Zu Content springen
Deutsch
Stoïk
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Sind die Daten meiner Mitarbeiter durchgesickert?

Die Datenlecks Ihrer Mitarbeiter werden auf zwei verschiedene Arten angezeigt, je nachdem, ob ihr Ausnutzungspotenzial bestätigt ist oder nicht:

  1. 🆕 Datenlecks mit bestätigtem Ausnutzungspotenzial
    1. Was bedeutet „Gültige Benutzeranmeldedaten in einem Datenleck/MO365/Fortinet gefunden”?
    2. Wie bestätigt Stoïk das Ausnutzungspotenzial des Lecks?
  2. Datenlecks mit noch zu bestätigendem Ausnutzungspotenzial
    1. Die Ergebnisse verstehen
    2. Warum erscheint ein ehemaliger Mitarbeiter auf der Registerkarte „Datenleck“?
    3. Warum betrifft eine Warnmeldung einen Arbeitsplatz, der uns nicht gehört?
    4. Warum stimmt das Datum der Meldung eines Lecks nicht immer mit dem Datum der Kompromittierung überein?
    5. Warum wird bei einigen Datenlecks die Quelle als unbekannt angezeigt?
  3. Was tun bei einer Datenleck-Warnung?

 

1. 🆕 Datenlecks mit bestätigt ausnutzbarem Potenzial

Dies sind die kritischsten Datenlecks, das heißt, ein Angreifer könnte sie direkt nutzen, wenn er sie erlangt. Aufgrund ihrer Kritikalität wird für jedes dieser Leaks eine eigene Schwachstelle in den Ergebnissen des Stoïk Externen Scans erstellt.

1.b. 🆕 Was bedeutet die Schwachstelle „Valid user credentials found in a dataleak/MO365/Fortinet“?

Unser externer Scan weist Sie darauf hin, ob die von unserem Reiter Datenleck gefundenen Zugangsdaten noch aktiv sind.

Konkret bedeutet das: Auf dem Darknet veröffentlichte Zugangsdaten werden nun automatisch auf der betreffenden URL getestet, um ihre Gültigkeit zu prüfen – mit einer internen Entwicklung von Stoïk, die generative KI nutzt.

Wenn die Gültigkeit bestätigt ist, wird beim externen Scan von Stoïk eine Schwachstelle mit dem Schweregrad „hoch“ erstellt, die die Nutzer dazu auffordert, ihre Zugangsdaten zu ändern.

Der Benutzername und die URL werden dann auf Stoïk Protect angezeigt (das Passwort kann auf ausdrückliche Anfrage an protect@stoik.io mitgeteilt werden).

CleanShot 2025-07-28 at 16.06.35


Da es sich um eine „hohe“ Sicherheitslücke handelt, benachrichtigen Sie die CERT-Analysten von Stoïk proaktiv per E-Mail, wenn eine solche Warnung erscheint.


2.b. Wie bestätigt Stoïk das Ausbeutungspotenzial des Leaks?

Die von Stoïk getesteten Datenlecks stammen hauptsächlich aus zwei Quellen:

1. Leaks aus Passwort-Datenbanken (Combolists):
Diese Datenbanken sind Sammlungen von Zugangsdaten (E-Mails, Passwörter), die aus mehreren vergangenen Leaks zusammengetragen und ohne klaren Kontext aggregiert wurden.

Beispiel: xavier@stoik.io / M0t2Pa$$ / supersite.com

Diese Combolists erlauben nicht immer, genau festzustellen, auf welcher Website die Daten ursprünglich geleakt wurden.

In diesem Fall testet Stoïk die Zugangsdaten automatisch auf kritischen und weit verbreiteten Diensten wie Microsoft 365 (O365) oder VPN Fortinet (falls dieser vom Kunden genutzt wird).

💡 Wir testen den Zugang nicht direkt auf der genannten Website, es sei denn, sie ist eindeutig bekannt – wie in Stealer-Logs (siehe unten).

2. Leaks durch Malware (Stealers):

Stealer sind Schadprogramme, die auf kompromittierten Rechnern installiert sind und lokal verwendete Zugangsdaten abgreifen.

Diese Leaks sind deutlich präziser: Sie enthalten in der Regel die Kombination aus  E-Mail / Passwort / genaue Login-URL.

