Infostealer knacken MFA über gestohlene Cookies

⏱ 8 Min. Lesezeit

Ein Entwickler in einer DAX-Tochter bekommt im Februar eine harmlose Zip-Datei über LinkedIn. Er öffnet sie, nichts passiert. Zwei Wochen später meldet sich sein SOC: Seine Session-Cookies liegen auf einem russischsprachigen Marktplatz zum Verkauf, inklusive aktiver Microsoft-365-Session. MFA, Conditional Access, Geofencing — alles umgangen. Willkommen in der Realität von 2026: Infostealer sind längst die unterschätzteste Bedrohung für Unternehmen und sie entziehen sich genau den Kontrollen, in die CISOs in den letzten fünf Jahren am meisten investiert haben.

Wie ein Infostealer 2026 tatsächlich funktioniert

Die Ingenieurskunst moderner Infostealer liegt nicht in der Raffinesse des Einzelangriffs, sondern in der Industrialisierung der Payload. Ein RedLine- oder Lumma-Builder wird als Service über Telegram vermietet, Monats-Abos liegen zwischen 100 und 300 Dollar. Der Kunde bekommt einen individuell signierten Binary, eine Konfigurationsmaske für Exfiltrations-Ziele, einen Dashboard-Zugang für die gestohlenen Daten und oft noch einen KI-Chatbot-Support für Fragen zur Distribution. Das ist keine Hobby-Szene. Das ist ein SaaS-Markt mit Kundenservice.

Der Ablauf auf dem Opfer-System ist typischerweise simpel und genau deshalb erfolgreich. Der Stealer wird über einen Loader eingeschleust — oft ein Cracked-Software-Download, ein gefakter Installer für bekannte Tools, oder eine ZIP-Datei über Social Media. Nach der Ausführung sucht die Malware auf dem System nach den Standardpfaden von Chromium-Browsern, Firefox, Discord, Telegram, Steam, Crypto-Wallets und FTP-Clients. Sie extrahiert die verschlüsselten Cookie-Datenbanken, entschlüsselt sie mit dem Windows DPAPI-Key des angemeldeten Users, packt alles in eine Zip-Datei, exfiltriert das Archiv an einen Command-and-Control-Server und beendet sich. In den meisten Fällen dauert der gesamte Vorgang unter zwei Minuten.

Danach landen die Daten auf einem der bekannten Marktplätze. Russian Market ist seit Jahren die Adresse für Corporate-Credentials, die Nachfolger des 2023 vom FBI beschlagnahmten Genesis-Markets bedienen den gleichen Markt. Angreifer filtern dort nach Domain-Endung, nach Cookie-Alter, nach verfügbaren Session-Typen. Ein Datensatz mit frischen Microsoft-365-Session-Cookies und einem Domain-Account einer DAX-Tochter bringt vier- bis dreistellige Beträge, je nach Qualität und Kontext.

„Wir sehen in unseren Kundenbasis wieder und wieder das gleiche Muster: MFA ist sauber aktiviert, Conditional Access greift, Device-Enrollment ist vorhanden — aber ein einziger privater Laptop mit einem Stealer reicht, um die Schutzmauer komplett zu umgehen. Die Session-Cookie-Problematik ist noch nicht im Bewusstsein der meisten CISOs.“

— Typisches Feedback aus deutschen Incident-Response-Teams, 2025

Warum MFA allein das Problem nicht löst

Die Annahme, dass MFA phishing-resistant macht, ist in der Realität falsch. Klassische MFA — SMS, Push, TOTP — authentifiziert einen Login-Vorgang. Sobald dieser Vorgang erfolgreich ist, gibt das System eine Session aus. Diese Session lebt in der Regel zwischen acht Stunden und 90 Tagen, abhängig von der Konfiguration. Wer in diesem Zeitraum die Session-Cookies stiehlt und auf seinem eigenen System einspielt, landet ohne weitere Authentifizierung im Account. Kein MFA-Prompt, keine Sicherheitsfrage, kein Conditional-Access-Check.

