Computer - IT-Sicherheit

Im Schatten der Cloud – Was der jüngste Salesforce-Hack über die unterschätzte Gefahr von Supply-Chain-Angriffen verrät

ARKM.marketing ARKM Clouddienste.
Sven Oliver Rüsche
0 0 4 Minuten gelesen
Salesforce Hack - immer wieder zeigt sich, wie wichtig Datenschutz ist!
Bild von Kris auf Pixabay - https://pixabay.com/de/photos/kreditkarte-bankkarte-der-diebstahl-1591492/

Es war ein gewöhnlicher Dienstagmorgen im August 2025, als Sarah Meiers, IT-Sicherheitsanalystin bei einem mittelständischen amerikanischen Unternehmen, ungewöhnliche Aktivitäten in den Protokolldateien entdeckte. Jemand hatte auf Kundendaten zugegriffen – von einem Server aus, der in keiner Verbindung zum Unternehmen stand. Was zunächst wie ein isolierter Vorfall wirkte, entpuppte sich rasch als Teil eines der weitreichendsten Cyberangriffe des Jahres: Ein Angriff, der ausgerechnet die Wächter der digitalen Sicherheit selbst ins Visier nahm.

Der Salesforce-Hack über die Workflow-Automatisierungsanwendung Salesloft traf nicht nur Tausende von Unternehmen weltweit, sondern unter den Opfern befanden sich ausgerechnet einige der führenden Cybersicherheitsanbieter der Welt. Ein Fall, der exemplarisch die wachsende Bedrohung durch sogenannte Supply-Chain-Angriffe verdeutlicht und eine unangenehme Frage aufwirft: Wie verwundbar sind mittlerweile selbst die Experten geworden?

Der Salesforce/Salesloft-Vorfall im Detail

Die Geschichte begann Anfang August 2025, als erste Berichte über ungewöhnliche Zugriffsversuche auf Salesforce-Datenbanken die Runde machten. Schnell kristallisierte sich heraus: Unbekannte Angreifer hatten Authentifizierungstoken für die mit Salesforce verbundene Sales-Engagement-Plattform “Salesloft” entwendet.

Diese Token sind wie digitale Schlüssel. Einmal in den Händen von Angreifern, öffnen sie Türen zu sensiblen Unternehmensdaten, ohne dass herkömmliche Sicherheitsmaßnahmen anschlagen. Die gestohlenen OAuth-Tokens ermöglichten es den Angreifern, sich als legitime Nutzer auszugeben, und ohne Aufmerksamkeit zu erregen in die Salesforce-CRM-Systeme der betroffenen Kunden einzudringen. Dort hatten sie freie Hand, wertvolle Geschäftsdaten abzugreifen.

Zu den kompromittierten Informationen gehörten Namen und geschäftliche Kontaktdaten, E-Mail-Adressen, Telefonnummern, Standortinformationen sowie Produktlizenzen und kommerzielle Informationen. Bei einigen Unternehmen wurden sogar Klartextinhalte aus Support-Tickets und sensible Konfigurationsdaten gestohlen.

Das genaue Ausmaß der verursachten Schäden ist noch nicht bekannt. Es darf aber davon ausgegangen werden, dass Incident-Response-Dienstleister, IT-Security-Fachleute und Spezialisten für RAID-Datenrettungen derzeit heiß begehrt sind.    

Die Betroffenen: Wenn die Wächter selbst zum Ziel werden

Die Liste der betroffenen Unternehmen liest sich wie ein Who’s Who der Cybersicherheitsbranche: Palo Alto Networks, Zscaler, Cloudflare, Tanium, Proofpoint, Tenable, CyberArk, SpyCloud, Rubrik, Cato Networks und BeyondTrust – allesamt Unternehmen, deren Kerngeschäft es ist, andere vor genau solchen Angriffen zu schützen.

Die Ironie dieser Situation unterstreicht die Raffinesse des Angriffs. Statt die schwer bewachte Haustür zu durchbrechen, gelangten die Angreifer über eine vertrauenswürdige Hintertür ins System – eine Strategie, die als Supply-Chain-Angriff bekannt ist.

Wie funktionieren Supply-Chain-Angriffe?

Auch wenn Sie persönlich jeden Tag Ihre Haustür doppelt verriegeln: Wenn der Postbote einen Generalschlüssel für alle Häuser in der Nachbarschaft hat und dieser gestohlen wird, ist die Mühe womöglich vergebens. Nach demselben Prinzip funktioniert ein Supply-Chain-Angriff: Statt direkt anzugreifen, kompromittieren Hacker einen vertrauenswürdigen Dritten mit privilegiertem Zugang.

Supply-Chain-Angriffe sind die trojanischen Pferde der modernen IT-Welt. Die Angreifer infiltrieren einen legitimen Dienst oder eine Software, die von vielen anderen Unternehmen genutzt wird. Sobald diese kompromittierte Komponente im Zielunternehmen eingesetzt wird, kann der Angriff beginnen.

Der Salesloft-Vorfall reiht sich ein in eine wachsende Liste von Supply-Chain-Angriffen. Längst nicht alle finden den Weg in eine größere Öffentlichkeit. Aber seit sich 2017 die NotPetya-Malware über eine ukrainische Buchhaltungssoftware verbreitete und weltweit Schäden in Milliardenhöhe verursachte, kommt es immer wieder zu Angriffen, die es in die IT-Nachrichten schaffen. Der SolarWinds-Hack von 2020, bei dem russische Hacker die Software-Updates eines weit verbreiteten IT-Management-Tools infiltrierten, betraf tausende Unternehmen und sogar US-Regierungsbehörden. 

Das Besondere am aktuellen Fall: Die Integration von Salesloft in das Salesforce-Ökosystem schuf eine besonders kritische Schwachstelle. Die Anwendung ist darauf ausgelegt, Vertriebsabläufe zu automatisieren und benötigt dafür weitreichenden Zugriff auf Kundendaten – ein Albtraum-Szenario, wenn diese Zugriffsrechte in falsche Hände geraten.

Die breitere Bedrohungslandschaft

Der Trend zu immer komplexeren IT-Infrastrukturen mit zahlreichen vernetzten Drittanbietern hat eine neue Ära der Cybersicherheit eingeläutet. Unternehmen nutzen heute durchschnittlich zwischen 80 und 170 verschiedene SaaS-Dienste (Software as a Service), wobei größere Unternehmen tendenziell mehr Services einsetzen als kleinere – jeder einzelne ein potenzieller Einfallspunkt für Angreifer.

Cloud-Dienste sind gleichzeitig Segen und Fluch. Sie ermöglichen beispiellose Effizienz und Skalierbarkeit, schaffen aber auch neue Abhängigkeiten und Angriffsvektoren.

Fast zwangsläufig werden die Drittanbieter in solchen vernetzten Infrastrukturen als vertrauenswürdig eingestuft, ohne ihre Sicherheitsmaßnahmen wirklich zu durchleuchten. Diese implizite Vertrauensstellung macht sie zu idealen Zielen für Angreifer, die nach dem Weg des geringsten Widerstands suchen.

Konsequenzen für Unternehmen

Für potenziell betroffene Unternehmen bedeutet der Salesforce-Hack unmittelbaren Handlungsbedarf. Experten empfehlen, Zugriffsrechte von Drittanbieter-Anwendungen zu überprüfen, Protokolle auf verdächtige Aktivitäten zu untersuchen und potenziell kompromittierte Zugangsdaten zu ändern.

Langfristig jedoch erfordert die wachsende Bedrohung durch Supply-Chain-Angriffe einen grundlegenden Paradigmenwechsel in der Unternehmenssicherheit. Vom kleinen Unternehmen bis zum Großkonzern: IT-Sicherheitskonzepte müssen überarbeitet und IT-Notfallpläne angepasst werden. “Zero Trust” lautet das Gebot der Stunde – ein Sicherheitsmodell, bei dem Vertrauen nie implizit gewährt wird, sondern jeder Zugriff kontinuierlich verifiziert werden muss, unabhängig davon, ob er von innerhalb oder außerhalb des Netzwerks erfolgt.

Es reicht nicht mehr, nur die eigenen Systeme abzusichern. Unternehmen kommen nicht darum herum, ihre gesamte digitale Lieferkette selbst unter die Lupe zu nehmen oder von Spezialisten überprüfen zu lassen – von Software-Anbietern über Cloud-Dienste bis hin zu externen Entwicklern.

In der Praxis heißt das:

  • Strikte Zugriffsbeschränkungen nach dem Prinzip der geringsten Berechtigung
  • Kontinuierliches Monitoring aller Systeme auf verdächtige Aktivitäten
  • Umfassende Protokollierung (Logging) aller Zugriffe
  • Implementierung von Multi-Faktor-Authentifizierung (MFA) für alle kritischen Systeme
  • Sorgfältige Prüfung von Drittanbietern und vertragliche Sicherheitsgarantien

Schlussbetrachtung und Ausblick

Der Salesforce-Hack über Salesloft könnte einen Wendepunkt in der Cybersicherheit markieren. Die Ereignisse führen unmissverständlich vor Augen, wie verwundbar selbst die Experten im IT-Security-Sektor sind, wenn die digitale Lieferkette kompromittiert wird. 

Die gute Nachricht: Der Vorfall hat ein Bewusstsein für diese unterschätzte Bedrohung geschaffen, Diskussionen angestoßen und Unternehmensverantwortliche weltweit sensibilisiert.

Die Zukunft der Cybersicherheit liegt nicht in höheren Mauern um die eigene IT-Infrastruktur, sondern im tieferen Verständnis und der sorgfältigen Absicherung des gesamten digitalen Ökosystems, in dem Unternehmen heute operieren.

 

 

ARKM.marketing
Schlagwörter
Sven Oliver Rüsche
0 0 4 Minuten gelesen

Sven Oliver Rüsche

Sven Oliver Rüsche ist Herausgeber von Business Echo und Gründer des ARKM Online Verlags aus Nordrhein-Westfalen. Er war mehrere Jahre Pressesprecher der Bergischen Familienunternehmer (ASU/BJU). In seinem Verlag ist er für Themen rund um den deutschsprachigen Mittelstand zuständig. Seine persönlichen Schwerpunkte liegen in den Bereichen Datenschutz, Unternehmens-PR, Energiewende, Telekommunikation und Internetthemen.

Ähnliche Artikel

Maxthon Labs und Intel gehen Partnerschaft zur Optimierung der GPU-Browsing-Technologie für Intel-CPUs der nächsten Generation ein

MetaTrader 5 Plattform wird unabhängige Software auf der DGCX

SSI-CEO Kees de Jong in neuer Position

Merkel und Kraft äußern sich auf Gipfelblog des Hasso-Plattner-Instituts

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ich willige ein, dass meine Angaben aus diesem Kontaktformular gemäß Ihrer Datenschutzerklärung erfasst und verarbeitet werden. Bitte beachten: Die erteilte Einwilligung kann jederzeit für die Zukunft per E-Mail an datenschutz@sor.de (Datenschutzbeauftragter) widerrufen werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Schaltfläche "Zurück zum Anfang"