Ein Phishing-Angriff auf einen Drittanbieter entwickelt sich zur branchenweiten Sicherheitskrise: Millionen Kundendaten der australischen Fluggesellschaft Qantas sind öffentlich einsehbar – Ursache ist eine gravierende Sicherheitslücke in einem Salesforce-Cloud-System. Was dahinter steckt und was Unternehmen jetzt lernen müssen.
Ein Datenleck mit internationalen Folgen
Im September 2025 wurde bekannt, dass vertrauliche Kundendaten von mehr als 3,2 Millionen Qantas-Kunden öffentlich zugänglich waren – darunter Namen, E-Mail-Adressen, Vielfliegernummern und teilweise Reisedaten. Die Ursache: Eine kompromittierte Drittanbieter-Anwendung, die mit einem Salesforce-CRM (Customer Relationship Management) integriert war. Angreifer nutzten gestohlene Zugangsdaten aus einem gezielten Phishing-Angriff, um sich langfristig Zugriff auf produktive Datenbestände zu verschaffen.
Die Unternehmensleitung von Qantas sprach in einer Pressemitteilung von einem „groben Versagen grundlegender Sicherheitsprotokolle“ und kündigte eine vollständige Überprüfung aller integrationsbasierten Cloud-Zugriffe an. Salesforce selbst wies darauf hin, dass der Angriff nicht direkt auf seine Plattform, sondern auf die Konfiguration durch den Kunden zurückzuführen sei – eine klassische Shared-Responsibility-Konstellation in Cloud-Sicherheitsfragen.
Wie konnte es so weit kommen?
Nach bisherigen Erkenntnissen gelang es den Angreifern, mithilfe einer täuschend echten Phishing-Mail die Zugangsdaten eines Mitarbeiters eines australischen Loyalty-Programmanbieters abzufangen. Dieser Dienstleister nutzte eine API-Anbindung zur Salesforce-Plattform, auf der sensitive Vielfliegerdaten lagerten.
Durch mangelnde Zugriffskontrollen, fehlende MFA-Anforderungen (Multi-Factor Authentication) und inkonsistente Protokollierung innerhalb der Salesforce-Integration blieb der unberechtigte Zugriff über Wochen hinweg unentdeckt. Laut Angaben des australischen Office of the Australian Information Commissioner (OAIC) begann die Kompromittierung bereits Ende Juli 2025 und wurde erst am 4. September festgestellt.
Die Daten wurden in einschlägigen Foren im Darknet zum Verkauf angeboten – mit Einzelpreisen von bis zu 5 US-Dollar pro Datensatz. Experten befürchten nun vermehrt gezielte Spear-Phishing- oder Social-Engineering-Kampagnen gegen Vielflieger-Kunden, insbesondere im Geschäftsreiseumfeld.
Cloud-Sicherheit ist geteilte Verantwortung
Die Sicherheitsstruktur in cloudbasierten Systemen wie Salesforce folgt einem Shared-Responsibility-Modell: Während der Anbieter für die Infrastruktur verantwortlich ist, liegt die Verantwortung für Datenzugriff, Benutzerkonten und Integrationen beim Kunden. Fehlkonfigurationen wie offene API-Endpunkte oder fehlende Audit-Logs zählen laut Gartner zu den Top-3-Risiken für Datenlecks in SaaS-Anwendungen.
Laut dem „2024 Cloud Security Report“ von Cybersecurity Insiders geben 57 % der befragten Unternehmen an, dass sie in den letzten 12 Monaten mindestens eine sicherheitsrelevante Fehlkonfiguration in ihrer SaaS-Umgebung festgestellt haben. In spezialisierten Branchen wie Luftfahrt oder Gesundheitswesen ist die Angriffswahrscheinlichkeit aufgrund hoher personenbezogener Datenmengen besonders hoch.