Microsoft hat 2024 Continuous Access Evaluation (CAE) für Entra ID eingeführt, um genau diese Lücke zu schließen. CAE bedeutet, dass der Identity Provider und die Workloads kontinuierlich Bedingungen prüfen und Sessions in Sekunden invalidieren können, wenn sich Anomalien zeigen. In der Praxis ist CAE 2026 noch nicht flächendeckend ausgerollt. Viele Enterprise-Mandanten haben es aktiviert, aber die App-seitige Unterstützung ist lückenhaft. Wer auf Office 365, Teams, Exchange Online und Sharepoint CAE implementiert, schliesst eine ganze Reihe von Angriffsvektoren, aber nicht alle.

Die bessere Antwort liegt in phishing-resistenter Authentifizierung auf FIDO2-Basis. Passkeys und hardware-basierte Security Keys fangen Angriffe, die auf Credential-Diebstahl basieren, an der richtigen Stelle ab: Sie binden die Authentifizierung kryptographisch an das Gerät und verhindern Replay durch das reine Vorliegen von Zugangsdaten. Aber Passkeys schützen nicht gegen bereits gestohlene Session-Cookies. Die Kombination muss sein: phishing-resistent Login plus kurze Session-Lifetime plus kontinuierliche Invalidierung.

Warum EDR-Lösungen die Lücke nicht vollständig schließen

Moderne EDR-Produkte sind in der Theorie in der Lage, Infostealer-Verhalten zu erkennen. In der Praxis sind die Detection-Rates für frische Stealer-Varianten in den ersten Wochen oft enttäuschend. Der Grund liegt im Polymorphie-Modell: Stealer-Builder crypten die Binaries pro Abnahme, sodass jede verteilte Instanz einen einzigartigen Hash hat. Signatur-basierte Erkennung versagt hier komplett und verhaltensbasierte Erkennung wird durch den kurzen Ausführungszeitraum erschwert.

Dazu kommt, dass viele Infections auf privaten Geräten stattfinden. BYOD, Home-Office, ein eigener Laptop für Feierabend-Projekte oder eine Gaming-Maschine mit gecrackter Software — alles Kanäle, die die EDR-Reichweite eines Unternehmens verlassen. Die gestohlenen Credentials und Cookies landen trotzdem im Marktplatz und die Session funktioniert auch dann, wenn das eigentliche Unternehmensgerät sauber bleibt.

Das führt zu einer unangenehmen Wahrheit: Die Annahme, dass ein modernes EDR plus MFA plus Geräte-Compliance ausreicht, ist in einer Welt mit Infostealern nicht mehr tragfähig. CISOs müssen davon ausgehen, dass jederzeit ein gültiger Session-Cookie ihrer User auf einem fremden Gerät wiederverwendet werden kann und die Infrastruktur muss diesen Fall erkennen.

Die Verteidigungs-Stack für 2026

Session-Lifetime kurz halten. Die einfachste Maßnahme ist die aggressivste. Microsoft, Okta, Google und andere große IDPs erlauben Session-Policies mit Maximum-Lifetime im Bereich von Stunden statt Tagen. Wer seine Session-Lifetime auf vier bis acht Stunden setzt und Re-Authentifizierung für privilegierte Aktionen erzwingt, reduziert das Zeitfenster, in dem gestohlene Cookies nutzbar sind, auf ein Bruchteil.

Continuous Access Evaluation aktivieren. Wo verfügbar, ist CAE die effektivste Maßnahme gegen Session-Diebstahl. In Entra ID ist CAE konfigurierbar und 2026 unterstützen die meisten Microsoft-365-Workloads CAE-basierte Invalidierung. Voraussetzung ist, dass alle Client-Apps CAE-aware sind, was in heterogenen Umgebungen eine Audit-Aufgabe ist.

Device-Trust und Device-Binding. Moderne Identity-Systeme unterstützen Device-Binding für Sessions. Eine Session, die an ein Gerät gebunden ist, kann nicht auf einem anderen Gerät wiederverwendet werden, weil der kryptografische Geräteschlüssel fehlt. Beyond Identity, Cisco Duo, Okta Device Trust und Microsoft Intune bieten das in verschiedenen Ausbaustufen. Wer kritische Anwendungen mit Device-Binding schützt, macht Infostealer-Angriffe für diese Szenarien wertlos.

