{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"deepfake-bedrohung-fur-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/de\/deepfake-bedrohung-fur-salesforce\/","title":{"rendered":"Die Deepfake-Bedrohung f\u00fcr Salesforce: Wenn Vertrauen zu einer Waffe wird"},"content":{"rendered":"

Im Juni 2025 erhielt ein Google-Mitarbeiter einen scheinbar routinem\u00e4\u00dfigen Anruf vom IT-Support.<\/p>\n\n\n\n

Die Stimme in der Leitung klang professionell, selbstbewusst und v\u00f6llig vertraut.\u00a0<\/p>\n\n\n\n

Der Techniker bat den Mitarbeiter, eine neue App im Salesforce-System des Unternehmens zu genehmigen.<\/p>\n\n\n\n

Innerhalb weniger Minuten hatten die Angreifer Zugriff und stahlen 2,55 Millionen Kundendatens\u00e4tze aus dem CRM-System von Google.<\/p>\n\n\n\n

M\u00f6glich wurde dies durch den Einsatz von Deepfake-Audio-Technologie, bei der KI-generierte Stimmen so \u00fcberzeugend sind, dass sie eine der vertrauensw\u00fcrdigsten Formen der Authentifizierung, n\u00e4mlich die Erkennung der Stimme eines Kollegen, \u00fcberlisten.<\/p>\n\n\n\n

Dieser Vorfall, der mit der Gruppe ShinyHunters in Verbindung gebracht wird, zeigt, wie Angreifer jetzt k\u00fcnstliche Intelligenz nutzen, um in Unternehmenssysteme einzudringen.<\/p>\n\n\n\n

Als R\u00fcckgrat des Kundenbeziehungsmanagements f\u00fcr Millionen von Unternehmen weltweit ist Salesforce zu einem der Hauptziele f\u00fcr eine neue Generation von KI-gest\u00fctzten Social-Engineering-Angriffen geworden.<\/p>\n\n\n\n

Warum Salesforce ein Deepfake-Ziel geworden ist<\/strong><\/h2>\n\n\n\n

Das Wachstum von Salesforce hat das Unternehmen auch zu einem gro\u00dfen Ziel f\u00fcr Datendiebstahl gemacht.<\/p>\n\n\n\n

Da alles zentralisiert ist, kann ein einziger Versto\u00df Millionen von Kundendaten von vielen verschiedenen Unternehmen offenlegen.<\/p>\n\n\n\n

Tim West, Leiter der Abteilung Threat Intelligence bei WithSecure, merkt an:<\/p>\n\n\n\n

\"Hackergruppen wie Scattered Spider nutzen Social Engineering, um sich Zugang zu SaaS-Umgebungen zu verschaffen. Ihre Angriffe m\u00f6gen technisch einfach aussehen, aber das macht sie nicht weniger gef\u00e4hrlich.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Laut einer neuen Studie von WithSecure haben die b\u00f6sartigen Aktivit\u00e4ten in Salesforce-Umgebungen im ersten Quartal 2025 stark zugenommen, mit einer zwanzigfachen Zunahme der Entdeckungen im Vergleich zu Ende 2024.<\/p>\n\n\n\n

Wie Deepfakes zu einem Salesforce-Einbruch f\u00fchrten<\/strong><\/h2>\n\n\n\n

Was die j\u00fcngsten Angriffe besonders gef\u00e4hrlich macht, ist die Tatsache, dass sich die Deepfake-Technologie von einem Nischenwerkzeug zu etwas entwickelt hat, das jeder als Waffe einsetzen kann.<\/p>\n\n\n\n

Im Gegensatz zu herk\u00f6mmlichen Datenschutzverletzungen, bei denen direkt in Datenbanken eingebrochen wird, verwenden Cyberkriminelle jetzt sprachbasiertes Social Engineering oder \"Vishing\". Mit dem Aufkommen von Deepfakes und KI-Stimmenklonen werden diese Angriffe immer schwieriger zu erkennen.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Die ShinyHunters-Kampagne gegen Salesforce-Kunden folgt einem effektiven Playbook, das traditionelles Social Engineering mit modernster KI-T\u00e4uschung kombiniert:<\/p>\n\n\n\n

