Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 20.06.2026 · 4 min Lesezeit

Klue OAuth-Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte Integration

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
IT News Grafik zum Klue OAuth Breach: Icarus-Gruppe stiehlt Salesforce-Daten über kompromittierte OAuth-Integration

Die als Icarus bekannte Erpresserbande hat über eine kompromittierte Integration der Marktintelligenz-Plattform Klue OAuth-Tokens erbeutet und damit Salesforce-CRM-Daten mehrerer Unternehmen gestohlen. Betroffen sind namhafte Firmen wie Recorded Future, Tanium, Jamf, Sprout Social, Gong und Insurity.

Meldung und Einordnung

Am 12. Juni 2026 entdeckte Klue unbefugte Aktivitäten in einem Teil seiner Integrationsinfrastruktur. Wie CEO Jason Smith in einer Stellungnahme bestätigte, verschaffte sich ein Angreifer über einen kompromittierten Legacy-Zugang eines Integrationsdienstes Zugriff auf OAuth-Tokens, die Klue mit Salesforce und anderen Drittanbieter-Plattformen verbinden.

Die Sicherheitsforscher von Huntress und ReliaQüst dokumentierten, dass die Angreifer die gestohlenen OAuth-Credentials nutzten, um auf die Salesforce-Umgebungen der Klue-Kunden zuzugreifen und dort umfangreiche Datendiebstähle durchzuführen. Die als Icarus bekannte Gruppe übernahm inzwischen öffentlich die Verantwortung für den Angriff und droht auf ihrer Datenleck-Seite mit der Veröffentlichung der gestohlenen Daten.

Dieser Vorfall reiht sich ein in eine wachsende Zahl von Angriffen, die auf OAuth-Integrationen und Supply-Chain-Wege abzielen. Statt direkt Unternehmensnetzwerke anzugreifen, nutzen die Täter kompromittierte SaaS-Integrationen, um an wertvolle CRM-Daten zu gelangen.

Technische Details für Admins

Die Angriffskette verlief in mehreren Stufen: Zunächst erlangten die Angreifer Zugriff über einen kompromittierten Legacy-Zugang eines Klue-Integrationsdienstes. Mit diesem Zugang generierten sie neue OAuth-Tokens für die Salesforce-Integrationen der Klue-Kunden. Mit diesen Tokens führten sie dann über Python-Skripte langandaürnde API-Abfragen gegen die Salesforce-Schnittstellen durch, um systematisch Daten zu extrahieren.

PhaseBeschreibungErkennung
Initialer ZugriffLegacy-Zugang eines Klue-Integrationsdienstes kompromittiertUngewöhnliche Login-Aktivität im Klue-Integrations-Log
OAuth-Token-GenerierungNeue Tokens für Kunden-Salesforce-Umgebungen erstelltUnautorisierte OAuth-Client-Registrierungen in Salesforce
DatenextraktionPython-Skripte führen stundenlange API-Abfragen durchHohes API-Volumen, ungewöhnliche Query-Muster in Salesforce-Ereignisprotokollen
ExfiltrationGeschäftskontakte, Preisinformationen und Vertriebsdaten abgeflossenVerdächtige Datenexporte in Salesforce-Audit-Trail

Risiko für KMU und Betrieb

Der Vorfall zeigt ein spezifisches Risiko auf, das insbesondere Unternehmen betrifft, die SaaS-Plattformen wie Salesforce nutzen und diese mit Drittanbieter-Integrationen verbinden. Die Angreifer haben nicht direkt die Systeme der betroffenen Unternehmen angegriffen, sondern den Umweg über einen Dienstleister genommen, der Zugriff auf die CRM-Umgebungen hatte. Dieses Supply-Chain-Risiko betrifft auch kleine und mittlere Unternehmen, die Salesforce oder ähnliche CRM-Systeme mit Marktintelligenz-, Marketing-Automation- oder Analyse-Tools integrieren.

Die gestohlenen Daten umfassen nach Angaben von Huntress Geschäftskontakte, Vertriebskommunikation, Preisinformationen und andere geschäftskritische Aufzeichnungen. Diese Informationen sind für anschließende Phishing-Angriffe, Social-Engineering-Kampagnen und Erpressungsversuche nutzbar. Mehrere betroffene Unternehmen warnten bereits vor gezielten Folgeangriffen auf ihre Kunden und Partner.

Was Admins jetzt prüfen sollten

  1. OAuth-Integrationen inventarisieren: Liste aller Drittanbieter-Integrationen in Salesforce und anderen CRM-Systemen erstellen. Prüfen, ob Klue-Integrationen im Einsatz sind.
  2. Salesforce-Ereignisprotokolle analysieren: Auf ungewöhnliche API-Abfragen, Datenexporte und OAuth-Client-Registrierungen in den letzten 14 Tagen prüfen.
  3. OAuth-Tokens rotieren: Bei Verdacht auf Kompromittierung bestehende OAuth-Tokens für alle Drittanbieter-Integrationen widerrufen und neu ausstellen.
  4. Legacy-Zugänge identifizieren und sperren: Alte API-Keys, Service-Accounts und Integrations-Credentials, die nicht mehr aktiv benötigt werden, sofort deaktivieren.
  5. Salesforce-Audit-Trail aktivieren: Prüfen, ob die Ereignisüberwachung (Event Monitoring) für API-Abfragen und Datenexporte aktiv ist und die Logs zentral gespeichert werden.
  6. MFA für alle Salesforce-Zugänge erzwingen: Auch für Service-Accounts und API-Integrationen, soweit technisch möglich und mit dem Anbieter abgestimmt.
  7. Drittanbieter-Richtlinie überarbeiten: Prozess definieren, welche SaaS-Integrationen erlaubt sind und welche Sicherheitsnachweise (SOC2, ISO 27001) vor Vertragsabschluss eingesehen werden müssen.

Betriebscheck nach der Meldung

  1. Nutzt unser Unternehmen Salesforce mit Integrationen zu Drittanbietern wie Klue, Outreach, Gong oder ähnlichen Marktintelligenz-Plattformen?
  2. Haben wir einen aktuellen Überblick über alle verbundenen Drittanbieter-Applikationen und deren Zugriffsrechte auf unser CRM?
  3. Sind unsere Salesforce-Ereignisprotokolle (Event Monitoring) aktiv und werden regelmäßig auf Anomalien überprüft?
  4. Existiert ein Prozess zur regelmäßigen Rotation von OAuth-Tokens und API-Keys für Integrationen?
  5. Werden Legacy-Zugänge und nicht mehr genutzte Integrationen regelmäßig aufgeräumt?
  6. Sind alle Mitarbeiter für Supply-Chain-Risiken und gezielte Phishing-Angriffe nach Datenlecks sensibilisiert?

Admin-Einschätzung

Der Klue-Vorfall ist ein Paradebeispiel für die wachsende Bedrohung durch Supply-Chain-Angriffe auf SaaS-Integrationen. Besonders bemerkenswert ist, dass die Angreifer nicht etwa eine technische Schwachstelle in Salesforce oder Klue selbst ausgenutzt haben, sondern einen schlichtweg unzureichend gesicherten Legacy-Zugang. Dies zeigt: Die Sicherheit einer Salesforce-Umgebung steht und fällt mit der Sicherheit aller angeschlossenen Drittanbieter-Integrationen.

Für Administratoren bedeutet dies, dass der Blick über den eigenen Tenant-Horizont hinausgehen muss. Regelmäßige Audits der verbundenen OAuth-Applikationen, das Monitoring von API-Aktivitäten und ein strenges Onboarding-Verfahren für neue SaaS-Integrationen sind keine Option mehr, sondern betriebliche Notwendigkeit. Wer Salesforce oder ähnliche CRM-Plattformen betreibt, sollte noch heute die Liste der autorisierten OAuth-Clients prüfen und nicht mehr benötigte Integrationen entfernen.

Passende Anleitungen auf S-EDV

  1. Twenty CRM mit Docker installieren – Open-Source-CRM-Alternative zu Salesforce mit eigener Serverkontrolle
  2. Docker und Docker Compose auf Linux installieren – Grundlage für selbst gehostete Dienste ohne Cloud-Abhängigkeit

Quellen

  1. BleepingComputer: Klue OAuth breach victim list grows as Icarus hackers claim attack
  2. Huntress: Klue Security Incident – OAuth Token Theft and Salesforce Data Exposure
  3. BleepingComputer: Huntress says Salesforce data stolen in Klue OAuth breach
Verwandt

Weiter lesen

Alle Artikel →
Microsoft Defender Warnmeldung zur RoguePlanet-Lücke CVE-2026-50656 mit beschädigtem Schutzschild, Serverumgebung und ausstehendem Patch Status in moderner Cybersecurity News Grafik
20.06.2026 ·4 min

Gentlemen Ransomware: EDR-Killer deaktivieren Sicherheitssoftware von 48 Herstellern

Eine Sicherheitsverletzung bei der Marktintelligenz-Plattform Klue hat zur Kompromittierung von Salesforce-Umgebungen mehrerer Unternehmen geführt. Die als Icarus bekannte Erpressergruppe erbeutete über einen kompromittierten Legacy-Zugang OAuth-Tokens und extrahierte umfangreiche CRM-Daten.
S-EDV News Grafik zu Infostealer Logs und 24 Milliarden Zugangsdaten
18.06.2026 ·4 min

24 Milliarden Zugangsdaten offen im Netz: Was Admins jetzt prüfen sollten

Eine riesige Sammlung aus Infostealer-Logs macht klar: Passwortwechsel allein reicht nicht. Admins sollten MFA, Sessions, Tokens und Anmeldeprotokolle prüfen.
NGINX 1.31.2 Sicherheitsupdate mit geschlossenem Schutzschild vor Server, Darstellung kritischer Sicherheitslücken in HTTP/3, gRPC und Charset Modul in moderner Cybersecurity News Grafik mit Rechenzentrum und Netzwerkvisualisierung.
18.06.2026 ·5 min

nginx 1.31.2 schließt kritische Lücken in HTTP/3, gRPC und Charset Modul

nginx 1.31.2 schließt drei Sicherheitslücken: CVE-2026-42530 in HTTP/3, CVE-2026-42055 in Proxy und gRPC Setups sowie CVE-2026-48142 im Charset Modul. Admins sollten Webserver, Container Images und Reverse Proxies jetzt prüfen.