Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender Malware
Cybersecurity 101/Cybersecurity/Infostealer

Was ist ein Infostealer? Funktionsweise von Anmeldedaten-stehlender Malware

Infostealer extrahieren unbemerkt Passwörter, Sitzungscookies und Browserdaten von infizierten Systemen. Gestohlene Anmeldedaten begünstigen Ransomware, Kontenübernahmen und Betrug.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist ein Infostealer?
Kernkomponenten eines Infostealers
Wie Infostealer funktionieren
Warum Infostealer schwer zu stoppen sind
Von Infostealern gestohlene Datentypen
Wichtige Infostealer-Familien
Windows-Infostealer
macOS-Infostealer
Die Infostealer-zu-Ransomware-Pipeline
Warum Infostealer traditionelle Abwehrmaßnahmen umgehen
Wie man eine Infostealer-Infektion erkennt
Häufige Fehler bei der Verteidigung gegen Infostealer
Best Practices zur Verteidigung gegen Infostealer
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist ein Secure Web Gateway (SWG)? Netzwerkschutz erklärt
  • Was ist OS Command Injection? Ausnutzung, Auswirkungen & Abwehr
  • Malware-Statistiken
  • Statistiken zu Datenschutzverletzungen
Autor: SentinelOne
Aktualisiert: May 7, 2026

Was ist ein Infostealer?

Ein kompromittiertes Auftragnehmer-Laptop ohne Endpunktschutz hat Anmeldedaten für eine Cloud-Datenplattform offengelegt, und die Angreifer mussten kein einziges Passwort knacken. Das ist das Infostealer-Problem in einem Satz.

Ein Infostealer ist eine Kategorie von Malware, die darauf ausgelegt ist, sensible Daten heimlich von infizierten Systemen zu extrahieren, darunter gespeicherte Passwörter, Sitzungscookies, Kryptowallet-Dateien und Browser-Autofill-Daten. Ein Infostealer arbeitet lautlos: Er wird ausgeführt, sammelt Daten, exfiltriert sie und beendet sich schnell. Die gestohlenen Daten werden in strukturierte Archive, sogenannte Stealer-Logs, zusammengefasst und dann auf Untergrundmärkten verkauft, wo andere Kriminelle sie für Folgeangriffe erwerben.

Der ENISA-Bericht beschreibt Infostealer als „ein solides und weit verbreitetes Glied in der Lieferkette der Cyberkriminalität“, das in erster Linie Credential Theft, Session Hijacking und Access Brokering ermöglicht. Die gestohlenen Anmeldedaten werden zum Initialzugang für Ransomware-Operatoren, Business Email Compromise-Kampagnen und Account Takeover-Betrug. Für Sie bedeutet das: Ein Infostealer-Vorfall erfordert Sitzungsinvalidation, Credential-Rotation und verhaltensbasierte Endpunktsicherheit – nicht nur Malware-Bereinigung.

Infostealer befinden sich an der Schnittstelle von Identity Security und Endpunktschutz. Sie zielen auf die Anmeldedaten, die Ihre Nutzer im Browser speichern, die Sitzungstoken, die den Abschluss von MFA belegen, und die API-Schlüssel, die Entwickler in lokalen Dateien hinterlassen. Der Verizon DBIR stellt einen Zusammenhang zwischen Credential Abuse und Initial Access her und weist auf Überschneidungen zwischen Ransomware-Opfern und Infostealer-Credential-Dumps hin.

Für Ihr SOC ändert ein Infostealer-Fund das Bedrohungsmodell sofort. Es handelt sich nicht um einen isolierten Endpunktvorfall. Es ist ein Vorläufer für Account Takeover, laterale Bewegung und potenziell die Ausbringung von Ransomware durch einen völlig anderen Akteur. Zu verstehen, was dies ermöglicht, beginnt mit dem Aufbau von Infostealern.

