Sie sind hier: Startseite » Markt » Hintergrund

Risiko von SaaS-zu-SaaS-Integrationen

Wenn SaaS-Integrationen zu Angriffsvektoren werden
Analyse von Check Point zum Drift-Salesforce-Angriff UNC6395

Von Marco Eggerling, Global CISO bei Check Point Software Technologies

Ein SaaS-Sicherheitsalbtraum für IT-Manager in aller Welt wurde kürzlich wahr: Hacker nutzten legitime OAuth-Tokens aus der Drift-Chatbot-Integration von Salesloft mit Salesforce, um unbemerkt Kundendaten von der beliebten CRM-Plattform zu exfiltrieren. Der ausgeklügelte Angriff deckt einen kritischen toten Winkel auf, von dem die meisten Sicherheits-Teams nicht einmal wissen, dass sie von ihm betroffen sind.

Zwischen dem 8. und 18. August 2025 nahm der von Google als UNC6395 bezeichnete Angreifer die OAuth-basierte Verbindung zwischen Drift und Salesforce ins Visier – eine Integration, auf die sich Tausende von Vertriebsleuten täglich verlassen, um Marketinggespräche und Lead-Daten zu synchronisieren.

Der Angreifer hat eine wichtige Tatsache über moderne Unternehmen verstanden: Viele Teile laufen über SaaS-Integrationen, nicht nur einzelne Anwendungen.

OAuth-Tokens funktionieren wie digitale Schlüssel zwischen SaaS-Anwendungen. Sobald sie kompromittiert worden sind, ermöglichen sie einen dauerhaften Zugriff, ohne typische Benutzerauthentifizierungswarnungen auszulösen.

Was diesen Angriff so problematisch machte, war die Verwendung legitimer Tools: Keine ungewöhnlichen Anmeldemuster, keine verdächtigen Dateidownloads, sondern normale API-Aufrufe mit gültigen Integrations-Tokens.

Salesloft und Salesforce haben nun alle aktiven Zugriffs- und Aktualisierungs-Tokens mit der Drift-Anwendung widerrufen und Salesforce hat die Drift-Anwendung bis zum Abschluss der Untersuchung aus AppExchange entfernt.

Typische SaaS-Tools für die Sicherheit eignen sich hervorragend zur Überwachung von Benutzerzugriffsmustern oder das Aufspüren ungewöhnlicher Anmeldeorte. Sie berücksichtigen jedoch häufig nicht die Realität, in der geschäftskritische Daten ständig zwischen SaaS-Anwendungen fließen.

Ein Beispiel: Drift kommuniziert mit Salesforce, das wiederum mit HubSpot verbunden ist, das wiederum mit Slack integriert ist, das wiederum mit Google Workspace synchronisiert wird. Jede Verbindung verwendet in der Regel OAuth-Tokens, die einer Anwendung die Erlaubnis erteilen, im Namen einer anderen zu handeln.

Diese Integrationspunkte stellen eine Schwachstelle dar, bei der ein einziges kompromittiertes Token den Zugriff weit über den ursprünglichen Bereich hinaus ermöglichen kann. Ein Angreifer, der eine Marketingautomatisierungsintegration knackt, könnte plötzlich Zugriff auf Kundendatensätze, Finanzdaten oder interne Kommunikation haben.

Die meisten SaaS-Sicherheits-Tools konzentrieren sich auf die Verbindungen zwischen Benutzern und SaaS. Sie eignen sich hervorragend, um zu erkennen, wenn sich der CFO von einem ungewöhnlichen Ort aus anmeldet oder wenn jemand versucht, eine Datei herunterzuladen, die er nicht herunterladen sollte. Aber sie können völlig übersehen, wenn ein Integrations-Token beginnt, Kundendatenbanken zu exportieren.

Erkennung der Integration
An dieser Stelle wird der Angriff von Drift und Salesforce zu einer perfekten Fallstudie dafür, wie moderne SaaS-Sicherheit aussehen sollte.

