The Rise of Infostealers – Die neue Bedrohung für Unternehmen

Cybersecurity Insights von Markus Seme, 22. April 2025

In der sich ständig wandelnden Cyber-Bedrohungslandschaft tauchen regelmäßig neue Angriffsvektoren auf. Infostealers sind aber keine vorübergehende Erscheinung mehr, sondern haben sich inzwischen als eine der effizientesten und lukrativsten Formen der Cyberkriminalität etabliert. Während früher Ransomware-Angriffe im Mittelpunkt standen, setzen Cyberkriminelle heute verstärkt auf den Diebstahl von Zugangsdaten und sensiblen Informationen, die auf Darknet-Marktplätzen verkauft oder für gezielte Angriffe weitergenutzt werden.

Warum erleben Infostealers gerade jetzt einen so massiven Anstieg? Wer ist davon betroffen? Und inwiefern ist auch die OT-Security (Operational Technology) davon betroffen?

Definition

Was sind Infostealers und wie funktionieren sie?

Infostealers sind eine spezialisierte Form von Malware, die mit dem Ziel entwickelt wurde, sensible Daten unbemerkt zu extrahieren. Während klassische Viren oft auf die Zerstörung oder Manipulation von Daten abzielen, geht es Infostealers darum, möglichst viele wertvolle Informationen zu sammeln und an Kriminelle weiterzuleiten. Die am häufigsten gestohlenen Daten umfassen dabei:

  • Benutzeranmeldeinformationen (Passwörter, Session-Tokens, Cloud-Zugänge)
  • Browser-Daten (gespeicherte Formulare, Autofill-Daten, Cookies)
  • Finanzinformationen (Kreditkartendaten, Online-Banking-Zugänge)
  • System- und Netzwerkdetails (IP-Adressen, VPN-Logins)
  • Kryptowallets und Authentifizierungs-Token

Warum sind gestohlene Session-Tokens so gefährlich?

Infostealers müssen nicht immer Passwörter klauen. Viele Unternehmen setzen Multi-Faktor-Authentifizierung (MFA) ein – doch gestohlene Session-Tokens aus Browsern oder Anwendungen ermöglichen Angreifern den direkten Zugriff, ohne eine erneute MFA-Abfrage durchlaufen zu müssen.

Wie werden Infostealers verbreitet?

Die Verbreitung erfolgt über verschiedene Methoden:

  • Phishing-E-Mails mit bösartigen Anhängen oder Links
  • Malvertising (bösartige Werbeanzeigen), die Nutzer auf infizierte Seiten umleiten
  • Trojanisierte Software-Downloads, oft über illegale Crack-Seiten oder Fake-Updates
  • Infostealer-as-a-Service (IaaS) – Kriminelle können bekannte Stealer wie „RedLine“ oder „Lumma“ für wenige hundert Dollar mieten.

Sobald ein System infiziert ist, werden die gesammelten Daten automatisiert an C2-Server (Command & Control) gesendet und oft innerhalb weniger Minuten im Darknet verkauft.

Warum sind Infostealers ein rasant wachsender Trend?

Lange Zeit dominierten Ransomware-Angriffe die Bedrohungslandschaft, doch seit 2024 gibt es einen massiven Wechsel hin zu Infostealers. Warum?

Zerschlagung großer Botnet-Infrastrukturen
 
  • Durch gezielte Strafverfolgungsmaßnahmen gegen große Malware-Netzwerke wie TrickBot und QakBot mussten Cyberkriminelle umdenken.

  • Infostealers sind leichter zu betreiben als Ransomware oder Botnets, benötigen keine komplexe Infrastruktur und sind schwerer zurückzuverfolgen.

Steigende Nutzung von Remote Work & BYOD (Bring Your Own Device)
 
  • 70 % der infizierten Geräte sind private Endgeräte, nicht firmeneigene Systeme.
  • Unternehmen haben oft keine vollständige Kontrolle über die Sicherheitslage dieser Geräte, sodass gestohlene Zugangsdaten ungehindert für Angriffe genutzt werden können.
Darknet-Marktplätze für Zugangsdaten boomen
 
  • Es gibt eine enorme Nachfrage nach gestohlenen Logins für Microsoft 365, VPNs und Cloud-Konten.
  • Initial Access Brokers (IABs) verkaufen diese Daten an Ransomware-Gruppen oder Industriespione.

Sind OT-Systeme betroffen?

Da OT Security zu unseren Schwerpunkten zählt, ist es natürlich bei jeder Bedrohung interessant, inwiefern diese auch im Umfeld von OT Relevanz hat. Operational Technology (OT) ist zunehmend gefährdet, da viele industrielle Steuerungssysteme (ICS) mittlerweile Cloud- und Remote-Zugänge nutzen.

Potentielle Probleme im Umfeld von OT sind also unter anderem die Folgenden:

  • Infostealers klauen VPN-Zugänge, die für OT-Wartung verwendet werden.
  • Session-Hijacking ermöglicht Angreifern unbefugten Zugriff auf kritische Steuerungssysteme.
  • Administratorkonten in Produktionsumgebungen sind oft schlecht gesichert, was das Risiko erhöht.

Schutzmaßnahmen gegen Infostealers

Was kann man nun tun, um gegen Infostealer besser gerüstet zu sein:

  1. Zero-Trust-Architektur umsetzen – Keine direkten Zugänge ohne MFA & Netzwerkkontrollen.
  2. Session-Monitoring & Token-Invalidierung – Unternehmen müssen kompromittierte Session-Cookies erkennen.
  3. Stärkere Kontrolle von BYOD-Geräten – Firmen sollten private Geräte überwachen oder isolieren.
  4. Regelmäßige Threat Intelligence & Darknet-Monitoring – Erkennen, ob Unternehmensdaten im Umlauf sind.

Fazit: Infostealers sind der erste Schritt zum Unternehmenshack

Infostealers werden sich von einem Nischenproblem zu einer der gefährlichsten Cyberbedrohung des Jahres 2025 entwickeln. Ransomware-Gruppen kaufen zunehmend gestohlene Zugangsdaten, anstatt sich mühsam in Netzwerke zu hacken. Besonders gefährlich ist der Diebstahl von Session-Tokens, da sie klassische Sicherheitsmechanismen umgehen.

Über den Autor

Markus Seme ist Geschäftsführer von BearingPoint Österreich und Teil des Managements von BearingPoint Products. Mit über 15 Jahren Erfahrung bei BearingPoint liegt sein Fokus auf Cybersecurity, digitale Resilienz und innovative Sicherheitslösungen. Er unterstützt Unternehmen dabei, sich gegen aktuelle und zukünftige Cyberbedrohungen zu wappnen.

Es beginnt immer mit einem Gespräch

Kontaktieren Sie uns, um mehr über IT-Security Services zu erfahren. Unser Cybersecurity-Team steht für Sie bereit.
Kontaktieren Sie uns