Kernkomponenten eines Infostealers

Moderne Infostealer verfügen über eine konsistente Architektur, die auf fünf funktionalen Komponenten basiert:

  1. Verteilungsmechanismus: Phishing-E-Mails, Malvertising-Kampagnen, trojanisierte Software und ClickFix/fake CAPTCHA-Angriffe, die Nutzer dazu verleiten, Befehle über Windows Run oder PowerShell auszuführen. Lumma Stealer-Kampagnen nutzen beispielsweise gefälschte CAPTCHA-Seiten, die Opfer anweisen, Befehle über den Windows-Ausführen-Dialog zu kopieren und auszuführen.
  2. Credential-Harvesting-Module: Die Extraktion von Browser-Anmeldedaten zielt auf die SQLite Login Data-Datenbank in Chromium-Browsern ab und entschlüsselt Passwörter über AES-GCM oder die Windows DPAPI. Infostealer sammeln auch Anmeldedaten aus Passwortmanagern, E-Mail-Clients, VPN-Konfigurationen und Kryptowallets.
  3. Sitzungstoken-Diebstahl: Das Sammeln von Cookies und Sitzungstoken ermöglicht es Angreifern, sich ohne Passwort oder MFA-Code als Sie zu authentifizieren. Das gestohlene Cookie dient als Nachweis, dass MFA bereits abgeschlossen wurde, und umgeht diese vollständig.
  4. Datenstaging und Exfiltration: Gestohlene Daten werden in strukturierte Logs gepackt und an von Angreifern kontrollierte C2-Server, Telegram-Bots oder Cloud-Speicherdienste wie Dropbox übertragen. SentinelLabs-Bericht dokumentiert die Nutzung von Telegram-Infrastruktur zur Beschleunigung der Exfiltration und Optimierung des Verkaufsprozesses.
  5. Anti-Analyse und Umgehung: VM/Sandbox-Erkennung, dateilose Ausführung aus dem Speicher, Prozessinjektion und File Padding, um Analysetools zum Absturz zu bringen. Diese Techniken entsprechen direkt  MITRE ATT&CK T1027 (Obfuscated Files or Information).

Der gesamte Betrieb basiert auf einem Malware-as-a-Service (MaaS)-Geschäftsmodell. Entwickler betreiben Webpanels, Payload-Builder und Kundensupport-Kanäle auf Telegram. Abonnenten führen dann eigenständige Kampagnen durch.

Wie Infostealer funktionieren

Ein Infostealer-Angriff folgt einer vorhersehbaren Kill Chain, aber jede Phase ist darauf ausgelegt, Ihr Zeitfenster zur Erkennung zu minimieren.

  1. Phase 1: Initiale Ausführung. Das Payload gelangt über  Phishing, Malvertising oder Social Engineering auf das System. SentinelLabs-Forschung dokumentierte eine Kampagne, bei der Nutzer Archive mit einer signierten Kopie der Haihaisoft PDF Reader Freeware-Anwendung und einer bösartigen DLL zum Sideloading herunterluden.
  2. Phase 2: Credential Harvesting. Die Malware zielt auf Browser-Credential-Datenbanken (T1555.003), führt SQL-Abfragen gegen Chromes Login Data-Datei aus und entschlüsselt gespeicherte Passwörter. Katz Stealer dokumentiert eine besondere Technik: Die Malware startet Browser im Headless-Modus und injiziert eine spezialisierte DLL, um auf sensible Daten im Sicherheitskontext des Browsers zuzugreifen.
  3. Phase 3: Sitzungstoken-Diebstahl. Der Infostealer kopiert authentifizierte Sitzungscookies (T1539), sodass Angreifer Ihre Nutzer in Webanwendungen imitieren können, in denen diese Sitzungen noch gültig sind. Einige Varianten stehlen auch andere Token, die helfen können, den Zugang zu regenerieren oder zu verlängern, sodass eine Passwortänderung den Angreiferzugang nicht sofort ungültig macht.
  4. Phase 4: Ergänzende Sammlung. Keylogging (T1056), Überwachung der Zwischenablage auf Kryptowährungsadressen und Seed-Phrasen (T1115), Diebstahl von Kryptowallet-Dateien und System-Fingerprinting zur Opferprofilierung. SentinelLabs-Analyse dokumentiert, dass Vidar Standortdaten sammelt, um Bedrohungsakteuren die Bewertung des Systemwerts vor der Ausbringung von Sekundär-Payloads wie Ransomware zu ermöglichen.
  5. Phase 5: Exfiltration und Exit. Daten werden über verschlüsselte Kanäle an C2-Infrastruktur übertragen, wobei häufig legitime Dienste missbraucht werden. Die Malware beendet sich dann sauber und hinterlässt minimale forensische Artefakte. Dieses nicht-persistente Ausführungsmodell ist eine bewusste Designentscheidung: Wenn Sie die Infektion entdecken, ist die Malware bereits verschwunden und die Anmeldedaten stehen schon zum Verkauf.

Warum Infostealer schwer zu stoppen sind

Mehrere Eigenschaften machen Infostealer besonders schwer abzuwehren.

  • Das MaaS-Modell beseitigt die Kompetenzbarriere. Nicht-technische Betreiber können Credential-Theft-Tools über abonnementbasierte Dienste einsetzen. Selbst nach Eingriffen der Strafverfolgung bauen Betreiber die Infrastruktur oft schnell wieder auf und der Markt wechselt zu Ersatzfamilien.
  • Sitzungstoken-Diebstahl macht MFA unzureichend. Infostealer stehlen Sitzungscookies als Hauptfunktion. MITRE ATT&CK dokumentiert, dass APT29, Scattered Spider, Star Blizzard und LAPSUS$ alle T1539 nutzen, um MFA zu umgehen. Passwortrotation nach einem Vorfall macht aktive Token, die sich bereits in Angreiferhänden befinden, nicht ungültig.
  • Polymorphe Umgehung besiegt signaturbasierte Tools. Dateilose Ausführung, In-Memory-Staging und Prozessinjektion umgehen statische Abwehrmechanismen vollständig. Branchenberichte beschreiben eine Zunahme der Infostealer-Verteilung über Phishing, teilweise begünstigt durch Angreifer, die KI zur Erstellung von Phishing-E-Mails im großen Stil nutzen.
  • Missbrauch legitimer Plattformen schafft unblockierbare Kanäle. Infostealer exfiltrieren über Telegram-APIs, Dropbox und GitHub. Sie können diese Dienste nicht blockieren, ohne den Geschäftsbetrieb zu stören, was Ihr Team zwingt, sich auf Verhaltensanalysen statt Netzwerkfilterung zu verlassen.

Diese Eigenschaften sind nicht auf ein einzelnes Tool beschränkt. Sie sind in einem wachsenden Ökosystem von Infostealer-Familien verbreitet, die auf Untergrundforen um Marktanteile konkurrieren.

Von Infostealern gestohlene Datentypen

Infostealer zielen auf eine bestimmte Auswahl an hochwertigen Datentypen ab, die jeweils eine andere Kategorie von Folgeangriffen ermöglichen.

  1. Gespeicherte Passwörter und Browser-Autofill-Daten. Chromium- und Firefox-basierte Browser speichern Anmeldedaten in lokalen SQLite-Datenbanken. Infostealer greifen diese Datenbanken direkt ab, entschlüsseln die gespeicherten Passwörter über Betriebssystem-APIs und extrahieren Autofill-Einträge wie Adressen, Telefonnummern und Zahlungsdaten. Diese Anmeldedaten sind das Rohmaterial für Account-Takeover-Kampagnen und Credential-Stuffing-Angriffe in Unternehmens-SaaS-Umgebungen.
  2. Sitzungscookies und Authentifizierungstoken. Aktive Sitzungscookies belegen, dass ein Nutzer die Authentifizierung, einschließlich MFA, bereits abgeschlossen hat. Gestohlene Cookies ermöglichen es Angreifern, diese Sitzungen ohne zusätzliche Authentifizierungsabfragen zu wiederholen. Das ist einer der Hauptgründe, warum Infostealer MFA so effektiv umgehen: Der Angreifer muss den Authentifizierungsprozess überhaupt nicht durchlaufen.
  3. Kryptowallet-Dateien und Seed-Phrasen. Infostealer kopieren wallet.dat-Dateien, Browser-Extension-Daten von Wallets wie MetaMask und überwachen die Zwischenablage auf Seed-Phrasen und Wallet-Adressen. Kryptowährungsdiebstahl ist irreversibel, was diese Ziele für Angreifer auf Untergrundmärkten besonders wertvoll macht.
  4. System-Fingerprints und Umgebungsdaten. Hostname, IP-Adresse, installierte Software, laufende Prozesse und Hardware-IDs helfen Angreifern, Opfer zu profilieren und zu bestimmen, welche gestohlenen Anmeldedaten zu hochwertigen Unternehmensumgebungen gehören. SentinelLabs-Analyse dokumentiert, dass Vidar Standortdaten sammelt, um Bedrohungsakteuren die Bewertung des Zielwerts vor der Ausbringung von Sekundär-Payloads zu ermöglichen.
  5. E-Mail-Client- und Messaging-Anwendungsdaten. Lokal gespeicherte E-Mails, Chatprotokolle und Anwendungsanmeldedaten von Clients wie Outlook und Thunderbird erweitern den Zugriff des Angreifers über im Browser gespeicherte Daten hinaus. Gestohlene E-Mail-Zugangsdaten fließen direkt in Business Email Compromise-Operationen ein.
  6. VPN- und RDP-Konfigurationen. Gespeicherte VPN-Profile und Remote-Desktop-Zugangsdaten bieten Netzwerkzugriff, der weit über einen einzelnen Endpunkt hinausgeht. Für Ransomware-Operatoren, die Stealer-Logs kaufen, gehören VPN-Zugangsdaten zu den wertvollsten Einträgen, da sie einen direkten Weg in Unternehmensnetzwerke bieten.

