Ransomware
Kaskadierende Schwachstellen über verbundene KI-Tools
Ein einziger AI Chatbot-Einbruch bei Salesloft Drift machte Daten von über 700 Unternehmen zugänglich. Der Angriff zeigt die Risiken der KI-Integration, und warum Maßnahmen wie etwa IP-Allow-Listen und Token-Sicherheit und Monitoring wichtig sind.
Der Angriff auf Salesloft-Drift war nicht nur ein weiterer Datenverstoß – er zeigte, wie miteinander verbundene KI-Tools kaskadierende Schwachstellen im gesamten Geschäftsökosystem schaffen. Was als Kompromittierung eines einzelnen KI-Chatbot-Anbieters begann, löste einen verheerenden Angriff auf die Supply Chain aus, von dem weltweit über 700 Unternehmen betroffen waren, darunter auch führende Organisationen der Cybersicherheitsbranche, die Lösungen verkaufen, die genau solche Vorfälle verhindern sollen.
Hier handelte es sich nicht um Hacker, die digitale Tore aufbrachen oder geschickt die Perimeterverteidigung knackten. Vielmehr wurden ihnen die Schlüssel zu einem vertrauenswürdigen KI-Agenten übergeben, der tief in die Geschäftsabläufe eingebettet war. Der Angriff lenkt den Blick auf einen kritischen blinden Fleck: Während Unternehmen um die Einführung von KI-Fähigkeiten wetteifern, vergrößern sie unbeabsichtigt ihre Angriffsfläche auf eine Weise, die traditionelle Sicherheitsmodelle nie vorhergesehen haben.
Die Kill Chain: Wie sich der Angriff entwickelte
Der Angriff verursachte einen klassischen Dominoeffekt, der von einem einzigen Schwachpunkt ausging und sich kaskadierend über die Supply Chain ausbreitete. Den Ermittlungen zufolge führte der Angreifer (mit der Kennung UNC6395) über mehrere Monate hinweg einen geduldigen, mehrstufigen Angriff durch.
Die Attacke begann mit der Kompromittierung eines internen GitHub-Repositorys von Salesloft. Die Täter lauerten monatelang (März bis Juni 2025) auf einen Schlüssel zu einem interessanten Bereich, luden Code herunter und führten Erkundungen durch. Im Repository fanden sie einen sensiblen OAuth-Token. Dieser fungierte als Hauptschlüssel und gewährte privilegierten Zugriff innerhalb der Drift Cloud-Anwendung. Mit dem gestohlenen Schlüssel authentifizierten sie sich bei Saleslofts hochprivilegiertem Drift-Konto. Von hier aus konnten sie nun die Integrationen nutzen, die Drift mit den Anwendungen seiner Kunden verwendete.
Die Angreifer nutzten diesen Zugriff systematisch, um Daten aus den verbundenen Salesforce-Instanzen zahlreicher Kunden zu exfiltrieren. Zu den Opfern gehörten nicht nur Salesloft und Drift, sondern eine Reihe von Branchenführern wie Palo Alto Networks, Cloudflare und Zscaler, denen Kundengesprächsdaten und Kontaktinformationen gestohlen wurden.
Der Zusammenhang mit KI: Dieser Angriff war anders
Dieser Vorfall markiert einen kritischen Wendepunkt in der KI-Sicherheit, da die kompromittierte Anwendung – ein KI Chatbot – Eigenschaften aufweist, die moderne KI-Einbindungen zu besonders attraktiven Zielen machen und bei einer Kompromittierung besonders gefährlich sind.
Im Gegensatz zu herkömmlichen SaaS-Tools, die für bestimmte Funktionen entwickelt wurden, benötigen KI Chatbots Zugriff auf mehrere miteinander verbundene Datenquellen, um intelligente Antworten zu liefern. Eine herkömmliche CRM-Integration benötigt möglicherweise nur Kontaktdaten, aber ein KI-Vertriebsassistent fordert in der Regel Kontakte, Mail-Verläufe, Kalenderinformationen, Daten zur Deal-Pipeline, Gesprächsprotokolle und Produktkataloge. Dieses breitere Zugriffsmuster bedeutet, dass eine einzige kompromittierte KI-Integration deutlich mehr sensible Informationen zugänglich machen kann als herkömmliche Punktlösungen.
Vertrauensbasierte Architektur schafft blinde Flecken
Der eigentliche Zweck von KI-Tools ist die Automatisierung durch umfangreiche Datenverarbeitung, und das erfordert ein hohes Maß an Systemvertrauen und -integration. Dieser Vorfall nutzte dieses inhärente Vertrauen aus – die API-Aufrufe des KI-Agenten wirkten völlig legitim, da der Zugriff auf große Datensätze genau das ist, wofür diese Systeme entwickelt wurden. Herkömmliche Sicherheitsüberwachungssysteme haben Schwierigkeiten, zwischen normalen KI-Daten Verbrauchsmustern und böswilliger Exfiltrierung zu unterscheiden. Damit entstehen Erkennungslücken, die raffinierte Angreifer monatelang ausnutzen können.
Die KI-Supply Chain vervielfacht Angriffsvektoren
Die Angreifer beschränkten sich nicht auf CRM-Daten. Sie sammelten auch Authentifizierungs-Token für andere mit Drift verbundene Services, darunter OpenAI API-Anmeldedaten. Dies zeigt, dass sie die Vernetzung moderner KI-Ökosysteme verstanden haben – die Kompromittierung eines KI-Anbieters kann Wege in die breitere KI-Infrastruktur der Kunden, KI-Services von Drittanbietern und nachgelagerte Anwendungen öffnen.
Eine wichtige Lektion
Inmitten der weitreichenden Schäden stach ein Unternehmen besonders hervor: Okta. Das Unternehmen war Kunde und wurde angegriffen, aber seine Daten wurden nicht kompromittiert. Das war kein Glück, sondern das Ergebnis einer bewussten Sicherheitspolitik.
In einer offiziellen Erklärung bestätigte Okta, dass der Versuch der Angreifer, das kompromittierte Token gegen ihre Salesforce-Instanz einzusetzen, fehlschlug. Der Grund dafür war eine einzige, leistungsstarke Kontrollmaßnahme: die IP Allow List. Okta hatte sein System so konfiguriert, dass das Token nur von vorab genehmigten, vertrauenswürdigen IP-Adressen verwendet werden konnte. Als die Angreifer versuchten, den Schlüssel aus ihrer eigenen Infrastruktur einzusetzen, wurde die Verbindung sofort blockiert. Der gestohlene Schlüssel war damit unbrauchbar.
Konsequenzen und Aktionsplan
Die Folgen dieses Verstoßes sind schwerwiegend und reichen von kostspieligen forensischen Untersuchungen bis hin zu einem erheblichen Vertrauensverlust bei den Kunden. Für uns alle ergibt sich daraus eine klare, umsetzbare Lehre:
- Ihre KI-Anbieter sind Ihre neue Angriffsfläche: Die Idee eines sicheren Perimeters ist überholt, wenn KI-Anwendungen eine tiefe Integration mit Kerngeschäftssystemen erfordern. Jede KI-gestützte Integration stellt einen potenziellen Einstiegspunkt dar, für den traditionelle Sicherheitsmodelle nicht ausgelegt sind. Die Herausforderung liegt nicht nur in der Sicherheitslage des Anbieters, sondern auch in den erweiterten Zugriffsmustern, die KI-Anwendungen für ihre Funktion benötigen.
- Implementieren Sie eine tiefgreifende Verteidigung für KI-Integrationen: Die Erfolgsgeschichte von Okta liefert den Entwurf dafür. Verlassen Sie sich nicht ausschließlich auf Anbieter, die für Ihre Sicherheit sorgen, und vertrauen Sie ihnen nicht blind. Implementieren Sie Ihre eigenen Schutzmaßnahmen:
- IP-Whitelisting: für alle KI-Integrations-Tokens
- Geografische Beschränkungen für den API-Zugriff
- Zeitbasierte Zugriffsfenster: wo angemessen
- Netzwerksegmentierung für KI-Anwendungen, die sensible Daten verarbeiten
- Behandeln Sie Authentifizierungs-Token wie Kronjuwelen: In Cloud-nativen Umgebungen sind OAuth-Token und API-Schlüssel, die KI-Integrationen ermöglichen, oft wertvoller als herkömmliche Passwörter. Sie bieten direkten Zugriff auf Daten und Systeme ohne zusätzliche Authentifizierungsanforderungen. Schützen Sie sie entsprechend mit:
- Automatisierten Rotationsrichtlinien
- Verschlüsselter Speicherung für Anmeldedaten mit hohen Berechtigungen
- Überwachung auf ungewöhnliche Nutzungsmuster
- Hardware-Sicherheitsmodulen für kritische Integrationen
- Überwachen Sie das Verhalten von KI-Anwendungen: Legen Sie Basiswerte für den Datenverbrauch Ihrer KI-Anwendungen fest. Im Gegensatz zu herkömmlichen Anwendungen mit vorhersehbaren Zugriffsmustern kann die Datennutzung von KI-Tools je nach Arbeitslast und Lernanforderungen variieren. Plötzliche Spitzen bei Datenanfragen, Zugriff auf ungewöhnliche Datenquellen oder Aktivitäten außerhalb der Geschäftszeiten können jedoch auf eine Kompromittierung hindeuten.
- Überprüfen Sie Ihren Integrationslebenszyklus: Der Vorfall bei SpyCloud zeigt, wie wichtig ein ordnungsgemäßes Management des Integrationslebenszyklus ist. Überprüfen und deaktivieren Sie regelmäßig ungenutzte Integrationen, insbesondere für ehemalige Anbieter oder eingestellte Services. Implementieren Sie automatisierte Workflows, um Zugangsdaten bei Vertragsende oder Ausscheiden von Mitarbeitern zu widerrufen.
Alle KI-gestützten Tools sollten verstärkt unter die Lupe genommen werden. Der Wettlauf um die Einführung von KI darf nicht auf Kosten der grundlegenden Sicherheitsvorkehrungen gehen. Dieser Vorfall beweist, dass eine einzige kompromittierte KI-Integration Ihre gesamte Sicherheitslage gefährden kann. Die Frage ist nicht mehr, ob Ihre Supply Chain angegriffen wird, sondern ob Sie die notwendigen Kontrollen zu ihrem Schutz implementiert haben.