Google-Salesforce-Hack – Ursachen, Risiken und Deine nächsten Schritte
Das wichtigste auf einen Blick
- Was passiert ist: Im Juni 2025 wurde ein internes Salesforce-System von Google durch die Hackergruppe ShinyHunters (UNC6040) kompromittiert
- Betroffene Daten: Nur Basisinfos von KMU-Kontakten , etwa Firmennamen, E-Mail, Telefonnummer, Notizen. Keine Passwörter oder Finanzdaten
- Angriffsmethode: Voice-Phishing (Vishing), manipulierte Salesforce-Connected-App und eigens entwickelte Python-Tools
- Risiken: Gezielte Phishing-Kampagnen, Reputationsschäden und mögliche Erpressung über Data Leak Sites
- Praxis-Lernschluss: Schulungen, MFA, Least-Privilege-Principle, Kontrolle von Connected Apps – am besten mit professioneller Compliance-Begleitung
Hintergrund – Was ist passiert?
Im Juni 2025 wurde ein internes Salesforce-CRM-System von Google gehackt. Besonders kritisch: Dieses System wird gezielt für die Verwaltung von Kunden- und Kontaktdaten kleiner und mittlerer Unternehmen genutzt und enthält damit Informationen, die für viele Firmen besonders sensibel sind. Die Angreifer:innen, bekannt als ShinyHunters (UNC6040), verschafften sich Zugriff auf Kontaktinformationen und Vertriebsnotizen.
Obwohl die gestohlenen Informationen als grundlegend und größtenteils öffentlich zugänglich gelten, bergen sie dennoch hohes Missbrauchspotenzial. Dieser Angriff ist Teil einer größeren, laufenden Kampagne gegen Salesforce-Datenbanken. Neben Google waren auch Unternehmen wie Adidas, Qantas, Cisco, Allianz Life, Pandora und mehrere LVMH-Marken betroffen. Der Schwerpunkt liegt klar auf dem Ausnutzen menschlicher Schwächen und nicht auf technischen Sicherheitslücken der Salesforce-Plattform.
Google reagierte schnell und konnte den unbefugten Zugriff innerhalb kurzer Zeit stoppen. Dennoch warnt das Unternehmen vor möglichen Folgerisiken, vor allem im Hinblick auf Erpressungstaktiken.
Inhaltsverzeichnis:
Angriffsmethode – So wurden Google-Daten gestohlen
Social-Engineering durch Vishing
Die Hacker:innen nutzten Voice-Phishing, riefen Mitarbeitende an und gaben sich als interne IT-Support-Teams aus. Ziel war es, Mitarbeitende dazu zu bringen, eine manipulierte Version des Salesforce Data Loader zu autorisieren , oft getarnt als scheinbar legitime App mit Namen wie „My Ticket Portal“.
Technische Ausführung
Die Angriffe liefen über sogenannte Connected Apps mit OAuth-Integration. Teilweise kamen speziell entwickelte Python-Skripte zum Einsatz, um Uploads und Downloads gezielt zu automatisieren und Sicherheitskontrollen zu umgehen.
Die Operation war auf mehrere Cluster verteilt: UNC6040 übernahm die initiale Kompromittierung, während UNC6240 für mögliche Erpressungs- und Veröffentlichungsmaßnahmen zuständig sein könnte.
Extortion-Risiko über Data Leak Sites
Google geht davon aus, dass ShinyHunters eine Veröffentlichung der Daten auf einer Data Leak Site vorbereitet. Diese Plattformen dienen dazu, gestohlene Daten öffentlich zu machen und Unternehmen unter Druck zu setzen, Lösegeld zu zahlen. Selbst scheinbar harmlose Basisdaten können so zum Hebel für gezielte Folgeangriffe werden.
Wer ist ShinyHunters und welche anderen Ziele traf es?
ShinyHunters ist seit Jahren in der Cybercrime-Szene aktiv und bekannt für Angriffe auf große Marken und deren Cloud-Datenbanken. Betroffene Unternehmen reichen von Ticketmaster über Santander bis zu Luxusmarken wie Dior und Louis Vuitton.
Ihre Stärke liegt in der Kombination aus Social Engineering, ausgefeilten Täuschungsmanövern und dem gezielten Ausnutzen der Cloud-Konnektivität von Tools wie Salesforce. Technische Schwachstellen der Plattform werden dabei meist umgangen , der Fokus liegt auf dem Menschen als Einfallstor.
Risiken für Unternehmen , Was bedeutet das für Dich?
- Phishing-Welle: Gestohlene Basisdaten reichen oft aus, um täuschend echte Phishing-Mails oder Anrufe zu gestalten
- Reputationsschaden: Veröffentlichte oder falsch kontextualisierte Daten können das Vertrauen von Kund:innen und Partner:innen nachhaltig beschädigen
- Compliance-Risiken: Lücken in der Zugriffskontrolle können trotz fehlender sensibler Daten zu Bußgeldern führen, etwa bei Verstößen gegen DSGVO-Anforderungen
- Finanzielle Verluste: Angriffe dieser Art können Folgekosten in Millionenhöhe verursachen, von Incident-Response bis Kundenkommunikation
In 30 Minuten zur sicheren Compliance
In 30 Minuten zu DSGVO-Compliance mit Pflichten, Tipps und Checklisten für dein Unternehmen.
Sofortmaßnahmen , Was kannst Du jetzt tun?
| Maßnahme | Beschreibung |
| Employee Awareness | Regelmäßige Schulungen zu Social Engineering, Vishing und Cloud-Security |
| MFA & Least Privilege | Mehrfaktor-Authentifizierung auf allen Konten, Rechte nur so weit wie nötig vergeben |
| Connected Apps kontrollieren | Nur geprüfte Anwendungen zulassen, App-Audits regelmäßig durchführen |
| Monitoring & Logging | Auffällige Aktivitäten, besonders in Cloud-Diensten, automatisiert überwachen |
| Incident Response Plan | Breach-Szenarien simulieren, klare Eskalationswege und Kommunikationspläne hinterlegen |
Praxisbeispiel – Pandora
Auch Pandora, ein globaler Schmuckhändler, war von dieser Angriffswelle betroffen. Gestohlen wurden Namen und E-Mail-Adressen von Kund:innen, Passwörter oder Zahlungsinformationen blieben unberührt. Pandora warnte jedoch vor möglichen Phishing-Versuchen und rief zur Vorsicht bei unerwarteten Nachrichten auf.
Ermittlungen und Strafverfolgung
Die Angriffe blieben nicht ohne Reaktion: Bereits im Juni 2025 wurden vier mutmaßliche Mitglieder von ShinyHunters in Frankreich festgenommen. Ermittlungsbehörden aus mehreren Ländern arbeiten zusammen, um die Infrastruktur der Gruppen zu zerschlagen.
Trotz dieser Erfolge zeigen sich die Gruppen hochgradig anpassungsfähig , einzelne Zellen operieren unabhängig weiter und passen ihre Methoden laufend an.
FAQ – Häufige Fragen & klare Antworten
F: Wurden bei Google sensible Daten wie Passwörter gestohlen?
A: Nein. Gestohlen wurden nur Basisinformationen wie Firmennamen, Telefonnummern, E-Mail-Adressen und Notizen.
F: Warum Salesforce?
A: Salesforce ist eine zentrale Plattform für Kundendaten und global erreichbar. Angreifer setzen deshalb auf Social Engineering, um den menschlichen Faktor auszunutzen.
F: Was ist eine Data Leak Site?
A: Eine Website, auf der gestohlene Daten veröffentlicht werden, meist um Unternehmen unter Druck zu setzen und Lösegeld zu erpressen.
F: Wie schnell muss ich reagieren?
A: Sofort. Schon wenige Stunden Verzögerung können das Risiko massiv erhöhen , von weiterer Data Exfiltration bis hin zu öffentlicher Veröffentlichung.
Fazit – und wie heyData hier ins Spiel kommt
Der Salesforce-Hack bei Google zeigt deutlich: Selbst Konzerne mit riesigen IT-Budgets können Opfer von Social Engineering werden. Technische Absicherung ist nur die halbe Miete, der Mensch bleibt das schwächste Glied.
Genau hier kann heyData helfen:
- Sofort-Check Deiner Compliance-Landschaft mit digitalem Audit
- DSGVO-konforme Prozesse und Dokumentation in einer All-in-One-Plattform
- Schulungen zu Compliance und Datenschutz
- Externe Datenschutzbeauftragte und Compliance-Beratung
Mit heyData erhältst Du nicht nur Tools, sondern auch Expertenwissen, das Deine Organisation resilient gegen Angriffe wie diesen macht.
Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.