Features
Identity-Signale gegen Passwortspraying und Credential Attacks
Wie fehlgeschlagene Cloud-Logins als Zusatzsignal dienen und warum NAT, VPNs und Shared IPs mehr Kontext brauchen.
Zuletzt aktualisiert: 26. Juni 2026
Auf dieser Seite
Angriffe auf Identitäten gehören zu den häufigsten Mustern im Alltag von IT-Teams. Passwortspraying, Credential Stuffing und automatisierte Login-Versuche gegen Cloud-Konten erzeugen Signale, die auch für einen Perimeter-Feed relevant sein können.
Cybora kann wiederholte fehlgeschlagene Cloud-Logins als Zusatzsignal betrachten, wenn dieselbe Quelle in mehreren unabhängigen Umgebungen auffällt. Dieses Signal ist wertvoll, aber sensibel. Eine einzelne fehlgeschlagene Anmeldung ist Rauschen; dieselbe Quelle über mehrere unabhängige Umgebungen hinweg kann ein Kampagnenmuster sein.
Warum Identity-Signale stark sein können
Eine einzelne fehlgeschlagene Anmeldung ist noch kein verlässlicher Indikator. Wiederholte Fehlversuche aus derselben Infrastruktur, über mehrere Kundenumgebungen hinweg, können aber auf automatisierte Angriffe hindeuten.
Typische Muster sind:
- Passwortspraying gegen viele Konten
- Credential-Stuffing-Versuche mit bekannten Leaks
- Login-Versuche aus auffälliger Infrastruktur
- wiederholte Treffer über unabhängige Umgebungen
Wenn solche Signale mit anderen Quellen oder Verhaltensmustern zusammenfallen, können sie die Confidence eines Indikators erhöhen.
Von Einzelereignis zu Kampagnenmuster
Der Unterschied liegt in der Wiederholung und Unabhängigkeit. Ein fehlgeschlagener Login in einem Tenant kann viele harmlose Ursachen haben. Wenn dieselbe Quelle aber über mehrere voneinander unabhängige Umgebungen hinweg ähnliche fehlgeschlagene Login-Muster erzeugt, wird aus einem lokalen Ereignis ein stärkeres Signal.
Diese Logik hilft, Passwortspraying und Credential Stuffing besser von normalen Benutzerfehlern zu trennen. Sie ersetzt aber nicht die Prüfung von Kollateralschaden, weil gerade Login-Quellen häufig über NAT, Proxies, VPNs oder Provider-Infrastruktur laufen können.
Warum besondere Vorsicht nötig ist
Identity-Signale haben ein hohes Kollateralschaden-Risiko. Eine IP kann zu einem VPN-Dienst, einem Mobilfunkprovider, einem großen NAT-Gateway, einem Proxy oder einer legitimen Reiseverbindung gehören. Ein zu aggressiver Umgang könnte echte Benutzer treffen.
Deshalb sollte Cybora solche Signale konservativ behandeln:
- mehrere unabhängige Umgebungen statt Einzelereignis
- wiederholtes Verhalten statt einmaliger Fehlversuch
- zusätzliche Evidenz aus anderen Quellen
- vorsichtige Bewertung von VPNs, Proxies und Shared IPs
- kein öffentliches Offenlegen interner Schwellenwerte
Rolle im Feed
Identity-Signale sind ein Baustein der Signal-Korrelation, nicht der alleinige Grund für Blocking. Sie können einen Indikator stärken, wenn weitere Evidenz vorhanden ist. Bei unklarer oder kollateralschadenreicher Infrastruktur bleibt Zurückhaltung wichtiger als maximale Abdeckung.