Klue-OAuth-Hack: Wie gestohlene Tokens Tausende Salesforce-Umgebungen gefährden

Im Juni 2024 hat ein neuer Vorfall bei Klue gezeigt, wie gefährlich der Missbrauch von OAuth-Tokens für Unternehmen werden kann. Die Angreifer nutzten kompromittierte Anmeldedaten, um Zugang zu Integrationen zwischen Klue und Drittanbieter-Plattformen wie Salesforce zu erlangen. Betroffen waren nicht nur Klues eigene Systeme, sondern auch die Salesforce-Umgebungen zahlreicher Kunden. Der Vorfall wirft grundsätzliche Fragen zur Sicherheit von OAuth-basierten Integrationen auf – und zeigt, warum viele Organisationen ihre Identitäts- und Zugriffsverwaltung überdenken müssen.

Der OAuth-Hack bei Klue: Wie Angreifer über Integrationen eindrangen

Klue, eine Plattform für Marktintelligenz, bestätigte Anfang Juli 2024 einen Sicherheitsvorfall, der bereits am 12. Juni entdeckt wurde. Laut einer Stellungnahme des CEO Jason Smith hatten Angreifer über eine kompromittierte Legacy-Anmeldung Zugang zu einem Teil der Integrationsinfrastruktur von Klue erhalten. Diese Infrastruktur verbindet Klue mit externen Plattformen wie Salesforce und ermöglicht den automatisierten Datenaustausch. Die Täter nutzten den Zugriff, um OAuth-Tokens zu stehlen, die für die Authentifizierung zwischen Klue und den Drittanbietern verwendet werden.

OAuth ist ein weit verbreitetes Protokoll, das es Anwendungen ermöglicht, auf Benutzerdaten zuzugreifen, ohne dass diese ihre Anmeldedaten preisgeben müssen. Stattdessen wird ein Token ausgestellt, das bestimmte Zugriffe erlaubt. Im Fall von Klue wurden diese Tokens missbraucht, um in die Salesforce-Umgebungen der Kunden einzudringen. Klue betont zwar, dass keine Inhalte, die direkt auf der eigenen Plattform gespeichert waren, betroffen waren. Doch die Integrationen mit externen Systemen wurden genutzt, um Daten aus den Kundenumgebungen abzugreifen. Der Angriff zeigt, wie gefährlich die Kompromittierung von Integrations-Tokens sein kann – selbst wenn die Hauptplattform selbst nicht direkt gehackt wurde.

Die Rolle der neuen Gruppe „Icarus“ und die Folgen für betroffene Unternehmen

Kurz nach der öffentlichen Bestätigung des Vorfalls meldete sich eine bisher unbekannte Gruppe namens „Icarus“ und beanspruchte die Verantwortung für den Angriff. Die Gruppe gibt an, sensible Daten aus den kompromittierten Salesforce-Umgebungen gestohlen zu haben und droht mit der Veröffentlichung dieser Informationen, falls keine Lösegeldforderung erfüllt wird. Ob es sich bei „Icarus“ um eine reine Erpressergruppe oder um einen staatlich unterstützten Akteur handelt, ist derzeit noch unklar. Allerdings zeigt das Vorgehen typische Merkmale moderner Ransomware- und Erpressungsangriffe.

Experten von ReliaQuest und Huntress, zwei Sicherheitsfirmen, die den Vorfall analysiert haben, bestätigen, dass die Angreifer die gestohlenen OAuth-Tokens nutzten, um über einen längeren Zeitraum auf die Salesforce-APIs der betroffenen Kunden zuzugreifen. Dabei wurden nicht nur einzelne Datensätze abgegriffen, sondern systematisch große Mengen an sensiblen Informationen extrahiert. Zu den gestohlenen Daten gehörten laut Huntress Geschäftsbeziehungen, Verkaufskommunikation, Preisgestaltung und andere vertrauliche CRM-Daten. ReliaQuest beobachtete, dass die Angreifer Python-Skripte einsetzten, um die API von Salesforce über Wochen hinweg abzufragen und die Daten gezielt zu sammeln.

