FBI warnt vor neuen Cyberattacken auf deutsche Cloud-Systeme

Hochprofessionelle Betrüger greifen Unternehmen über gefälschte IT-Support-Anrufe an und erbeuten Millionen an Kundendaten. Das FBI schlägt Alarm: Zwei Hackergruppen nutzen KI-basierte Methoden, um selbst Multi-Faktor-Authentifizierung zu umgehen.

Die jüngste Warnung der US-Bundespolizei und der Cybersicherheitsbehörde CISA zeigt eine beunruhigende Entwicklung: Cyberkriminelle setzen zunehmend auf perfekt inszenierte Telefonanrufe und gefälschte Identitäten, um an Zugangsdaten für Cloud-Dienste wie Salesforce zu gelangen. Was diese Attacken so gefährlich macht? Sie kombinieren psychologische Manipulation mit technischer Raffinesse.

Besonders alarmierend: Die Angreifer geben sich als vertraute IT-Mitarbeiter aus und schaffen es so, selbst geschulte Angestellte zu täuschen. Deutsche Unternehmen, die verstärkt auf Cloud-Lösungen setzen, sollten diese Entwicklung ernst nehmen – denn die Methoden kommen garantiert auch nach Europa.

Perfekte Täuschung: Wenn falsche IT-Experten anrufen

Die Hackergruppe UNC6040 hat eine besonders heimtückische Strategie entwickelt. Seit Ende 2024 rufen die Kriminellen gezielt Call-Center-Mitarbeiter an und geben sich als IT-Support aus. Der Trick: Sie erwähnen gefälschte Support-Tickets und schaffen künstlichen Zeitdruck.

„Guten Tag, hier spricht der IT-Support. Wir haben ein dringendes Ticket für Ihr Salesforce-Konto und benötigen Ihre Zugangsdaten zur Verifizierung.“ Was wie Routine klingt, ist der Beginn eines millionenschweren Datendiebstahls.

Haben die Betrüger erst einmal Benutzername, Passwort und den MFA-Code, nutzen sie Tools wie den Salesforce Data Loader, um massenhaft Kundendaten zu stehlen. Noch perfider: Sie überreden ihre Opfer, schädliche Apps zu autorisieren, die dauerhaften Zugriff gewähren – selbst wenn Passwörter später geändert werden.

OAuth-Tokens als neues Einfallstor

Parallel dazu nutzte die Gruppe UNC6395 eine völlig andere Schwachstelle: kompromittierte OAuth-Tokens der KI-Chatbot-Software Salesloft Drift. Diese Tokens, eigentlich zur sicheren Verbindung zwischen verschiedenen Anwendungen gedacht, wurden zum Generalschlüssel für Salesforce-Systeme.

Den ganzen August 2025 hindurch konnten die Angreifer unbemerkt Daten abziehen. Erst am 20. August reagierten Salesforce und Salesloft und sperrten alle aktiven Tokens. Ein Wettlauf gegen die Zeit – mit unklarem Ausgang für die betroffenen Unternehmen.

Diese Attacke offenbart ein systemisches Problem: Je mehr Software-Dienste miteinander vernetzt sind, desto mehr potentielle Schwachstellen entstehen. Ein kompromittierter Dienst kann zum Schlüssel für alle anderen werden.

Business Email Compromise: Das Milliarden-Problem

Die Salesforce-Attacken sind nur die Spitze des Eisbergs. Business Email Compromise (BEC) – die Manipulation von Geschäfts-E-Mails – ist zu einer globalen Epidemie geworden. Allein in den ersten drei Monaten 2025 stiegen diese Angriffe um 13 Prozent.

Die Zahlen sind erschreckend: Im Durchschnitt erbeuten Kriminelle 157.000 Dollar pro erfolgreicher Attacke. Im Mai 2025 lag der Durchschnitt bei Überweisungsbetrügereien sogar bei 96.200 Dollar. Warum sind diese Betrügereien so erfolgreich?

Die Psychologie der Macht: 89 Prozent aller BEC-Angriffe nutzen die Identität von CEOs oder anderen Führungskräften. Mitarbeiter zögern selten, wenn der vermeintliche Chef drängende Anweisungen gibt. Der konstruierte Zeitdruck tut sein Übriges – wer will schon den wichtigen Geschäftsabschluss gefährden?

KI macht Betrüger unheimlich überzeugend

Die neueste Eskalationsstufe: Künstliche Intelligenz macht Betrüger nahezu unerkennbar. Das FBI warnt explizit vor KI-generierten Sprachnachrichten, die Vorgesetzte oder Kollegen perfekt imitieren.

Ein besonders spektakulärer Fall zeigt das Ausmaß der Bedrohung: Ein Finanzverantwortlicher überwies 25 Millionen Dollar nach einem Videocall – ohne zu ahnen, dass er mit einem Deepfake-Video des CFOs sprach. Stimme, Gesicht, Gestik: alles täuschend echt, alles künstlich generiert.

Die Betrüger beschränken sich längst nicht mehr auf E-Mails. Microsoft Teams, LinkedIn, WhatsApp – jede Kommunikationsplattform wird zum potentiellen Werkzeug. Diese Multi-Kanal-Strategie umgeht traditionelle E-Mail-Filter und nutzt das Vertrauen, das Menschen in verschiedene Plattformen setzen.

Anzeige: Apropos WhatsApp, Teams und Co.: Viele Angriffe starten heute direkt auf dem Smartphone. Wollen Sie Ihr Android ohne teure Zusatz-Apps spürbar sicherer machen? Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt – perfekt für WhatsApp, Online?Banking und Shopping. Jetzt das kostenlose Android?Sicherheitspaket anfordern

Deutsche Unternehmen im Visier

Was bedeutet das für deutsche Unternehmen? SAP, Telekom und andere DAX-Konzerne nutzen ähnliche Cloud-Infrastrukturen wie die angegriffenen US-Firmen. Die verwendeten Methoden lassen sich problemlos auf deutsche Ziele übertragen.

Besonders gefährdet sind Unternehmen mit komplexen SaaS-Landschaften. Jede Schnittstelle zwischen verschiedenen Cloud-Diensten kann zum Einfallstor werden. Die Deutsche Telekom, die auf umfangreiche Salesforce-Integration setzt, oder Versicherungen mit vernetzten Kundensystemen – sie alle könnten im Fadenkreuz stehen.

Abwehrmaßnahmen: Skepsis als Erfolgsfaktor

Wie können sich Unternehmen schützen? Das FBI empfiehlt einen mehrschichtigen Ansatz:

Mitarbeiterschulung steht an erster Stelle: Telefonanrufe von vermeintlichen IT-Kollegen sollten grundsätzlich hinterfragt werden. Ein Rückruf über die offizielle Hotline kann Millionenschäden verhindern.

Technisch empfehlen die Behörden phishing-resistente Multi-Faktor-Authentifizierung und strenge Zugriffsbeschränkungen. API-Nutzung und OAuth-Integrationen müssen kontinuierlich überwacht werden. Verdächtige Aktivitäten fallen so früher auf.

Der wichtigste Rat: Gesunde Skepsis entwickeln. Wenn der Chef plötzlich per WhatsApp eine dringende Überweisung anordnet oder die IT per Telefonanruf Passwörter abfragt – Alarm!

Anzeige: Für alle, die privaten und beruflichen Chat-Kanälen vertrauen: Eine übersehene Einstellung kann Angreifern Tür und Tor öffnen. Dieser Gratis?Leitfaden zeigt praxistauglich, wie Sie Android absichern – von App?Berechtigungen bis Updates, inklusive Checkliste. Gratis-Download: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android?Smartphone

Die Zeiten harmloser Phishing-E-Mails mit Rechtschreibfehlern sind vorbei. Moderne Cyberkriminelle agieren mit der Präzision von Geheimdiensten und der Überzeugungskraft von Schauspielern. Nur wer das versteht, kann sich effektiv wehren.