FBI warnt vor neuen Cyberattacken auf deutsche Cloud-Systeme
FBI warnt vor raffinierten Cyberangriffen auf Cloud-Dienste: Kriminelle nutzen gefälschte IT-Anrufe und kompromittierte OAuth-Tokens, um Millionen Kundendaten zu stehlen.
Hochprofessionelle Betrüger greifen Unternehmen über gefälschte IT-Support-Anrufe an und erbeuten Millionen an Kundendaten. Das FBI schlägt Alarm: Zwei Hackergruppen nutzen KI-basierte Methoden, um selbst Multi-Faktor-Authentifizierung zu umgehen.
Die jüngste Warnung der US-Bundespolizei und der Cybersicherheitsbehörde CISA zeigt eine beunruhigende Entwicklung: Cyberkriminelle setzen zunehmend auf perfekt inszenierte Telefonanrufe und gefälschte Identitäten, um an Zugangsdaten für Cloud-Dienste wie Salesforce zu gelangen. Was diese Attacken so gefährlich macht? Sie kombinieren psychologische Manipulation mit technischer Raffinesse.
Besonders alarmierend: Die Angreifer geben sich als vertraute IT-Mitarbeiter aus und schaffen es so, selbst geschulte Angestellte zu täuschen. Deutsche Unternehmen, die verstärkt auf Cloud-Lösungen setzen, sollten diese Entwicklung ernst nehmen denn die Methoden kommen garantiert auch nach Europa.
Perfekte Täuschung: Wenn falsche IT-Experten anrufen
Die Hackergruppe UNC6040 hat eine besonders heimtückische Strategie entwickelt. Seit Ende 2024 rufen die Kriminellen gezielt Call-Center-Mitarbeiter an und geben sich als IT-Support aus. Der Trick: Sie erwähnen gefälschte Support-Tickets und schaffen künstlichen Zeitdruck.
Guten Tag, hier spricht der IT-Support. Wir haben ein dringendes Ticket für Ihr Salesforce-Konto und benötigen Ihre Zugangsdaten zur Verifizierung.“ Was wie Routine klingt, ist der Beginn eines millionenschweren Datendiebstahls.
Haben die Betrüger erst einmal Benutzername, Passwort und den MFA-Code, nutzen sie Tools wie den Salesforce Data Loader, um massenhaft Kundendaten zu stehlen. Noch perfider: Sie überreden ihre Opfer, schädliche Apps zu autorisieren, die dauerhaften Zugriff gewähren selbst wenn Passwörter später geändert werden.
OAuth-Tokens als neues Einfallstor
Parallel dazu nutzte die Gruppe UNC6395 eine völlig andere Schwachstelle: kompromittierte OAuth-Tokens der KI-Chatbot-Software Salesloft Drift. Diese Tokens, eigentlich zur sicheren Verbindung zwischen verschiedenen Anwendungen gedacht, wurden zum Generalschlüssel für Salesforce-Systeme.
Den ganzen August 2025 hindurch konnten die Angreifer unbemerkt Daten abziehen. Erst am 20. August reagierten Salesforce und Salesloft und sperrten alle aktiven Tokens. Ein Wettlauf gegen die Zeit mit unklarem Ausgang für die betroffenen Unternehmen.
Diese Attacke offenbart ein systemisches Problem: Je mehr Software-Dienste miteinander vernetzt sind, desto mehr potentielle Schwachstellen entstehen. Ein kompromittierter Dienst kann zum Schlüssel für alle anderen werden.
Business Email Compromise: Das Milliarden-Problem
Die Salesforce-Attacken sind nur die Spitze des Eisbergs. Business Email Compromise (BEC) die Manipulation von Geschäfts-E-Mails ist zu einer globalen Epidemie geworden. Allein in den ersten drei Monaten 2025 stiegen diese Angriffe um 13 Prozent.
Die Zahlen sind erschreckend: Im Durchschnitt erbeuten Kriminelle 157.000 Dollar pro erfolgreicher Attacke. Im Mai 2025 lag der Durchschnitt bei Überweisungsbetrügereien sogar bei 96.200 Dollar. Warum sind diese Betrügereien so erfolgreich?
Die Psychologie der Macht: 89 Prozent aller BEC-Angriffe nutzen die Identität von CEOs oder anderen Führungskräften. Mitarbeiter zögern selten, wenn der vermeintliche Chef drängende Anweisungen gibt. Der konstruierte Zeitdruck tut sein Übriges wer will schon den wichtigen Geschäftsabschluss gefährden?
KI macht Betrüger unheimlich überzeugend
Die neueste Eskalationsstufe: Künstliche Intelligenz macht Betrüger nahezu unerkennbar. Das FBI warnt explizit vor KI-generierten Sprachnachrichten, die Vorgesetzte oder Kollegen perfekt imitieren.
Ein besonders spektakulärer Fall zeigt das Ausmaß der Bedrohung: Ein Finanzverantwortlicher überwies 25 Millionen Dollar nach einem Videocall ohne zu ahnen, dass er mit einem Deepfake-Video des CFOs sprach. Stimme, Gesicht, Gestik: alles täuschend echt, alles künstlich generiert.
Die Betrüger beschränken sich längst nicht mehr auf E-Mails. Microsoft Teams, LinkedIn, WhatsApp jede Kommunikationsplattform wird zum potentiellen Werkzeug. Diese Multi-Kanal-Strategie umgeht traditionelle E-Mail-Filter und nutzt das Vertrauen, das Menschen in verschiedene Plattformen setzen.
Anzeige: Apropos WhatsApp, Teams und Co.: Viele Angriffe starten heute direkt auf dem Smartphone. Wollen Sie Ihr Android ohne teure Zusatz-Apps spürbar sicherer machen? Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt perfekt für WhatsApp, Online?Banking und Shopping. Jetzt das kostenlose Android?Sicherheitspaket anfordern
Deutsche Unternehmen im Visier
Was bedeutet das für deutsche Unternehmen? SAP, Telekom und andere DAX-Konzerne nutzen ähnliche Cloud-Infrastrukturen wie die angegriffenen US-Firmen. Die verwendeten Methoden lassen sich problemlos auf deutsche Ziele übertragen.
Besonders gefährdet sind Unternehmen mit komplexen SaaS-Landschaften. Jede Schnittstelle zwischen verschiedenen Cloud-Diensten kann zum Einfallstor werden. Die Deutsche Telekom, die auf umfangreiche Salesforce-Integration setzt, oder Versicherungen mit vernetzten Kundensystemen sie alle könnten im Fadenkreuz stehen.
Abwehrmaßnahmen: Skepsis als Erfolgsfaktor
Wie können sich Unternehmen schützen? Das FBI empfiehlt einen mehrschichtigen Ansatz:
Mitarbeiterschulung steht an erster Stelle: Telefonanrufe von vermeintlichen IT-Kollegen sollten grundsätzlich hinterfragt werden. Ein Rückruf über die offizielle Hotline kann Millionenschäden verhindern.
Technisch empfehlen die Behörden phishing-resistente Multi-Faktor-Authentifizierung und strenge Zugriffsbeschränkungen. API-Nutzung und OAuth-Integrationen müssen kontinuierlich überwacht werden. Verdächtige Aktivitäten fallen so früher auf.
Der wichtigste Rat: Gesunde Skepsis entwickeln. Wenn der Chef plötzlich per WhatsApp eine dringende Überweisung anordnet oder die IT per Telefonanruf Passwörter abfragt Alarm!
Anzeige: Für alle, die privaten und beruflichen Chat-Kanälen vertrauen: Eine übersehene Einstellung kann Angreifern Tür und Tor öffnen. Dieser Gratis?Leitfaden zeigt praxistauglich, wie Sie Android absichern von App?Berechtigungen bis Updates, inklusive Checkliste. Gratis-Download: Die 5 wichtigsten Schutzmaßnahmen für Ihr Android?Smartphone
Die Zeiten harmloser Phishing-E-Mails mit Rechtschreibfehlern sind vorbei. Moderne Cyberkriminelle agieren mit der Präzision von Geheimdiensten und der Überzeugungskraft von Schauspielern. Nur wer das versteht, kann sich effektiv wehren.