Credential Monitoring in Dark-Web-Quellen. Services wie Recorded Future, Flare, Hudson Rock und KELA scannen kontinuierlich die einschlägigen Marktplätze auf Unternehmens-Domains und liefern Alerts, wenn neue Datensätze auftauchen. Wer das im SOC verankert, erhält oft die erste Warnung, bevor ein Angreifer die Session nutzt. Die Integration in SIEM und SOAR ist Standardpraxis 2026.

Phishing-resistant Authentifizierung. Passkeys und FIDO2-Hardware-Tokens sind die Basis jedes 2026er Zero-Trust-Designs. Sie lösen nicht das Session-Cookie-Problem, aber sie reduzieren die Eingangsseite der Attack-Chain dramatisch. Keine Passwort-Phishing, keine MFA-Fatigü-Angriffe, keine geklauten TOTP-Codes — und damit weniger initialer Zugang für alles, was danach kommt.

Was BKA und BSI 2025/26 an Infostealer-Lagebild sehen

Die Lagebilder der deutschen Behörden zeichnen für 2025 und 2026 ein klares Bild: Infostealer-basierte Angriffe gehören zu den aktivsten Bedrohungen gegen deutsche Unternehmen und werden von Strafverfolgung und Cybersecurity-Aufsicht als strukturelles Problem eingeordnet. Die wichtigste Beobachtung: Fast alle dokumentierten Ransomware-Fälle der letzten zwölf Monate, die unter die KRITIS-Meldepflicht fielen, begannen nicht mit einem direkten Einbruch in Unternehmenssysteme. Sie begannen mit Credentials, die über Infostealer auf Drittsystemen gestohlen wurden und Wochen später gezielt als Einstiegsvektor verwendet wurden.

Die Entkopplung zwischen initialer Kompromittierung und eigentlichem Angriff ist dabei der schwierigste Punkt für die forensische Nachverfolgung. Ein Stealer infiziert heute einen privaten Laptop, exfiltriert die gespeicherten Browser-Cookies eines Microsoft-365-Users und der Angreifer, der die Cookies Wochen später aus einem Marktplatz kauft, hat keinerlei technische Verbindung zur ursprünglichen Infektion. Security-Teams sehen den Einstieg in Form einer legitimen Office-365-Session, die von einer geografisch plausiblen IP stammt und sich korrekt authentifiziert hat. Ohne Telemetrie aus der Marketplace-Welt ist dieser Einstieg nicht als böswillig erkennbar.

Konsequenz für die organisatorische Aufstellung: Infostealer-Abwehr ist kein Projekt, das in einer IAM-Abteilung, einem SOC oder einem Endpoint-Team isoliert bearbeitet werden kann. Sie betrifft Identity-Management, Endpoint-Management, SOC-Telemetrie, Threat-Intelligence-Beschaffung, HR-Policies und Rechtsabteilung gleichzeitig. Wer die Bekämpfung in nur einer dieser Silos ansiedelt, verliert.

In der Praxis bedeutet das: CISOs müssen mindestens vier Rollen zusammenbringen, die in vielen Organisationen heute noch strikt getrennt arbeiten. Erstens Identity-Team für Session-Policies und CAE-Konfiguration. Zweitens Endpoint-Team für Device-Trust und EDR-Telemetrie. Drittens SOC für Korrelation und Detection-Engineering. Viertens Threat-Intelligence für Dark-Web-Monitoring und Credential-Alerts. Wer diese vier Rollen in einer gemeinsamen Incident-Response-Matrix verknüpft, gewinnt messbar an Reaktionsgeschwindigkeit und reduziert die durchschnittliche Verweildauer eines gestohlenen Cookies im Produktiv-System deutlich.

Die gute Nachricht: Diese Umstellung braucht weder neue Tools noch zusätzliches Budget. Sie braucht eine klare Zuordnung von Verantwortung, eine gemeinsame Metrik und das Commitment, Infostealer-Abwehr als eigenständiges Programm zu führen statt als Nebenschauplatz einzelner Teams.

