{"id":11261,"date":"2025-08-19T11:21:26","date_gmt":"2025-08-19T11:21:26","guid":{"rendered":"https:\/\/www.forenova.com\/de\/blog\/\/"},"modified":"2025-08-20T07:15:59","modified_gmt":"2025-08-20T07:15:59","slug":"google-bestaetigt-datenleck-bei-salesforce-25-mio-google-ads-datensaetze-betroffen","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/google-bestaetigt-datenleck-bei-salesforce-25-mio-google-ads-datensaetze-betroffen\/","title":{"rendered":"Google best\u00e4tigt: 2,5 Mio. Ads-Datens\u00e4tze \u00fcber Salesforce geleakt"},"content":{"rendered":"\n
\n
\"\"<\/figure>
\n

Am 6. August hat Google best\u00e4tigt, dass rund 2,5 Millionen Kundendatens\u00e4tze von Google Ads offengelegt wurden. Ursache war eine Kompromittierung des Salesforce-CRM-Systems des Unternehmens.  Der Angriff, der der Cybercrime-Gruppe ShinyHunters (UNC6040) zugeschrieben wird, erfolgte \u00fcber ausgekl\u00fcgelte Social-Engineering-Taktiken – ein deutlicher Weckruf f\u00fcr den sicheren Umgang mit CRM-Systemen, insbesondere in kleinen und mittelst\u00e4ndischen Unternehmen (KMU). <\/p>\n<\/div><\/div>\n<\/div>\n\n\n\n

Wie konnte es dazu kommen?<\/strong> <\/h2>\n\n\n\n

Das Google Threat Intelligence Group (GTIG) gab bekannt, dass die Angreifer eine gezielte Kampagne gegen eine unternehmensinterne Salesforce-Instanz gestartet haben, die zur Verwaltung von Kundenkontaktdaten und zugeh\u00f6rigen Notizen verwendet wurde. \u00dcber Voice-Phishing (Vishing), bei dem sich die T\u00e4ter als interner IT-Support ausgaben, wurden Mitarbeitende dazu gebracht, eine manipulierte Salesforce-Data-Loader-App zu autorisieren. So erhielten die Angreifer zeitweise Zugriff auf sensible CRM-Daten, bevor Google den Zugriff sperrte.\u00a0<\/p>\n\n\n\n

Obwohl die gestohlenen Daten auf grundlegende Gesch\u00e4ftsinformationen \u2013 Firmennamen, E-Mail-Adressen, Telefonnummern und Notizen \u2013 beschr\u00e4nkt waren, ist bekannt, dass ShinyHunters derartige Vorf\u00e4lle oft in Erpressungskampagnen und den Verkauf von Datens\u00e4tzen auf Untergrundm\u00e4rkten eskaliert. <\/p>\n\n\n\n

Einordnung und Bedrohungslage<\/strong> <\/h2>\n\n\n\n

Der Vorfall bei Google ist Teil eines wachsenden Musters gezielter Angriffe auf CRM-Umgebungen. \u00c4hnliche Attacken haben bereits Unternehmen wie Pandora, Qantas, KLM,\u00a0Adidas, Chanel und Cisco getroffen \u2013 h\u00e4ufig unter Einsatz von Identit\u00e4tsmissbrauch und Ausnutzung verbundener Anwendungen.\u00a0<\/p>\n\n\n\n

Google best\u00e4tigte zudem, dass die Angreifer \u2013 UNC6040 bzw. das verbundene Cluster UNC6240 – nach dem Erstzugriff Erpressungsversuche unternahmen, die teilweise erst Wochen sp\u00e4ter in Ransomware- oder Data-Leak-Kampagnen m\u00fcnden.\u00a0<\/p>\n\n\n\n

Implikationen f\u00fcr KMU in der DACH-Region<\/strong> <\/h2>\n\n\n\n

Gerade f\u00fcr KMU in Deutschland, \u00d6sterreich und der Schweiz ist dieser Fall ein Warnsignal: Cloudbasierte CRM-Systeme sind attraktive Angriffsziele. Selbst vermeintlich harmlose Gesch\u00e4ftsdaten k\u00f6nnen f\u00fcr t\u00e4uschend echte Phishing-Mails oder weiterf\u00fchrende Angriffe missbraucht werden. Die wichtigste Erkenntnis: Das Vertauen in eine Plattform ersetzt keine eigene Sicherheitsstrategie. <\/p>\n\n\n\n

Empfohlene Ma\u00dfnahmen f\u00fcr IT-Manager<\/strong> <\/h2>\n\n\n\n