01Start
02Über uns
03Dienstleistung
04Produkte
05Beratung
06Rechenzentrum
07Lösungen
08Blog
09Jobs
010Kontakt

Pay or Leak: ShinyHunters macht Ernst

Im Juni 2026 fuhr die Gruppe ShinyHunters mehrere Erpressungskampagnen nach dem Prinzip „Pay or Leak“ – zahlen oder Veröffentlichung. Betroffen waren unter anderem Ziele aus Gesundheitswesen, Versicherung und Unterhaltung. Die Angriffe liefen teils über eine Zero-Day in Oracle PeopleSoft und über Social Engineering, also die gezielte Manipulation von Menschen.

Das Entscheidende: Es ging nicht mehr darum, Systeme lahmzulegen, sondern darum, Daten abzugreifen und mit ihrer Veröffentlichung zu drohen. Gegen dieses Druckmittel hilft ein Backup nicht – wiederhergestellte Daten ändern nichts daran, dass eine Kopie in falschen Händen ist.

Der OAuth-Angriff auf Klue – Daten durch die Hintertür

Noch aufschlussreicher ist ein zweiter Fall: Ein OAuth-Angriff der Gruppe „Icarus“ auf den Anbieter Klue. Über diesen Weg sollen Salesforce-CRM-Daten mehrerer Organisationen abgeflossen sein. Der Punkt dabei ist nicht, dass Salesforce gehackt wurde, sondern dass eine verbundene Dritt-App als Einfallstor diente.

OAuth ist der Mechanismus, mit dem wir Anwendungen erlauben, in unserem Namen auf Daten zuzugreifen – etwa wenn ein Marketing-Tool auf das CRM zugreifen darf. Wird ein solcher OAuth-Token oder eine verbundene App kompromittiert, hat der Angreifer legitimen Zugriff, ohne ein einziges Passwort zu knacken. Die klassische Perimeter-Verteidigung greift hier ins Leere.

Warum verbundene Apps die neue Angriffsfläche sind

In jeder gewachsenen Microsoft-365- oder Salesforce-Umgebung sammeln sich über die Jahre Dutzende App-Berechtigungen an: Tools, die mal ausprobiert wurden, Integrationen, die längst niemand mehr nutzt, Zustimmungen (App-Consents), die einzelne Mitarbeitende einmal erteilt haben. Jede dieser Verbindungen ist ein potenzieller Zugang zu Ihren Daten.

Das ist die eigentliche Verschiebung: Nicht die Firewall entscheidet, sondern die Frage, wem Sie über OAuth Vertrauen geschenkt haben – und ob Sie das noch überblicken. Diese Entwicklung reiht sich ein in das, was wir in unserer Einordnung zur Ransomware-Bedrohungslage 2026 beschrieben haben: Der Diebstahl von Daten löst die reine Erpressung durch Verschlüsselung zunehmend ab.

Was jetzt konkret zu tun ist

Die gute Nachricht: Diese Angriffsfläche lässt sich ordnen. Unsere Empfehlungen:

  • OAuth-App-Berechtigungen prüfen: Welche Apps haben Zugriff, auf welche Daten, und wer hat zugestimmt? Ungenutzte App-Consents entziehen.
  • Conditional Access: Zugriffe an Bedingungen wie Gerät, Standort und Risiko-Score knüpfen.
  • Least Privilege: Apps und Nutzern nur die minimal nötigen Rechte geben.
  • Legacy-Auth abschalten: Alte Authentifizierungsprotokolle umgehen oft MFA und sind ein bekanntes Einfallstor.
  • SaaS-Daten trotzdem sichern: Microsoft-365- und CRM-Daten gehören ins Backup – auch gegen Löschung und versehentlichen Verlust.

Wir richten diese Kontrollen im Rahmen unserer Microsoft-365-Betreuung und unserer IT-Security ein und sichern SaaS-Daten über Backup as a Service.

Was bleibt

Die neue Erpressung braucht keine Verschlüsselung – sie stiehlt SaaS-Daten über missbrauchte OAuth-Token, verbundene Dritt-Apps und Social Engineering. Prüfen Sie Ihre App-Berechtigungen, setzen Sie auf Conditional Access und Least Privilege, schalten Sie Legacy-Auth ab – und sichern Sie Ihre SaaS-Daten trotzdem.

IT-SecurityCloudRansomware