#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

VERSICHERUNGS-HAMMER! ShinyHunters klauen 13 MILLIONEN Kemper-Datensätze – DEINE Salesforce ist als nächste dran!

VERSICHERUNGS-HAMMER! ShinyHunters klauen 13 MILLIONEN Kemper-Datensätze – DEINE Salesforce ist als nächste dran!

Versicherungen gehören zu den lukrativsten Beuteobjekten für Hacker – und die Kemper Corporation war im April 2026 der nächste Name auf der Trophäenliste. Die Ransomware-Gang ShinyHunters hat sich am 12. April Zugang verschafft, am 15. April die ersten Daten geleakt und am 22. April über 13 Millionen Records auf den Markt geschmissen.

HAMMER: 29 GB direkt aus Salesforce gezogen

Anders als bei klassischen Server-Hacks haben ShinyHunters nicht etwa ein altes WordPress-Backend gefunden. Sie sind direkt ins Salesforce-Konto spaziert. Methode: Social Engineering – ein Mitarbeiter wurde dazu gebracht, Login-Daten auf einer Phishing-Page einzugeben. Damit war der CRM-Eingang offen.

Die Beute laut ShinyHunters: 29 GB mit 13 Millionen Salesforce-Records. Inhalt:

  • Interne Unternehmensdokumente
  • Schulungsmaterialien für Mitarbeiter
  • Mitarbeiternamen und E-Mail-Adressen
  • Stripe-Payment-Logs mit Kundennamen und Transaktionsbeträgen

SCHOCK: Kemper relativiert, Hacker liefern

Kemper hat den Vorfall bestätigt, betont aber, dass kein operativer Geschäftsbetrieb gestört sei. ShinyHunters haben dagegen Sample-Datensätze ins Darknet gestellt – inklusive Stripe-Logs, die echte Kundennamen zeigten. Die Polizei und die SEC sind eingeschaltet, eine Sammelklage wurde am 28. April im US-District-Court in Providence eingereicht.

UNGLAUBLICH: Diese Salesforce-Masche kann JEDEN treffen

Das ist der eigentliche Aufreger: ShinyHunters fahren die Salesforce-Strategie seit Monaten in Serie. Die Methode funktioniert immer gleich:

  1. Vishing oder Phishing gegen einen Salesforce-Power-User.
  2. Login plus oft schwacher MFA-Faktor (SMS-OTP) wird abgefangen.
  3. Der Angreifer installiert eine Connected App mit Datenexport-Rechten.
  4. 29 GB rausziehen, ehe jemand merkt, dass eine neue App im System ist.

SO härtest du dein Salesforce-Tenant JETZT ab

  • Phishing-resistente MFA aktivieren – Hardware-Keys oder Salesforce Authenticator, kein SMS.
  • Connected-Apps regelmäßig auditieren und alles entfernen, was dein Salesforce-Admin nicht kennt.
  • IP-Allowlists für API-Zugänge erzwingen – ein Login aus Kasachstan ist kein Feature.
  • Data-Loss-Prevention-Regeln für Massenexports aktivieren – wenn jemand 13 Millionen Records zieht, sollte ein Alarm losgehen.
  • Anti-Vishing-Training für Sales- und Service-Teams – die sind die Hauptzielgruppe.

EXTRA-TIPP: Schau in die DSGVO-Folgen, falls du EU-Daten hast

Wenn dein Salesforce-Tenant Daten aus der EU enthält und kompromittiert wird, hast du 72 Stunden für die DSGVO-Meldung an die Aufsicht. Plane jetzt einen Salesforce-Notfallplan, nicht erst, wenn dein DPO am Wochenende anruft.

FAZIT: Du musst keinen WordPress-Server hosten, um 13 Millionen Records zu verlieren

Die Kemper-Story zeigt: SaaS-CRMs sind die neuen Enterprise-Ziele. Salesforce, HubSpot, Zendesk – wer dort wertvolle Daten lagert, muss heute bei MFA, Connected Apps und API-Limits Vollgas geben. Sonst ist der nächste BreachForums-Eintrag in deinem Namen.

Häufige Fragen

Welche Versionen sind betroffen?
Der Angriff betrifft keine Software-Version, sondern eine fehlende Härtung des Salesforce-Tenants. ShinyHunters haben sich per Social Engineering Zugriff zum CRM verschafft. Prinzipiell ist jede Salesforce-Org gefährdet, die nur SMS-MFA, keine Connected-App-Reviews und keine IP-Allowlists fährt – egal welche Salesforce-Edition.
Wie merke ich, ob mein System verwundbar ist?
Drei Indikatoren. Erstens: deine User loggen sich nur mit Passwort plus SMS-Code ein – das ist phishing-anfällig. Zweitens: in „Connected Apps OAuth Usage“ stehen Apps, die dein Admin-Team nicht kennt. Drittens: API-Login-Logs zeigen Zugriffe aus untypischen Ländern. Wenn auch nur eines dieser Signale zutrifft, sofort handeln.
Wie behebe ich das Problem konkret?
Sofortmaßnahmen: phishing-resistente MFA (Hardware-Key oder Salesforce Authenticator) für alle User erzwingen, alle unbekannten Connected Apps sperren, IP-Allowlist für API-Zugang aktivieren, Data-Loss-Prevention-Regeln gegen Massenexport schärfen. Mittelfristig: Anti-Vishing-Training für Mitarbeiter, regelmäßige Audits der OAuth-App-Liste, Tenant-Logging in dein SIEM.
Gab es schon aktive Angriffe?
Ja, die Daten sind seit dem 15. April 2026 im Darknet abrufbar, ShinyHunters haben Sample-Daten als Beweis veröffentlicht. Eine Sammelklage gegen Kemper läuft seit dem 28. April. ShinyHunters greifen die Salesforce-Lücke seit Monaten in Serie an – andere Firmen sind ähnlich getroffen worden, ohne dass es Schlagzeilen machte.
Was passiert, wenn EU-Daten betroffen sind?
Dann gilt die DSGVO-72-Stunden-Frist für Meldungen an die zuständige Aufsichtsbehörde, plus eventuelle Benachrichtigung der Betroffenen. Plan deinen Salesforce-Notfallplan vor der Krise, nicht währenddessen. Hilfreich: einen vordefinierten Forensik-Partner, der Salesforce-Audit-Logs und API-Aktivität sauber auswerten kann.

Quellen

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert