Ein großangelegter Datenklau hat das Vertrauen in Cloud-Dienste erneut erschüttert: Salesforce wurde Ziel eines raffinierten Cyberangriffs, der sensible Unternehmensdaten kompromittierte. Für die betroffenen Firmen kann der Vorfall weitreichende Folgen haben – finanziell wie reputativ. Doch wie kam es dazu, und wie können sich andere Unternehmen künftig besser schützen?
Der Fall Salesforce: Neue Dimension des Datendiebstahls
Im August 2025 bestätigte Salesforce einen gravierenden Sicherheitsvorfall: Unbekannte Cyberkriminelle hatten über Wochen hinweg unbemerkt Zugriff auf sensible Kundendaten erlangt. Dabei handelt es sich nicht um ein isoliertes Ereignis, sondern um ein komplexes Angriffsszenario, das offenbar durch eine koordinierte internationale Hackergruppe – mutmaßlich mit Verbindungen zum berüchtigten ALPHV-Kollektiv – durchgeführt wurde.
Laut ersten Forensik-Erkenntnissen nutzten die Angreifer gestohlene Zugangsdaten, die über Phishing-Kampagnen und Zugangsdaten-Leaks auf Darknet-Marktplätzen gesammelt wurden. Durch seitlich ausgeweitete Angriffe (lateral movement) und sogenannte OAuth-Missbrauchstechniken gelang es den Angreifern, Zugriff auf diverse Salesforce-Instanzen zu erlangen – darunter auch persönliche Kundendaten, Projektdokumentationen und API-Zugänge von Integrationspartnern.
Bedrohungslage: Cloud-Umgebungen zunehmend im Fadenkreuz
Cloud-Dienste wie Salesforce sind aus modernen Unternehmensarchitekturen nicht mehr wegzudenken. Doch gerade ihre zentrale Rolle macht sie zum attraktiven Angriffsziel. Eine Untersuchung des Ponemon Institute aus dem Jahr 2024 ergab, dass 61 % aller Unternehmen in den letzten 12 Monaten mindestens einen sicherheitsrelevanten Vorfall in einer SaaS-Anwendung registriert haben. Besonders besorgniserregend: Nur 28 % der befragten Organisationen gaben an, ihre Cloud-Infrastruktur adäquat überwachen und absichern zu können.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht 2024 vor der wachsenden Bedeutung sogenannter „Supply Chain Attacks“ in Cloud-Ökosystemen. Angreifer zielen dabei gezielt auf zentrale Plattformen, um nachgelagerte Partner und Kunden mit auszuspähen oder zu erpressen. Im aktuellen Fall traf es nicht nur einzelne Kunden, sondern potenziell hunderte Unternehmen weltweit, die Salesforce als zentrale CRM-Lösung einsetzen.
Methoden der Angreifer: Phishing, OAuth-Missbrauch, Kaskadeneffekt
Die Ermittlungen zeigen, dass die Angreifer mit gezielten Spear-Phishing-Kampagnen begannen, bei denen sie Salesforce-Administratoren E-Mails mit täuschend echten Single-Sign-On-Loginmasken zuspielten. Eine initial kompromittierte E-Mail-Adresse genügte, um über Rechteausweitung (Privilege Escalation) Zugriff auf weitere interne Systeme zu erhalten. Besonders perfide: In zahlreichen Fällen wurde der OAuth-Token kompromittiert und für API-Zugriffe auf Systemintegrationen missbraucht – ohne dass ein klassisches Passwort erforderlich war.
Die Hacker bewegten sich unauffällig durch die Salesforce-Reports, werteten Metadaten aus und extrahierten regelmäßig Kundendaten über unsichtbare Schnittstellen. In mindestens 17 bekannten Fällen kam es zur gezielten Exfiltration sensibler Daten wie Kundennamen, Kontakthistorien, Zahlungstrecken und hochgeladener Dokumente. In Foren auf der Darknet-Plattform BreachForums tauchten wenig später Angebote auf, in denen exakt diese Datensätze für hohe Summen verkauft wurden.
Wichtiger Kontext: Salesforce bestätigte in seinem Transparent-Cybersecurity-Bericht vom September 2025, dass keine Infrastruktur-Daten auf Plattformebene kompromittiert wurden. Vielmehr nutzten die Angreifer offene Konfigurationen auf Kundenseite. Dies legt den Fokus klar auf geteilte Sicherheitsverantwortung (Shared Responsibility Model).
Konsequenzen für Unternehmen: Imageschäden und rechtliche Risiken
Für betroffene Unternehmen bedeutet der Vorfall mehr als nur ein IT-Incident. Neben dem akuten Vertrauensverlust bei Kunden und Partnern drohen auch rechtliche Konsequenzen – insbesondere nach DSGVO-Art. 33 und 34, wonach Datenlecks binnen 72 Stunden der zuständigen Datenschutzbehörde zu melden sind. Die Bußgelder können dabei bis zu 4 % des weltweiten Jahresumsatzes betragen.
Ein Beispiel: Das Berliner Fintech Creditum, ein Salesforce-Kunde, musste im Zuge der Vorfälle rund 80.000 betroffene User informieren und erklärte in einem Statement, dass es zu ersten Vertragsauflösungen durch B2B-Kunden gekommen sei. Das Unternehmen bewertet den Schaden aktuell auf über 1,2 Millionen Euro.
