Ein massiver Cyberangriff auf Salesforce sorgt weltweit für Aufsehen. Millionen sensibler Datensätze sollen von einer Hackergruppe gestohlen und im Darknet veröffentlicht worden sein. Betroffen sind zahlreiche namhafte Unternehmen aus unterschiedlichen Branchen. Während Ermittler den Vorfall untersuchen, versuchen betroffene Firmen, das Ausmaß des Schadens zu begrenzen.
Eine der größten Cyberattacken auf SaaS-Dienste der letzten Jahre
Über eine Milliarde Datensätze betroffen
Nach Angaben mehrerer Sicherheitsexperten handelt es sich beim jüngsten Salesforce-Datenleck um einen der größten jemals verzeichneten Datendiebstähle im SaaS-Bereich. Die Hackergruppe, die sich selbst „Scattered LAPSUS$ Hunters“ nennt, behauptet, nahezu eine Milliarde Datensätze aus Salesforce-Instanzen entwendet zu haben. Manche Quellen sprechen sogar von bis zu 1,5 Milliarden Datensätzen, die aus rund 760 Salesforce-Konten stammen sollen.
Die Täter gingen dabei äußerst gezielt vor. Sie nutzten laut Sicherheitsexperten keine Schwachstelle in der Salesforce-Plattform selbst, sondern kompromittierten sogenannte OAuth-Token über eine Drittanbieterintegration namens Salesloft Drift. Mit diesen Tokens konnten die Angreifer über legitime Schnittstellen Daten auslesen und exfiltrieren – ohne in die Kernarchitektur von Salesforce einzubrechen.
Social Engineering statt Systemfehler
Eine zentrale Frage lautete von Beginn an: Wie haben die Hacker überhaupt Zugriff auf Salesforce-Daten erhalten? Nach aktuellem Stand war kein direkter technischer Exploit im Spiel. Stattdessen setzten die Täter auf Social Engineering – insbesondere auf sogenanntes „Vishing“ (Voice-Phishing). Dabei gaben sich die Angreifer telefonisch als Mitarbeiter oder IT-Support aus und verleiteten Beschäftigte dazu, manipulierte Anwendungen zu installieren oder Zugriff auf verbundene Apps zu gewähren.
Diese Methode ist besonders gefährlich, da sie nicht auf technischen Schwachstellen, sondern auf menschlichem Vertrauen basiert. „Es war kein klassischer Systemeinbruch – es war Manipulation am Telefon“, erklärte ein Sicherheitsexperte. So gelang es der Gruppe, über gefälschte Supportanrufe OAuth-Token abzugreifen und so Zugriff auf Kundendaten zu erhalten.
Welche Unternehmen betroffen sind
Eine wachsende Liste prominenter Opfer
Zu den betroffenen Firmen zählen laut geleakter Liste namhafte Marken wie Disney, Cisco, Toyota, Adidas, IKEA, Chanel, KFC, Marriott, McDonald’s und viele weitere. Insgesamt sollen über 700 Unternehmen in 40 Ländern betroffen sein. Besonders hart traf es Branchen, die auf Cloud-CRM-Systeme angewiesen sind – darunter Einzelhandel, Gastgewerbe, Logistik und Technologie.
Auf der von den Hackern eingerichteten Leaksite werden aktuell 39 Firmen namentlich genannt. Dort drohen die Täter mit der Veröffentlichung weiterer Daten, sollte kein Lösegeld gezahlt werden. Die Erpresser fordern rund eine Milliarde US-Dollar, um die Veröffentlichung der restlichen Datensätze zu verhindern. Die Frist für Verhandlungen wurde laut Insidern auf den 10. Oktober gesetzt.
Keine Kompromittierung der Salesforce-Plattform selbst
Salesforce selbst hat in mehreren Stellungnahmen betont, dass die eigene Plattform nach aktuellem Kenntnisstand nicht kompromittiert wurde. Es gebe keine Hinweise auf Sicherheitslücken im Kernsystem. Stattdessen seien vor allem Schnittstellen und Drittanbieterintegrationen betroffen gewesen. „Unsere Plattform ist sicher. Wir arbeiten eng mit Sicherheitsbehörden und Partnern zusammen, um betroffene Kunden zu unterstützen“, erklärte ein Unternehmenssprecher.
Art und Umfang der gestohlenen Daten
Was genau gestohlen wurde
Nach ersten Analysen enthalten die entwendeten Daten umfassende CRM-Informationen: Namen, E-Mail-Adressen, Telefonnummern, Support-Transkripte, Notizen, Vertriebsdaten und in einigen Fällen sogar Zugangsdaten zu Cloud-Diensten wie AWS oder Snowflake. Besonders kritisch ist, dass die Daten nicht nur von Endkunden, sondern auch von Geschäftspartnern und internen Kommunikationssystemen stammen sollen.
Solche Informationen sind für Cyberkriminelle wertvoll, da sie gezielte Phishing- oder Identitätsdiebstahl-Kampagnen ermöglichen. Sicherheitsforscher warnen bereits vor Folgeangriffen, bei denen gestohlene Kundendaten für Social-Engineering-Aktionen gegen weitere Unternehmen genutzt werden könnten.
Risiken für Unternehmen und Kunden
Viele Unternehmen stehen nun vor der Frage, wie groß das tatsächliche Risiko ist. Die größte Gefahr liegt in der Kombination aus gestohlenen Identitätsinformationen und Zugangsdaten. Diese ermöglichen nicht nur Erpressung, sondern auch Industriespionage und gezielte Sabotage. CRM-Daten sind oft das Herzstück der Kundenkommunikation – ihr Verlust kann massive Reputations- und Vertrauensschäden nach sich ziehen.
Wie reagieren die Unternehmen und Salesforce?
Salesforce: „Wir zahlen kein Lösegeld“
Salesforce hat sich klar positioniert: Man werde keine Lösegeldforderungen erfüllen. Das Unternehmen arbeitet nach eigenen Angaben eng mit internationalen Sicherheitsbehörden und Forensik-Teams zusammen. Zudem wurden betroffene Integrationen, darunter Salesloft Drift, vorübergehend vom AppExchange entfernt, um weitere Angriffe zu verhindern. Alle kompromittierten OAuth-Tokens wurden widerrufen.
Auch andere betroffene Firmen haben erste Maßnahmen ergriffen: interne Sicherheitsprüfungen, temporäre Sperrungen von Zugängen und verstärkte Kommunikation mit Kunden. Einige Konzerne bereiten laut Forenberichten sogar rechtliche Schritte gegen Drittanbieter vor, die möglicherweise zur Schwachstelle beitrugen.
Empfohlene Sicherheitsmaßnahmen
Cybersecurity-Experten raten Unternehmen dringend, ihre verbundenen Anwendungen (Connected Apps) zu überprüfen und ungenutzte OAuth-Tokens zu widerrufen. Weitere empfohlene Maßnahmen sind:
- Audits verbundener Anwendungen: Kontrolle aller Drittanbieter-Zugriffe
- Multi-Faktor-Authentifizierung (MFA): Pflicht für alle Salesforce-Logins
- IP-Beschränkungen: Zugänge nur aus vertrauenswürdigen Netzwerken
- Principle of Least Privilege: Nur notwendige Zugriffsrechte gewähren
- Security-Awareness-Schulungen: Mitarbeiter sensibilisieren gegen Social Engineering
Hintergrund: Die neue Welle gezielter SaaS-Angriffe
Ziel: Zugriff über Integrationsketten
Der Angriff auf Salesforce reiht sich in eine wachsende Serie von Attacken ein, die gezielt auf Cloud- und SaaS-Anwendungen abzielen. Das Motiv: Mit einem erfolgreichen Angriff auf eine weit verbreitete Plattform können Cyberkriminelle gleichzeitig Hunderte von Unternehmen kompromittieren. Experten sprechen von einer gefährlichen „Vertrauensketten-Ausnutzung“ – Angreifer nutzen legitime Verbindungen zwischen Systemen, um sich Zugang zu verschaffen.
Ein Blogbeitrag des Sicherheitsunternehmens WithSecure beschreibt diesen Trend als „Paradigmenwechsel in der Cyberkriminalität“. Statt Firewalls zu umgehen, nutzten Angreifer nun den „offiziellen Weg“ über Integrationen, OAuth und API-Zugänge – oft ohne sofort aufzufallen.
