Es ist gängige Praxis für Sicherheitsteams in großen Organisationen, Softwareanbieter gründlich zu prüfen. Dabei wird neben anderen Faktoren meist auf Security‑by‑Design-Grundsätze, die Einhaltung von Datenschutzvorschriften und sogar Hintergrundprüfungen der Entwickler, die den Code schreiben, geachtet.
Wie bei physischen Lieferketten ist es oft nicht der Hauptanbieter, der ein Problem verursacht, sondern die Anbieter des Anbieters. Genau das ist offenbar bei der Datenschutzverletzung bei Salesforce durch die Integration des Salesloft KI-Chat-Agenten Drift passiert.
Plattform-Sicherheitsverletzung und Datenextraktion
Von Anfang bis Mitte August 2025 drangen Angreifer in die Plattform von Salesloft ein, um OAuth-Daten und Aktualisierungs-Token aus der Drift-Integration von Salesforce zu stehlen. Mit diesen Token konnten die Angreifer auf Kundeninstanzen von Salesforce zugreifen und Informationen wie Kontakte und Support-Falldaten extrahieren.
Beispiele für gestohlene Daten:
- Namen
- Geschäftliche E-Mail-Adressen
- Geschäftliche Telefonnummern
- Stellenbezeichnungen
- Regions-/Standortdaten
- Inhalte aus bestimmten Support-Fällen
Der erste Verstoß führt nun zu einer Welle von Datenverlusten bei Salesforce-Kunden. Es gibt Belege dafür, dass Angreifer die extrahierten Daten verwenden, um Anmeldeinformationen für andere Systeme zu finden, damit sie Unternehmen weiter infiltrieren können.
Akamai-Plattformen sind nicht betroffen
Akamai hat diesen Vorfall auch untersucht, um festzustellen, ob Angreifer OAuth-Token missbrauchen konnten, um auf unsere Salesforce-Instanz zuzugreifen. Wir haben festgestellt, dass nur ein begrenzter Datensatz aus den gespeicherten Service-Support-Tickets betroffen war.
Der Grund für die geringe Auswirkung auf Akamai ist, dass persönliche und sonstige sensible Daten in Support-Tickets 120 Tage nach der Ticketschließung im Rahmen der Datenschutz- und Security-by-Design-Standards automatisch von Akamai gelöscht werden. Darüber hinaus konnten wir keine Anzeichen für einen möglichen Missbrauch dieser Daten feststellen. Wir haben die betroffenen Kunden über den Vorfall informiert.
Dieser Vorfall war auf Salesforce beschränkt. Es waren keine Akamai-Plattformen, -Netzwerksysteme oder -Produktionsdienste betroffen. Es wurden keine Traffic-Daten von Kunden, die auf Akamai-Plattformen verarbeitet wurden, beeinträchtigt. Die betroffene Integration wurde nur innerhalb von Salesforce verwendet und wurde seitdem entfernt.
Entsprechende Best Practices
Beim Schutz Ihres Unternehmens vor Software- Lieferkettenrisiken wie diesem ist es wichtig, einen mehrschichtigen Ansatz anzuwenden, um potenzielle Angriffe abzuwehren und tatsächliche Angriffe schnell einzudämmen. Es ist auch wichtig, die Sicherheitslage des Unternehmens zu verstehen, um Lücken und mögliche Methoden zur Umgehung bestehender Schutzmaßnahmen zu finden.
Um mögliche Lücken zu schließen, sollten Sie die folgenden mehrstufigen Schutzmaßnahmen für APIs und KI/LLM-Apps (wie den Drift-Chatbot) bedenken:
- Mikrosegmentierung
- Web Application Firewall
- API-Sicherheit
- Clientseitiger Schutz
- Bot-Management
- Schutz vor Kontoübernahmen
Mikrosegmentierung
Mikrosegmentierung sollte bei jedem mehrschichtigen Sicherheitsmodell Priorität haben, da sie die Auswirkungen von aus der Lieferkette und aus APIs resultierenden Datenverstößen direkt reduziert. Durch die Isolierung von Anwendungen, Workloads und Integrationen wie KI-Chatbots in streng kontrollierte Zonen werden die Möglichkeiten von Angreifern und die Auswirkungen eines Vorfalls eingeschränkt.
Das heißt: Selbst wenn gestohlene Token oder anfällige APIs ausgenutzt werden, wird der Sicherheitsvorfall eingedämmt, kritische Systeme bleiben geschützt und Reaktionsteams erhalten klare Einblicke, um die Bedrohung zu erkennen und schneller zu handeln. So wird eine potenzielle unternehmensweite Krise zu einem kontrollierten, überschaubaren Ereignis, da Betriebsabläufe geschützt, Ausfallzeiten reduziert und Zero-Trust dort gestärkt wird, wo es am wichtigsten ist.
Web Application Firewall
Eine Web Application Firewall (WAF) stellt die Sicherheitsgrundlage für den Schutz vor modernen Bedrohungen dar. Starke WAF-Technologie aktualisiert und optimiert kontinuierlich die Schutzfunktionen, um Anomalien in Datenverkehrsmustern zu erkennen und Verhaltensweisen zu identifizieren, die mit der normalen Anwendungsnutzung nicht vereinbar sind.
Mit einer WAF, die die Zuverlässigkeit von Anfragequellen bewerten kann, können Unternehmen Datenverkehr von bekannten schädlichen oder verdächtigen IPs blockieren. Umfassende Protokollierung und Transparenz bieten den Kontext, den Sicherheitsteams benötigen, um Vorfälle zu untersuchen und zusätzliche Schutzmaßnahmen zu koordinieren.
API-Sicherheit
API-spezifische Schutzmechanismen hätten Unternehmen dabei unterstützen können, diesen Angriff zu erkennen, da sie das anormale Verhalten der kompromittierten OAuth-Token identifizieren. Obwohl der Angreifer gültige Anmeldedaten verwendet hat, wären seine Aktivitätsmuster – wie das Ausführen von Massenabfragen mit Salesforce-APIs, der Zugriff auf Daten von ungewöhnlichen IP-Adressen und der Versuch, Jobs zu löschen, um Spuren zu verwischen – vom normalen Nutzungsmuster abgewichen.
Die Verhaltensanalysen und die kontinuierliche Überwachung von Akamai wurden entwickelt, um diese Art von Unregelmäßigkeiten in Echtzeit zu erkennen, damit Sicherheitsteams schnell nachforschen und darauf reagieren können, bevor große Mengen sensibler Daten entnommen werden können.
Clientseitiger Schutz
Wenn Apps Skripte oder Agenten verwenden, um Informationen im Browser hin- und herzuleiten, ist es wichtig, dass Änderungen in den Skripten erkannt werden können. Fragt das Skript nach Informationen, die es normalerweise nicht verlangt? Eine Bestandsaufnahme aller Skripte und eine Möglichkeit, Skriptänderungen zu markieren, können diese Arten von Angriffen verhindern.
Bot-Management
Starke Bot-Erkennung und Bot-Verwaltung sind wichtig, denn auch KI/LLM-Bots sind nichts anderes als Bots. Besonders wichtig ist das bei bekannten Bots wie dem Drift-Chatbot, bei dem die Bot-Management-Lösung anhand der Signatur und anderer definierender Merkmale feststellen kann, ob der Bot legitim oder eine Nachahmung ist und ob der Bot im Vergleich zu seinem üblichen Verhalten riskante Verhaltensweisen zeigt.
Schutz vor Kontoübernahmen
Obwohl es in diesem Fall um nicht-menschliche Identität (die Identität des Drift-Bots) geht, wurden Lösungen zum Schutz vor Kontoübernahmen entwickelt, um zu erkennen, wann die richtigen Anmeldedaten tatsächlich von einer anderen Person als dem legitimen Kontoinhaber verwendet werden.
Durch die Zuweisung einer Risikobewertung für die Anmeldung kann der Angreifer am Zugriff gehindert werden, und mit der Überwachung des Sitzungsverhaltens kann riskantes Verhalten erkannt und die Sitzung beendet werden, wenn der Angreifer Zugriff erhält.
KI-Anwendungsschutz
Auf generativer KI basierende Anwendungen werden zunehmend als Schwachstellen in Unternehmen erkannt. Hat ein Angreifer Zugriff auf die KI-Anwendung, könnte er die App manipulieren oder ihre Sicherheitsvorkehrungen ändern, um schädliche oder toxische Reaktionen auf Benutzeraufforderungen zu geben und Informationen direkt aus der App zu extrahieren. KI-spezifische Schutzmaßnahmen sind ein wichtiger mehrschichtiger Ansatz zum Schutz von KI-Anwendungen.
Anwendung eines mehrschichtigen Sicherheitsansatzes
Unternehmen werden wahrscheinlich nie über die Ressourcen verfügen, um jeden Anbieter in ihrer Software-Lieferkette gründlich zu durchleuchten. Selbst wenn Schwachstellen gefunden werden, wäre es wahrscheinlich nicht praktikabel, führende Softwareanbieter zu meiden oder diese Anbieter zu bitten, ihre Technologiepartner zu wechseln.
Die realistischste Lösung ist deshalb ein mehrschichtiger Sicherheitsansatz, um sich vor Verstößen in der Lieferkette zu schützen.
Tags