>> Integrationsüberwachung in Echtzeit: Erfassen und überwachen von SaaS-zu-SaaS-Verbindungen mit API-Integration, um alle Anwendungen, Dienste und Token zu erkennen und ungewöhnliche Datenexportvolumina zu markieren, obwohl die API-Aufrufe selbst scheinbar legitim waren.
>> Verhaltensanalyse für OAuth-Tokens: Festlegen von Grundlinien für das typische Verhalten jeder Integration und Ergreifen von Maßnahmen in Form von Warnungen oder automatischer Eindämmung, wenn das Verhalten von dieser Grundlinie abweicht.
>> Sichtbarkeit von Datenbewegungen: Verfolgen großer Datenbewegungen, um Transparenz zu schaffen und Exfiltrationsversuche schnell zu erkennen.

Mehr als nur Erkennung: Umfassende SaaS-Sicherheitsstrategie
Der Drift-Salesforce-Vorfall macht deutlich, warum Unternehmen ihren Ansatz zur SaaS-Sicherheit überdenken müssen. Es reicht nicht aus, einzelne Anwendungen zu sichern, sondern man braucht Transparenz und Kontrolle über das gesamte SaaS-Ökosystem.

Eine gute Lösung deckt daher drei kritische Bereiche ab:
>> Vollständige SaaS-Erkennung: Automatisches aufdecken aller SaaS-Anwendungen, Schatten-IT und Integrationspunkte im Unternehmen, denn die SaaS-Umgebung lässt sich nur sichern, wenn man weiß, was tatsächlich vorhanden ist.

>> Bewertung des Integrationsrisikos: Nicht alle SaaS-Verbindungen bergen das gleiche Risiko. Die Lösung priorisiert die Bedrohungen auf der Grundlage von Datenempfindlichkeit, Zugriffsumfang und Verhaltensmustern. Zum Beispiel: Die Salesforce-Finanzsystem-Integration wird anders überwacht als die Slack-Kalender-Verbindung.

>> Automatisierung der Einhaltung von Vorschriften: In Anbetracht von Datenschutzbestimmungen wie der DSGVO, die von Unternehmen verlangen, Datenströme zu verfolgen, braucht es ein automatisiertes Compliance-Management. Dazu gehören Funktionen für das SaaS Security Posture Management (SSPM), die SaaS-Konfigurationen kontinuierlich anhand von Best Practices und Compliance-Frameworks prüfen.

Mit der zunehmenden Verbreitung von SaaS und der wachsenden Komplexität der Integration werden Angriffe wie dieser noch häufiger vorkommen. Diesen Zwischenfall als Weckruf zu verstehen, ist daher das Gebot der Stunde. (Check Point Software Technologies: ra)

