blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
high leak-credentials-exposed

Geleakte Zugangsdaten und Datenleck-Exposition

E-Mail-Adressen und Passwörter Ihrer Domain sind in fremden Datenlecks aufgetaucht. Woher diese Daten stammen, wie Angreifer sie in Account- Übernahmen verwandeln und was zu tun ist.

Worum es geht

Der Scanner fragt Aggregator-Dienste für Datenlecks nach Einträgen zu Ihrer Domain ab. Enthält ein Treffer ein Passwort, einen Hash oder anderes Login-Material, melden wir den Befund mit hoher Schwere. Sind nur Metadaten betroffen (E-Mail-Adresse, Benutzername, Name, Telefon), melden wir ihn weiterhin, dann mit mittlerer Schwere. Auch Metadaten reichen für Phishing und Credential Stuffing.

Zwei wichtige Klarstellungen vorab:

  • Das Leck stammt fast nie von Ihnen selbst. Taucht buchhaltung@ Ihrer Domain in einem LinkedIn-Dump von 2019 auf, hat sich die Person mit ihrer Firmenadresse bei LinkedIn registriert und LinkedIn wurde kompromittiert. Ihre eigenen Systeme sind dadurch nicht kompromittiert. Sie tragen die Folgen trotzdem, weil das geleakte Passwort häufig auf Diensten wiederverwendet wird, die sehr wohl Ihnen gehören.
  • Alte Lecks sind nicht alt. Zugangsdaten-Dumps von vor zehn Jahren werden täglich auf kriminellen Marktplätzen gehandelt. Angreifer interessiert nicht das Alter, sondern ob das Passwort noch funktioniert.

Woher diese Daten stammen

Vier typische Quellen:

  1. Datenlecks bei Drittanbietern. Ein Dienst, den Ihre Mitarbeitenden nutzen, wird kompromittiert, die Nutzerdatenbank gelangt nach außen. Bekannte Beispiele: LinkedIn 2012/2021, Adobe 2013, Dropbox 2012, MyFitnessPal 2018, Yahoo 2013–14, Twitter 2022, MOVEit-betroffene Dienste 2023. Aggregatoren indizieren diese Dumps und machen sie nach Domain abfragbar.
  2. Infostealer-Logs. Schadsoftware auf einem privaten oder beruflichen Laptop liest sämtliche im Browser gespeicherten Passwörter und Session-Cookies aus und lädt sie in einen Telegram-Kanal oder auf einen kriminellen Marktplatz hoch. Die Volumina sind enorm: zweistellige Millionenzahlen neuer Einträge pro Monat. Initial Access Broker kaufen diese Logs in großen Mengen und verkaufen funktionierende Konten an Ransomware-Affiliates weiter.
  3. Paste-Sites und Code-Hosting-Lecks. Zugangsdaten, die versehentlich in öffentlichen GitHub-Repositorys committet, zur Fehlersuche auf Pastebin gestellt oder an offene Trello-Boards angeheftet werden.
  4. Combolisten. Aggregationen aus zahlreichen Datenlecks, zusammengeführt in einzelnen Dateien (etwa “Collection #1”, “RockYou2021”), die verkauft oder frei verbreitet werden. Dasselbe E-Mail-Passwort-Paar erscheint in dutzenden Combolisten, weshalb derselbe Datensatz immer wieder in Scan-Ergebnissen auftaucht.

Wie Angreifer aus den Daten Schaden machen

Die wichtigsten Angriffsmuster:

  • Credential Stuffing. Ein Bot probiert das geleakte E-Mail-Passwort-Paar gegen eine kuratierte Liste von Diensten durch (M365, Google Workspace, Banking-Portale, VPN-Gateways). Die meisten Versuche scheitern, die wenigen erfolgreichen sind der ganze Sinn. Werkzeuge wie OpenBullet und SilverBullet sind exakt dafür gebaut, die Misserfolgsquote ist für Angreifer kein Problem, da Rechenleistung billig ist.
  • Account-Übernahme (ATO). Sobald ein Konto kompromittiert ist, dreht der Angreifer auf: liest das Postfach nach Rechnungsmustern, Passwort-Reset-Links und internen Ansprechpartnern, richtet Weiterleitungsregeln ein, damit die legitime Person den Missbrauch nicht sieht, nutzt den Zugang, um Rechnungsbetrug aus einem echten Konto zu versenden.
  • Business Email Compromise (BEC). ATO einer Geschäftsführung oder Finanzfunktion. Der Angreifer beobachtet einige Tage den normalen Verkehr und schiebt zum richtigen Zeitpunkt eine Zahlungsumleitung ein. Durchschnittlicher Schaden pro Vorfall laut FBI IC3 2023: rund 130.000 USD.
  • Gezieltes Phishing. Wer Name, Rolle und E-Mail einer realen Person kennt, kann eine glaubhafte Nachricht an Kolleg:innen, Kund:innen oder Lieferanten verfassen. Geleakte Metadaten sind dafür der Rohstoff.
  • Initial-Access-Broker-Pipeline. Das Cybercrime-Ökosystem ist arbeitsteilig. Eine Gruppe sammelt Zugangsdaten, eine zweite testet sie auf gültige Logins bei Unternehmenszielen, eine dritte kauft die so erstellten Zugangs-Datensätze und führt Ransomware-Angriffe aus. Ihre geleakten Daten durchlaufen oft drei oder mehr Parteien, bevor sie aktiv ausgenutzt werden.

Warum das Ihre Domain betrifft

Auch wenn Ihre eigene Infrastruktur in Ordnung ist, tragen Sie die Folgen:

  • Ein wiederverwendetes Passwort genügt. Ein gemeinsames Passwort zwischen LinkedIn und Ihrem VPN macht aus einem Leck von 2012 einen Vorfall im Jahr 2026.
  • MFA-Fatigue und Adversary-in-the-Middle-Phishing umgehen einfache MFA-Verfahren. Werkzeuge wie Evilginx und Tycoon proxieren echte Microsoft- und Google-Loginseiten und greifen das Session-Cookie ab, sobald die Person die MFA bestätigt. Das geleakte Passwort sagt dem Angreifer, welche Person sich lohnt.
  • Spear-Phishing-Hebel. Zu wissen, dass buchhaltung@ihre-domain.de existiert, dass die Person SAP nutzt und auf LinkedIn als Teil des Kreditorenteams sichtbar ist, reicht für eine glaubwürdige gefälschte CFO-Mail.
  • Signal in Audits und Beschaffung. Viele Lieferanten- Fragebögen großer Unternehmen fragen mittlerweile, ob Ihre Domain in bekannten Datenlecks auftaucht. Eine saubere Antwort ist ein kleiner, aber realer Vorteil im Vertrieb.

So beheben Sie das

Ein Leck lässt sich nicht zurücknehmen. Die Maßnahmen sind geschichtet und laufen kontinuierlich.

Sofort (diese Woche)

  1. Passwortrotation erzwingen für jedes betroffene Konto, priorisiert nach privilegierten Rollen. Pro Person, nicht nur pro Postfach: ein Kontaktformular-Eintrag aus 2014 kann ein Passwort hinterlegt haben, das bis heute im Einsatz ist.
  2. Phishing-resistente MFA aktivieren. Hardware-Keys (YubiKey, Titan), Plattform-Passkeys oder App-basierte Push-Verfahren mit Nummernabgleich. Reine SMS oder TOTP ohne Phishing-Schutz helfen weniger, als die Werbung suggeriert.
  3. Weiterleitungsregeln und OAuth-Berechtigungen im Mail-Tenant prüfen. Kompromittierte Konten haben oft versteckte Mail-Weiterleitungen, die der Angreifer eingerichtet hat. Alles Unbekannte widerrufen.

Strukturell (nächstes Quartal)

  1. Passwort-Manager organisationsweit ausrollen. Zufällige, pro Dienst eigene Passwörter sind die einzige dauerhafte Verteidigung gegen Wiederverwendung. 1Password Business, Bitwarden Teams oder die in Microsoft Authenticator gebundenen Passwörter sind sinnvolle Optionen.
  2. Auf Passkeys migrieren, wo unterstützt (Microsoft, Google, GitHub, GitLab, AWS, zunehmend in SaaS). Passkeys haben nichts, was leaken könnte.
  3. Conditional Access / risikobasierte Anmeldung. Microsoft Entra ID und Google Workspace erlauben es, bei unbekannten Geografien, unmöglichen Reisemustern oder riskanten IPs eine zusätzliche Authentifizierung zu verlangen. Selbst bei geleakten Zugangsdaten löst der ungewohnte Login eine Challenge aus.
  4. Kontinuierliches Datenleck-Monitoring. Einen Monitoring-Dienst abonnieren (Have I Been Pwned für kostenfreie Benachrichtigungen, ergänzt um einen kommerziellen Anbieter wie SpyCloud, Constella oder LeakCheck für reichere Daten) und Alarme an das Ticketsystem koppeln.

Menschen

  1. Mitarbeitende einmal jährlich briefen: Jedes geleakte Passwort aus einem privaten Konto sollte überall dort rotiert werden, wo es wiederverwendet wurde. Das Leck muss nicht Verschulden des Unternehmens sein, damit die Folgen Sache des Unternehmens werden.
  2. Reaktion proben. Ein quartalsweises Tabletop-Szenario: “Das Passwort einer Geschäftsführung ist gerade in einem Stealer-Log aufgetaucht, wie sieht die nächste Stunde aus?”

Wie blueredix Datenleck-Befunde meldet

Der Scanner fragt den Aggregator LeakCheck.io nach Einträgen für Ihre registrierbare Domain ab (den Apex, also ihre-domain.de, auch wenn eine Subdomain gescannt wurde). Pro Scan ein Befund mit:

  • Anzahl eindeutiger E-Mail-Adressen, die betroffen sind.
  • Anzahl der Datensätze mit Login-Material (Passwörter, Hashes; bestimmt die Einstufung als hoch).
  • Top-Datenlecks nach Datum und Quelle, damit Sie aktuelle und schwere zuerst priorisieren können.
  • Schwere ist hoch, sobald Zugangsdaten enthalten sind, sonst mittel, wenn nur Metadaten betroffen sind.

Wir zeigen die geleakten Passwörter selbst nicht im Bericht an, sie verbleiben beim Aggregator. Die für Ihre Domain zuständige Person kann die Rohdaten zu Beginn einer Aufräumaktion bei uns anfordern.

Mehr dazu