Infostealer machen gestohlene Sessions zum neuen Einfallstor
Jahrelang konzentrierten sich Sicherheitsschulungen auf die „Haustür“. Verwenden Sie starke Passwörter. Aktivieren Sie MFA. Achten Sie auf Phishing-Links. Diese Kontrollen sind immer noch wichtig, doch die Bedrohungslandschaft hat sich auf eine Weise verschoben, die viele Unternehmen noch nicht vollständig erfasst haben. Im Jahr 2026 wird Infostealer-Malware zunehmend wertvoller, nicht weil sie allein Passwörter erbeutet, sondern weil sie authentifizierte browser-sessions, tokens und cookies stiehlt, die es Angreifern ermöglichen, den gesamten Anmeldevorgang zu umgehen. Der Einfallsweg verlagert sich vom Diebstahl von Zugangsdaten zum Diebstahl von sessions.
Die These ist unbequem, aber klar: Moderne Identitäts-Stacks sind im Moment der Authentifizierung am stärksten und in den Minuten, Stunden oder Tagen danach deutlich schwächer. Wenn sich ein Benutzer erfolgreich anmeldet und der browser die session-Artefakte speichert, die dies beweisen, muss ein Infostealer auf dem Endpunkt die MFA möglicherweise überhaupt nicht überwinden. Er kann einfach den Zustand stehlen, der besagt, dass die MFA bereits stattgefunden hat. Das verwandelt einen kompromittierten Laptop in ein tragbares Vertrauenspaket.
Warum Session-Diebstahl so gefährlich ist
Sicherheitsteams sprechen oft von Identität als dem neuen Perimeter. Das stimmt, aber es ist unvollständig. Die browser-session ist zunehmend der operative Perimeter. Unternehmens-E-Mails, SaaS-Administrationskonsolen, CRM-Systeme, Entwicklerplattformen, Kollaborationstools und interne Web-Anwendungen – sie alle verlassen sich auf persistente authentifizierte sessions, um die Arbeit am Laufen zu halten. Benutzer geben nicht alle paar Minuten Passwörter erneut ein und bestätigen MFA-Aufforderungen, da dies unerträglich wäre. Die Bequemlichkeit ist notwendig. Sie ist aber auch ausnutzbar.
Wenn ein Angreifer session cookies oder zugehörige Authentifizierungs-tokens stiehlt, erhält er möglicherweise sofortigen Zugriff auf die Zielumgebung, ohne das Passwort zu kennen und ohne eine neue MFA-Herausforderung auszulösen. In der Praxis kann das mächtiger sein als der Diebstahl von Zugangsdaten. Passwörter können rotiert werden. Sessions können sofort missbraucht werden. In einigen Umgebungen ermöglichen gestohlene sessions Angreifern auch eine diskretere Bewegung, da die Aktivität aus einem bereits vertrauenswürdigen Benutzerkontext zu stammen scheint.
Infostealer sind zu Enterprise-Access-Brokern herangereift
Infostealer-Malware wurde früher hauptsächlich im Kontext von Verbraucherbetrug, gespeicherten browser-Passwörtern und illegalen Zugangsdaten-Dumps diskutiert. Diese Einordnung unterschätzt die Bedrohung inzwischen. Die aktuelle Welle ist zunehmend an die Offenlegung von Unternehmensidentitäten geknüpft. Angreifer wissen, dass ein einzelnes browser-Profil Zugriff auf SSO-Portale, Cloud-Konsolen, Finanzsysteme, Entwicklungstools und Messaging-Plattformen enthalten kann. Eine erfolgreiche Infektion kann eine ganze Arbeitsumgebung übergeben.
Deshalb sind Infostealer eine so effektive erste Zugriffsebene für größere kriminelle Operationen. Die Malware übernimmt das Sammeln. Broker-Märkte und nachgelagerte Angreifer übernehmen die Monetarisierung. Eine session, die an einen Enterprise-Identity-Provider gebunden ist, kann weit mehr wert sein als ein eigenständiges Passwort, da sie mehrere Vertrauensgrenzen auf einmal durchbricht.
MFA ist weiterhin notwendig, aber sie ist nicht mehr das Ende der Geschichte
Dies ist der Teil, bei dem viele Organisationen Schwierigkeiten haben, ihn zu kommunizieren, ohne das Vertrauen der Benutzer in MFA zu untergraben. Multi-Faktor-Authentifizierung bleibt unerlässlich. Sie blockiert große Mengen an Missbrauch von standardisierten Zugangsdaten und erhöht die Kosten für Phishing. Das Problem ist, dass MFA das Anmeldeereignis schützt, nicht jedes nachgelagerte Artefakt, das nach erfolgreicher Anmeldung erstellt wird. Wenn diese Artefakte portabel sind, können Angreifer das Ergebnis der MFA erben, ohne die Herausforderung reproduzieren zu müssen.
Das bedeutet, dass Organisationen aufhören müssen, MFA als Ziellinie zu betrachten. Sie ist eine Kontrolle in einer längeren Kette, die Endpunkt-Hygiene, session-Schutz, token-Scoping, Anomalie-Erkennung, Gerätevertrauen und schnelle Reaktion auf vermutete session-Kompromittierung umfasst. Eine saubere Anmeldung bedeutet nicht, dass eine session für immer sauber ist.