Für die betroffenen Unternehmen bedeutet dies nicht nur einen möglichen Datenverlust, sondern auch erhebliche Compliance-Risiken. Viele Organisationen sind gesetzlich verpflichtet, den Schutz personenbezogener Daten nachzuweisen – etwa durch die DSGVO in Europa oder den CCPA in Kalifornien. Ein solcher Vorfall kann zu hohen Bußgeldern und Reputationsschäden führen. Zudem zeigt der Fall, wie schnell Angreifer in der Lage sind, OAuth-basierte Integrationen zu missbrauchen, wenn die Sicherheit dieser Tokens nicht ausreichend überwacht wird.

Warum OAuth-Integrationen ein beliebtes Angriffsziel sind

Der Angriff auf Klue ist kein Einzelfall. In den letzten Jahren haben sich OAuth-basierte Integrationen zu einem beliebten Angriffsziel für Cyberkriminelle entwickelt. Der Grund dafür liegt in der Architektur des Protokolls selbst: OAuth-Tokens ermöglichen den Zugriff auf Daten und Funktionen in externen Systemen, ohne dass der Benutzer oder die Anwendung ständig neue Anmeldedaten eingeben muss. Das macht sie besonders wertvoll für Angreifer, die nach Wegen suchen, um sich dauerhaft Zugang zu verschaffen.

Ein häufiger Angriffspfad sind kompromittierte Anmeldedaten von Drittanbieter-Integrationen. Viele Unternehmen nutzen Dutzende oder sogar Hunderte von Integrationen, um ihre Geschäftsprozesse zu automatisieren. Jede dieser Integrationen benötigt in der Regel OAuth-Tokens, um Zugriff auf die jeweiligen APIs zu erhalten. Wenn eines dieser Tokens oder die zugehörigen Anmeldedaten gestohlen werden, können Angreifer diese Tokens missbrauchen, um auf die verbundenen Systeme zuzugreifen. Im Fall von Klue nutzten die Angreifer eine kompromittierte Legacy-Anmeldung, um zunächst Zugriff auf die Integrationsinfrastruktur zu erhalten und anschließend die Tokens zu stehlen.

Ein weiteres Problem ist die mangelnde Überwachung dieser Tokens. Viele Unternehmen wissen nicht, welche Tokens im Umlauf sind, wie lange sie gültig sind oder wer sie tatsächlich nutzt. Sobald ein Token gestohlen wurde, kann es oft monatelang unentdeckt bleiben, während die Angreifer es für ihre Zwecke missbrauchen. Zudem sind viele OAuth-Implementierungen nicht ausreichend abgesichert. So fehlen oft Mechanismen wie Token-Beschränkungen, regelmäßige Rotation der Tokens oder detaillierte Protokollierung der Zugriffe.

Die Rolle von JetBrains-Plugins und die wachsende Gefahr durch KI-Integrationen

Der Klue-Vorfall ist nicht der einzige Sicherheitsvorfall der letzten Monate, der auf die Gefahren von OAuth-Tokens und Integrationen hinweist. Erst kürzlich wurde bekannt, dass bösartige Plugins im JetBrains Marketplace dazu genutzt wurden, um API-Schlüssel von Entwicklern zu stehlen, die KI-Tools nutzen. Diese Plugins nutzten OAuth-basierte Authentifizierungsmechanismen, um auf die Entwicklerumgebungen zuzugreifen und sensible Schlüssel zu extrahieren.