Die Bandbreite der von Infostealern anvisierten Daten erklärt, warum so viele verschiedene Malware-Familien in diesem Bereich konkurrieren und jeweils für unterschiedliche Kombinationen dieser Datentypen optimieren.

Wichtige Infostealer-Familien

Das Infostealer-Ökosystem ist überfüllt und verändert sich schnell, da Eingriffe der Strafverfolgung Betreiber zu neuen Tools treiben. Diese Familien stellen die am besten dokumentierten Bedrohungen für Windows und macOS dar.

Windows-Infostealer

FamilieSchlüsseleigenschaftenBemerkenswertes Detail
Lumma (LummaC2)Browser-Anmeldedaten, Kryptowallets, 2FA-Erweiterungen. Verbreitet über ClickFix/fake CAPTCHA und Malvertising.Ziel einer koordinierten Aktion von Strafverfolgung und Industrie im Mai 2025; Infrastruktur innerhalb weniger Wochen wieder aufgebaut.
RedLineBrowserdaten, FTP/VPN-Zugangsdaten, Kryptowallets, System-Fingerprinting. Über MaaS auf Untergrundforen verkauft.Operation Magnus störte die RedLine-Infrastruktur Ende 2024; Nachfolgevarianten zirkulieren weiterhin.
VidarFork von Arkei Stealer. Zielt auf eine breite Palette von Browsern, Kryptowallets und Messaging-Apps. Wird als Dropper für Ransomware verwendet.Betreiber rotieren C2-Infrastruktur häufig über Social-Media-Profile und Dead-Drop-Resolver.
RhadamanthysBanking-Zugangsdaten, Kryptowallets, Systemprofiling. Verbreitet über SEO-Poisoning und Malspam.Nutzt fortschrittliche Umgehung wie Process Hollowing und mehrstufige Loader.
StealCLeichter MaaS-Stealer, der auf Browser-Anmeldedaten, Erweiterungen und lokale Dateien abzielt. Modulare Plugin-Architektur.Gewinnt Marktanteile als Lumma/RedLine-Ersatz nach den Störungen 2024–2025.

macOS-Infostealer

Die macOS-Infostealer-Landschaft hat sich 2024 rasant erweitert. SentinelLabs-Forschung dokumentiert Familien wie Amos Atomic, Banshee Stealer, Cuckoo Stealer und Poseidon, die alle auf Keychain-Zugangsdaten, Browserdaten und Kryptowallets abzielen. Diese Familien nutzen AppleScript, um Passwortdialoge zu fälschen und Nutzer zur Eingabe von Zugangsdaten zu verleiten, wodurch die Malware Zugriff auf den Schlüsselbund und alle gespeicherten Passwörter des Systems erhält.

Unabhängig von Familie oder Plattform folgen die gestohlenen Zugangsdaten demselben Weg: in Untergrundmärkte und häufig in die Hände von Ransomware-Operatoren.

Die Infostealer-zu-Ransomware-Pipeline

Die Verbindung zwischen Infostealern und  Ransomware ist durch mehrere unabhängige Quellen gut dokumentiert. Infostealer dienen als erste Stufe in einer zweiphasigen Angriffskette. Das  SANS Institute dokumentiert, dass Ransomware-Bedrohungsakteure „typischerweise über durch Infostealer-Malware gestohlene Zugangsdaten eindringen, wobei Initial Access Broker als Vermittler zwischen Infostealer-Betreibern und Ransomware-Gruppen fungieren.“

Die operative Lücke zwischen Infostealer-Infektion und Ransomware-Ausbringung kann einen erheblichen Zeitraum umfassen, in dem unbemerkte laterale Bewegung stattfindet. Einen Infostealer-Fund als Low-Severity-Endpunktereignis zu behandeln, ist ein teurer Fehler. Jeder Infostealer-Fund sollte Ransomware-Precursor-Protokolle auslösen, einschließlich vollständiger Credential-Scoping-Bewertung, Jagd auf laterale Bewegung und vorgefertigter Containment-Playbooks.

Die effektive Umsetzung dieser Protokolle erfordert das Verständnis, warum Infostealer für herkömmliche Sicherheitstools so schwer zu erkennen sind.

Warum Infostealer traditionelle Abwehrmaßnahmen umgehen

Infostealer stellen spezifische strukturelle Herausforderungen dar, die sie schwerer zu stoppen machen als viele andere Malware-Kategorien.

  • Verschlüsselte Exfiltration vermischt sich mit normalem Traffic. Gestohlene Daten werden über HTTPS an legitime Cloud-Dienste übertragen. Einige Varianten teilen Archive in Teile auf, um DLP-Tools zu umgehen, die auf große Einzeldateiübertragungen ausgelegt sind. Ihr Netzwerksicherheits-Stack sieht scheinbar normalen verschlüsselten Webverkehr.
  • Kurzzeitige Ausführung hinterlässt minimale forensische Spuren. Nicht-persistente Infostealer schreiben kaum oder gar nichts dauerhaft auf die Festplatte. Speicherartefakte werden überschrieben. Sie untersuchen Netzwerk-Telemetrie und Credential-Nutzungsprotokolle statt Endpunkt-Artefakte, weil sich die Malware selbst entfernt hat, bevor Ihr Team sie bemerkt hat.
  • Credential-API-Hooking fängt Zugangsdaten in legitimen Prozessen ab. MITRE ATT&CK T1056.001 dokumentiert Credential-API-Hooking, das Zugangsdaten im Kontext legitimer Prozesse abfängt, wodurch bösartiges Verhalten auf Prozessebene schwer von normalem Anwendungsbetrieb zu unterscheiden ist.
  • Das BYOD-Blindspot ist strukturell. Der  Verizon DBIR stellt fest, dass viele kompromittierte Systeme mit Unternehmens-Logins in Infostealer-Logs nicht verwaltete Geräte waren. Der Snowflake-Breach zeigte dies direkt: SANS-Forschung bestätigte, dass persönliche Laptops von Drittanbietern ohne Antivirus oder EDR genutzt wurden und für private Aktivitäten wie das Ausführen raubkopierter Software verwendet wurden.

Diese Umgehungsvorteile bedeuten, dass das Erkennen einer Infostealer-Infektion oft davon abhängt, deren Auswirkungen zu erkennen – nicht die Malware selbst.

Wie man eine Infostealer-Infektion erkennt

Da Infostealer darauf ausgelegt sind, schnell auszuführen und zu beenden, beruht die Erkennung einer Infektion darauf, die nachgelagerten Effekte des Credential-Diebstahls zu erkennen, nicht die Malware selbst. Auf diese Indikatoren sollte Ihr Team achten:

  • Unternehmenszugangsdaten tauchen auf Darknet-Marktplätzen auf. Stealer-Logs erscheinen auf Märkten wie Russian Market innerhalb von Stunden nach dem Diebstahl. Kontinuierliches Monitoring auf exponierte Unternehmens-E-Mail- und Domain-Zugangsdaten bietet die früheste Warnung, dass ein Infostealer einen Ihrer Nutzer kompromittiert hat.
  • Anomale Sitzungsaktivität in SaaS- und Cloud-Anwendungen. Logins aus unerwarteten Geolokationen, neue Geräte-Fingerprints oder gleichzeitige Sitzungen aus verschiedenen Regionen deuten darauf hin, dass gestohlene Sitzungstoken wiederverwendet werden. Die Korrelation von  Identity-Telemetrie mit Endpunktdaten hilft, legitime Reisen von Token-Replay zu unterscheiden.
  • Browser-Prozesse starten mit ungewöhnlichen Flags. Infostealer hooken Browser-Prozesse über Remote-Debugging-Ports oder Headless-Modus. Alarme auf Browser, die mit --remote-debugging-port oder --headless flags von nicht standardmäßigen Parent-Prozessen gestartet werden, sind ein zuverlässiger Indikator.
  • Unerwartete ausgehende Verbindungen zu Telegram-APIs oder Cloud-Speicher. Exfiltration zu api.telegram.org, Dropbox oder GitHub von Endpunkten, die diese Dienste normalerweise nicht nutzen, ist ein starker Verhaltensindikator, insbesondere in Kombination mit Archiv-Erstellung oder Datenstaging-Aktivitäten.
  • Credential-Zugriffsmuster in EDR-Telemetrie. MITRE ATT&CK T1555.003 (Credentials from Web Browsers) und  T1539 (Steal Web Session Cookie) erzeugen identifizierbare Telemetrie, wenn Prozesse außerhalb des Browsers auf Credential-Datenbanken oder Cookie-Stores zugreifen.

