Supply‑Chain: Angreifer missbrauchen gestohlene Tokens

Wie der Einbruch bei einem Drittanbieter zur Gefahr für Snowflake-Kunden wurde – inklusive detailliertem Maßnahmenplan für (betroffene) Unternehmen

Bild: Getty Images / Credits: alexandragl1

Ein neuer Lieferketten-Angriff erschüttert die Tech-Welt. Durch einen Sicherheitsvorfall beim KI-Analyse-Spezialisten Anodot gelang es Angreifern, in die Datenarchive namhafter Unternehmen einzudringen. Der Vorfall weckt böse Erinnerungen an vergangene Großangriffe und rückt die Sicherheit von SaaS-Integrationen erneut ins Rampenlicht.

Mehr als ein Dutzend Unternehmen sind laut Informationen von BleepingComputer Ziel von Datendiebstahl‑Attacken geworden, die ihren Ursprung beim US-israelischen Unternehmen Anodot haben sollen. Zu den Betroffenen gehört u. a. Snowflake, das betroffene Accounts vorsorglich gesperrt und die Kunden informiert hatte.

Was ist Anodot?

Anodot ist ein Anbieter von KI-basierten Monitoring-Lösungen. Das Unternehmen ist darauf spezialisiert, Geschäftsdaten in Echtzeit zu analysieren und Anomalien zu erkennen – etwa plötzliche Einbrüche bei Werbeeinnahmen, technische Fehler in Cloud-Infrastrukturen oder ungewöhnliche Transaktionen. Damit Anodot diese Arbeit leisten kann, benötigt die Plattform tiefgreifende Lesezugriffe auf die Datentöpfe ihrer Kunden. Das sind oft Cloud-Data-Warehouses wie Snowflake.

Was bislang bekannt ist (Stand: 10. April 2026)

Ausgangspunkt der aktuellen Welle ist nach Informationen von BleepingComputer ein Einbruch bei einem Drittanbieter‑Integrator, bei dem Tokens gestohlen worden sein sollen. Diese Tokens fungieren wie digitale Generalschlüssel: Einmal im Besitz der Angreifer, erlauben sie den Zugriff auf verbundene Drittplattformen, ohne dass ein Passwort oder ein zweiter Faktor (MFA) abgefragt wird.

Shane Barney, CISO von Keeper Security, sagt: “Die gemeldeten Vorfälle, von denen Snowflake-Kunden betroffen sind, veranschaulichen ein wiederkehrendes Muster in der modernen Cloud-Sicherheit: die Ausnutzung vertrauenswürdiger Integrationen und authentifizierter Zugriffe anstatt von Schwachstellen in der Kerninfrastruktur.”

Eine Threat-Actor-Gruppe, die sich selbst als ShinyHunters bezeichnet, soll sich bereits zu dem Angriff bekannt haben.

Wer ist betroffen? Bisher ist von „Dutzenden Unternehmen“ die Rede. Besonders im Fokus stehen Snowflake-Kunden, deren Daten über die Anodot-Schnittstelle abgegriffen wurden.

Der Umfang des Angriffs: Die Angreifer behaupten, massive Datenmengen gestohlen zu haben. Snowflake selbst bestätigte „ungewöhnliche Aktivitäten“ bei einer kleinen Anzahl von Kunden, betonte jedoch, dass die eigenen Kernsysteme nicht gehackt wurden – der Fehler liege bei der Drittanbieter-Integration.

Weitere Ziele: Berichten zufolge versuchten die Täter auch, über die gestohlenen Token auf Salesforce-Instanzen zuzugreifen, scheiterten dort jedoch an Sicherheitsbarrieren.

Parallel dazu zeigt die offizielle Anodot‑Statusseite seit dem 4. April eine eskalierende Störung:

Image
Description
Statusseite von Anodot am 10. April 2026

Was bedeutet das für CISOs?

Für Chief Information Security Officers (CISOs) ist dieser Vorfall ein Weckruf. Er verdeutlicht, dass das „Least Privilege“-Prinzip (minimale Rechtevergabe) häufig an den Grenzen von Cloud- und SaaS-Tools endet.

Das Kernproblem ist, dass moderne Unternehmen hunderte SaaS-Integrationen nutzen. Die dazu notwendigen Token sind oft langzeitig gültig und besitzen weitreichende Berechtigungen.

“In SaaS-Ökosystemen bilden Identitäten und die damit verbundenen Artefakte, wie beispielsweise Zugangsdaten, Sitzungstokens und API-Schlüssel, die primäre Sicherheitsgrenze”, bestätigt Barney. “Werden diese Elemente kompromittiert, agieren Angreifer innerhalb gültiger Sitzungen und übernehmen häufig die Berechtigungen, die der Integration selbst gewährt wurden. Drittanbieter-Integrationen stellen ein zunehmendes Risiko dar. Ihnen wird häufig ein dauerhafter, hochvertrauenswürdiger Zugriff gewährt, um die Automatisierung zu unterstützen und den Datenaustausch zu ermöglichen. Genau dieser Zugriff kann jedoch den Schadensradius erheblich vergrößern, wenn er kompromittiert wird. Ohne strenge Kontrollen kann ein einzelner Ausfallpunkt in der Lieferkette eine Kettenreaktion über mehrere Systeme und Organisationen hinweg auslösen.”