Zusammenarbeit bekannter Hackergruppen
Sicherheitsforscher vermuten, dass die „Scattered LAPSUS$ Hunters“ mit bekannten Gruppen wie ShinyHunters, Scattered Spider und Lapsus$ zusammenarbeiten. Diese Hacker-Kollektive sind bereits durch großangelegte Datenlecks bei Microsoft, Uber und Samsung aufgefallen. Die aktuelle Attacke zeigt, dass sie nun ihre Aktivitäten auf Cloud-CRM-Plattformen ausweiten.
Diskussion in sozialen Medien und Fachforen
Reddit und X als Frühwarnsysteme
In den sozialen Netzwerken, insbesondere auf Reddit und X (vormals Twitter), wurde das Salesforce-Datenleck bereits Tage vor der offiziellen Bestätigung diskutiert. Nutzer aus dem Subreddit r/cybersecurity dokumentierten, dass Salesloft die Drift-Integration bereits am 20. August deaktivierte und Tokens widerrief. Viele Fachleute tauschen dort Best Practices zur Schadensbegrenzung aus – etwa zur Protokollierung von API-Aufrufen und zur Minimierung von Berechtigungen.
Welle von Klagen und Reputationsschäden
Auf Reddit-Threads wurde zudem diskutiert, dass gegen Salesforce und mehrere Partnerunternehmen bereits über ein Dutzend Klagen eingereicht worden sein sollen. Dabei geht es weniger um den eigentlichen Angriff als um mögliche Versäumnisse in der Sicherheitskommunikation. In den Diskussionen wird auch auf steigende Phishing-Aktivitäten und Reputationsverluste hingewiesen, die viele Unternehmen nun befürchten müssen.
Lehren aus dem Salesforce-Datenleck
Was Unternehmen jetzt tun sollten
Das Salesforce-Datenleck zeigt, dass Datensicherheit nicht allein vom Anbieter abhängt. Viele Unternehmen vernachlässigen die Überprüfung ihrer Schnittstellen, Integrationen und verbundenen Tools. Experten empfehlen, Sicherheitsrichtlinien neu zu definieren und regelmäßige Penetrationstests durchzuführen, um ähnliche Angriffe künftig zu verhindern.
Darüber hinaus sollte jedes Unternehmen klare Prozesse für den Notfall festlegen – inklusive Kommunikationsstrategien, Incident-Response-Teams und rechtlicher Vorbereitung auf mögliche Datenschutzverstöße. Auch die Schulung von Mitarbeitern bleibt ein zentraler Faktor, um Social-Engineering-Angriffe frühzeitig zu erkennen.
Ein Angriff, der Branchen wachrüttelt
Obwohl Salesforce selbst keine Sicherheitslücke aufweist, hat dieser Angriff die Verwundbarkeit moderner Unternehmensinfrastrukturen offengelegt. Der Vorfall könnte zu neuen Branchenstandards im Umgang mit SaaS-Sicherheitsarchitekturen führen. Schon jetzt prüfen zahlreiche Anbieter ihre App-Marktplätze und Integrationsprozesse, um vergleichbare Angriffe zu verhindern.
Ausblick auf die Folgen für die digitale Wirtschaft
In den kommenden Wochen wird sich zeigen, ob die geleakten Daten zu weiteren Angriffen führen. Behörden weltweit untersuchen die Vorgänge, während betroffene Unternehmen den Schaden zu begrenzen versuchen. Der Angriff auf Salesforce ist ein mahnendes Beispiel dafür, wie komplex die Sicherheitslage im Cloud-Zeitalter geworden ist – und wie dringend Unternehmen ihre Abhängigkeit von Drittanbietern überdenken müssen.
Fest steht: Der Datendiebstahl hat eine neue Qualität erreicht. Nicht mehr einzelne Systeme, sondern ganze Ökosysteme geraten ins Visier der Cyberkriminalität. Der Fall Salesforce markiert damit möglicherweise den Beginn einer neuen Phase im globalen Kampf um Datensicherheit.