Eine frühzeitige Identifikation hängt davon ab, diese Signale über Endpunkt-, Identitäts- und Netzwerkebene hinweg zu korrelieren, statt sich auf einen einzelnen Indikator zu verlassen.

Häufige Fehler bei der Verteidigung gegen Infostealer

Selbst Organisationen mit ausgereiften Sicherheitsprogrammen machen vermeidbare Fehler bei der Reaktion auf Infostealer-Vorfälle.

  • Infostealer-Funde als isolierte Endpunktvorfälle behandeln. Wenn Sie die Infektion entdecken, befinden sich die gestohlenen Zugangsdaten möglicherweise bereits bei einem separaten Access Broker mit anderem Zeitplan. Eine Endpunktbereinigung ohne Credential-Invalidation und  Jagd auf laterale Bewegung lässt den nachgelagerten Angriffsweg offen.
  • Sich allein auf Passwortrotation verlassen. Passwortänderungen machen aktive Sitzungstoken nicht ungültig. Wenn ein Infostealer authentifizierte Cookies abgegriffen hat, besitzt der Angreifer weiterhin gültige Sitzungen – unabhängig vom neuen Passwort. Sie benötigen eine aktive Sitzungsinvalidation für alle betroffenen Konten.
  • Darknet-Credential-Monitoring ignorieren. Gestohlene Zugangsdaten erscheinen kurz nach dem Diebstahl auf Märkten wie Russian Market. Organisationen, die nicht auf exponierte Unternehmenszugangsdaten überwachen, verlieren das Zeitfenster zwischen Diebstahl und Ausnutzung durch einen nachgelagerten Akteur.
  • Den Browser als primäre Angriffsfläche vernachlässigen. CISA Advisory dokumentiert, dass Raccoon Stealer und Vidar Login-Daten, Browserverlauf und Cookies direkt aus Browsern stehlen. Der Browser ist gleichzeitig Ihr primärer Credential-Store und Ihr primärer Session-Token-Speicher für Cloud-Anwendungen, dennoch erfassen die meisten Unternehmen keine Browser-Telemetrie.
  • EDR-Abdeckung für Auftragnehmer- und Entwicklergeräte auslassen. Entwicklerarbeitsplätze haben Zugriff auf Produktionsgeheimnisse, Deployment-Zugangsdaten und Code-Signing-Infrastruktur, werden aber weniger überwacht als Produktionsserver. Die Ausweitung des Endpunktschutzes auf diese Umgebungen schließt eine der am häufigsten ausgenutzten Lücken.

Diese Fehler zu vermeiden ist notwendig, aber nicht ausreichend. Eine strukturierte Verteidigungsstrategie muss die gesamte Infostealer-Kill-Chain adressieren.

Best Practices zur Verteidigung gegen Infostealer

Eine mehrschichtige Verteidigungsstrategie adressiert die Infostealer-Kill-Chain auf mehreren Ebenen – vom Initialzugang bis zur Exfiltration.