Wenn ein Partner wie Anodot kompromittiert wird, wird legitimer Zugang selbst zur Waffe. Das Vertrauen in den Partner wird zur Sicherheitslücke.

Der Keeper-CISO erläutert: “Eine der wichtigsten Unterscheidungen bei solchen Vorfällen ist der Unterschied zwischen Authentifizierung und Autorisierung. Die Authentifizierung bestätigt, dass ein Benutzer oder System tatsächlich der ist, der er vorgibt zu sein, während die Autorisierung festlegt, worauf diese Identität zugreifen darf. In diesem Fall deutet die Verwendung gültiger, gestohlener Tokens darauf hin, dass die Authentifizierungskontrollen nicht umgangen wurden, sondern dass die der Integration gewährten Berechtigungen ausreichten, um Datenabflüsse zu ermöglichen. Das verdeutlicht eine häufige Schwachstelle in SaaS-Umgebungen: Organisationen legen großen Wert auf die Sicherheit beim Login, schenken jedoch dem Verhalten nach der Anmeldung deutlich weniger Aufmerksamkeit.”

Brisant ist der zweite Teil der Geschichte: Laut BleepingComputer werden mehrere Unternehmen bereits erpresst – die Gruppe ShinyHunters fordere Zahlungen, um eine Veröffentlichung der exfiltrierten Daten zu verhindern. ShinyHunters behauptet, Daten von „dozens of companies“ entwendet zu haben. Erpressung ist Teil des Designs.

Status‑Signale (z. B. Collector‑Ausfälle über Regionen) sind ein Reminder, dass Security‑Incidents oft als „Betriebsstörung“ beginnen – und Teams, die Monitoring‑Integrationen blind vertrauen, im Worst Case gerade dann Sichtbarkeit verlieren, wenn sie sie am dringendsten brauchen.

Welche Maßnahmen sollten Unternehmen jetzt ergreifen?

Unternehmen, die Anodot oder ähnliche Analyse-Tools einsetzen, sollten jetzt umgehend handeln:

  1. Token-Audit & Rotation: Überprüfen Sie alle aktiven API-Token und Service-Accounts, die mit Drittanbietern verbunden sind. Falls Ihr Unternehmen Anodot nutzt: Widerrufen Sie bestehende Token sofort und generieren Sie neue, falls der Anbieter Entwarnung gibt.
  2. Einschränkung der Berechtigungen: Prüfen Sie, ob Drittanbieter-Tools wirklich Schreib- oder Vollzugriff benötigen. Oft reicht ein „Read-Only“-Zugriff auf spezifische Datenbank-Schemata aus.
  3. Monitoring von Service-Accounts: Überwachen Sie die Aktivitäten Ihrer Service-Accounts auf Anomalien (z.B. untypische Export-Volumina oder Zugriffe von fremden IP-Adressen).
  4. IP-Allowlisting: Wo immer möglich, sollte der Zugriff von Drittanbietern auf spezifische IP-Adressbereiche des Partners eingeschränkt werden.
  5. Vendor Risk Management: CISOs müssen von ihren Partnern Transparenz über deren interne Absicherung verlangen. Ein SOC2-Bericht allein reicht nicht aus, wenn die Token-Verwaltung lückenhaft ist.

Einen detaillierten Maßnahmenplan finden Sie auf Seite 2.

Shane Barney rät dazu, “nicht-menschliche Identitäten und Integrationen mit demselben Maß an Governance behandeln wie privilegierte Benutzer. Dazu gehört die Durchsetzung von Minimalrechten (Least Privilege), die Minimierung der Token-Lebensdauer, die kontinuierliche Rotation von Zugangsdaten sowie Transparenz darüber, wie Integrationen mit sensiblen Daten interagieren.”

Für den Sicherheitsexperten ist die Überwachung von Aktivitäten nach der Authentifizierung ebenso wichtig: “Das Erkennen ungewöhnlichen Verhaltens innerhalb gültiger Sitzungen – etwa ungewöhnlicher Datenzugriffsmuster oder auffälliger Abfragevolumina – ist entscheidend, um diese Art von Bedrohung frühzeitig zu identifizieren und einzudämmen, bevor es zu einem großflächigen Datenabfluss kommt.”

Fazit

Der Anodot-Vorfall zeigt, dass die Sicherheit der Lieferkette (Supply Chain) nicht beim Software-Code aufhört, sondern die gesamte Vernetzung der Cloud-Dienste umfasst. Unternehmen müssen lernen, ihre „digitalen Türen“ auch gegenüber vertrauenswürdigen Partnern kritischer zu überwachen.

Detaillierter Maßnahmenplan

Sofort (heute/innerhalb 24–48h): „Stop the bleeding“

Kurzfristig (innerhalb einer Woche): Scope klären, Zugang neu härten

Mittelfristig (30–90 Tage): Third‑Party‑Risk neu kalibrieren