Was Unternehmen aus dem Incident lernen müssen
Experten wie Dr. Eva Scholz, Professorin für IT-Compliance an der Universität Frankfurt, sehen eine zunehmende Blindheit gegenüber Integrationen als kritisches Risiko: „Viele Sicherheitsstrategien fokussieren auf Endgeräte oder Netzwerke, doch gerade Third-Party-APIs geraten in der Cloud-Ära aus dem Fokus. Die Integration selbst wird oft nicht wie ein System behandelt – mit fataler Wirkung.“
Auch Salesforce hat als Reaktion auf den Vorfall angekündigt, Kunden künftig stärker bei der Absicherung benutzerdefinierter Integrationen zu unterstützen. Neue Tools zur automatisierten Risikoanalyse von Integrationen auf Rollen-, Rechte- und Zugriffsebene sollen ab Q1 2026 zur Verfügung stehen.
Die Qantas-Krise zeigt eindrücklich, dass nicht nur Softwarelücken, sondern mangelhafte Konfigurationen und unbeaufsichtigte Schnittstellen zu einem Desaster führen können.
Empfohlene Maßnahmen zur Prävention
Organisationen, die Salesforce oder ähnliche SaaS-Plattformen nutzen, sollten die folgenden Sicherheitsmaßnahmen umsetzen:
- Zero Trust bei Integrationen: Drittanbieter sollten nur minimal erforderliche Zugriffsrechte erhalten – alles andere wird prinzipiell verweigert.
- API-Governance etablieren: Jedes API sollte dokumentiert, versioniert und mit Authentifizierungsrichtlinien versehen sein.
- Audit und Monitoring: Verdächtige Datenzugriffe müssen in Echtzeit erkannt und rückverfolgbar sein. Security Information and Event Management (SIEM)-Systeme helfen bei der Aggregation.
Zusätzlich ist eine kontinuierliche Schulung aller Mitarbeiter in Bezug auf Phishing, Zugriffskontrollen und „Shadow IT“ unerlässlich.
Laut einer Studie von Proofpoint aus dem Jahr 2025 gehören 84 % aller erfolgreichen Datenpannen auf Nutzerebene zu klassischen Social-Engineering-Angriffen – ein alarmierender Indikator, wie wichtig menschliche Faktoren bleiben.
Politische und regulatorische Implikationen
Angesichts der Schwere des Vorfalls wird in Australien bereits über eine gesetzlich verpflichtende Auditpflicht für alle kritischen Cloud-Integrationen diskutiert. Die Australian Competition and Consumer Commission (ACCC) hat Ermittlungen gegen Qantas und seinen Loyalty-Partner aufgenommen. Im Raum steht der Verstoß gegen die „Australian Privacy Principles“ (APP), die eine Risikofolgeabschätzung vor jeder Datentransparenz an Dritte fordert.
Auch auf EU-Ebene dürfte der Vorfall Wirkung zeigen: Die EU-Datenschutzaufsichtsbehörden betrachten vergleichbare Konstellationen zunehmend als Verletzung der DSGVO-Auftragsverarbeitungspflichten, sollten Kontrollmechanismen fehlen. Unternehmen, die mit europäischen Kundendaten arbeiten, sollten ihre Data Processing Agreements (DPAs) überdenken.
Fazit: Datensicherheit beginnt vor der Cloud
Die Salesforce-Qantas-Krise fungiert als Paradebeispiel für eine Serie von Versäumnissen – nicht auf technischer, sondern auf personell-operativer Ebene. Schwache Third-Party-Kontrollen, unzureichende API-Sicherheit und Social Engineering bildeten eine toxische Kombination. Unternehmen, die derartige Plattformen nutzen, müssen dringend ihre Sicherheitskultur und -architektur verbessern.
Nicht zuletzt zeigt der Vorfall eines deutlich: Jeder Phish kann zum Hack werden – und jeder Hack zur Katastrophe. Gerade im Cloud-Zeitalter gewinnt Sicherheit entlang der Integrationsstrecken an strategischer Relevanz. IT-Sicherheit muss deshalb viel stärker auch in Business- und Vertragsentscheidungen verankert werden.
Diskutieren Sie mit: Wie gehen Sie mit Third-Party-Risiken in Ihrer Cloud-Architektur um? Haben Sie bereits automatisierte Schutzmechanismen für API-Zugriffe im Einsatz? Teilen Sie Ihre Perspektive und Best Practices in den Kommentaren!
