Supply-Chain-Angriff über Klue-Integration: Salesforce-Daten namhafter Cybersicherheitsunternehmen kompromittiert

Der Angriff zeigt, wie OAuth-Token und Connected Apps im Salesforce-Ökosystem ebenfalls zu einer Enterprise-Angriffsfläche werden.

Bild: Getty Images / Credits: ADragan

Ein gezielter Cyberangriff auf die Competitive-Intelligence-Plattform Klue hat zu einem weitreichenden Datendiebstahl bei zahlreichen B2B-Kunden geführt. Betroffen sind unter anderem namhafte Cybersicherheitsunternehmen wie Huntress, Recorded Future, Tanium und Jamf. Der Vorfall, der Mitte Juni 2026 bekannt wurde, verdeutlicht die wachsenden Risiken von SaaS-Integrationen und dem Missbrauch von OAuth-Token in vernetzten Cloud-Umgebungen.

Der Angriffsvektor: Kompromittierte Legacy-Anmeldedaten und OAuth-Missbrauch

Den forensischen Erkenntnissen sowie einer offiziellen Stellungnahme von Klue-CEO Jason Smith zufolge begann der Vorfall zwischen dem 11. und 12. Juni 2026. Angreifer verschafften sich über veraltete, aber noch aktive Anmeldeinformationen (Legacy Credentials) Zugang zur Integrationsinfrastruktur von Klue. Dieses spezifische Token war laut Analysen ursprünglich für die Prototyp-Entwicklung einer später verworfenen Drittanbieter-Integration erstellt worden.

Über diesen initialen Zugang schleusten die Täter ein bösartiges Code-Update in die Backend-Systeme von Klue ein. Ziel dieses Codes war es, gültige OAuth-Token abzugreifen. Diese digitalen Schlüssel werden von Klue-Kunden verwendet, um die Plattform passwortfrei und dauerhaft mit ihren eigenen IT-Umgebungen – allen voran Salesforce, aber auch Systemen wie Gong, HubSpot und Slack – zu verknüpfen.

Mit den gestohlenen Token konnten sich die Angreifer im Namen von Klue bei den Salesforce-Instanzen der Kunden authentifizieren. Technische Analysen von ReliaQuest – dem Unternehmen, das die Anomalie als Erstes entdeckte und Klue warnte – und Huntress zeigen, dass die Angreifer automatisierte Python-Skripte nutzten. In der Spitze wurden fast 1.000 Queries innerhalb von 15 Minuten registriert, um Kundendaten gezielt und skalierbar zu exfiltrieren.

Auswirkungen und betroffene Daten

Die Liste der betroffenen Unternehmen umfasst neben Huntress und Recorded Future auch Organisationen wie HackerOne, Tanium, Jamf, LastPass, OneTrust, Insurity und Bynder. Diese bestätigten, dass die Angreifer Zugriff auf CRM-Daten erlangten, die über die Klue-Integration synchronisiert wurden.

Gestohlen wurden primär Geschäftskontakte, E-Mail-Adressen, Telefonnummern, Preisangebote sowie Kommunikationsverläufe aus dem Vertrieb. Übereinstimmend betonen die betroffenen Cybersicherheitsunternehmen jedoch, dass keine Passwörter, Zahlungskarteninformationen, internen Produkt-Telemetriedaten oder sensiblen Threat-Intelligence-Informationen entwendet wurden. Die Kernsysteme und eigenen Produkte der betroffenen Anbieter blieben unversehrt, da der Angriff auf die via OAuth angebundenen Drittsysteme beschränkt war.

Die Täter

Die Verantwortung für den Angriff hat eine neu formierte Erpressergruppe namens "Icarus" für sich beansprucht. Die Gruppe veröffentlichte Teile der gestohlenen Daten auf ihrer Leak-Seite im Darknet und setzte Klue sowie den betroffenen Endkunden Fristen für Lösegeldzahlungen.

Die Kontaktaufnahme durch die Täter erfolgte über Erpresser-E-Mails von kompromittierten australischen Retail-Domains mit der Aufforderung, über den Session Messenger zu kommunizieren. Forensische Auswertungen identifizierten die IP-Adressen der Angreifer bei Internet-Providern in den Niederlanden, Frankreich und der Ukraine.

Die TTPs ähneln früheren OAuth-Missbrauchskampagnen gegen Salesforce-Ökosysteme, die unter anderem mit ShinyHunters und UNC6395 in Verbindung gebracht wurden. Eine belastbare Attribution für den Klue-Fall ist derzeit jedoch nicht bestätigt.

Warum der Vorfall für Organisationen kritisch ist

Auch wenn nach Angaben betroffener Unternehmen keine Passwörter, Zahlungsdaten oder Produkttelemetrie kompromittiert wurden, ist der Abfluss von CRM-Daten für Unternehmen hoch relevant. Geschäftliche Kontakte, Rolleninformationen, Telefonnummern, E-Mail-Adressen, Opportunity Notes, Preisangebote und Vertriebsnotizen liefern Angreifern ein präzises Bild von Kundenbeziehungen, laufenden Verkaufsprozessen und internen Prioritäten. Solche Daten eignen sich für gezieltes Spear-Phishing, glaubwürdigere Social-Engineering-Angriffe, Betrugsversuche im Namen bekannter Ansprechpartner sowie für Wettbewerbs- und Erpressungsszenarien.

Besonders kritisch ist, dass CRM-Systeme häufig als vertrauenswürdige Quelle für Kunden- und Pipeline-Informationen gelten und tief in andere Unternehmensprozesse integriert sind. Ein Angriff auf angebundene Drittanbieter kann deshalb Auswirkungen haben, ohne dass das primäre CRM-System selbst kompromittiert wurde. Für CIOs und CISOs verschiebt sich damit der Fokus: Nicht nur die Sicherheit der Kernplattform zählt, sondern auch die Governance aller angebundenen Apps, ihrer Berechtigungen und ihrer Token-Lebenszyklen.

Reaktion und Gegenmaßnahmen

Klue reagierte auf die Entdeckung der unautorisierten Aktivitäten am 12. Juni mit der umgehenden Sperrung der kompromittierten Anmeldeinformationen und OAuth-Token. Sämtliche potenziell betroffenen Integrationen (darunter zu Salesforce, Zoom, SharePoint und Google Drive) wurden temporär deaktiviert und der Schadcode aus den Systemen entfernt.

Das Unternehmen schaltete Strafverfolgungsbehörden ein und beauftragte CrowdStrike mit der forensischen Untersuchung und Incident Response. Salesforce flankierte diese Maßnahmen und deaktivierte am 17. Juni die "Klue Battlecards"-Integration auf globaler Plattformebene vorsorglich.

Für Unternehmen, die API-Schnittstellen und OAuth-gestützte SaaS-Integrationen nutzen, ergeben sich aus diesem Vorfall konkrete architektonische und operative Anforderungen:

Analytische Einordnung

Der Klue-Vorfall sollte weniger als isolierter Einzelfall und stärker als Teil eines wiederkehrenden Angriffsmusters gegen vernetzte SaaS-Ökosysteme verstanden werden. Im Zentrum steht nicht eine klassische Schwachstelle in Salesforce selbst, sondern die Vertrauensbeziehung zwischen einer Drittanbieter-App und den CRM-Umgebungen ihrer Kunden. Genau diese Verbindung machten sich die Angreifer zunutze: Ein kompromittierter Integrationsanbieter eröffnete ihnen indirekten Zugriff auf Datenbestände mehrerer Unternehmenskunden.

Damit reiht sich der Vorfall in eine Serie von Angriffen ein, bei denen OAuth-Token, API-Zugänge und sogenannte Connected Apps zur eigentlichen Angriffsfläche werden. Für Unternehmen ist die Lehre daraus klar: SaaS-Integrationen müssen wie privilegierte Identitäten behandelt werden. Wer einem Drittanbieter dauerhaft Zugriff auf CRM-, Collaboration- oder Vertriebsdaten gewährt, delegiert damit auch einen Teil der eigenen Sicherheitskontrolle. Klassische Perimetersicherheit, Endpoint Detection oder MFA für Benutzerkonten reichen in solchen Szenarien allein nicht mehr aus.

Eine technische Verbindung zur zeitgleich diskutierten „FortiBleed“-Kampagne ist nach derzeitigem Kenntnisstand nicht belegt; die eigentliche Relevanz liegt vielmehr in der Kompromittierung von SaaS-Integrationen und CRM-Datenflüssen.

Fazit

Der Klue-Vorfall ist ein Beispiel für die Verschiebung moderner Angriffsvektoren im SaaS- und KI-Zeitalter. Jede dauerhaft autorisierte Integration kann zu einem privilegierten Zugangspfad werden — auch dann, wenn die Kernplattform selbst nicht verwundbar ist. Wenn ein vertrauenswürdiger Integrationsanbieter kompromittiert wird, "erben" die Angreifer dessen Zugriffsrechte – ein architektonisches Risiko, das in diesem Fall selbst bei IT-Sicherheitsunternehmen mit hoher Security-Maturity zu empfindlichen Datenabflüssen führte. Für Unternehmen bedeutet das: OAuth-Token, Connected Apps und API-Berechtigungen müssen mit derselben Konsequenz überwacht werden wie Administratorenkonten, Service Accounts und klassische Netzwerkzugänge.