Phase 1: Sammlung von Sprachinformationen<\/strong><\/h3>\n\n\n\n

Die Angreifer beginnen damit, Audio-Samples aus \u00f6ffentlichen Quellen, Pr\u00e4sentationen von F\u00fchrungskr\u00e4ften, Telefonkonferenzen, Unternehmensvideos oder Posts in sozialen Medien zu sammeln. <\/p>\n\n\n\n

Mit nur 20-30 Sekunden klarer Audioaufnahmen k\u00f6nnen sie \u00fcberzeugende Stimmenklone erstellen.<\/p>\n\n\n\n

Phase 2: Der Deepfake-Vishing-Anruf<\/strong><\/h3>\n\n\n\n

W\u00e4hrend eines Vishing-Anrufs bringt der Angreifer das Opfer dazu, die Einrichtungsseite f\u00fcr verbundene Apps von Salesforce aufzurufen und eine gef\u00e4lschte Version der Data Loader-App zu genehmigen, die mit einem leicht ver\u00e4nderten Branding getarnt ist.<\/p>\n\n\n\n

Damit l\u00e4sst das Opfer die Angreifer unwissentlich sensible Daten aus Salesforce stehlen.<\/p>\n\n\n\n

Die Raffinesse ist bemerkenswert. In einigen F\u00e4llen nutzten die Angreifer Deepfake-Audio, um sich als Mitarbeiter auszugeben und Helpdesk-Mitarbeiter dazu zu bringen, den unberechtigten Zugriff zu genehmigen. <\/p>\n\n\n\n

Dies stellt eine bedeutende Entwicklung vom traditionellen Voice-Phishing dar, bei dem sich die Angreifer einfach als Autorit\u00e4tspersonen ausgaben, hin zur KI-gest\u00fctzten Imitation, bei der sie sich tats\u00e4chlich wie bestimmte Personen anh\u00f6ren k\u00f6nnen.<\/p>\n\n\n\n

Phase 3: OAuth-Ausnutzung<\/strong><\/h3>\n\n\n\n

Sobald die b\u00f6sartige Anwendung autorisiert ist, umgehen Angreifer die Multi-Faktor-Authentifizierung vollst\u00e4ndig. <\/p>\n\n\n\n

Nachdem die gef\u00e4lschte App genehmigt wurde, erhalten die Angreifer langlebige OAuth-Tokens, die es ihnen erm\u00f6glichen, die Multi-Faktor-Authentifizierung zu umgehen und ohne normale Sicherheitswarnungen zu arbeiten.<\/p>\n\n\n\n

Phase 4: Stille Datenextraktion<\/strong><\/h3>\n\n\n\n

Die Threat Intelligence Group von Google warnte, dass ein Bedrohungsakteur ein Python-Tool benutzte, um den Datendiebstahl f\u00fcr jedes betroffene Unternehmen zu automatisieren. Die Forscher wissen von \u00fcber 700 potenziell betroffenen Unternehmen.<\/p>\n\n\n\n

Warum wir anf\u00e4llig f\u00fcr KI-Stimmen sind<\/strong><\/h2>\n\n\n\n

Der Erfolg dieser Angriffe nutzt eine grundlegende menschliche Eigenschaft aus: unsere Neigung, dem zu vertrauen, was wir h\u00f6ren. <\/p>\n\n\n\n

Laut einer aktuellen weltweiten Studie sind 70 Prozent der Menschen nicht sicher, ob sie eine echte Stimme von einer geklonten unterscheiden k\u00f6nnen.<\/p>\n\n\n\n

Diese Schwachstelle wird in Unternehmensumgebungen noch verst\u00e4rkt, in denen Helpdesk-Mitarbeiter darauf geschult sind, hilfsbereit und zuvorkommend zu sein, und in denen die Arbeit an entfernten Standorten reine Audio-Interaktionen normalisiert hat.<\/p>\n\n\n\n

Laut dem CrowdStrike Global Threat Report 2025 gab es zwischen dem ersten und dem zweiten Halbjahr 2024 einen Anstieg der Voice-Phishing-Angriffe (Vishing) um 442%, angetrieben durch KI-generierte Phishing- und Impersonationstaktiken.<\/p>\n\n\n\n

Der $25 Millionen Weckruf<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Die Auswirkungen von Deepfake-Angriffen gehen weit \u00fcber Salesforce hinaus. <\/p>\n\n\n\n

Der $25 Millionen Deepfake-Diebstahl beim Ingenieurb\u00fcro Arup Anfang 2024, bei dem Angreifer KI nutzten, um sich bei einem Videoanruf als mehrere F\u00fchrungskr\u00e4fte auszugeben, zeigte, dass kein Unternehmen gegen diese Bedrohung immun ist. <\/p>\n\n\n\n

\u00c4hnliche Angriffe zielten auch auf F\u00fchrungskr\u00e4fte in verschiedenen Branchen ab, darunter der Versuch, sich als Ferrari-CEO Benedetto Vigna auszugeben, indem KI-geklonte Sprachanrufe verwendet wurden, die seinen s\u00fcditalienischen Akzent imitierten.<\/p>\n\n\n\n

Diese Vorf\u00e4lle stellen das dar, was Sicherheitsexperten als \"CEO-Betrug 2.0\" bezeichnen, d. h. Angriffe, die \u00fcber eine einfache E-Mail-Identit\u00e4t hinausgehen und zu einer multisensorischen T\u00e4uschung f\u00fchren, die selbst erfahrene F\u00fchrungskr\u00e4fte t\u00e4uschen kann.<\/p>\n\n\n\n

Plattformsicherheit vs. menschliche Schwachstelle<\/strong><\/h2>\n\n\n\n

Salesforce hat schnell betont, dass es sich bei diesen Sicherheitsverletzungen nicht um Schwachstellen in seiner Plattform selbst handelt. <\/p>\n\n\n\n

Salesforce best\u00e4tigte die UNC6040-Kampagne im M\u00e4rz 2025 und warnte davor, dass Angreifer sich als IT-Support ausgaben, um Mitarbeiter dazu zu bringen, Anmeldedaten weiterzugeben oder b\u00f6sartige verbundene Anwendungen zu genehmigen. <\/p>\n\n\n\n

Das Unternehmen betonte, dass diese Vorf\u00e4lle keine Schwachstellen in seiner Plattform betrafen oder darauf zur\u00fcckzuf\u00fchren waren.<\/p>\n\n\n\n

Dies zeigt, dass alle SaaS-Anbieter vor einer gro\u00dfen Herausforderung stehen: Sie m\u00fcssen herausfinden, wie sie Angriffe abwehren k\u00f6nnen, die auf menschliches Vertrauen und nicht auf technische Schw\u00e4chen setzen.<\/p>\n\n\n\n

Salesforce hat mehrere Abwehrma\u00dfnahmen ergriffen:<\/p>\n\n\n\n

    \n
  • Abh\u00e4rtung verbundener Anwendungen: Automatisches Deaktivieren nicht installierter verbundener Apps f\u00fcr neue Benutzer<\/li>\n\n\n\n
  • OAuth Flussbeschr\u00e4nkungen: Deaktivierung von Verbindungen, die \u00fcber bestimmte Autorisierungsprozesse hergestellt wurden<\/li>\n\n\n\n
  • Verbessertes Monitoring: Verbesserte Erkennung von verd\u00e4chtigen Anwendungsautorisierungsmustern<\/li>\n\n\n\n
  • Aufkl\u00e4rung der Benutzer: Ver\u00f6ffentlichung von Anleitungen zur Erkennung von Social Engineering-Versuchen<\/li>\n<\/ul>\n\n\n\n

    Im August 2025 schloss Salesforce alle Integrationen mit Salesloft-Technologien, einschlie\u00dflich der Drift-App, nachdem festgestellt worden war, dass OAuth-Tokens bei entsprechenden Angriffen gestohlen worden waren. <\/p>\n\n\n\n

    Sicherheitsexperten warnen nun, dass Teams auf subtile Hinweise achten m\u00fcssen, wie z. B. seltsame Pausen, Hintergrundger\u00e4usche oder Audiost\u00f6rungen, die verraten k\u00f6nnen, ob eine Stimme von einer KI erzeugt wurde.<\/p>\n\n\n\n

    Die Antwort des Unternehmens: Mehr als technologische L\u00f6sungen<\/strong><\/h2>\n\n\n\n

    Unternehmen erkennen allm\u00e4hlich, dass die Abwehr von Deepfake-Angriffen mehr als nur technologische L\u00f6sungen erfordert, sondern auch ein grundlegendes \u00dcberdenken der Vertrauens- und Verifizierungsprozesse.<\/p>\n\n\n\n

    Null-Vertrauens-Kommunikation<\/strong><\/h3>\n\n\n\n

    RealityCheck von Beyond Identity verleiht jedem Teilnehmer einen sichtbaren, verifizierten Identit\u00e4tsausweis, der durch kryptografische Ger\u00e4teauthentifizierung und kontinuierliche Risikopr\u00fcfungen gest\u00fctzt wird und derzeit f\u00fcr Zoom und Microsoft Teams verf\u00fcgbar ist. <\/p>\n\n\n\n

    Solche L\u00f6sungen stehen f\u00fcr eine Verlagerung hin zu \"never trust, always verify\"-Modellen f\u00fcr die Unternehmenskommunikation.<\/p>\n\n\n\n

    Verbesserte Schulungsprogramme<\/strong><\/h3>\n\n\n\n

    Unternehmen, die die Deepfake-Simulationsplattform von Resemble AI nutzen, berichten von einem R\u00fcckgang der erfolgreichen Angriffe um bis zu 90% nach der Implementierung der Plattform, die hyperrealistische Simulationen nutzt, um zu veranschaulichen, wie Deepfake-Angriffe in der realen Welt ablaufen.<\/p>\n\n\n\n

    Mehrkanalige Verifizierung<\/strong><\/h3>\n\n\n\n

    F\u00fchrende Unternehmen f\u00fchren Protokolle ein, die bei allen risikoreichen Anfragen eine \u00dcberpr\u00fcfung \u00fcber mehrere Kan\u00e4le vorschreiben, unabh\u00e4ngig davon, wie authentisch die urspr\u00fcngliche Kommunikation erscheint.<\/p>\n\n\n\n

    Wenn die Stimme nicht mehr die Wahrheit ist<\/strong><\/h2>\n\n\n\n

    Die Deepfake-Bedrohung f\u00fcr Salesforce und andere Unternehmenssysteme stellt einen Wendepunkt in der Geschichte der Cybersicherheit dar. <\/p>\n\n\n\n

    Zum ersten Mal k\u00f6nnen sich Angreifer nicht nur als Autorit\u00e4tspersonen ausgeben, sondern sich auch so anh\u00f6ren, so aussehen und sogar geschulte Sicherheitsexperten zu Handlungen \u00fcberreden, die die Sicherheit eines Unternehmens gef\u00e4hrden.<\/p>\n\n\n\n

    In einem Zeitalter der KI-generierten T\u00e4uschung muss Vertrauen durch Verifizierung verdient werden, nicht durch Vertrautheit vorausgesetzt werden.<\/p>\n\n\n\n

    Unternehmen, die dies verstehen und in die richtigen Tools, Prozesse und die richtige Kultur investieren, werden in einer zunehmend unsicheren digitalen Welt am besten in der Lage sein, sowohl Sicherheit als auch Vertrauen zu sch\u00fctzen.<\/p>\n\n\n\n

    In dieser neuen Realit\u00e4t ist die Stimme am anderen Ende der Leitung vielleicht nicht die, die sie zu sein scheint.<\/p>\n\n\n\n

    Im Zeitalter der Deepfakes ist st\u00e4ndige Wachsamkeit der Preis f\u00fcr Sicherheit.<\/p>","protected":false},"excerpt":{"rendered":"

    Im Juni 2025 erhielt ein Google-Mitarbeiter einen scheinbar routinem\u00e4\u00dfigen Anruf von [...]<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/de\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}