Der browser ist zur empfindlichen Mitte geworden
Die meiste moderne Arbeit findet heute im browser statt, was ihn sowohl unverzichtbar als auch unzureichend verteidigt macht. browser speichern cookies, Autofill-Daten, tokens, lokalen Speicher, Erweiterungszustände und Spuren sensibler Workflows. Mitarbeiter nutzen sie für Unternehmensanwendungen, persönliche Anwendungen und oft beides auf demselben Gerät. Remote- und Hybridarbeit verwischen die Grenze weiter, insbesondere auf nicht verwalteten oder nur geringfügig verwalteten Endpunkten.
Diese Mischung macht infostealers zu einem reichhaltigen Ziel. Sobald Malware über einen bösartigen Download, ein gefälschtes Update, eine Drive-by-Website, gecrackte Software oder eine Social-Engineering-Lockmethode auf dem Endpunkt landet, wird der browser zu einem Tresor mit sofort nutzbaren Daten. Angreifer benötigen keine perfekte Persistenz, wenn sie wertvolle sessions schnell ergreifen und innerhalb von Stunden verkaufen oder nutzen können.
Warum Verteidiger in Begriffen des Session-Lebenszyklus denken müssen
Die Verteidigung gegen diese Art von Bedrohung bedeutet, den Lebenszyklus einer session zu verstehen, nicht nur die Stärke der Authentifizierung. Wie lange bleiben hochwertige sessions bestehen? Welche Ereignisse erzwingen eine erneute Authentifizierung? Sind Refresh-tokens oder langlebige cookies zu freizügig? Kann die Organisation sessions enger an Geräte, den Netzwerkkontext oder hardwaregestützte Zugangsdaten binden? Kann verdächtige session-Wiederverwendung schnell genug erkannt werden, um relevant zu sein?
Diese Fragen rücken Identitäts- und Endpunktteams näher zusammen. Eine session, die auf der Anwendungsebene gültig aussieht, kann dennoch verdächtig sein, wenn der zugrunde liegende Endpunkt Anzeichen einer Kompromittierung aufweist. Umgekehrt kann ein EDR-Alarm eine höhere Priorität verdienen, wenn er auf einer Maschine landet, die privilegierte SaaS-sessions hält. Die Organisationen, die dies gut handhaben, sind diejenigen, die diese Signale korrelieren, anstatt Identitäts- und Endpunktsicherheit als getrennte Programme zu behandeln.
Die Mitigation wird architektonischer
Es gibt vielversprechende technische Antworten. Hardwaregestützte Zugangsdatenbindung, kurzlebige tokens, stärkerer bedingter Zugriff, sichere Enterprise-browser, browser-Isolation und eine bessere Erkennung der token-Wiederverwendung können alle den Wert gestohlener Artefakte reduzieren. Googles Arbeit an gerätegebundenen sessions ist ein Zeichen dafür, dass Plattformanbieter das Problem verstehen. Aber keine dieser Abwehrmaßnahmen ist eine einzelne Patentlösung, und viele sind über verschiedene Anwendungen und Betriebssysteme hinweg uneinheitlich.
Deshalb ist die Architektur wichtiger als Awareness-Slogans. Sicherheitsteams sollten den Schutz privilegierter sessions priorisieren, unnötige Persistenz reduzieren, den token-Bereich begrenzen, auf unmögliche Reisen und ungewöhnliche Wiederverwendung überwachen und die Kontrollen für nicht verwaltete Geräte verschärfen. Sie sollten auch davon ausgehen, dass Benutzer weiterhin viele kritische Systeme über den browser anmelden werden, denn so wird gearbeitet. Die Antwort ist nicht, den browser wegzuzwischen. Es geht darum, ihn wie kritische Infrastruktur zu verteidigen.
Was Führungskräfte jetzt ändern sollten
Erstens, überdenken Sie die Playbooks für die Reaktion auf Vorfälle. Wenn ein Gerät einer Infostealer-Infektion verdächtigt wird, setzt die Organisation dann nur das Passwort zurück, oder widerruft sie auch sessions und tokens über Schlüsselanwendungen hinweg? Zweitens, lokalisieren Sie, wo Ihre hochwertigsten browser-sessions liegen. Drittens, überprüfen Sie die Richtlinien zum browser-Erweiterungsrisiko, zu nicht verwalteten Geräten und zur lokalen Speicherung sensibler Daten. Viertens, stellen Sie sicher, dass Mitarbeiter verstehen, dass ein bösartiger Download Konten kompromittieren kann, auch wenn sie nie ein Passwort in eine gefälschte Seite eingegeben haben.
Das sind praktische Schritte, keine theoretischen. Session-Diebstahl verkleinert das Zeitfenster, das Verteidigern zur Reaktion bleibt. In einigen Fällen kann der Angreifer fast sofort vom Diebstahl zum Zugriff übergehen. Das macht die Geschwindigkeit der Eindämmung genauso wichtig wie die Prävention.
Die größere Verschiebung
Infostealer sind erfolgreich, weil sie eine strukturelle Wahrheit der modernen Sicherheit ausnutzen: Der authentifizierte Zustand ist wertvoll. Da Unternehmen die Identität zentralisieren und die Arbeit in browser-basierten Apps verlagern, werden die Inhalte einer Live-session so sensibel wie die Zugangsdaten, die sie erstellt haben. Angreifer haben das schnell herausgefunden. Viele Verteidiger hinken noch hinterher.
Die nächste Generation der Identitätssicherheit wird davon bestimmt, wie gut Organisationen die session schützen, nachdem der Benutzer sich angemeldet hat. Passwörter waren nie die ganze Geschichte, und im Jahr 2026 sind sie es noch weniger. Der neue Einfallsweg ist das, was nach einem erfolgreichen Login geschieht.