Key Facts auf einen Blick

Typische Stealer-Familien 2026: RedLine, Lumma, Raccoon v2, Vidar, Stealc, Rhadamanthys. Alle als MaaS verfügbar.

Typische Exfiltration-Kanäle: Telegram-Bots, Cloudflare Workers, kompromittierte Webhosts, direkt an C2-Infrastruktur.

Marktplätze: Russian Market, Exchange.sh, 2easy, sowie diverse Telegram-Kanäle für den schnellen Weiterverkauf.

Preisrahmen pro Corporate-Datensatz: 10 bis 300 Euro, mit Aufschlägen für Office-365-Tokens, VPN-Zugänge und privilegierte Accounts.

Mean-Time-to-Detection ohne Dark-Web-Monitoring: Laut Incident-Response-Praktikern im Durchschnitt mehrere Wochen, oft erst nach einem downstream Angriff.

Effektive Gegenmaßnahmen: Kurze Session-Lifetime, CAE, Device-Trust, phishing-resistant Auth, Credential Monitoring, Conditional Access mit Risk-Scoring.

Häufige Fragen

Warum reicht MFA nicht aus, um Infostealer-Angriffe zu stoppen?

MFA schützt den Login-Vorgang, nicht die danach ausgegebene Session. Ein Infostealer stiehlt gültige Session-Cookies vom Opfer-System. Der Angreifer spielt diese Cookies auf seinem eigenen Gerät ein und übernimmt die aktive Session — ohne dass das Identity-System einen neuen Login registriert. Erst wenn die Session abläuft oder durch CAE invalidiert wird, greift MFA wieder.

Sind Passkeys eine Lösung gegen Infostealer?

Passkeys schützen die initiale Authentifizierung und eliminieren Credential-Diebstahl als Eintrittsvektor. Sie lösen aber nicht das Problem bereits gestohlener Session-Cookies. Wer Passkeys implementiert, reduziert die Angriffsfläche dramatisch, muss aber ergänzend Session-Lifetime-Limits, CAE und Device-Binding einsetzen, um den Cookie-Wiederverwendungspfad zu schließen.

Wie schnell kann ein SOC reagieren, wenn ein Stealer-Incident auftritt?

Mit Dark-Web-Monitoring und automatisierter SIEM-Integration ist eine Reaktion innerhalb weniger Stunden machbar. Ohne diese Bausteine entdeckt ein SOC die Kompromittierung typischerweise erst, wenn der Angreifer auffällige Aktivitäten auslöst — Mail-Regeln, ungewöhnliche Downloads, versuchte Rechte-Erweiterung. Dann sind oft bereits Tage oder Wochen vergangen.

Welche Rolle spielen private Geräte in der Infostealer-Problematik?

Eine große. Die Mehrheit der erfolgreichen Infections findet nach aktuellen Incident-Response-Daten auf privaten Geräten statt, die beruflich mitgenutzt werden. Das reine Durchsetzen von Device-Compliance auf Unternehmensgeräten reicht nicht, solange User mit privaten Systemen auf Corporate-Ressourcen zugreifen können. Strikte Trennung oder Device-Binding ist 2026 der einzige wirksame Ansatz.

Welche Priorität sollte die Infostealer-Abwehr im Security-Roadmap 2026 haben?

Eine hohe. Die Angriffsart ist skalierbar, kostengünstig für Angreifer und umgeht klassische Sicherheitsinvestitionen. CISOs, die in den letzten Jahren viel in MFA, EDR und Identity gesteckt haben, müssen jetzt explizit das Session-Modell adressieren. Das heißt: Session-Lifetime verkürzen, CAE aktivieren, Device-Trust einführen, Dark-Web-Monitoring verankern. Alle vier zusammen, nicht nur ein Baustein.

Weiterführende Lektüre

→ Ransomware 2026: Was passiert wenn Unternehmen zahlen und was wenn nicht

→ Post-Quantum-Kryptographie: Warum Unternehmen jetzt ihre Verschlüsselung umstellen müssen

→ Deepfake-Angriffe auf die C-Suite: Wie KI-generierte Stimmen Millionen stehlen

Quelle Titelbild: Pexels / Sora Shimazaki (px:5935787)

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow