In der zweiten Hälfte des vergangenen Monats hat der Sicherheitsanbieter CrowdStrike einen Insidervorfall bestätigt, bei dem ein Mitarbeiter Bildschirmfotos interner Systeme an Dritte weitergegeben hat. Die veröffentlichten Bilder wurden von der Hacker-Koalition Scattered Lapsus$ Hunters genutzt, um öffentlich eine angebliche „Kompromittierung“ der CrowdStrike-Infrastruktur zu behaupten – eine Darstellung, die das Unternehmen entschieden zurückweist.
Insiderleck bei CrowdStrike: Welche Daten tatsächlich offengelegt wurden
Die fraglichen Screenshots tauchten in einem Telegram-Kanal auf, der mit den Gruppen Scattered Spider, LAPSUS$ und ShinyHunters verbunden ist. Auf den Bildern waren interne Verwaltungsoberflächen und Links zu unternehmensinternen Ressourcen zu sehen, darunter eine Okta-Administrationsoberfläche, die für Single Sign-on (SSO) der Mitarbeitenden genutzt wird.
Nach Angaben von CrowdStrike beschränkte sich der Vorfall ausschließlich auf visuelle Informationen: Bildschirmfotos vom Desktop des Mitarbeiters. Es gebe keine Hinweise auf einen technischen Einbruch in Produktionssysteme oder Kundendaten. Dennoch erhöht die Veröffentlichung von UI-Details, URL-Strukturen und Navigationsmustern den Wert für Angreifer, da solche Informationen für die Aufklärungsphase (Reconnaissance) künftiger Angriffe genutzt werden können.
Hacker-Narrativ: Bezahlter Insiderzugang und gestohlene SSO-Cookies
Nach Recherchen von BleepingComputer gab ein Mitglied von ShinyHunters an, dem Insider 25.000 US-Dollar für den Zugang zum internen Netzwerk von CrowdStrike zugesagt zu haben. Demnach habe der Mitarbeiter nicht nur Screenshots, sondern auch SSO-Cookies weitergereicht – also Sitzungskennzeichen, mit denen ein bereits authentifizierter Login bei einem SSO-Anbieter wie Okta wiederverwendet werden kann.
Ein SSO-Cookie dient technisch als Token für eine laufende Sitzung. Gerät ein solches Cookie in die Hände von Angreifern und ist keine zusätzliche Bindung an Gerät, IP oder starke Kontextprüfung aktiv, kann es die Eingabe von Benutzername und Passwort faktisch ersetzen. Aus Sicht der Angreifer sind SSO-Cookies daher ein hochattraktives Ziel, da sie oftmals weitreichende Rechte in Cloud- und SaaS-Umgebungen eröffnen.
Nach Darstellung von CrowdStrike wurden jedoch verdächtige Aktivitäten frühzeitig erkannt. Die betroffene Nutzerkennung sei deaktiviert, SSO-Sitzungen seien beendet und ein internes Incident-Response-Verfahren eingeleitet worden. Laut Unternehmen wurden alle unautorisierten Zugriffsversuche blockiert und der Fall an Strafverfolgungsbehörden übergeben.
Gainsight, Salesforce und Parallelen zu früheren OAuth-Angriffen
Die Scattered Lapsus$ Hunters versuchten, den CrowdStrike-Vorfall mit einem separaten Sicherheitsvorfall bei Gainsight in Verbindung zu bringen. Gainsight bietet Customer-Success-Lösungen an, die eng mit Salesforce integriert sind. Salesforce hatte zuvor vor möglichen Auswirkungen einer Gainsight-bezogenen Datenpanne auf öffentlich erreichbare, integrierte Anwendungen gewarnt.
Die Situation weckt Erinnerungen an den Angriff auf Salesloft im Jahr 2025, bei dem Angreifer gestohlene OAuth-Tokens der Chatbot-Plattform Drift missbrauchten und darüber Zugriff auf sensible Kundendaten wie Passwörter, AWS-Schlüssel und Snowflake-Tokens erhielten. Gemeinsamer Nenner solcher Vorfälle sind Vertrauensbeziehungen zwischen SaaS-Diensten, die bei unzureichender Kontrolle zur Angriffsfläche werden können.
CrowdStrike betont allerdings, dass der aktuelle Vorfall keinen Zusammenhang mit dem Gainsight-Incident habe. Die Ursache sei klar als isolierter Insiderfall identifiziert worden, ohne Ausweitung auf angebundene Drittplattformen.
Scattered Lapsus$ Hunters und der Aufbau einer eigenen RaaS-Plattform
Parallel zum Insiderleck haben die mitverantwortlichen Gruppen ShinyHunters und Scattered Spider ihre strategische Weiterentwicklung bekanntgegeben: den Betrieb einer eigenen Ransomware-as-a-Service (RaaS)-Plattform namens ShinySp1d3r. Damit lösen sie sich von bislang eingesetzten Erpressungstools wie ALPHV/BlackCat, RansomHub, Qilin oder DragonForce.
Im RaaS-Modell stellen Kerngruppen die Ransomware-Infrastruktur, Zahlungsabwicklung und Support bereit, während sogenannte Affiliates die eigentlichen Einbrüche durchführen. Die Kombination aus Beschaffung von Insiderzugängen und einer eigenen RaaS-Plattform erhöht die Skalierbarkeit der Angriffe und macht besonders Cloud- und Sicherheitsanbieter zu attraktiven Zielen.
Insider als zentrales Einfallstor: Analyse und Empfehlungen für Unternehmen
Aktuelle Branchenberichte wie der Verizon Data Breach Investigations Report (DBIR) zeigen seit Jahren einen stabilen Anteil von Insider-Beteiligung: Rund jeder fünfte Sicherheitsvorfall weist interne Mitwirkung auf – sei es vorsätzlich oder durch Fehlverhalten und Irrtümer. Mit der wachsenden Verbreitung von EDR, NGAV und streng gehärteten Perimetern verlagern Angreifer ihren Fokus zunehmend auf den „menschlichen Faktor“.
Für Unternehmen lassen sich aus dem CrowdStrike-Vorfall mehrere zentrale Handlungsfelder ableiten. Erstens ist ein konsequenter Least-Privilege-Ansatz essenziell: Mitarbeitende sollten nur genau die Rechte besitzen, die sie für ihre tägliche Arbeit benötigen. Zweitens braucht es eine kontinuierliche Überwachung von Konten auf anomale Aktivitäten, etwa ungewöhnliche Login-Zeiten, Geo-Anomalien oder Sprünge im Berechtigungsumfang.
Besondere Aufmerksamkeit verdienen SSO- und OAuth-basierte Zugriffe. Unternehmen sollten SSO-Cookies möglichst an Geräte- oder Kontextsignale binden, strenge Session-Zeitlimits nutzen und riskoreiche Sitzungen mit zusätzlicher Multi-Faktor-Authentisierung absichern. Für angebundene Drittanwendungen ist ein zentrales OAuth- und Integrations-Management nötig, inklusive regelmäßiger Überprüfung vergebener Tokens und Berechtigungen.
Darüber hinaus gewinnt ein Zero-Trust-Architekturansatz weiter an Bedeutung: Kein Benutzer und kein Gerät wird pauschal vertraut, auch nicht innerhalb des internen Netzes. Identität, Kontext und Gerätehygiene werden bei jedem Zugriff geprüft. Ergänzend sollten Unternehmen ein strukturiertes Insider-Risk-Programm etablieren – inklusive Hintergrundprüfungen, klaren Verhaltensrichtlinien, anonymer Meldemöglichkeiten und regelmäßiger Schulungen zu Sicherheits- und Compliance-Themen.
Der CrowdStrike-Fall führt vor Augen, dass selbst führende Cybersecurity-Anbieter nicht gegen Insider-Bedrohungen immun sind. Entscheidend ist daher nicht die Illusion absoluter Sicherheit, sondern die Fähigkeit zur schnellen Erkennung, Isolation und forensischen Aufarbeitung von Vorfällen. Organisationen jeder Größenordnung sollten den Anlass nutzen, ihre Zugriffskontrollen, Session-Überwachung und das Management vertrauenswürdiger Integrationen kritisch zu überprüfen – und den „Faktor Mensch“ als festen Bestandteil ihrer Sicherheitsstrategie zu behandeln, nicht als nachgelagerte Randnotiz.
