-Rechner kann deshalb erheblichen Schaden anrichten – nicht nur für das eigene Unternehmen, sondern auch für Kunden. Package-Signing, Abhängigkeits-Prüfung und dedizierte Entwicklungsumgebungen sind hier wichtige Gegenmaßnahmen.

Was tun, wenn Zugangsdaten durch einen Infostealer gestohlen wurden?

Sofort alle Passwörter ändern, aktive Sessions serverseitig invalidieren (Logout aller Geräte erzwingen), betroffene Dienstleister informieren und prüfen, welche Aktionen mit den gestohlenen Credentials durchgeführt wurden. Danach: Incident-Analyse, um den Infektionsweg zu identifizieren und dauerhaft zu schließen. Im Ernstfall ist professionelle Unterstützung durch einen IT-Dienstleister in der Region die schnellste und verlässlichste Option.

Back to Blog

Related Posts

View All Posts »