Ein Jahr lang haben Angreifer Salesforce-Umgebungen ausgeräumt, ohne eine einzige Sicherheitslücke der Plattform zu nutzen. Microsofts Threat Intelligence hat den Feldzug der Erpressergruppe ShinyHunters jetzt vollständig kartiert. Für jedes Unternehmen mit einem CRM in der Cloud steht damit eine unbequeme Frage im Raum.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Die Erpressergruppe ShinyHunters hat gezeigt, dass der teuerste Angriff auf ein CRM ganz ohne Hack auskommt. Statt Code zu knacken, haben die Täter das Vertrauen missbraucht, das Unternehmen ihren eigenen Apps und Dienstleistern längst geschenkt hatten. Microsoft ordnet die Kampagne einem Zeitraum von Mitte 2025 bis Mitte 2026 zu.

Das Wichtigste in Kürze

  • Kein Plattform-Bug: Der Zugang lief über missbrauchte OAuth-Freigaben, nicht über eine Salesforce-Lücke.
  • Drei Angriffswege: gefälschter IT-Support am Telefon, gekaperte Dienstleister, offene Gast-Endpunkte.
  • Über 200 Salesforce-Instanzen allein bei einer Welle betroffen, darunter Konzerne wie Adidas und Cisco.
  • Lösegeldforderungen bis 870.000 Euro pro Unternehmen, oft Monate nach dem eigentlichen Einbruch.

Warum kein Salesforce-Bug im Spiel war

Ausweis IT-Support mit Klebezettel „angeblich“ am Umhängeband
ShinyHunters nutzte gültige OAuth-Tokens statt Software-Schwachstellen. Bestätigte Tokens behalten Nutzerrechte auch nach Passwortänderung

ShinyHunters hat keine Software-Schwachstelle ausgenutzt, sondern gültige OAuth-Freigaben. Ein einmal bestätigtes Token behält die Rechte des Nutzers und bleibt selbst nach einem Passwortwechsel oder einer neuen Multi-Faktor-Anmeldung gültig.

Der Kern des Problems ist ein alter Bekannter der Sicherheitsforschung, das verwirrte Vertreterproblem: Eine autorisierte Anwendung darf auf Daten zugreifen, prüft aber nicht mehr, wer sie im Hintergrund wirklich steuert. Denselben Mechanismus zeigte bereits der Meta-KI-Vorfall über die Account-Sicherheit.

Genau deshalb greift die klassische Abwehr nicht. Die Multi-Faktor-Authentifizierung schützt die Anmeldung, nicht die Freigabe[1]. Sobald ein Mitarbeiter einer getarnten App zustimmt, läuft der Datenabfluss über einen legitimen Kanal und sieht in den Protokollen aus wie normale Arbeit.

Nicht die Firewall entscheidet über den Ernstfall, sondern die Frage, wem Ihre Mitarbeiter im Namen der IT einen Klick zu viel schenken. Ein CRM voller Kundendaten ist längst das eigentliche Kronjuwel.

— Markus Seyfferth, Chefredakteur Dr. Web

Drei Wege in dieselbe CRM-Datenbank

Microsoft und Googles Analysten trennen drei Muster: Sprach-Phishing mit gefälschtem IT-Support, gekaperte Dienstleister-Integrationen wie Salesloft Drift und Gainsight sowie falsch konfigurierte Gast-Zugänge auf Salesforce-Aura-Endpunkten.

Beim ersten Weg haben die Täter angerufen, sich als interne IT ausgegeben und Beschäftigte durch die OAuth-Freigabe einer angeblichen Datenlade-App gelotst. Getroffen hat es unter anderem Google, Cisco, Adidas, Qantas und den Versicherer Allianz Life.

Der zweite Weg zielt auf die Lieferkette, ähnlich wie beim Synopsys-Leck rund um die Bosch-Daten. Über gestohlene Token des Chat-Dienstleisters Salesloft Drift im August 2025 und der Kundenplattform Gainsight im November 2025 sind die Angreifer in fremde Salesforce-Instanzen gelangt. Wie schnell ein einziges geklautes Token zum Generalschlüssel wird, zeigte auch die VSCode-Lücke in github.dev. Googles Threat Intelligence Group zählt allein bei der Gainsight-Welle über 200 betroffene Organisationen[2].

Der dritte Weg nutzt schlecht abgesicherte Gast-Endpunkte der Aura-Technik und zieht darüber weit mehr Daten ab, als ein Gastkonto je sehen dürfte.

ShinyHunters gegen Salesforce: der Angriff ohne Lücke
Ein Jahr Datendiebstahl aus der CRM-Cloud, komplett über missbrauchtes Vertrauen
0
ausgenutzte Salesforce-Sicherheitslücken: kein Plattform-Bug im Spiel
3
Angriffswege: Sprach-Phishing, gekaperte Dienstleister, offene Gast-Endpunkte
200+
betroffene Organisationen allein in der Gainsight-Welle, laut Google
870.000 €
maximale Lösegeldforderung pro Firma (umgerechnet aus 1 Mio. US-Dollar, Kurs 0,87, Stand 15.07.2026)
So lief die Kampagne
ab Mitte 2025
Anrufe im Namen der IT lotsen Beschäftigte in die OAuth-Freigabe einer falschen Datenlade-App.
August 2025
Gestohlene Token beim Chat-Dienstleister Salesloft Drift öffnen fremde Salesforce-Konten.
November 2025
Über die Kundenplattform Gainsight trifft es mehr als 200 Organisationen.
bis Mitte 2026
Erpressung folgt oft erst Monate später, teils über die Plattform Klue.

Was NIS2 und DSGVO für deutsche Firmen bedeuten

Ein Abfluss von CRM-Daten ist ein meldepflichtiger Vorfall: Die DSGVO verlangt binnen 72 Stunden eine Meldung an die Aufsichtsbehörde, NIS2 rückt zusätzlich das Drittanbieter-Risiko in die Haftung der Geschäftsführung.

Adidas als betroffener DAX-Konzern zeigt, dass der DACH-Raum längst mitgemeint ist. Kundendaten in Salesforce sind personenbezogene Daten, ein Diebstahl löst die Meldepflicht nach Artikel 33 DSGVO aus und kann Schadenersatzforderungen nach sich ziehen.

Die seit 2024 geltende NIS2-Richtlinie verlangt ein aktives Lieferketten-Risikomanagement und macht aus einer gekaperten SaaS-Integration eine Vorstandsfrage, wie schon der Fall NIS2 als Haftungsfalle in der Produktionshalle gezeigt hat. Gerade der Mittelstand unterschätzt diese Kette, wie der Blick auf die oft fehlende Cyberversicherung belegt.

Drei Schritte lohnen sich sofort:

  • die verbundenen Apps im Salesforce-Setup prüfen und ungenutzte Freigaben entziehen,
  • das Ereignis-Monitoring über Salesforce Shield aktivieren,
  • im Support einen festen Rückruf-Prozess etablieren, damit sich niemand am Telefon glaubhaft als IT-Abteilung ausgeben kann.

Quellen

[1] Microsoft Security Blog: „Defending SaaS-based applications against ShinyHunters OAuth abuse“

[2] Google Threat Intelligence Group: „The Cost of a Call: From Voice Phishing to Data Extortion“

Mehr Newshunger?

4,3 16 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?