Salesforce: Großangriff auf OAuth-Tokens erschüttert Cloud-Sicherheit

Hunderte Unternehmen betroffen: Nach massivem Datendiebstahl sperrt Salesforce sämtliche Zugänge der Partner-App Gainsight. Die Angreifer nutzten eine Schwachstelle, die herkömmliche Sicherheitsmaßnahmen komplett umgeht.

Ein Angriff, der die Schwachstellen moderner Cloud-Infrastrukturen schonungslos offenlegt: Cyberkriminelle haben sich Zugang zu Salesforce-Daten verschafft – nicht durch einen Hack der Plattform selbst, sondern über vertrauenswürdige Drittanbieter-Verbindungen. Im Visier standen sogenannte OAuth-Tokens, digitale Generalschlüssel, die es Apps erlauben, auf Nutzerdaten zuzugreifen. Das Perfide: Selbst Zwei-Faktor-Authentifizierung bietet dagegen keinen Schutz.

Sicherheitsforscher von Google Threat Intelligence machen die berüchtigte Hackergruppe ShinyHunters für den Angriff verantwortlich. Ihre Schätzung: Mehrere hundert Organisationen könnten kompromittiert sein. Die Dimension zeigt einen besorgniserregenden Trend: Angreifer fokussieren sich zunehmend auf die vertrauensvollen Verbindungen zwischen Cloud-Diensten – oft die schwächsten Glieder in der Sicherheitskette.

OAuth‑Tokens und Maschinen‑Identitäten sind inzwischen eine der größten Schwachstellen in modernen SaaS‑Umgebungen — klassische MFA greift dort nicht. Ein kostenloses E‑Book erklärt konkret, wie Sie API‑Tokens überwachen, Refresh‑Tokens sicher handhaben und Anomalien in Integrationen in Echtzeit erkennen – ideal für Security‑Teams und IT‑Leiter. Mit pragmatischen Sofortmaßnahmen, Checkliste zur Schadensbegrenzung und klaren Umsetzungsschritten nach einem Vorfall wie dem Salesforce‑Gainsight‑Fall. Kostenloses Cyber‑Security E‑Book herunterladen

Das Einfalltor bildeten OAuth-Tokens der Kundenmanagement-Plattform Gainsight. Diese digitalen Berechtigungsnachweise funktionieren wie Dauervollmachten zwischen verschiedenen Software-Systemen – praktisch für die Zusammenarbeit, gefährlich in falschen Händen. Die Angreifer kaperten sogenannte Refresh-Tokens und gaben sich als legitime Gainsight-Integrationen aus.

Am Abend des 19. November schlug Salesforce Alarm. In einem Sicherheitshinweis bestätigte das Unternehmen “ungewöhnliche Aktivitäten” bei Gainsight-Anwendungen. „Unsere Untersuchung deutet darauf hin, dass diese Aktivität unbefugten Zugriff auf Salesforce-Daten bestimmter Kunden ermöglicht haben könnte”, hieß es in der Mitteilung.

Die Reaktion fiel drastisch aus: Salesforce sperrte sämtliche aktiven Tokens für Gainsight-Anwendungen und entfernte die Apps vorübergehend aus seinem AppExchange-Marktplatz. Ein beispielloser Schritt, der die Schwere der Lage unterstreicht. Salesforce betonte dabei ausdrücklich, dass keine Schwachstelle der eigenen Plattform ausgenutzt wurde – der Angriff zielte auf die Verbindungsschnittstelle zwischen den Diensten.

ShinyHunters schlägt erneut zu: Die neue Dimension der SaaS-Angriffe

Austin Larsen, leitender Bedrohungsanalyst bei Google Threat Intelligence, identifizierte ShinyHunters als Drahtzieher der Kampagne. In einem LinkedIn-Beitrag warnte er: “Angreifer fokussieren sich zunehmend auf OAuth-Tokens vertrauenswürdiger Drittanbieter-Integrationen. Wir haben das kürzlich bei Salesloft Drift gesehen, und jetzt wiederholt es sich.”

