Salesloft-Angriff: Cloudflare und andere Tech-Riesen betroffen

Ein gezielter Angriff über eine Marketing-Software hat mehrere Tech-Giganten getroffen und sensible Kundendaten kompromittiert. Cloudflare, Proofpoint und weitere Cybersicherheits-Unternehmen wurden Opfer einer raffinierten Supply-Chain-Attacke, die einmal mehr die Verwundbarkeit vernetzter Software-Systeme offenlegt.

Die Angreifer nutzten eine Schwachstelle im Salesloft Drift Chatbot – einem weit verbreiteten Kundenkommunikations-Tool – um unauthorisiert auf Salesforce-Systeme der betroffenen Unternehmen zuzugreifen. Besonders brisant: Cloudflare, ein Unternehmen im Herzen der Internet-Infrastruktur, bestätigte, dass Cyberkriminelle zwischen dem 12. und 17. August 2025 auf seine Kundensupport-Systeme zugreifen konnten.

Anatomie des Angriffs: Ein Drittanbieter-Tool wird zur Hintertür

Hinter dem Angriff steckt die Hackergruppe GRUB1, die mit den berüchtigten Shiny Hunters in Verbindung steht. Die Täter verwendeten kompromittierte Zugangsdaten der Salesloft-Integration, um in Cloudflares Salesforce-Umgebung einzudringen.

Der Angriff begann am 12. August mit einem gestohlenen Login. Die Hacker verschafften sich zunächst einen Überblick über die gespeicherten Daten, bevor sie in den folgenden Tagen systematisch Support-Tickets abgriffen. Kompromittiert wurden:

• Kundenkontaktdaten
• Betreffzeilen von Support-Anfragen
• Vollständige Korrespondenzen zwischen Kunden und Support-Teams

Cloudflare warnt eindringlich: Alle sensiblen Informationen in Support-Tickets – Passwörter, API-Tokens oder Logs – müssen als kompromittiert betrachtet werden.

Dominoeffekt: Mehrere Tech-Riesen im Visier

Der Salesloft-Angriff entwickelte sich zur breit angelegten Supply-Chain-Attacke. Neben Cloudflare bestätigten auch Proofpoint, Palo Alto Networks und Zscaler erfolgreiche Einbrüche über denselben Angriffsvektor.

Cloudflare reagierte umgehend: Das Unternehmen deaktivierte die Drift-Integration, rotierte alle Zugangsdaten und entdeckte dabei 104 eigene API-Tokens in den kompromittierten Daten. Obwohl keine Missbrauchsspuren gefunden wurden, wurden sämtliche Tokens vorsorglich erneuert.

Gefahr von Folgeangriffen: Perfekte Blaupause für Phishing

Die wahre Gefahr liegt in möglichen Folgeattacken. Mit den erbeuteten Support-Inhalten können Kriminelle hochpräzise Phishing-Kampagnen entwickeln. Das FBI warnt vor Credential-Stuffing-Angriffen, bei denen gestohlene Passwort-Kombinationen automatisiert gegen andere Services getestet werden.

Besonders perfide: Angreifer können sich in gefälschten E-Mails auf echte Support-Tickets beziehen und so das Vertrauen der Opfer missbrauchen. Die US-Cybersicherheitsbehörde CISA stuft solche kompromittierten Zugangsdaten als erhebliches Unternehmensrisiko ein.

Anzeige: Viele Phishing-Angriffe treffen Nutzer heute auf dem Smartphone – der erste Klick passiert oft mobil. Wer sein Android-Gerät konsequent absichern möchte, findet in diesem kostenlosen Ratgeber die 5 wichtigsten Schutzmaßnahmen, verständlich erklärt und Schritt für Schritt umsetzbar – ideal für WhatsApp, Banking und Shopping, ganz ohne teure Zusatz-Apps. So schließen Sie typische Lücken und reduzieren das Risiko deutlich. Jetzt das kostenlose Android?Sicherheitspaket anfordern

Warnsignal für die deutsche Wirtschaft

Der Vorfall erinnert an ähnliche Angriffe wie den Okta-Hack 2023, bei dem ebenfalls Support-Systeme kompromittiert wurden. Für deutsche Unternehmen, die zunehmend auf internationale SaaS-Lösungen setzen, ist dies ein Weckruf: Jede Software-Integration erweitert die Angriffsfläche.

Der Fall zeigt, wie ein einzelnes kompromittiertes Tool hunderte sichere Unternehmensnetzwerke gefährden kann. Selbst Cybersicherheits-Spezialisten wie Cloudflare sind vor solchen indirekten Angriffen nicht gefeit.

Sofortmaßnahmen: Was Unternehmen jetzt tun müssen

Cloudflare fordert seine Kunden auf, alle mit dem Support geteilten Zugangsdaten sofort zu erneuern. Experten empfehlen darüber hinaus:

• Einzigartige Passwörter für jeden Account
• Zwei-Faktor-Authentifizierung als Grundschutz
• Erhöhte Wachsamkeit bei verdächtigen E-Mails

Anzeige: Apropos Passwörter und 2FA: Auch privat lohnt sich ein schneller Sicherheits-Check. Ein kostenloser Leitfaden zeigt, wie Sie Ihr Android-Smartphone mit 5 Maßnahmen gegen Datenklau, Schadsoftware und betrügerische Nachrichten härten – Schritt für Schritt, ohne Zusatzkosten und ohne Fachchinesisch. Gratis sichern: 5 Schutzmaßnahmen fürs Android?Smartphone

Entscheidend wird sein, ob Unternehmen aus diesem Vorfall lernen und ihre Abhängigkeit von Drittanbieter-Tools kritisch hinterfragen. In einer vernetzten Welt wird Cybersicherheit nur so stark sein wie das schwächste Glied in der Kette.