eingetragen: 18.09.25

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Hintergrund

Digitale Lösungen für die Modeindustrie
Gestörte Lieferketten während der Corona-Pandemie, steigende Rohstoffpreise und die Inflation belasten die Modebranche schon seit einigen Jahren. In den vergangenen Monaten haben sich die Herausforderungen für die Branche noch weiter verschärft: Aufgrund globaler politischer und wirtschaftlicher Unsicherheit kommt es weiterhin zu Lieferkettenunterbrechungen, Cyberbedrohungen nehmen zu und die Nachfrage nach Modeprodukten ist rückläufig, da viele Konsumentinnen und Konsumenten noch preissensibler geworden sind.
Innovation strategisch angehen
Um im Markt dauerhaft erfolgreich zu bestehen, sind Software-Unternehmen gefordert, ihre Innovationskraft fortlaufend unter Beweis zu stellen. Dabei sehen sie sich immer wieder mit der anspruchsvollen Frage konfrontiert, wie sie ihre begrenzten Ressourcen am sinnvollsten einsetzen: Sollen sie bewährte Produkte, Dienstleistungen und Prozesse weiter optimieren - oder neue Ideen zu marktreifen Innovationen entwickeln?
Die Zukunft braucht offene KI-Infrastrukturen
KI ist mehr als ein ominöses Hinterzimmer-Experiment. Die Technologie ist eine treibende Kraft, wenn es um Produkte, Entscheidungen und Nutzererfahrungen über jegliche Wirtschaftsbereiche hinaus geht. Mittlerweile stellen Unternehmen jedoch die Inferenz in den Mittelpunkt ihrer KI-Implementierungen. Hier können die Modelle ihren eigentlichen Mehrwert unter Beweis stellen - unter anderem in Form von Antworten auf drängende Fragen, Vorhersagen und Content-Generierung. Der Anstieg des Inferenz-Bedarfs bringt jedoch eine entscheidende Herausforderung mit sich. Bei Inferenzen handelt es sich nämlich nicht um einzelne Workloads.
2025 zeichnen sich laut Fico fünf KI-Trends ab
Unternehmen befassen sich zunehmend mit dem geschäftlichen Mehrwert ihrer KI-Investitionen. Sie achten immer mehr darauf, bei welchen Herausforderungen GenAI eine gute Lösung bringt und wo traditionelle KI-Technologie und interpretierbares maschinelles Lernen die Alternative sind. Tatsächlich sind mehr als 80 Prozent aller KI-Systeme, die heute in Unternehmen im Einsatz sind, keine GenAI.
Java bewegt die Cloud
Java mag mittlerweile 30 Jahre alt sein, doch die bewährte Programmiersprache bildet immer noch das Fundament zahlreicher geschäftskritischer Anwendungen. Um aktuellen Entwicklungen und Trends nachzuspüren, hat Azul im Rahmen des "2025 State of Java Survey and Report" mehr als 2.000 Java-Experten auf der ganzen Welt befragt. Die wichtigsten Ergebnisse gibt es hier im Überblick.
Nutzung von KI-Tools
In einer Gartner-Studie¹ aus dem Jahr 2024 gaben zwei Drittel der Befragten an, dass Kunden zögern, wenn es um den Einsatz von KI im Kundenservice geht. Dies stellt Unternehmen vor ein Dilemma, da sie zunehmend auf KI setzen, um Kosten zu senken, Einblicke in Geschäftsprozesse zu gewinnen und mit innovativen Technologien auf dem neuesten Stand zu bleiben, während sie gleichzeitig die Kundenzufriedenheit aufrechterhalten.
Cloud-Edge-Infrastruktur in Europa
eco - Verband der Internetwirtschaft e.V. übernimmt das Projektmanagement für das neu gestartete Projekt FACIS im Rahmen der europäischen Infrastrukturinitiative IPCEI-CIS/8ra . FACIS steht für das Konzept der Federation Architecture for Composed Infrastructure Services und wird seit November 2024 für die kommenden zwei Jahre vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) mit rund 6,8 Millionen Euro gefördert.
2025 zeichnen sich fünf KI-Trends ab
Scott Zoldi, KI-Visionär und Chief Analytics Officer bei Fico, sieht aktuell folgende fünf KI-Trends: Erkenntnis in Unternehmen reift: Nicht jede KI ist eine GenAI. Unternehmen befassen sich zunehmend mit dem geschäftlichen Mehrwert ihrer KI-Investitionen. Sie achten immer mehr darauf, bei welchen Herausforderungen GenAI eine gute Lösung bringt und wo traditionelle KI-Technologie und interpretierbares maschinelles Lernen die Alternative sind. Tatsächlich sind mehr als 80 Prozent aller KI-Systeme, die heute in Unternehmen im Einsatz sind, keine GenAI.
Nutzung von KI als Wirtschaftsfaktor
Die Entwicklung und Adaption von Künstlicher Intelligenz in Deutschland geht einigen viel zu langsam. Ist das wirklich so? Tatsächlich haben wir die KI weder verschlafen noch mutwillig ein- und ausgebremst. Aber es gibt eine Reihe von Besonderheiten, die der Nutzung von KI als Wirtschaftsfaktor nicht förderlich sind.
Erste Warnungen in Europa vor US-Clouds
Norwegen und Dänemark warnen vor US-Cloud-Anbietern. Werden Deutschland und weitere europäische Länder diesem Beispiel folgen? Wann werden Regeln zum Datenschutz verschärft und wie können Unternehmen diese Hürde meistern?

