Der Sommer 2025 war geprägt von einer Reihe prominenter Sicherheitsvorfälle. Dieser Beitrag beleuchtet vier besonders bekannte Opfer: Chanel, Google, Air France und KLM. Auch wenn die Unternehmen und die betroffenen Datensätze unterschiedlich sind, zeigt sich ein klares Muster: Angreifer kompromittierten Drittanbieter-CRM- und Customer-Service-Plattformen im Rahmen einer größeren, auf Salesforce fokussierten Vishing-/Social-Engineering-Kampagne. Von dort aus wurden Kundendaten wie Kontaktdetails, IDs von Kundenkarten und Inhalte aus Kundenservice-E-Mails abgegriffen. 

Wir geben einen Überblick über ausgewählte Vorfälle und teilen praktische Tipps, mit denen Unternehmen das Risiko einer ähnlichen Kompromittierung ihrer Lieferkette verringern können. 

Wer steckt hinter den CRM-Angriffen? 

Lidia Lopez, Strategic Research Team Lead bei Outpost24 (Mutterunternehmen von Specops), erklärt:  

„Die Veröffentlichungen von vertraulichen Informationen bei Air France-KLM reiht sich in eine wachsende Liste von Unternehmen ein, die von einer gezielten und ausgefeilten Voice-Phishing-Kampagne (Vishing) betroffen sind und Salesforce-Umgebungen nutzen. Diese Angriffe wurden erstmals im März 2025 gemeldet und verschärften sich weiter im Juni. Inzwischen sind Unternehmen in ganz Europa und den USA betroffen, darunter Adidas, Allianz Life, Chanel, Pandora, LVMH-Tochterunternehmen, Qantas – und zuletzt Google. 

Die Angreifer nutzen eine telefonbasierte Social-Engineering-Methode. Sie geben sich als IT-Helpdesk aus, um Mitarbeiter dazu zu verleiten, Zugangsdaten preiszugeben oder kompromittierte Salesforce-Tools zu installieren. Wochen oder Monate später werden die Opfer von einer Gruppe Cyberkrimineller erpresst, die sich selbst oft als ShinyHunters bezeichnet. Sie drohen mit der Veröffentlichung der Daten, sofern kein Lösegeld in Form von Bitcoin gezahlt wird. 

Diese Kampagne spiegelt eine größere Veränderung wider: Da die technische Abwehr in Unternehmen immer weiter verbessert wird, setzen Angreifer zunehmend auf psychologische Methoden. Das unterstreicht insbesondere der Anstieg der Vishing-Angriffe um 442 % allein im Jahr 2024. Unternehmen sollten daher Single-Sign-On (SSO) erzwingen, Login-Aktivitäten überwachen, Software-Installationen auf Endgeräten einschränken und strenge Zugriffskontrollen umsetzen. Diese einfachen Maßnahmen können sowohl die Wahrscheinlichkeit als auch die Auswirkungen solcher Angriffe drastisch reduzieren.“ 

Zusammenfassung der Angriffe auf Chanel, Google, Air France und KLM 

Chanel 

• Was ist passiert: Nachdem am 25. Juli 2025 ein unbefugter Zugriff entdeckt wurde, gab Chanel bekannt, dass bei der Datenpanne eine bestimmte Kundengruppe betroffen war. 

• Angriffsvektor: Der Zugriff erfolgte über einen Drittanbieter (laut Presseberichten Salesforce-bezogen), passend zur anhaltenden Welle von Vishing-/Social-Engineering-Angriffen auf Salesforce-Kunden.  

• Betroffene Daten: Begrenzte Kundendienstdaten (Name, E-Mail, Adresse, Telefonnummer) einer Kundenuntergruppe; Chanel gab an, dass keine weiteren Kundendaten aus ihren Systemen abgegriffen wurden. 

• Auswirkungen/aktueller Status: Betroffene Kunden wurden benachrichtigt; zum Zeitpunkt der Bekanntgabe wurden keine öffentlichen Datenlecks gemeldet. Chanel arbeitet mit dem Drittanbieter zusammen, um den Vorfall zu untersuchen. 

Google 

• Was ist passiert: Im Juni wurde Google als weiteres Opfer der Salesforce-CRM-Datendiebstahlkampagne bekanntgegeben. 

• Angriffsvektor: Die Kampagne zielt auf Mitarbeiterkonten ab, um mittels Vishing und Social Engineering Zugriff auf Salesforce-Instanzen zu erhalten. Berichten zufolge werden die Aktivitäten mit Bedrohungsakteur UNC6040 und Erpressergruppen wie ShinyHunters in Verbindung gebracht. 

• Betroffene Daten: Berichten zufolge wurden Kundendaten aus Salesforce-Instanzen abgegriffen und zur Erpressung von Opfern verwendet. Google bestätigte, dass es von dieser Welle betroffen war. Spezifische Feldlisten für Google wurden in dem Artikel nicht näher erläutert. 

• Auswirkungen/aktueller Status: Zum Zeitpunkt der Erstellung dieses Blogbeitrags laufen die Ermittlungen und Eindämmungsmaßnahmen noch. 

Air France 

• Was ist passiert: Air France (Teil der Air France-KLM Group) hat einen unbefugten Zugriff auf eine externe Kundenservice-Plattform festgestellt, die von ihren Kontaktzentren verwendet wird. 

• Angriffsvektor: Kompromittierung einer Plattform eines Drittanbieters, die für den Kundenservice genutzt wird (Untersuchung läuft). Die Berichterstattung verknüpft den Angriff mit der umfassenderen Salesforce-Kampagne. 

• Betroffene Daten: Es wurde auf Kundendienstdaten wie Namen, E-Mail-Adressen, Telefonnummern, Informationen zu Treueprogrammen und aktuelle Transaktionen zugegriffen. Air France gibt an, dass interne Netzwerke und Zahlungs-/Pass-/Kreditkarteninformationen nicht betroffen waren. 

• Auswirkungen/aktueller Status: Die Group hat den Angreifern den Zugriff gesperrt, die Aufsichtsbehörden (CNIL in Frankreich) benachrichtigt und informiert die betroffenen Kunden, während sie gemeinsam mit dem externen Anbieter Ermittlungen durchführt. 

KLM 

• Was ist passiert: KLM bestätigte einen ähnlichen unbefugten Zugriff auf dieselbe Kundenservice-Plattform eines Drittanbieters, die von ihren Kontaktzentren verwendet wird. 

• Angriffsvektor: Drittanbieter-Kompromittierung im Kundendienstbereich; gemeldet als Teil der Welle von Salesforce-bezogenen Sicherheitsvorfällen und Social-Engineering-Angriffen. 

• Betroffene Daten: KLM gab an, dass personenbezogene Daten (vollständige Namen, Kontaktdaten), Flying Blue-Mitgliedsnummern und -Status sowie Betreffzeilen aus Kundenservice-E-Mails abgegriffen wurden. Zahlungsdaten, Passnummern und Passwörter wurden Berichten zufolge nicht abgegriffen. 

• Auswirkungen/aktueller Status: Der Vorfall wurde der niederländischen Datenschutzbehörde gemeldet; betroffene Kunden werden benachrichtigt und aufgefordert, auf Social Engineering/Phishing zu achten. 

Warum häufen sich solche Angriffe? 

1) Angriff auf Drittanbieter, nicht auf Kernsysteme 

Bei den Vorfällen bei Chanel, Google, Air France und KLM gibt es einen gemeinsamen Nenner: Statt die eigenen Systeme der Unternehmen direkt zu attackieren, kompromittieren Angreifer externe CRM- oder Kundenservice-Plattformen und Drittanbietersysteme. So lassen sich Daten vieler Unternehmen gleichzeitig abgreifen. 

2) Social Engineering (Vishing) und OAuth/Connected-App-Missbrauch sind in großem Maßstab wirksam 

Berichte verknüpfen diese Vorfälle mit einer größeren Kampagne, die Vishing und Social Engineering nutzt, um Mitarbeiter dazu zu bringen, OAuth-/Connected-App-Zugriffe zu genehmigen oder Zugangsdaten preiszugeben. Sobald Angreifer delegierten Zugriff auf ein Salesforce- oder Kontaktcenter-Konto erhalten, können sie Datensätze abgreifen, ohne direkt in Unternehmensnetzwerke eindringen zu müssen. 

3) Zu viele Berechtigungen und schwache Drittanbieterkontrollen vergrößern den Angriffsradius 

Viele Unternehmen gewähren verbundenen Anwendungen weitgreifende Zugriffsrechte und geben aus Gründen der Bequemlichkeit große Mengen an Kundendaten an Anbieter weiter. Wenn Lieferanten (oder die Zugangsdaten ihrer Mitarbeiter) kompromittiert werden, führt dies zu schneller, massenhafter Datensammlung. Die Schwierigkeit für Unternehmen, nachzuverfolgen und zu überprüfen, welche Drittanbieter über welche Zugriffsrechte verfügen, verlangsamt die Erkennung und Eindämmung von Angriffen. 

 
Möchten Sie wissen, ob Zugangsdaten Ihres Unternehmens im Dark Web veröffentlicht wurden? Testen Sie den kostenlosen Credential Checker von Outpost24. Sie benötigen lediglich eine E-Mail-Adresse, und wir senden Ihnen die Ergebnisse für Ihre Domain zu. Überprüfen Sie jetzt, wie viele Zugangsdaten Ihrer Organisation im Netz kursieren. 

4) Angreifer erzielen Gewinne durch Erpressung und anschließendes Social Engineering 

Die gestohlenen CRM-Datensätze eignen sich sowohl für direkte Erpressung als auch für überzeugendere Phishing- und Vishing-Kampagnen. Dadurch wird der Zugriff des Angreifers erweitert – so startet eine erfolgreiche Kompromittierung der Lieferkette einen gefährlichen Kreislauf. 

Maßnahmen zur Reduzierung von Third Party Risk 

Helpdesk-Interaktionen als Authentifizierungsgrenze behandeln – Verifizierung erzwingen 

Angreifer nutzen Social Engineering, um Helpdesk-Mitarbeiter dazu zu bringen, ihnen Zugriff zu gewähren oder Kontokontrollen zurückzusetzen. Dies war ein häufiges Merkmal der Ransomware-Angriffe auf große britische Einzelhandelsmarken wie Marks and Spencer. In Ihrem Unternehmen sollten generell strenge, überprüfbare Workflows für alle Service-Desk-Maßnahmen vorgeschrieben werden, die Konten oder verbundene Anwendungen betreffen. 

OAuth-/Connected-App-Zugriff und Bereiche von Drittanbietern sperren 

Erfassen Sie alle verbundenen Apps und Integrationen von Drittanbietern mit Zugriff auf CRM-, Kontaktcenter- oder Ticketing-Daten. Entfernen Sie ungenutzte Integrationen, reduzieren Sie den Umfang auf das erforderliche Minimum und fordern Sie eine Whitelist für Apps. Darüber hinaus sollte die Genehmigung jeder neuen Integration zu einem dokumentierten, sicherheitsgeprüften Prozess werden. Widerrufen Sie lange bestehende Tokens und verlangen Sie eine regelmäßige erneute Autorisierung. 

Authentifizierung und Sitzungsmanagement intensivieren 

Erzwingen Sie eine starke MFA für alle Konten, die auf CRM-/Kontaktcenter- oder Lieferantenportale zugreifen können. Verwenden Sie Conditional Access, um höhere Sicherheit für administrative oder lieferantenbezogene Anmeldungen zu gewährleisten (z.B. durch MFA und konforme Geräte). Verkürzen Sie dort, wo es möglich ist, die Lebensdauer von Tokens und implementieren Sie eine Anomalieerkennung für ungewöhnliche Sessions/IP- oder Exportaktivitäten. 

Markenpräsenz und Phishing-Infrastruktur mit DRP überwachen 

Suchen Sie kontinuierlich nach ähnlichen und schadhaften Domains, Seiten zum Abgreifen von Anmeldeinformationen und Identitätsdiebstahl in sozialen Medien. So lassen sich Vorbereitungen von Angreifern frühzeitiger erkennen, und Sie können rechtzeitig dagegen vorgehen. Ein DRP-Tool kann zwar eine Kompromittierung der CRM-Plattform nicht verhindern, doch ein Tool wie die CompassDRP-Lösung von Outpost24 kann die Auswirkungen auf Kunden reduzieren, indem es Phishing-Domains, gefälschte Konten und Datenlecks schneller erkennt. Dies ermöglicht ein schnelleres Eingreifen und bessere Warnung für betroffene Kunden. 

Fordern Sie noch heute eine kostenlose Demo an!