  1. Setzen Sie phishing-resistente Authentifizierung ein. FIDO2/Passkey-Implementierungen erzeugen pro Dienst eindeutige kryptografische Zugangsdaten, und private Schlüssel verlassen das Nutzergerät nie. Wie  passwordless auth erklärt, führt ein Einbruch in einen Dienst zu keinen Zugangsdaten, die anderswo nutzbar sind, da es keine geteilten Passwortgeheimnisse gibt. Priorisieren Sie privilegierte Konten mit Zugang zu Produktionssystemen zuerst.
  2. Deaktivieren Sie die Speicherung von Browser-Zugangsdaten. Verwenden Sie Enterprise-Browser-Management-Richtlinien über Gruppenrichtlinien oder MDM, um das Speichern von Passwörtern im Browser zu verhindern. Erzwingen Sie die Nutzung von Enterprise-Passwortmanagern mit hardwaregestützter Verschlüsselung. Konfigurieren Sie Alarme für Browser, die mit Remote-Debugging-Flags (--remote-debugging-port) gestartet werden – eine bekannte Infostealer-Technik zum Hooken von Browser-Prozessen.
  3. Setzen Sie verhaltensbasierte KI-Endpunktsicherheit ein. macOS-Malware-Forschung stellt klar: „Security-Lösungen mit dynamischer Analyse erzielen bessere Erkennungsraten“, da Infostealer unabhängig von der Liefer-Obfuskation im Klartext dekodiert und ausgeführt werden müssen. Statische Signaturen versagen gegen verschlüsselte und polymorphe Payloads.
  4. Erstellen und testen Sie Credential-Rotation-Playbooks vor Vorfällen. Definieren Sie im Voraus, wie Sie die Rotation sequenzieren, ohne kritische Systeme außer Betrieb zu setzen. Ad-hoc-Credential-Rotation unter Incident-Druck ist regelmäßig zu langsam. Ihr Playbook sollte Netzwerkisolation, Bestimmung des Infektionszeitraums, vollständige Credential-Rotation für alle zugänglichen Zugangsdaten, aktive Sitzungsinvalidation und Überprüfung der Zugriffsprotokolle über den gesamten Dwell-Zeitraum umfassen.
  5. Beschränken Sie die Prozessa usführung aus risikoreichen Pfaden. Konfigurieren Sie Application-Control-Richtlinien (WDAC, AppLocker oder macOS-MDM-Profile), um unsignierte ausführbare Dateien aus Downloads-, Temp- und Benutzerprofilverzeichnissen zu blockieren. Erweitern Sie diese Kontrollen auf Entwicklerarbeitsplätze und CI-Runners.

Diese Maßnahmen reduzieren die Angriffsfläche, aber das Stoppen von Infostealern, die Prävention umgehen, erfordert eine Plattform, die Endpunkt-, Identitäts- und Netzwerk-Telemetrie in Echtzeit verbindet.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Infostealer sind Zugangsdaten-stehlende Malware, die lautlos agiert, Passwörter und Sitzungstoken schnell exfiltriert und eine nachgelagerte kriminelle Ökonomie mit Ransomware, Account Takeover und Finanzbetrug speist. MFA allein verhindert keinen Sitzungstoken-Diebstahl. Browser-Credential-Stores sind das primäre Ziel. 

Jeder Infostealer-Fund erfordert Credential-Invalidation, Jagd auf laterale Bewegung und Ransomware-Precursor-Protokolle. Verhaltensbasierte  KI-Schutz,  Identity Protection und vorgefertigte Response-Playbooks bilden die Verteidigungsgrundlage.

FAQs

Ein Infostealer ist eine Schadsoftware, die darauf ausgelegt ist, sensible Daten unbemerkt von infizierten Systemen zu extrahieren, darunter gespeicherte Passwörter, Sitzungscookies, Browser-Autofill-Daten und Dateien von Kryptowährungs-Wallets. 

Infostealer verpacken gestohlene Daten in strukturierte Protokolle und verkaufen diese auf Untergrundmärkten, wo andere Kriminelle die erbeuteten Zugangsdaten nutzen, um Folgeangriffe wie Ransomware, Kontoübernahmen und Business Email Compromise durchzuführen.

Infostealer gelangen über Phishing-E-Mails mit bösartigen Anhängen, Malvertising-Kampagnen, die auf Seiten mit Schadsoftware weiterleiten, trojanisierte Software-Downloads und ClickFix-Angriffe, bei denen Benutzer dazu verleitet werden, Befehle in Windows Ausführen oder PowerShell einzufügen, auf Endpunkte. Einige Kampagnen nutzen SEO-Poisoning, um gefälschte Download-Seiten für beliebte Software in den Suchergebnissen zu platzieren. 

Das Malware-as-a-Service-Modell ermöglicht es Akteuren mit minimalen technischen Kenntnissen, Verteilungskampagnen über abonnementbasierte Plattformen mit vorgefertigten Payload-Buildern zu starten.

Häufige Indikatoren sind das Auftauchen von Unternehmensanmeldedaten auf Darknet-Marktplätzen, Anmeldungen aus unerwarteten geografischen Standorten oder mit neuen Geräte-Fingerabdrücken, Browser-Prozesse, die mit ungewöhnlichen Flags wie --remote-debugging-port gestartet werden, unerwartete ausgehende Verbindungen zu Telegram-APIs oder Cloud-Speicherdiensten sowie Muster beim Zugriff auf Anmeldedaten in EDR-Telemetrie, die auf Browser-Datenbanken oder Cookie-Speicher abzielen. 

