Die Warnung des FBI und der US-Cybersicherheitsbehörde CISA sorgt auch hierzulande für Aufmerksamkeit. Hintergrund sind neue, hochentwickelte Angriffe auf Cloud-Infrastrukturen, bei denen Social Engineering und technische Raffinesse Hand in Hand gehen. Besonders brisant: Zwei Hackergruppen haben es geschafft, selbst Multi-Faktor-Authentifizierung auszuhebeln und Millionen Kundendaten abzugreifen.

Eine der Gruppen setzt dabei auf eine besonders perfide Masche. Sie rufen gezielt Mitarbeitende in Call Centern oder IT-Abteilungen an und geben sich als interner Support aus. Unter Verweis auf angeblich dringende Tickets erzeugen die Betrüger Zeitdruck und erschleichen sich sensible Zugangsdaten. Mit Benutzernamen, Passwort und MFA-Code können sie anschließend Datenbanken anzapfen oder zusätzliche, schädliche Anwendungen autorisieren lassen, die dauerhaft Zugriff auf Systeme gewähren.

Parallel dazu nutzte eine zweite Gruppe kompromittierte OAuth-Tokens, um über Chatbot-Integrationen wie Salesloft Drift an Salesforce-Daten zu gelangen. Diese Tokens, eigentlich für sichere Verbindungen zwischen Anwendungen gedacht, wurden zu einem Generalschlüssel für Kundendaten. Wochenlang konnten Angreifer unbemerkt Daten abziehen, bevor die betroffenen Anbieter reagierten und die Tokens sperrten.

Das Problem ist strukturell: Je stärker Unternehmen ihre Prozesse mit Cloud-Diensten und SaaS-Anwendungen verzahnen, desto mehr potenzielle Einfallstore entstehen. Besonders gefährdet sind Firmen mit komplexen Infrastrukturen, wie sie in Telekommunikation, Finanzsektor oder Versicherungen üblich sind. Analysten warnen, dass auch deutsche Unternehmen ins Visier geraten dürften – schließlich arbeiten viele mit identischen Plattformen.

Die Behörden empfehlen daher, Mitarbeitende verstärkt zu schulen und Kommunikationswege kritisch zu prüfen. Anrufe von vermeintlichen IT-Kollegen sollten immer durch Rückruf über offizielle Nummern verifiziert werden. Technisch gilt es, phishing-resistente MFA-Lösungen einzusetzen, API-Nutzung streng zu überwachen und verdächtige OAuth-Verbindungen frühzeitig zu sperren.

Die Botschaft ist klar: Cyberkriminelle agieren zunehmend mit der Professionalität von Geheimdiensten. Wer auf Cloud-Services setzt, muss damit rechnen, dass Angriffe raffinierter und schwerer erkennbar werden – und sollte sich entsprechend wappnen.