Ein Jahr lang haben Angreifer Salesforce-Umgebungen ausgeräumt, ohne eine einzige Sicherheitslücke der Plattform zu nutzen. Microsofts Threat Intelligence hat den Feldzug der Erpressergruppe ShinyHunters jetzt vollständig kartiert. Für jedes Unternehmen mit einem CRM in der Cloud steht damit eine unbequeme Frage im Raum.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDie Erpressergruppe ShinyHunters hat gezeigt, dass der teuerste Angriff auf ein CRM ganz ohne Hack auskommt. Statt Code zu knacken, haben die Täter das Vertrauen missbraucht, das Unternehmen ihren eigenen Apps und Dienstleistern längst geschenkt hatten. Microsoft ordnet die Kampagne einem Zeitraum von Mitte 2025 bis Mitte 2026 zu.
Das Wichtigste in Kürze
- Kein Plattform-Bug: Der Zugang lief über missbrauchte OAuth-Freigaben, nicht über eine Salesforce-Lücke.
- Drei Angriffswege: gefälschter IT-Support am Telefon, gekaperte Dienstleister, offene Gast-Endpunkte.
- Über 200 Salesforce-Instanzen allein bei einer Welle betroffen, darunter Konzerne wie Adidas und Cisco.
- Lösegeldforderungen bis 870.000 Euro pro Unternehmen, oft Monate nach dem eigentlichen Einbruch.
Warum kein Salesforce-Bug im Spiel war

ShinyHunters hat keine Software-Schwachstelle ausgenutzt, sondern gültige OAuth-Freigaben. Ein einmal bestätigtes Token behält die Rechte des Nutzers und bleibt selbst nach einem Passwortwechsel oder einer neuen Multi-Faktor-Anmeldung gültig.
Der Kern des Problems ist ein alter Bekannter der Sicherheitsforschung, das verwirrte Vertreterproblem: Eine autorisierte Anwendung darf auf Daten zugreifen, prüft aber nicht mehr, wer sie im Hintergrund wirklich steuert. Denselben Mechanismus zeigte bereits der Meta-KI-Vorfall über die Account-Sicherheit.
Genau deshalb greift die klassische Abwehr nicht. Die Multi-Faktor-Authentifizierung schützt die Anmeldung, nicht die Freigabe[1]. Sobald ein Mitarbeiter einer getarnten App zustimmt, läuft der Datenabfluss über einen legitimen Kanal und sieht in den Protokollen aus wie normale Arbeit.
Nicht die Firewall entscheidet über den Ernstfall, sondern die Frage, wem Ihre Mitarbeiter im Namen der IT einen Klick zu viel schenken. Ein CRM voller Kundendaten ist längst das eigentliche Kronjuwel.
— Markus Seyfferth, Chefredakteur Dr. Web
Drei Wege in dieselbe CRM-Datenbank
Microsoft und Googles Analysten trennen drei Muster: Sprach-Phishing mit gefälschtem IT-Support, gekaperte Dienstleister-Integrationen wie Salesloft Drift und Gainsight sowie falsch konfigurierte Gast-Zugänge auf Salesforce-Aura-Endpunkten.
Beim ersten Weg haben die Täter angerufen, sich als interne IT ausgegeben und Beschäftigte durch die OAuth-Freigabe einer angeblichen Datenlade-App gelotst. Getroffen hat es unter anderem Google, Cisco, Adidas, Qantas und den Versicherer Allianz Life.
Der zweite Weg zielt auf die Lieferkette, ähnlich wie beim Synopsys-Leck rund um die Bosch-Daten. Über gestohlene Token des Chat-Dienstleisters Salesloft Drift im August 2025 und der Kundenplattform Gainsight im November 2025 sind die Angreifer in fremde Salesforce-Instanzen gelangt. Wie schnell ein einziges geklautes Token zum Generalschlüssel wird, zeigte auch die VSCode-Lücke in github.dev. Googles Threat Intelligence Group zählt allein bei der Gainsight-Welle über 200 betroffene Organisationen[2].
Der dritte Weg nutzt schlecht abgesicherte Gast-Endpunkte der Aura-Technik und zieht darüber weit mehr Daten ab, als ein Gastkonto je sehen dürfte.
Was NIS2 und DSGVO für deutsche Firmen bedeuten
Ein Abfluss von CRM-Daten ist ein meldepflichtiger Vorfall: Die DSGVO verlangt binnen 72 Stunden eine Meldung an die Aufsichtsbehörde, NIS2 rückt zusätzlich das Drittanbieter-Risiko in die Haftung der Geschäftsführung.
Adidas als betroffener DAX-Konzern zeigt, dass der DACH-Raum längst mitgemeint ist. Kundendaten in Salesforce sind personenbezogene Daten, ein Diebstahl löst die Meldepflicht nach Artikel 33 DSGVO aus und kann Schadenersatzforderungen nach sich ziehen.
Die seit 2024 geltende NIS2-Richtlinie verlangt ein aktives Lieferketten-Risikomanagement und macht aus einer gekaperten SaaS-Integration eine Vorstandsfrage, wie schon der Fall NIS2 als Haftungsfalle in der Produktionshalle gezeigt hat. Gerade der Mittelstand unterschätzt diese Kette, wie der Blick auf die oft fehlende Cyberversicherung belegt.
Drei Schritte lohnen sich sofort:
- die verbundenen Apps im Salesforce-Setup prüfen und ungenutzte Freigaben entziehen,
- das Ereignis-Monitoring über Salesforce Shield aktivieren,
- im Support einen festen Rückruf-Prozess etablieren, damit sich niemand am Telefon glaubhaft als IT-Abteilung ausgeben kann.
Quellen
[1] Microsoft Security Blog: „Defending SaaS-based applications against ShinyHunters OAuth abuse“ ↩
[2] Google Threat Intelligence Group: „The Cost of a Call: From Voice Phishing to Data Extortion“ ↩
Mehr Newshunger?
- Der Gedächtnis-Raub: Wie eine präparierte Webseite Claude die Nutzerdaten entlockte
- 570 Sicherheitslücken an einem Tag: KI treibt Microsofts Patchday auf Rekordniveau
- Cursor-Zero-Day: Wenn nur noch die volle Offenlegung schützt
- SAP-Patchday im Juli: Eine 9,9-Lücke trifft den Kern jedes ABAP-Systems
- Kanadas Bankenaufsicht warnt vor Anthropics Claude Mythos: Das Zeitfenster zum Patchen schrumpft