Da Infostealer schnell ausgeführt und beendet werden, hängt das Erkennen einer Infektion in der Regel davon ab, diese nachgelagerten Effekte zu identifizieren, anstatt die Malware während der Ausführung zu erfassen.

Infostealer umgehen keine MFA. Sie stehlen Sitzungscookies, die nach erfolgreicher MFA ausgestellt wurden. Wenn ein Angreifer dieses Cookie erneut verwendet, erkennt die Zielanwendung eine bereits authentifizierte Sitzung und gewährt Zugriff, ohne erneut nach MFA zu fragen. 

FIDO2/Passkey-Authentifizierung widersteht Passwort-Wiederverwendung, da sie eindeutige, seitenbezogene kryptografische Anmeldeinformationen erzeugt, anstatt wiederverwendbare gemeinsame Geheimnisse zu nutzen.

Infostealer sammeln Anmeldedaten, die von Access Brokern an Ransomware-Operatoren verkauft werden. Das SANS Institute dokumentiert, dass Ransomware-Gruppen typischerweise den Erstzugriff über von Infostealern stammende Anmeldedaten erhalten. 

Die Infektion mit dem Infostealer und die Ausbringung der Ransomware sind oft zeitlich getrennt und werden von völlig unterschiedlichen Bedrohungsakteuren durchgeführt.

Nach den Maßnahmen der Strafverfolgungsbehörden gegen Lumma und RedLine hat sich das Ökosystem schnell verändert. Vidar, StealC, Acreed und Rhadamanthys werden in aktuellen Berichten als aktive oder aufstrebende Familien genannt. 

Das MaaS-Modell sorgt dafür, dass die Zerschlagung einer Familie die Entwicklung und Verbreitung von Nachfolgern beschleunigt.

Ja. SentinelLabs-Forschung dokumentiert macOS-Infostealer wie Amos Atomic, Banshee Stealer, Cuckoo Stealer und Poseidon. Diese Familien zielen auf Keychain-Anmeldedaten, Browserdaten und Kryptowährungs-Wallets ab. 

Unternehmens-macOS-Geräte benötigen denselben verhaltensbasierten Endpunktschutz wie Windows-Systeme.

Isolieren Sie das betroffene Endgerät, bestimmen Sie den Infektionszeitraum, setzen Sie alle von diesem Gerät erreichbaren Anmeldedaten zurück, invalidieren Sie alle aktiven Sitzungen und prüfen Sie die Zugriffsprotokolle für den gesamten Verweildauer-Zeitraum. Behandeln Sie es nicht als isoliertes Endpunkt-Ereignis. 

Suchen Sie nach lateralen Bewegungen unter Verwendung der gestohlenen Anmeldedaten.

Erfahren Sie mehr über Cybersecurity

DDoS-AngriffsstatistikenCybersecurity

DDoS-Angriffsstatistiken

DDoS-Angriffe werden immer häufiger, kürzer und schwerer zu ignorieren. Unser Beitrag zu DDoS-Angriffsstatistiken zeigt Ihnen, wer aktuell ins Visier genommen wird, wie Kampagnen ablaufen und mehr.

Mehr lesen
Insider-BedrohungsstatistikenCybersecurity

Insider-Bedrohungsstatistiken

Erhalten Sie Einblicke in Trends, Updates und mehr zu den neuesten Insider-Bedrohungsstatistiken für 2026. Erfahren Sie, welchen Gefahren Organisationen aktuell ausgesetzt sind, wer betroffen ist und wie Sie sich schützen können.

Mehr lesen
Cyber-VersicherungsstatistikenCybersecurity

Cyber-Versicherungsstatistiken

Cyber-Versicherungsstatistiken für 2026 zeigen einen schnell wachsenden Markt. Es gibt veränderte Schadenmuster, strengere Risikoprüfungen und wachsende Deckungslücken zwischen Großunternehmen und kleineren Firmen.

Mehr lesen
Was ist Application Security? Ein vollständiger LeitfadenCybersecurity

Was ist Application Security? Ein vollständiger Leitfaden

Application Security schützt Software während des gesamten SDLC mit Tools wie SAST, DAST, SCA und Laufzeitschutzmechanismen. Erfahren Sie, wie Sie ein AppSec-Programm aufbauen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch