Salesforce: Datenleck über Drittanbieter-App offenbart neue Sicherheitslücke

Über eine kompromittierte Integration der Gainsight-Software konnten Angreifer auf sensible Kundendaten zugreifen. Salesforce reagierte drastisch – und enthüllte damit eine kritische Schwachstelle im gesamten Cloud-Ökosystem.

Zum zweiten Mal binnen Jahresfrist trifft ein massiver Sicherheitsvorfall die Salesforce-Umgebung. Diesmal führte der Weg der Hacker nicht über die Plattform selbst, sondern über eine vermeintlich harmlose Kundenerfolgs-Software namens Gainsight. Was zunächst nach einem isolierten Zwischenfall aussah, entpuppt sich als systematischer Angriff auf das Fundament moderner Cloud-Sicherheit: die vernetzten Drittanbieter-Apps.

Gefährliche Hintertür im App-Marktplatz

Die verdächtige Aktivität entdeckte Salesforce bereits Anfang dieser Woche. Über Gainsight-Anwendungen, die im firmeneigenen AppExchange-Marktplatz verfügbar waren, verschafften sich Unbefugte Zugang zu Kundendaten. Die Besonderheit: Die Angreifer nutzten legitime OAuth-Tokens – digitale Zugangschlüssel, die Kunden selbst bei der App-Installation erteilt hatten.

OAuth-Tokens wirken wie Generalschlüssel – ein einziger Missbrauch kann Hunderte von Systemen öffnen. Studien zeigen, dass viele Unternehmen bei Supply-Chain- und Integrations-Angriffen nicht ausreichend vorbereitet sind. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt aktuelle Bedrohungsbilder, einfache Schutzmaßnahmen für Integrationen und konkrete Schritte, wie Sie Drittanbieter-Apps sicherer machen. Ideal für IT-Verantwortliche und Entscheider. Gratis E‑Book “Cyber Security Awareness Trends” herunterladen

Salesforce zog umgehend die Notbremse. Sämtliche Zugriffsrechte für Gainsight-Anwendungen wurden widerrufen, die Software aus dem Marktplatz entfernt. Eine Maßnahme, die zwar den Datenabfluss stoppte, aber auch zahlreiche Unternehmen mitten im Geschäftsbetrieb traf.

Gainsight bestätigte die Untersuchungen und sperrte vorsorglich auch seine Apps auf anderen Plattformen wie HubSpot und Zendesk. Über 200 Salesforce-Instanzen könnten betroffen sein, wie Analysten der Google Threat Intelligence Group ermittelten.

ShinyHunters: Die gleiche Masche, der gleiche Täter?

Hinter dem Angriff vermuten Experten die berüchtigte Hacker-Gruppe ShinyHunters (auch als UNC6240 bekannt). Die Parallelen zu einem früheren Vorfall sind frappierend: Im Januar 2025 hatten dieselben Akteure bereits über die Drift-App des Anbieters Salesloft Hunderte Organisationen kompromittiert.

Austin Larsen von Googles Bedrohungsanalyse-Team sieht ein klares Muster: „Die Angreifer nutzen gezielt die Supply-Chain-Strategie. Warum sollten sie die gehärteten Verteidigungslinien von Salesforce direkt angreifen, wenn sie durch die Hintertür der Drittanbieter spazieren können?”

Die Methode ist perfide. Kunden installieren Apps wie Gainsight, weil sie Arbeitsabläufe vereinfachen. Dabei gewähren sie weitreichende Zugriffsrechte auf ihre Salesforce-Daten – ohne die Sicherheitsarchitektur der Drittanbieter im Detail zu kennen.

Der neue Schwachpunkt heißt Integration

Sicherheitsexperten schlagen Alarm. Jaime Blasco, Mitgründer von Nudge Security, warnt: „Wir müssen umdenken. Die klassische Firewall ist Geschichte – der neue Perimeter sind die Tausenden Apps und Integrationen, die wir täglich nutzen.”

Brian Soby, technischer Chef bei AppOmni, sieht vor allem ein Lerndefizit: „Viele Unternehmen haben aus dem Drift-Vorfall nichts gelernt. Der Gainsight-Angriff zeigt: Die Hacker haben verstanden, dass diese Taktik funktioniert – und setzen sie konsequent fort.”

Was macht diese Angriffsform so gefährlich? OAuth-Tokens sind wie digitale Generalschlüssel konzipiert. Einmal kompromittiert, öffnen sie alle Türen – ohne dass Passwörter geknackt oder Firewalls überwunden werden müssen. Die Angreifer bewegen sich mit legitimen Zugriffsrechten durch die Systeme.

Salesforce unter Druck: Vertrauensfrage im Cloud-Zeitalter

Für Salesforce steht mehr auf dem Spiel als technische Schadensbegrenzung. Das Unternehmen muss beweisen, dass sein App-Ökosystem beherrschbar bleibt. Die schnelle Entfernung von Gainsight aus dem AppExchange sendet eine klare Botschaft: Null Toleranz bei Sicherheitsvorfällen.

Doch grundsätzliche Fragen bleiben offen: Wie gründlich prüft Salesforce seine Marketplace-Partner? Wie oft werden Sicherheitsaudits durchgeführt? Und vor allem: Wer haftet, wenn über Drittanbieter-Apps Kundendaten abfließen?

Die Antworten dürften auch Regulierungsbehörden in Europa und den USA interessieren. Bei über 200 potenziell betroffenen Unternehmen könnte die DSGVO-Meldepflicht greifen – mit entsprechenden Konsequenzen.

Was Unternehmen jetzt tun müssen

Die unmittelbare Empfehlung an Salesforce-Administratoren: Sofortiger Audit aller verbundenen Anwendungen. Welche Apps haben Zugriff auf welche Daten? Wann wurden die Berechtigungen zuletzt überprüft? Existieren ungenutzte Integrationen mit aktiven Tokens?

Experten rechnen in den kommenden Wochen mit:

• Detaillierten forensischen Analysen, wie Gainsight ursprünglich kompromittiert wurde
• Verschärften Marketplace-Richtlinien durch Salesforce und andere Plattform-Anbieter
• Regulatorischen Untersuchungen, insbesondere in der EU

Der Vorfall markiert einen Wendepunkt. Die Cloud-Sicherheit muss neu gedacht werden – nicht als Festung mit hohen Mauern, sondern als lebendiges Ökosystem, in dem jede Verbindung kontinuierlich überwacht werden muss.

Blasco bringt es auf den Punkt: „Moderne SaaS-Sicherheit braucht permanente Transparenz über jede App, jede Integration, jedes Token in der eigenen Umgebung. Das ist der neue Perimeter – ob es uns gefällt oder nicht.”

PS: Angriffe über Drittanbieter sind kein Einzelfall – präventive Maßnahmen zahlen sich aus. Das kostenlose E‑Book zeigt, wie Sie ohne teure Neubesetzungen Ihre IT-Sicherheit stärken, Risiken durch OAuth-Tokens reduzieren und Compliance-Anforderungen besser erfüllen. Mit praxisnahen Checklisten für forensische Analysen und klaren Handlungsempfehlungen für Admins und Führungskräfte. Jetzt kostenloses Cyber-Security-E‑Book sichern