Hintergrund Digitale Lösungen für die Modeindustrie

Fachbeiträge: Hintergrund

Künstliche Intelligenz in der Cloud
Die Giganten der Tech-Branche planen in diesem Jahr mehr als 300 Milliarden US-Dollar auszugeben, um im KI-Wettrüsten wettbewerbsfähig zu bleiben. Allein Amazon hat über 100 Milliarden US-Dollar angekündigt, während Microsoft, Alphabet und Meta jeweils weitere Dutzende Milliarden für den Bau riesiger Rechenzentren, den Ausbau von GPU-Clustern und die Sicherung ihrer Dominanz im Bereich der Cloud-basierten KI ausgeben wollen. Investitionen in dieser Größenordnung sorgen für Schlagzeilen und viele Unternehmen, die selbst dabei sind, ihre KI-Strategie zu planen, sehen sich gezwungen, ihrerseits hohe Budgets einzuplanen. Für die meisten Unternehmen ist es jedoch weder praktikabel noch notwendig, den Plänen der Hyperscaler zu folgen. IT-Führungskräfte fragen sich deshalb zurecht, was für den Einsatz der KI im Unternehmen tatsächlich benötigt wird.
Tape hat ausgedient, Public Cloud ist verzichtbar
Zwei in der Datensicherung eingesetzte Technologien stehen derzeit bei vielen Unternehmen und Behörden auf dem Prüfstand. Bei Tape sind mit der Einführung von LTO-10 die Verbindungen zu Vorgängergenerationen komplett abgeschnitten worden, was eine vollständige Migration aller Systeme und Daten notwendig macht. Die Public Cloud entpuppt sich in vielen Fällen als wesentlich teurer als angenommen und zudem bestimmen rechtlichen Bedenken hinsichtlich Datenschutz und Datenhoheit die Diskussion.

Fachbeiträge: Grundlagen

Beispiel für die 3-2-1-Backup-Regel
Die 3-2-1-Backup-Regel ist ein einfacher, aber wirkungsvoller Ansatz zur Datensicherung. Diese Strategie gewährleistet, dass Daten unter nahezu allen Umständen sicher und wiederherstellbar sind. Sie minimiert Risiken und maximiert die Ausfallsicherheit, indem mehrere Kopien der Daten an verschiedenen Orten aufbewahrt werden. Interessant wird das Thema jedoch, wenn Cloud-Ressourcen bzw. Cloud-Tools mieteinbezogen werden.
Cloud-Repatriierung richtig planen
Lange galt die Cloud als Endpunkt der IT-Modernisierung. Doch mit dem Aufkommen rechenintensiver KI-Workloads, neuen regulatorischen Pflichten und intransparenten Kostenmodellen stellt sich für viele Unternehmen die Frage neu: Welche Workloads gehören wirklich in die Cloud und welche besser zurück ins eigene Rechenzentrum? Dieser Leitfaden gibt Orientierung für die Rückverlagerung geschäftskritischer Anwendungen.

IT Security

Ausbau strategischer Partnerschaften
Armis, das Unternehmen für Cyber-Exposure Management und -Sicherheit, hat einen weiteren wichtigen Meilenstein bekannt gegeben: Der jährliche wiederkehrende Umsatz (ARR) hat die Marke von 300 Millionen US-Dollar überschritten - ein Wachstum von 200 auf 300 Millionen in weniger als zwölf Monaten.
Schutz für Private-Cloud-Workloads
Scale Computing gab eine strategische Partnerschaft mit Bitdefender bekannt. Ziel der Kooperation ist es, fortschrittlichen, integrierten Schutz vor Bedrohungen für private Cloud- und Edge-Umgebungen bereitzustellen. Die neue gemeinsame Lösung kombiniert die selbstheilende Automatisierung und Virtualisierungstechnologie von Scale Computing Hypercore (SC//Hypercore) mit Bitdefender GravityZone, einer führenden Endpoint-Protection-Plattform (EPP). Unternehmen profitieren dadurch von mehrschichtigem Schutz für Workloads, virtuelle Desktops und Daten - unabhängig vom Standort. Gemeinsam bieten beide Unternehmen einen klaren Weg, moderne IT-Umgebungen sicherer, einfacher und effizienter zu gestalten, ohne die Performance zu beeinträchtigen.

