Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 009

Account-Enumeration

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Account-Enumeration?

Account-EnumerationAngriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.


Account-Enumeration nutzt Unterschiede im Verhalten einer Anwendung zwischen existierenden und nicht existierenden Konten aus: unterschiedliche Fehlermeldungen bei Login, Registrierung oder Passwort-Reset, Timing-Abweichungen oder abweichende HTTP-Statuscodes. Indem ein Angreifer viele Kandidaten-IDs prüft, baut er eine Liste gültiger Konten auf, die anschliessend per Phishing, Credential Stuffing oder Password Spraying angegriffen werden können.

Die Schwachstelle findet sich häufig in Login-Formularen ("Benutzer unbekannt" vs. "Passwort falsch"), beim Passwort-Reset ("E-Mail prüfen" vs. "Konto nicht gefunden") und bei der Registrierung ("E-Mail bereits vergeben"). Sie ist selten das eigentliche Ziel: Enumeration ist ein Aufklärungsschritt, der spätere Angriffe schärft, indem er das Raten überflüssig macht. Ein konkretes aktuelles Beispiel ist CVE-2025-69413 in Gitea (behoben in 1.25.2): Der Endpunkt /api/v1/user lieferte unterscheidbare Antworten für gültige und ungültige Benutzernamen, sodass Angreifer reale Konten vor Credential Stuffing oder Spear-Phishing kartieren konnten.

Selbst bei einheitlichen Fehlermeldungen kann das Timing Informationen preisgeben: Systeme, die das übermittelte Passwort nur dann hashen, wenn der Benutzer existiert, antworten für unbekannte Konten messbar schneller. Robuste Abwehrmassnahmen kombinieren daher generische, identische Meldungen; Code-Pfade mit konstanter Laufzeit (immer einen Dummy-Hash ausführen); generische Benachrichtigungen bei Passwort-Reset und Registrierung; Rate Limiting pro IP und pro Konto; CAPTCHA bei Missbrauch; und MFA, um nachgelagerte Angriffe abzuschwächen. Der Testfall WSTG-IDNT-04 von OWASP beschreibt, wie man darauf prüft.

flowchart TD
  A[Angreifer übermittelt Kandidaten-Kennung] --> B{Existiert das Konto?}
  B -->|Ja| C["Eindeutiges Signal:<br/>Passwort falsch / langsamer Hash / 200"]
  B -->|Nein| D["Eindeutiges Signal:<br/>Benutzer unbekannt / schnelle Antwort / 404"]
  C --> E[Kennung als GÜLTIG markieren]
  D --> F[Kennung als ungültig markieren]
  E --> G[Liste gültiger Konten aufbauen]
  G --> H[Credential Stuffing / Phishing / Password Spraying]
  C -.einheitliche Meldung + konstante Zeit.-> I[Signale identisch: Enumeration blockiert]
  D -.einheitliche Meldung + konstante Zeit.-> I

Beispiele

  1. 01

    Registrierungsformular meldet 'E-Mail bereits in Verwendung' und ermöglicht das Ernten gültiger Adressen.

  2. 02

    Unterschiedliche Antwortzeiten auf /login für bekannte vs. unbekannte Nutzer dienen dem Aufbau einer Account-Liste.

Häufige Fragen

Was ist Account-Enumeration?

Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.

Was bedeutet Account-Enumeration?

Angriff, der die Antworten einer Anwendung ausnutzt, um festzustellen, welche Konten, E-Mails oder Telefonnummern im Zielsystem existieren.

Wie schützt man sich gegen Account-Enumeration?

Schutzmaßnahmen gegen Account-Enumeration kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Account-Enumeration?

Übliche alternative Bezeichnungen: Benutzer-Enumeration, Identifier-Enumeration.

Verwandte Begriffe