Beispiel: xavier@stoik.io / M0t2Pa$$ / https://supersite.com/loginpage.php

Wenn die URL eindeutig identifiziert ist, werden die Zugangsdaten sowohl direkt auf der betroffenen Website als auch zusätzlich auf O365 und Fortinet getestet.

Diese Genauigkeit reduziert Fehlalarme erheblich und ermöglicht es, aktive Kompromittierungsrisiken gezielt anzugehen.

Zusammenfassung:

Art des Lecks Verfügbare Daten Von Stoïk durchgeführte Überprüfungen
Combolist E-Mail + Passwort (oder Name einer Website) Nur O365 + Fortinet
Stealer logs E-Mail + Passwort + genaue URL Betroffene URL + O365 + Fortinet

Wenn es sich bei der betreffenden URL um Fortinet oder O365 handelt, erhält die angezeigte Schwachstelle den Namen „(...) found in Fortinet/Microsoft Office 365 dataleak”. Andernfalls erhält die angezeigte Schwachstelle den Namen „(...) found in a dataleak” und die URL wird in den Details zur Schwachstelle angegeben.

Wenn die in dieser Tabelle gesuchten Ergebnisse standardmäßig nichts ergeben, wird keine Schwachstelle erstellt, aber das Datenleak wird dennoch auf der Registerkarte „Datenleak” angezeigt.

2. Datenlecks mit noch zu bestätigendem Ausnutzungspotenzial

2. a. Die Ergebnisse verstehen

Die Registerkarte „Externe Oberfläche > Ergebnisse > Datenlecks“ listet alle Datenlecks auf, die bei Ihren Mitarbeitern festgestellt wurden, unabhängig davon, ob ihr Ausnutzungspotenzial bereits nachgewiesen wurde oder nicht.



⚠️ Das angegebene Datum entspricht in der Regel dem Zeitpunkt, zu dem unser Tool den Datenverlust festgestellt hat, und nicht dem tatsächlichen Datum des Verlusts.

Wenn Sie auf einen bestimmten Datenverlust klicken, erhalten Sie Zugriff auf die detaillierten Ergebnisse. Hier sind zwei Beispiele für die Interpretation der Ergebnisse:

  1. „IP“ und „Passwort“: In diesem Beispiel sind für die E-Mail-Adresse craig.maxwell@my-company.com das Passwort im Klartext (Passwort) und die IP-Adresse beim Datenleck „Adobe Data Breach 2024“ für die Domain my-company.com offengelegt worden.
  2. „Passwort“ und „verschlüsseltes Passwort“: In diesem Beispiel sind für die E-Mail-Adresse emma.gaucher@my-company.com das Klartext-Passwort („Passwort“) und der Hash („verschlüsseltes Passwort“) auf mehreren Websites unbekannter Herkunft durchgesickert, daher der Begriff "Combolists".
    Capture d’écran 2025-08-06 à 10.24.33
2.b. Warum erscheint ein ehemaliger Mitarbeiter auf der Registerkarte „Datenleck“?

Wenn Sie eine Warnmeldung zu einem Konto erhalten, das mit einem Mitarbeiter verbunden ist, der nicht mehr im Unternehmen tätig ist, gibt es dafür mehrere logische Gründe. 

- Ursprung: Es handelt sich nicht um ein Active Directory-Konto oder eine direkt in Ihrem IT-System aktive Unternehmens-E-Mail-Adresse, sondern um ein Drittanbieter-Benutzerkonto, das eine Adresse Ihrer Domain verwendet, z. B. :jean-michel@votre-entreprise.com, das auf einer externen Website wie https://random.saas.Ce registriert ist. Diese Art von Konto kann durchaus gehören zu:

  1. Ein ehemaliger Mitarbeiter, der mit seiner geschäftlichen E-Mail-Adresse ein SaaS-Konto erstellt hatte
  2. Ein noch aktives Konto in einer SaaS-Anwendung, dessen geschäftliche E-Mail-Adresse weiterhin gültig ist
  3. Ein externes Konto, das ohne E-Mail-Adressüberprüfung erstellt wurde, was auf bestimmten Plattformen möglich ist.

- Grund für die Erkennung: Der Alarm wird von Stoïk ausgelöst, weil

  1. Die E-Mail-Adresse des Kontos ist mit Ihrem Domainnamen verknüpft.
  2. Das mit diesem Konto verbundene Passwort ist in einem öffentlichen Datenleck aufgetaucht.