IT Security - Angriffe & Lecks

Neue Backdoor im Einsatz
Seit Mitte 2024 beobachten die Bitdefender Labs ein neues Muster bösartiger gezielter Attacken mit dem Ziel, langfristigen Zugriff auf die Opfernetze zu erlangen. Die neuen Akteure, von Bitdefender Curly COMrades benannt, unterstützen offensichtlich russische Interessen und attackieren Unternehmen und Betreiber kritischer Infrastrukturen. Die Opfer befinden sich vor allem in Krisengebieten der aktuellen Geopolitik - darunter Justiz- und Regierungsbehörden in Georgien sowie Energieversorgungsunternehmen in Moldawien.
Attacke gegen Krypto-Währungen
Sicherheitsforscher von Check Point sind einer weiteren Attacke gegen Krypto-Währungen auf die Spur gekommen. Betrügerische Werbeanzeigen über Social Media, die sich als vermeintliche Apps und Finanzdienstleister ausgeben, sollen Nutzer in die Falle locken. Die Kampagne läuft erfolgreich, vor allem in der Europäischen Union, mit über 35000 verseuchten Werbeanzeigen.

IT Security - Fachbeiträge

Malware in Dokumenten
Die Digitalisierung des Finanzsektors und die Verarbeitung großer Mengen sensibler Daten machen Finanzdienstleister zunehmend zur Zielscheibe für Cyberkriminelle. Angreifer setzen dabei auf bewährte Methoden wie Social Engineering, Phishing oder Ransomware, um Systeme zu kompromittieren, Informationen abzugreifen, Unternehmen zu erpressen oder Betriebsstörungen zu verursachen. Besonders häufig wählen sie Angriffspfade, die sich im Arbeitsalltag etabliert haben. Mit Malware infizierte Dokumente stellen immer noch eine oft unterschätzte Bedrohung dar. Der folgende Beitrag erläutert die Gefahr, die von diesem Angriffsvektor ausgeht und wie ein mehrschichtiger Schutzansatz die Cybersicherheit im Finanzumfeld stärken kann.
Aufgaben einer DORA-Compliance lösen
Der Digital Operational Resilience Act (DORA), welcher am 17. Januar 2025 in Kraft getreten ist, betrifft nicht nur Anbieter von Finanzdiensten, sondern auch deren IT-Dienstleister: Dazu gehören sowohl Partner und Distributoren, aber auch indirekte IT-Dienstanbieter, wie die Anbieter von IT-Sicherheitsplattformen. Der Kreis der Unternehmen, für die sich aus dem Gesetz neue Hausaufgaben ergeben, ist also größer als vermutet. Für alle ist DORA aber eine Chance, die Resilienz ihrer IT-Infrastruktur gegen Cyberangriffe jetzt zu erhöhen.

IT Security - Tipps / Hintergrund / Wissen

Grenze des Risikomanagements
Mit der KI befinden wir uns an einem interessanten Wendepunkt, an dem neue Möglichkeiten Gestalt annehmen: Lebensrettende Fortschritte im Gesundheitswesen und im Transportwesen sowie die Nachbildung von Persönlichkeiten des öffentlichen Lebens, wie der verstorbenen Suzanne Somers, sind keine Science-Fiction mehr. Gleichzeitig waren die Sicherheitsbedenken in Bezug auf KI noch nie so groß wie heute. Es besteht ein enormer Bedarf an mehr Bewusstsein und Schutz vor Cyberkriminellen, die in KI-Systeme und -Tools eindringen. Zwar kann KI zur Bekämpfung dieser Betrüger eingesetzt werden, doch ist ein gemischter Ansatz, bei dem herkömmliche Tools mit KI kombiniert werden, die effektivere Strategie.
Sicherheit in die Entwicklung integrieren
Der zunehmende Einsatz von KI-gestützten Tools in der Softwareentwicklung verspricht schnelleres Programmieren, weniger Routineaufgaben und eine gesteigerte Produktivität. Eine aktuelle Analyse von Armis Labs zeigt jedoch, welche Sicherheitsrisiken entstehen, wenn sich Entwickler zu stark auf KI-generierten Code verlassen - insbesondere dann, wenn manuelle Prüfungen entfallen und automatisierte Vorschläge ungeprüft übernommen werden.