Gainsight: Cyberangriff erschüttert SaaS-Branche
27.11.2025 - 21:44:12Ein massiver Lieferkettenangriff auf die Customer-Success-Plattform Gainsight kompromittierte Hunderte Salesforce-Umgebungen durch gestohlene OAuth-Tokens. Die Attacke nutzte vertrauenswürdige Integrationen aus und zeigt die Fragilität moderner SaaS-Ökosysteme.
Ein massiver Lieferketten-Angriff auf die Customer-Success-Plattform Gainsight hat sensible Daten in Hunderten Salesforce-Umgebungen offengelegt. Die Attacke nutzt gestohlene OAuth-Tokens und trifft das Vertrauen in Cloud-Integrationen ins Mark.
Salesforce hat mittlerweile sämtliche Zugriffstoken von Gainsight-Anwendungen widerrufen. Auch große Plattformen wie HubSpot und Zendesk haben ihre Verbindungen gekappt, während forensische Teams von Mandiant und der Google Threat Intelligence Group (GTIG) fieberhaft nach dem Ausmaß des Schadens suchen.
Wie die Angreifer das Vertrauensnetz aushebelten
Der am 19. November erstmals gemeldete Vorfall zeigt beispielhaft, wie fragil moderne SaaS-Ökosysteme sind. Die Hacker drangen nicht direkt in Salesforce ein – sie nutzten stattdessen die vertrauenswürdige Verbindung zwischen Gainsight und den Salesforce-Instanzen der Kunden aus.
Das Werkzeug ihrer Wahl: OAuth-Tokens. Diese digitalen Schlüssel erlauben Drittanbieter-Apps den Datenzugriff ohne Passwort. Mit gestohlenen Tokens gaben sich die Angreifer als legitime Gainsight-Anwendung aus und lasen Kundendaten, Aktivitätsprotokolle und vertrauliche Geschäftsinformationen aus.
Die jüngsten Lieferketten- und Identitätsangriffe zeigen, wie schnell Angreifer mit gestohlenen Tokens in vertraute Systeme eindringen. Ein kostenloser Expertenleitfaden erklärt aktuelle Cyber‑Security-Trends, welche einfachen Maßnahmen IT‑Verantwortliche jetzt sofort umsetzen sollten und wie Sie Drittanbieter‑Integrationen sicherer machen — ohne große Budgets. Besonders geeignet für Geschäftsführer und Security‑Teams, die Lieferkettenrisiken minimieren wollen. Kostenlosen Cyber-Security-Report herunterladen
„Die Angreifer haben keine Schwachstelle in Salesforce ausgenutzt”, stellte ein Sprecher des Unternehmens klar. „Sie bewegten sich durch eine Verbindung, die Kunden bereits für die Gainsight-App autorisiert hatten. Das verschaffte ihnen freie Bahn in jede betroffene Umgebung.”
Sicherheitsforscher bringen die Attacke mit ShinyHunters in Verbindung, einer berüchtigten Hackergruppe. Die Kriminellen brüsteten sich in Telegram-Kanälen damit, Daten von rund 1.000 Organisationen erbeutet zu haben – eine Zahl, die vermutlich Opfer verschiedener Angriffe vermischt.
Widersprüchliche Angaben zu Opferzahlen sorgen für Verwirrung
Wie viele Unternehmen tatsächlich betroffen sind, bleibt unklar. Die Diskrepanz zwischen offiziellen Verlautbarungen und unabhängigen Analysen könnte kaum größer sein.
Gainsight-CEO Chuck Ganapathi versuchte am Dienstag zu beschwichtigen: Man kenne „nur eine Handvoll Kunden”, deren Daten direkt kompromittiert wurden. Diese Darstellung steht jedoch im krassen Gegensatz zu Erkenntnissen der Google Threat Intelligence Group, die von „mehr als 200 betroffenen Salesforce-Instanzen” spricht.
„Bei Supply-Chain-Angriffen sind solche Unstimmigkeiten typisch”, erklärte ein GTIG-Analyst. „Oft liegt der Unterschied darin, wie viele Tokens gestohlen wurden versus wie viele aktiv zum Datendiebstahl genutzt wurden.”
Die kompromittierten Daten umfassen möglicherweise:
* Kontaktdaten von Kunden (Namen, E-Mails, Telefonnummern)
* Account-Bewertungen und Aktivitätsprotokolle
* Inhalte von Support-Anfragen
* Software-Lizenzierungsinformationen
* Standort- und Regionaldaten
Der Domino-Effekt: Vom Salesloft-Hack zu Gainsight
Besonders brisant: Der Angriff ist offenbar eine Folgeerscheinung einer früheren Sicherheitspanne. Die ShinyHunters-Gruppe behauptet, ihren initialen Zugang durch Zugangsdaten erlangt zu haben, die beim Salesloft-Drift-Einbruch im August 2025 gestohlen wurden.
Gainsight nutzte demnach selbst die kompromittierte Salesloft-Integration. Die Angreifer verwendeten die erbeuteten Credentials als Sprungbrett, um in Gainsights eigene Infrastruktur einzudringen. Von dort stahlen sie die Tokens, mit denen Gainsight sich mit den Salesforce-Umgebungen seiner Kunden verbindet.
Diese „Pivot”-Technik verdeutlicht das Kaskadenrisiko moderner SaaS-Landschaften: Ein einziger kompromittierter Anbieter wird zur Waffe gegen Dutzende verbundener Plattformen.
Notfallmaßnahmen und Schadensbegrenzung
Die SaaS-Branche reagierte mit drastischen Schritten. Salesforce widerrief sämtliche Zugriffs- und Refresh-Tokens für Gainsight-Anwendungen und entfernte die Apps vorübergehend aus seinem AppExchange-Marketplace. Die Maßnahme schnitt zwar den Angreifern den Zugang ab – unterbrach aber auch kritische Workflows für Tausende Gainsight-Nutzer.
Gainsight empfiehlt seinen Kunden dringende Sicherheitsmaßnahmen:
* Rotation der S3-Bucket-Zugriffsschlüssel für Gainsight-Verbindungen
* Direkter Login in Gainsight NXT statt über Salesforce
* Überprüfung der Salesforce-Logs auf verdächtige API-Aufrufe von nicht freigegebenen IP-Adressen zwischen dem 16. und 23. November
Auch Zendesk und HubSpot haben vorsorglich ihre Verbindungen zu Gainsight gekappt, obwohl keine Hinweise auf eine Kompromittierung ihrer eigenen Systeme vorliegen.
Die neue Ära der Identitätsangriffe
Der Vorfall markiert eine fundamentale Verschiebung in der Bedrohungslandschaft 2025: weg von Malware-basierten Attacken, hin zu identitätsbasierten Angriffen.
„Der Gainsight-Einbruch zeigt, dass Identitätsmissbrauch und Lücken in der Lieferkette heute die größten Risiken in Cloud-Ökosystemen darstellen”, erklärt Cybersecurity-Analystin Sarah Jenkins. „Verteidiger suchen nach Schadsoftware, während Angreifer sich einfach mit gestohlenen Tokens einloggen. Es ist ein stiller Eintritt, der traditionelle Perimeter-Verteidigungen umgeht.”
Für Gainsight, einen Marktführer im Bereich Customer-Success-Software, bedeutet der Vorfall eine erhebliche Reputationskrise. Auch wenn das Unternehmen betont, nur wenige Kunden seien betroffen, dürfte die Beteiligung seiner Software an einer breiteren Angriffskette Enterprise-Kunden zum Überdenken ihrer Berechtigungen für Drittanbieter-Integrationen veranlassen.
Was kommt als Nächstes?
Während Mandiant die forensische Untersuchung fortsetzt, mahnen Experten zur Wachsamkeit. Die gestohlenen Daten könnten Monate später für gezielte Phishing-Kampagnen missbraucht werden.
„Wir werden wahrscheinlich einen ‘langen Schwanz’ der Auswirkungen sehen”, warnte GTIG. „Gestohlener Kundenkontext wird oft Monate später genutzt, um überzeugende Spear-Phishing-E-Mails zu erstellen. Betroffene Unternehmen sollten ihre Mitarbeiter auf eine mögliche Zunahme gezielter Social-Engineering-Versuche im ersten Quartal 2026 vorbereiten.”
Gainsight hat eine detaillierte Nachbetrachtung nach Abschluss der Untersuchung angekündigt. Bis dahin bleibt die Erkenntnis: In einer hypervernetzten SaaS-Welt ist die Sicherheit eines Unternehmens nur so stark wie seine schwächste Integration.
PS: Gestohlene Kundenkontexte werden oft erst Monate später für gezielte Phishing- oder Social‑Engineering-Angriffe genutzt. Der Gratis‑Leitfaden zeigt praxisnahe Schritte zur Sensibilisierung von Mitarbeitern, Absicherung von API- und OAuth‑Integrationen und schnellen Maßnahmen zur Schadensbegrenzung. So bereiten Sie Ihr Team auf die beschriebenen „langen Schwanz”-Effekte vor und verringern das Risiko weiterer Kompromittierungen. Kostenlosen Cyber-Security-Leitfaden anfordern