Der Vorfall zeigt, wie Angreifer gezielt Schwachstellen in Integrationen ausnutzen, um an hochsensible Daten zu gelangen. Besonders im Bereich der KI-Entwicklung, wo Entwickler häufig auf externe APIs und Dienste zugreifen, ist das Risiko hoch. Viele Entwickler nutzen Tools und Bibliotheken von Drittanbietern, die OAuth für den Zugriff auf Cloud-Dienste wie Microsoft Azure, Google Cloud oder AWS nutzen. Wenn eines dieser Tools kompromittiert wird, können Angreifer nicht nur die API-Schlüssel stehlen, sondern auch auf die zugrunde liegenden Daten und Dienste zugreifen.

Diese Vorfälle unterstreichen, dass die Sicherheit von OAuth-Tokens und Integrationen eine zentrale Herausforderung für die moderne IT-Sicherheit darstellt. Viele Unternehmen verlassen sich auf veraltete Sicherheitsmodelle, die nicht mehr den Anforderungen einer vernetzten und automatisierten Arbeitswelt entsprechen. Besonders problematisch ist die Tatsache, dass viele Entwickler und IT-Teams OAuth-Tokens wie selbstverständlich behandeln – ohne ausreichende Kontrollen und Überwachung.

Warum viele Organisationen OAuth-Tokens und KI-Agenten als „Identitäten“ unterschätzen

Ein zentrales Problem bei der aktuellen Sicherheitslage ist die mangelnde Anerkennung von OAuth-Tokens und KI-Agenten als vollwertige Identitäten. In vielen Organisationen werden diese Tokens als reine technische Hilfsmittel betrachtet, die keine besondere Aufmerksamkeit erfordern. Doch in Wirklichkeit sind sie ein zentraler Bestandteil der Zugriffskontrolle und können, wenn sie kompromittiert werden, zu einem massiven Sicherheitsrisiko werden.

KI-Agenten, die auf externe APIs und Dienste zugreifen, sind ein besonders gutes Beispiel dafür. Diese Agenten nutzen OAuth-Tokens, um auf Daten zuzugreifen und Aufgaben auszuführen – ähnlich wie ein menschlicher Benutzer. Wenn jedoch ein solcher Agent kompromittiert wird, kann ein Angreifer die Kontrolle über den Agenten übernehmen und damit auf alle Daten und Dienste zugreifen, für die der Agent berechtigt ist. Das Problem wird dadurch verschärft, dass viele Organisationen keine ausreichenden Mechanismen haben, um die Aktivitäten dieser Agenten zu überwachen oder zu beschränken.

Die Folge ist, dass viele Unternehmen nicht wissen, welche KI-Agenten in ihren Umgebungen aktiv sind, welche Berechtigungen sie haben und ob sie möglicherweise kompromittiert wurden. Dieser Mangel an Transparenz und Kontrolle macht es Angreifern leicht, sich unbemerkt Zugang zu verschaffen und Daten zu stehlen. Experten fordern daher, dass Unternehmen OAuth-Tokens und KI-Agenten wie menschliche Identitäten behandeln – mit entsprechenden Sicherheitsmaßnahmen, regelmäßigen Überprüfungen und strikten Zugriffsbeschränkungen.

Praktische Schritte: So können Unternehmen sich vor OAuth-basierten Angriffen schützen

Der Klue-Vorfall und ähnliche Angriffe zeigen, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, um OAuth-basierte Integrationen besser zu schützen. Ein erster Schritt ist die Bestandsaufnahme: Welche Integrationen und OAuth-Tokens werden in der Organisation genutzt? Viele Unternehmen haben keine vollständige Übersicht über ihre Integrationen und wissen nicht, welche Tokens im Umlauf sind. Eine regelmäßige Prüfung und Dokumentation aller OAuth-basierten Verbindungen ist daher unerlässlich.

Ein weiterer wichtiger Schritt ist die Implementierung strikter Zugriffskontrollen. Dazu gehört die regelmäßige Rotation von OAuth-Tokens, die Begrenzung ihrer Gültigkeitsdauer und die Verwendung von Token mit minimalen Berechtigungen. Zudem sollten Unternehmen Mechanismen einführen, die verdächtige Aktivitäten erkennen und blockieren können – etwa durch die Überwachung von API-Zugriffen oder die Nutzung von Tools zur Erkennung von Anomalien.

Ein zentraler Aspekt ist auch die Schulung der Mitarbeiter. Viele Angriffe beginnen mit der Kompromittierung von Anmeldedaten, etwa durch Phishing oder den Diebstahl von Passwörtern. Durch regelmäßige Schulungen und Sensibilisierung können Unternehmen das Risiko verringern, dass Angreifer überhaupt erst Zugriff auf ihre Systeme erhalten. Zudem sollten Unternehmen sicherstellen, dass ihre Entwickler und IT-Teams über die Risiken von OAuth-Tokens und Integrationen informiert sind und wissen, wie sie diese sicher verwalten können.

Die Rolle von CrowdStrike und die Bedeutung externer Unterstützung

Im Fall von Klue arbeitete das Unternehmen eng mit dem Sicherheitsanbieter CrowdStrike zusammen, um den Vorfall zu untersuchen und die betroffenen Systeme zu sichern. Externe Sicherheitsfirmen können eine wichtige Rolle spielen, um Angriffe zu erkennen, zu analysieren und zu bekämpfen. Besonders bei komplexen Vorfällen wie OAuth-Hacks sind spezialisierte Kenntnisse und Tools erforderlich, um die Spuren der Angreifer zu verfolgen und die Sicherheitslücken zu schließen.

Für Unternehmen, die selbst nicht über ausreichende Ressourcen oder Expertise verfügen, kann die Zusammenarbeit mit externen Sicherheitsanbietern eine sinnvolle Lösung sein. Diese Anbieter können nicht nur bei der Reaktion auf Vorfälle helfen, sondern auch proaktiv nach Schwachstellen suchen und Empfehlungen für die Verbesserung der Sicherheitslage geben. Allerdings sollte die Zusammenarbeit mit externen Partnern immer mit einer kritischen Prüfung einhergehen – etwa der Frage, ob der Anbieter über die notwendigen Zertifizierungen und Erfahrungen verfügt.

Ausblick: OAuth-Sicherheit als Daueraufgabe

Der OAuth-Hack bei Klue ist ein weiterer Beweis dafür, dass die Sicherheit von Integrationen und Tokens eine Daueraufgabe ist, die kontinuierliche Aufmerksamkeit erfordert. Angreifer werden immer raffinierter und nutzen neue Angriffsmethoden, um sich Zugang zu sensiblen Daten zu verschaffen. Unternehmen müssen daher ihre Sicherheitsstrategien regelmäßig überprüfen und anpassen, um mit diesen Entwicklungen Schritt zu halten.

Ein wichtiger Trend ist die zunehmende Automatisierung und der Einsatz von KI-Agenten in Unternehmen. Diese Agenten nutzen OAuth-Tokens, um auf Daten zuzugreifen und Aufgaben auszuführen – und sie werden in Zukunft eine noch größere Rolle spielen. Gleichzeitig steigt das Risiko, dass diese Agenten kompromittiert werden und als Einfallstor für Angreifer dienen. Unternehmen müssen daher sicherstellen, dass sie über ausreichende Kontrollen und Überwachungsmechanismen verfügen, um diese Risiken zu minimieren.

Zusammenfassend lässt sich sagen, dass der OAuth-Hack bei Klue ein Weckruf für alle Unternehmen ist, die auf Integrationen und OAuth-Tokens setzen. Die Sicherheit dieser Tokens muss als zentraler Bestandteil der Zugriffskontrolle behandelt werden – mit strikten Kontrollen, regelmäßigen Überprüfungen und einer proaktiven Sicherheitsstrategie. Nur so können Unternehmen das Risiko minimieren, dass ihre sensiblen Daten in die falschen Hände geraten.