2025 ist in vielen Cloud-Umgebungen ein Angriffsmodus auffällig geworden, der das Schadensbild verschiebt: Statt Datenabfluss steht plötzlich Kostenexplosion im Vordergrund. Angreifer missbrauchen gestohlene Cloud-Zugangsdaten oder Tokens, um in kurzer Zeit enorme Ressourcen zu starten zum Beispiel für Krypto-Mining. Das Ergebnis sind weniger entwendete Geschäftsgeheimnisse als horrende Rechnungen für Rechenleistung, Storage und Traffic. Betroffen sind nicht nur Konzerne: Gerade KMU geraten in solche Vorfälle, weil es den Tätern um skalierbare Monetarisierung über fremde Infrastruktur geht.

Anzeige

Wie funktionieren Token-Stealer-Angriffe?

Der Einstieg erfolgt meist über Infostealer-Malware – im Alltag oft pauschal „Token-Stealer“ genannt. Diese Schadprogramme landen typischerweise per Phishing, Drive-by-Download oder über manipulierte Software auf Endgeräten von Mitarbeitenden und laufen unauffällig im Hintergrund. Sie suchen nach gespeicherten Zugangsdaten, Session-Tokens, Browser-Artefakten und anderen Schlüsseln, die den Zugriff auf Dienste ermöglichen. Anders als Ransomware verschlüsseln Infostealer nichts und stellen keine Forderung. Sie stehlen still, schnell und hinterlassen oft lange keine sichtbaren Spuren.

Die entwendeten Zugangsdaten werden dann verkauft oder direkt eingesetzt. Und hier liegt die Besonderheit: Wer mit einem gültigen Token oder API-Key in eine Cloud kommt, bewegt sich zunächst wie ein legitimer Nutzer. Klassische Alarme greifen in diesem Moment häufig nicht, weil kein Exploit „knallt“, sondern ein scheinbar normaler Login stattfindet.

Vom Token zum Mining-Cluster in Minuten

In Vorfällen, die Stoïk 2025 beobachtete, begann der Missbrauch kurz nach dem ersten Zugriff: automatisiert werden Recheninstanzen hochgefahren, Container-Workloads ausgerollt oder neue Projekte/Subscriptions angelegt. Krypto-Mining ist ein verbreitetes Muster, weil es sofort Cashflow erzeugt. Entscheidend ist die Geschwindigkeit: Sobald Automatisierung im Spiel ist, entstehen die relevanten Kosten nicht „über Wochen“, sondern innerhalb weniger Stunden.

Warum das für KMU schnell existenzbedrohend wird

Cloud-Kosten sind elastisch. Genau das ist der Vorteil im Alltag und die Schwachstelle im Angriff. Wenn tausende Instanzen starten oder teure GPU-Ressourcen belegt werden, wächst der Schaden in einer Logik, die viele KMU nicht gewohnt sind: verbrauchsbasiert, exponentiell und oft ohne unmittelbaren Betriebsstopp. Die Folge sind fünf- bis sechsstellige Rechnungen, die Liquidität und Planung sprengen können. Erschwerend kommt hinzu: Nicht jede Position ist automatisch erstattungsfähig, und die Klärung mit dem Provider dauert.

Prävention: Was Makler ihren Kunden konkret empfehlen können

Prävention ist hier keine „nice to have“-Checkliste, sondern Schadensbegrenzung in Euro. Vier Hebel sind besonders wirksam:

-> Endgeräte härten: MDR, konsequentes Patchen, restriktive Rechte. Token-Stealer beginnen fast immer am Arbeitsplatzgerät.

-> Identitäten absichern: MFA überall, wo es geht; keine dauerhaft gültigen Schlüssel; konsequente Rotation; getrennte Admin-Konten.

-> Cloud-Guardrails setzen: Klare Rollen statt „Vollzugriff“, keine pauschalen Berechtigungen; Policies, die riskante Aktionen einschränken.

-> Kosten und Aktivität überwachen: Budget-Alarme, Anomalie-Detection und Logging so konfigurieren, dass „mass creation“ und atypische Regions-/Service-Nutzung sofort auffällt.

Und was heißt das für die Cyberversicherung?

Token-Stealer sind 2025 mehr als ein „Credential-Thema“. Sie sind ein direkter Hebel auf Liquidität – mit Schäden, die schnell größer werden als viele klassische Cyber-Szenarien. Wer Endgeräte, Identitäten und Cloud-Leitplanken im Griff hat, reduziert nicht nur das Risiko eines Angriffs, sondern vor allem die Höhe des Schadens.