ShinyHunters reklamiert die Attacke für sich. Nach Berichten von BleepingComputer und The Hacker News behauptet die Gruppe, durch diese und eine ähnliche Attacke auf Salesloft im August 2025 Daten von knapp 1.000 Organisationen erbeutet zu haben. Während Gainsight zunächst von wenigen betroffenen Fällen sprach, identifizierten Google-Cloud-Forscher über 200 “Fingerabdrücke” potenziell kompromittierter Salesforce-Instanzen.

Ferhat Dikbiyik, Chief Research Officer bei Black Kite, bezeichnetierte die Angriffsmethode als “perfekte Angriffskette”: “Es geht nicht um einen Anbieter oder eine Plattform. Es geht darum, wie moderne SaaS-Ökosysteme funktionieren: weitreichend vernetzt und oft zu vertrauensselig.”

Schadensbegrenzung läuft auf Hochtouren

Gainsight hat Mandiant, die renommierte Google-Cloud-Tochter für Sicherheitsvorfälle, mit der forensischen Aufklärung beauftragt. In einem Wochenend-Update bestätigte das Unternehmen vorsorgliche Maßnahmen: Neben den von Salesforce gesperrten Tokens deaktivierte Gainsight auch Integrationen mit anderen großen Plattformen wie HubSpot und Zendesk.

“Es gibt keine Hinweise darauf, dass eine Schwachstelle der Salesforce-Plattform zu diesem Vorfall geführt hat”, bekräftigte Gainsight die Einschätzung von Salesforce. Betroffene Kunden werden direkt kontaktiert und können über Support-Tickets spezifische Logdaten anfordern.

Für Sicherheitsteams offenbart der Vorfall eine kritische Lücke bei sogenannten “Non-Human Identities” (NHI). Während menschliche Nutzer durch Single Sign-On und Multi-Faktor-Authentifizierung abgesichert sind, bleiben API-Tokens und Service-Accounts oft jahrelang mit persistentem Zugriff aktiv – meist ohne nennenswerte Überwachung.

Sicherheitsexperten raten zu sofortigen Maßnahmen:
* Verbundene Apps auditieren: Sämtliche Drittanbieter-Verbindungen zu Salesforce und anderen Kern-SaaS-Plattformen prüfen
* Zugangsdaten rotieren: Credentials umgehend erneuern und OAuth-Tokens für auffällige Integrationen neu generieren
* Berechtigungen überprüfen: Sicherstellen, dass verbundene Apps nur minimale, tatsächlich benötigte Zugriffsrechte besitzen

Die neue Front: Wenn Maschinen-Identitäten zum Einfallstor werden

Der Salesforce-Gainsight-Vorfall dürfte die Branche wachrütteln. Während Unternehmen Dutzende SaaS-Tools einsetzen, wächst das Geflecht an API-Verbindungen exponentiell – und mit ihm eine gigantische Angriffsfläche, die herkömmliche Identity-Provider oft nicht erfassen.

Analysten prognostizieren für 2026 einen Boom bei “OAuth-Security”-Lösungen, die Token-Diebstahl und anomales API-Verhalten in Echtzeit erkennen sollen. Kurzfristig müssen Unternehmen akzeptieren: “Trust but Verify” gilt künftig nicht nur für Mitarbeiter, sondern auch für Software-Anbieter. Mit ShinyHunters’ Drohung weiterer Datenlecks könnte das volle Ausmaß dieser Kampagne noch nicht absehbar sein.

Das Ziel ist nicht mehr nur die Festung selbst – sondern die Versorgungslinien, die sie am Laufen halten.

Übrigens: Wenn Ihr Unternehmen viele Drittanbieter‑Integrationen nutzt, sollten Sie jetzt handeln. Dieses Gratis‑E‑Book fasst die wichtigsten Maßnahmen zusammen — Token‑Rotation, Minimierung von Berechtigungen, kontinuierliche Integrations‑Audits und einfache Automatisierungen, die Angreifern den Zugriff verwehren. Prägnante Checklisten und Umsetzungs‑Tipps für Entscheider und IT‑Teams helfen, das Risiko ähnlicher Token‑Diebstähle schnell zu reduzieren. Jetzt kostenloses Cyber‑Security E‑Book anfordern