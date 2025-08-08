Im Juni warnte Google vor einer neuen Betrugsmasche, bei der Konten von Salesforce-Kund:innen massenhaft gehackt wurden. Wie Ars Technica berichtet, räumte das Unternehmen jetzt ein, auch selbst Opfer der Hacker:innen geworden zu sein. Wieso gibt Google den Sicherheitsvorfall erst Wochen später bekannt?

Betrüger:innen passen ihre Methoden ständig an

Die Einschätzung des BSI ist eindeutig: Die Lage der IT-Sicherheit in Deutschland bleibt besorgniserregend – und der daraus resultierende Schaden ist enorm. Im vergangenen Jahr wurden weltweit 1,1 Milliarden US-Dollar Lösegeld durch Ransomware-Angriffe erbeutet, wobei die Dunkelziffer noch weitaus höher liegen dürfte. Hinzu kommen Verluste durch monatelange Ausfallzeiten und Reputationsschäden. Besonders besorgniserregend: Oft braucht es dafür kein tiefes technisches Know-how mehr. Statt Software- oder Website-Schwachstellen nutzen Angreifer:innen immer häufiger KI-Tools oder bestehende digitale Strukturen für ihre Zwecke.

Wie das in der Praxis aussieht, verdeutlicht eine Masche, die Google im Juni aufgedeckt hat. In einem Blog-Beitrag berichtete der Tech-Konzern, dass Konten von Salesforce-Kund:innen in großem Umfang kompromittiert wurden. Die Methode ist einfach: Die Angreifer:innen kontaktieren ihre Opfer direkt und geben sich als Mitarbeiter:innen der IT-Abteilung aus. Sie täuschen ein Problem vor und bitten die Zielperson, eine externe App mit ihrem Salesforce-Konto zu verbinden. Den dafür nötigen achtstelligen Sicherheitscode lassen sie sich einfach durchgeben. Damit erhalten sie vollen Zugriff auf die Salesforce-Instanz und sämtliche darin gespeicherten Daten.

Auch Google selbst war von dem Angriff betroffen

Die Angriffe werden von finanziell motivierten Hacker:innen durchgeführt, die gestohlene Daten später zu überhöhten Preisen an ihre Opfer zurückverkaufen. Laut Bleeping Computer erweist sich diese Methode als äußerst erfolgreich: Zu den betroffenen Unternehmen sollen unter anderem Adidas, Cisco und Dior gehören. Zwei Monate, nachdem Google vor der laufenden Angriffswelle warnte, gab jetzt auch der Tech-Konzern selbst zu, auf die Betrugsmasche hereingefallen zu sein.

Die Analyse von Google ergab, dass die Angreifer:innen in einem kurzen Zeitfenster Daten abrufen konnten, bevor der Zugriff gesperrt wurde. Die gestohlenen Informationen seien aber auf Geschäftsdaten wie Unternehmensnamen und Kontaktdetails beschränkt gewesen, die nach eigenen Angaben größtenteils ohnehin öffentlich zugänglich waren. Warum Google erst jetzt bekannt gab, ebenfalls Opfer der Betrugsmasche geworden zu sein, ist unklar. Es ist aber wahrscheinlich, dass das Unternehmen selbst erst kürzlich davon erfuhr. Da bislang schon zahlreiche Unternehmen auf diese Methode hereingefallen sind, ist davon auszugehen, dass es noch viele weitere unentdeckte Fälle gibt.

Unternehmen müssen ständig wachsam bleiben

Google schreibt die Angriffe einer Gruppe mit der Bezeichnung UNC6040 zu. Außerdem gibt es Hinweise darauf, dass auch eine zweite Gruppe namens „Shiny Hunters“, die unter der Bezeichnung UNC6042 bekannt ist, Erpressungsversuche unternimmt – teilweise sogar erst Monate nach der ursprünglichen Angriffswelle. Alle Salesforce-Kund:innen sollten ihre Accounts sorgfältig prüfen, um festzustellen, wer Zugriff darauf hat. Außerdem sollten sie die Multi-Faktor-Authentifizierung aktivieren und ihre Mitarbeiter:innen gezielt schulen, um Betrugsversuche frühzeitig zu erkennen. Denn oft sind die Methoden der Betrüger:innen so ausgeklügelt, dass selbst misstrauische Team-Mitglieder den Angriff nur schwer durchschauen können.