Auch Versicherungen haben reagiert. So erläuterte der Cyberversicherer Hiscox in einem Fachpanel der it-sa Nürnberg 2025, dass die Schadenshöhen bei Cloud-bezogenen Datenpannen um über 65 % gestiegen seien – nicht zuletzt wegen Folgekosten aus Reputationsverlusten und forensischen Analysen.
Wie können sich Unternehmen schützen? Prävention ist entscheidend
Der Salesforce-Vorfall zeigt eindrücklich, wie verletzlich selbst große und etablierte Plattformen sein können – insbesondere wenn Konfigurationen und Zugriffskontrollen auf Kundenseite vernachlässigt werden. Umso wichtiger sind strukturelle Sicherheitsmaßnahmen auf technischer und organisatorischer Ebene:
- Multi-Faktor-Authentifizierung erzwingen: Besonders Admin-Konten sollten grundsätzlich nur mit MFA gesichert sein – idealerweise mit hardwarebasierten Security-Keys statt SMS-Codes.
- Regelmäßige Berechtigungsüberprüfungen: Benutzerrechte und Integrationen sollten mindestens einmal pro Quartal geprüft und veraltete API-Zugänge deaktiviert werden.
- Anomalieerkennung aktivieren: Moderne Security-Tools bieten mittlerweile ML-gestützte Behavioral Analytics, die ungewöhnliche Login-Zeiten oder Datenmuster erkennen.
Darüber hinaus empfiehlt das BSI ausdrücklich eine kontinuierliche Security-Awareness-Schulung für alle Mitarbeitenden – insbesondere für jene, die Zugang zu SaaS- oder Admin-Funktionen haben. Phishing-Tests und Social-Engineering-Simulationen können hier die Sensibilität erhöhen.
Vorbereitung auf den Ernstfall: Incident Response und Meldeprozesse
Selbst bei bester Vorbereitung besteht keine hundertprozentige Sicherheit. Daher gehört ein strukturierter Notfallplan (Incident Response Plan) zur Grundausstattung jedes Unternehmens. Er sollte Dokumentationsprozesse, Eskalationsstufen, forensische Ressourcen und Kommunikationsrichtlinien beinhalten – sowohl intern als auch extern (z. B. gegenüber der Aufsichtsbehörde).
Laut einer IBM-Studie zur Cost of a Data Breach 2024 liegt der durchschnittliche Schaden eines Datenlecks bei rund 4,45 Millionen US-Dollar. Unternehmen mit einem getesteten Incident-Plan konnten ihre finanziellen Schäden im Durchschnitt um 54 % reduzieren. Diese Zahlen verdeutlichen, wie entscheidend gut vorbereitete Reaktionen auf Cyberangriffe sind.
Im Fall Salesforce wurde der Angriff teilweise durch externe Red-Teaming-Aktivitäten aufgedeckt, die Unregelmäßigkeiten im OAuth-Token-Management identifizierten. Auch auf Kundenseite war es ein interner Pentest bei einem südafrikanischen Energieunternehmen, der verdächtige API-Aufrufe aufdeckte und letztlich Salesforce zur Offenlegung bewegte.
Geteilte Verantwortung ernst nehmen: Was der Fall lehrt
Ein zentrales Learning aus dem Salesforce-Vorfall ist die konsequente Anwendung des Shared Responsibility Models in der Cloud: Salesforce stellt die Plattform bereit, doch die Verantwortung für Konfiguration, Identitätsmanagement und Datenklassifizierung liegt beim Nutzer.
IT-Abteilungen und CISOs sollten deshalb nicht nur technische Kontrollmechanismen etablieren, sondern auch Richtlinien, Prozesse und Verantwortlichkeiten in ihrer Cloud Governance verankern. Dazu zählen auch verpflichtende Penetrationstests, die Dokumentation der API-Freigaben und eine geprüfte Logging-Infrastruktur – möglichst mit SIEM-Anbindung.
Aktuelle Cloud Security Frameworks wie das CIS Controls v8 oder ISO/IEC 27017 bieten hier konkrete Hilfestellungen, wie sichere SaaS-Nutzung umgesetzt werden kann. Salesforce selbst hat infolge des Vorfalls seine Admin-Checklisten überarbeitet und neue Warnmeldungen für riskante Token-Nutzung eingeführt (Release Notes Q4/2025).
Fazit: Datensicherheit ist ein Teamsport
Der Datendiebstahl bei Salesforce markiert keine Ausnahme, sondern verdeutlicht die Realität eines digital vernetzten Zeitalters: Plattformen, Partner und Prozesse bilden komplexe Angriffsflächen, die ganzheitlich geschützt werden müssen. Unternehmen dürfen sich nicht auf die Sicherheit großer Anbieter verlassen – sie sind Teil eines geteilten Sicherheitsnetzwerks.
Welche Lehren zieht Ihr Unternehmen aus dem Vorfall? Haben Sie bereits Ihre SaaS-Konfigurationen überprüft? Diskutieren Sie mit uns in den Kommentaren und teilen Sie Best Practices aus Ihrem Arbeitsalltag. Cybersicherheit ist kein Produkt – sondern ein kontinuierlicher Prozess.
