Angreifer verschlüsseln nicht mehr – sie stehlen Ihre SaaS-Daten
Die Ransomware-Erzählung, wie wir sie kennen, verändert sich. Mitte 2026 verschiebt sich der Schwerpunkt von der klassischen Verschlüsselung hin zur reinen Datendiebstahl-Erpressung nach dem Muster „Pay or Leak“. Zwei Vorfälle im Juni 2026 zeigen exemplarisch, wohin die Reise geht – und dass die neue Angriffsfläche nicht der Server im Keller ist, sondern die verbundenen SaaS-Anwendungen, denen wir im Alltag Zugriff gewähren.
Pay or Leak: ShinyHunters macht Ernst
Im Juni 2026 fuhr die Gruppe ShinyHunters mehrere Erpressungskampagnen nach dem Prinzip „Pay or Leak“ – zahlen oder Veröffentlichung. Betroffen waren unter anderem Ziele aus Gesundheitswesen, Versicherung und Unterhaltung. Die Angriffe liefen teils über eine Zero-Day in Oracle PeopleSoft und über Social Engineering, also die gezielte Manipulation von Menschen.
Das Entscheidende: Es ging nicht mehr darum, Systeme lahmzulegen, sondern darum, Daten abzugreifen und mit ihrer Veröffentlichung zu drohen. Gegen dieses Druckmittel hilft ein Backup nicht – wiederhergestellte Daten ändern nichts daran, dass eine Kopie in falschen Händen ist.
Der OAuth-Angriff auf Klue – Daten durch die Hintertür
Noch aufschlussreicher ist ein zweiter Fall: Ein OAuth-Angriff der Gruppe „Icarus“ auf den Anbieter Klue. Über diesen Weg sollen Salesforce-CRM-Daten mehrerer Organisationen abgeflossen sein. Der Punkt dabei ist nicht, dass Salesforce gehackt wurde, sondern dass eine verbundene Dritt-App als Einfallstor diente.
OAuth ist der Mechanismus, mit dem wir Anwendungen erlauben, in unserem Namen auf Daten zuzugreifen – etwa wenn ein Marketing-Tool auf das CRM zugreifen darf. Wird ein solcher OAuth-Token oder eine verbundene App kompromittiert, hat der Angreifer legitimen Zugriff, ohne ein einziges Passwort zu knacken. Die klassische Perimeter-Verteidigung greift hier ins Leere.
Warum verbundene Apps die neue Angriffsfläche sind
In jeder gewachsenen Microsoft-365- oder Salesforce-Umgebung sammeln sich über die Jahre Dutzende App-Berechtigungen an: Tools, die mal ausprobiert wurden, Integrationen, die längst niemand mehr nutzt, Zustimmungen (App-Consents), die einzelne Mitarbeitende einmal erteilt haben. Jede dieser Verbindungen ist ein potenzieller Zugang zu Ihren Daten.
Das ist die eigentliche Verschiebung: Nicht die Firewall entscheidet, sondern die Frage, wem Sie über OAuth Vertrauen geschenkt haben – und ob Sie das noch überblicken. Diese Entwicklung reiht sich ein in das, was wir in unserer Einordnung zur Ransomware-Bedrohungslage 2026 beschrieben haben: Der Diebstahl von Daten löst die reine Erpressung durch Verschlüsselung zunehmend ab.
Was jetzt konkret zu tun ist
Die gute Nachricht: Diese Angriffsfläche lässt sich ordnen. Unsere Empfehlungen:
- OAuth-App-Berechtigungen prüfen: Welche Apps haben Zugriff, auf welche Daten, und wer hat zugestimmt? Ungenutzte App-Consents entziehen.
- Conditional Access: Zugriffe an Bedingungen wie Gerät, Standort und Risiko-Score knüpfen.
- Least Privilege: Apps und Nutzern nur die minimal nötigen Rechte geben.
- Legacy-Auth abschalten: Alte Authentifizierungsprotokolle umgehen oft MFA und sind ein bekanntes Einfallstor.
- SaaS-Daten trotzdem sichern: Microsoft-365- und CRM-Daten gehören ins Backup – auch gegen Löschung und versehentlichen Verlust.
Wir richten diese Kontrollen im Rahmen unserer Microsoft-365-Betreuung und unserer IT-Security ein und sichern SaaS-Daten über Backup as a Service.
Was bleibt
Die neue Erpressung braucht keine Verschlüsselung – sie stiehlt SaaS-Daten über missbrauchte OAuth-Token, verbundene Dritt-Apps und Social Engineering. Prüfen Sie Ihre App-Berechtigungen, setzen Sie auf Conditional Access und Least Privilege, schalten Sie Legacy-Auth ab – und sichern Sie Ihre SaaS-Daten trotzdem.