Selbst wenn es sich um einen ehemaligen Mitarbeiter oder ein Konto handelt, das nicht von Ihrem IT-System verwaltet wird, kann dieses Konto:

  1. Die Kosten werden immer Ihrem Unternehmen in Rechnung gestellt (üblich bei SaaS-Abonnements).
  2. Zugriff auf interne Daten, sofern keine Sperrung erfolgt ist
  3. Ein Risiko einer indirekten Kompromittierung darstellen (Wiederverwendung des Passworts, Rebound-Angriff)
- Empfehlung: In dieser Situation
  1. Überprüfen Sie, ob das Konto in der betreffenden Anwendung noch aktiv ist.
  2. Kündigen oder deaktivieren Sie das Konto, wenn Sie Zugriff darauf haben.
  3. Wenden Sie sich bei Bedarf an den SaaS-Anbieter, um die Löschung zu beantragen.
  4. Aktualisieren Sie Ihre Verfahren für das Ausscheiden von Mitarbeitern, um die systematische Löschung von Drittkonten einzubeziehen.

2.c. Warum betrifft eine Warnmeldung einen Arbeitsplatz, der uns nicht gehört?

Es kann vorkommen, dass Sie eine Cybersicherheitswarnung auf einem Arbeitsplatz erhalten, der nicht in Ihrem IT-Bestand aufgeführt ist. Das mag überraschend erscheinen, aber es gibt mehrere Fälle, die diese Situation erklären.

Persönlicher Arbeitsplatz eines Mitarbeiters

- Ursprung: Ein Mitarbeiter kann freiwillig oder aus Gewohnheit von einem privaten Gerät (PC, Tablet usw.) aus auf berufliche Ressourcen zugreifen.

- Grund für die Erkennung: Der Alarm wird von Stoïk ausgelöst, da dieser Arbeitsplatz weder gesichert noch von Ihren IT-Teams überwacht wird und somit einen anfälligen Einstiegspunkt für Angriffe (Ransomware, Datendiebstahl) darstellen kann.

- Empfehlung: Fordern Sie Ihren Mitarbeiter in dieser Situation auf, die Nutzung einzuschränken oder sein Gerät zu sichern (Verschlüsselung, Antivirus, sicheres Passwort usw.). Es wird dringend empfohlen, die Richtlinien zur Nutzung privater Geräte (BYOD) zu überarbeiten, falls dies noch nicht geschehen ist.

Arbeitsplatz eines Dienstleisters oder Subunternehmers

- Ursache: Es ist möglich, dass ein Dienstleister (externer IT-Support, Berater, Freiberufler usw.) von seinem eigenen Arbeitsplatz aus auf Ihre Daten oder Systeme zugreift.

- Grund für die Erkennung: Die Warnung wird von Stoïk generiert, da sie Ihre Dienste oder Ihren Bereich betrifft. Der Arbeitsplatz gilt als gefährdet, wenn er kompromittiert oder unzureichend geschützt ist.

- Empfehlung: Überprüfen Sie in dieser Situation, ob dieser Dienstleister noch für das Unternehmen tätig ist. Ist dies nicht der Fall, widerrufen Sie seinen Zugriff. Andernfalls stellen Sie sicher, dass seinerseits bewährte Sicherheitsverfahren angewendet werden.

Gemeinsam genutzter oder öffentlicher Arbeitsplatz (Hotel, Terminal, Internetcafé usw.)

- Ursache: In seltenen Fällen kann der Zugriff auf Ihre Dienste von einem öffentlichen oder gemeinsam genutzten Terminal aus erfolgen: Hotelterminal, PC im Besprechungsraum usw.

- Grund für die Erkennung: Die Warnung wird von Stoïk generiert, da diese Geräte einem hohen Risiko durch Malware oder Keylogger ausgesetzt sind. Tatsächlich sind die Verbindungen dort selten verschlüsselt oder privat.

- Empfehlung: In dieser Situation ist es wichtig, Ihre Mitarbeiter daran zu erinnern, niemals einen öffentlichen Computer für den Zugriff auf kritische Ressourcen zu verwenden oder zumindest ein VPN und verschlüsselte Verbindungen zu nutzen.

Fazit: Auch wenn die betreffende Position nicht direkt zu Ihnen gehört, ist die Warnmeldung relevant, wenn eine Aktivität im Zusammenhang mit Ihrem Bereich oder Ihrer Organisation festgestellt wird.

Jede ungewöhnliche Aktivität kann auf Folgendes hinweisen: unbeaufsichtigte Nutzung, potenzielle Gefährdung, unsachgemäße Verwaltung von Zugriffen durch Dritte.

2.d. Warum stimmt das Datum der Meldung eines Lecks nicht immer mit dem Datum der Kompromittierung überein?

IHäufig fragen sich Nutzer, warum zwischen dem Zeitpunkt eines Datenlecks (oder eines gestohlenen Passworts) und dem Zeitpunkt des Erhalts der Stoïk-Warnmeldung eine zeitliche Verzögerung besteht. Hier sind die Gründe dafür:

Das Passwort wird nicht sofort veröffentlicht

Die von Infostealern (Malware, die Passwörter aus Browsern, Managern oder System-Caches abgreifen kann) gestohlenen Zugangsdaten werden nicht immer sofort in den von uns überwachten Foren oder Marktplätzen geteilt.

In der Praxis werden die gestohlenen Informationen zunächst in privaten Kreisen oder geschlossenen Gruppen weiterverkauft und erst nach mehreren Wochen oder sogar Monaten öffentlich zugänglich. Zu diesem Zeitpunkt erkennt unser System sie und benachrichtigt Sie.

Eine vorherige technische Überprüfung begrenzt Fehlalarme

Wir haben kürzlich eine neue Technologie zur automatischen Validierung kompromittierter Zugangsdaten eingeführt.

Konkret testet Stoïk die in den Datenlecks gefundenen Anmeldedaten (Login + Passwort) direkt, und nur wenn die Kombination auf der betreffenden Website noch funktioniert, senden wir eine Warnung. Dieses Validierungssystem garantiert, dass die Warnung relevant ist, auch wenn das Datenleck schon älter ist.

🆕 Bitte beachten Sie, dass dieses System noch in der Einführungsphase ist. Diese automatische Validierungsfunktion ist eine neue Entwicklung, die aus unseren internen Entwicklungen hervorgegangen ist. Sie wird schrittweise in Betrieb genommen, um eine optimale Servicequalität zu gewährleisten. Es ist daher möglich, dass bestimmte Warnmeldungen aus einer neueren Verarbeitung stammen, auch wenn die Leckage vor diesem Update aufgetreten ist.

Zusammenfassung:

  1. Eine zeitliche Diskrepanz zwischen dem Zeitpunkt der Datenpanne und der Warnmeldung ist im Lebenszyklus einer kompromittierten Kennung normal.
  2. Dies stellt die Gültigkeit der Warnmeldung nicht in Frage: Wenn Sie benachrichtigt werden, bedeutet dies, dass die Kennung noch funktionsfähig ist.
  3. Besser spät als nie: Diese Lecks können Ihr Unternehmen einem anhaltenden Missbrauch aussetzen, insbesondere wenn Passwörter wiederverwendet werden.

2.e. Warum wird bei einigen Datenlecks die Quelle als unbekannt angezeigt?

- Herkunft: Es kann vorkommen, dass in Ihrer Stoïk Protect-Benutzeroberfläche Datenlecks ohne eindeutige Angabe ihrer Herkunft angezeigt werden. In diesem Fall wird die Quelle als „Combolist“ angegeben, was bedeutet, dass sie unbekannt oder nicht überprüfbar ist. 

Eine Combolist ist eine umfangreiche Zusammenstellung von Identifikationsdaten (E-Mail-Adressen, Passwörter, manchmal auch andere Daten), die aus verschiedenen Datenlecks zusammengetragen wurden. Diese Dateien werden von Cyberkriminellen neu verpackt und dann weiterverkauft oder in Foren geteilt, ohne dass immer die Herkunft der Daten angegeben wird.

- Grund für die Erkennung: Die Warnung wird von Stoïk generiert, da das Risiko real ist, auch wenn die genaue Quelle unbekannt ist. Tatsächlich funktioniert die Kennung (E-Mail + Passwort) bei bestimmten Diensten noch, sodass sie für einen Angriff durch Wiederverwendung von Passwörtern (Credential Stuffing) genutzt werden oder Zugriff auf eine in Ihrem Unternehmen verwendete SaaS-Anwendung gewähren kann.

3. Was tun bei einer Datenleck-Warnung?

1. Ändern Sie das betreffende Passwort sofort.

2. Wenn Sie den Dienst nicht kennen, überprüfen Sie die interne Verwendung der angegebenen E-Mail-Adresse.

3. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), falls Sie dies noch nicht getan haben.