Minneapolis/München – Bei einer Cyberattacke auf die US-Versicherungstochter Allianz Life haben Hacker umfangreiche persönliche Daten erbeutet und nun im Internet veröffentlicht. Insgesamt sind rund 2,8 Millionen Datensätze von Kunden und Geschäftspartnern betroffen, die aus dem cloudbasierten CRM-System Salesforce der Allianz-Lebensversicherung in den USA stammen. Der Vorfall ist Teil einer globalen Angriffswelle auf Unternehmen, die Salesforce zur Verwaltung von Kundendaten einsetzen. Sicherheitsexperten sprechen von einer neuen Qualität zielgerichteter Hackerangriffe durch Social Engineering.

Allianz Life: Millionen Kundendaten im Umlauf

Allianz Life Insurance Company of North America – die Lebensversicherungssparte des deutschen Versicherungskonzerns Allianz in den USA – hatte bereits Mitte Juli einen schweren Sicherheitsvorfall gemeldet. Am 16. Juli 2025 verschafften sich unbekannte Täter durch einen Trick Zugang zu einer externen, cloudbasierten Kundenverwaltungs-Plattform. Wie sich herausstellte, wurde dabei die persönliche Information der Mehrheit der insgesamt 1,4 Millionen Allianz-Life-Kunden entwendet. Auch Daten zahlreicher Geschäftspartner wie Finanzberater, Makler und Vermögensverwalter wurden kompromittiert. Das Unternehmen betonte zunächst, dass der eigene IT‑Netzwerkverbund und die Versicherungssysteme nicht betroffen seien, da ausschließlich ein Drittanbieter-CRM gehackt wurde. Allianz Life schaltete umgehend das FBI ein und leitete Ermittlungen ein.

Nun – wenige Wochen später – haben die Hacker das erbeutete Datenpaket publik gemacht. In einem eigens eingerichteten Telegram-Kanal mit dem provokanten Namen „ScatteredLapsuSp1d3rHunters“ prahlten die Angreifer am vergangenen Wochenende mit einer Reihe von Datendiebstählen und stellten dort auch den kompletten Allianz-Datensatz zum Herunterladen bereit. Die veröffentlichten Dateien stammen aus der Salesforce-Datenbank von Allianz Life und umfassen die standardmäßigen Objekte „Accounts“ und „Contacts“, die Kunden- und Partnerkonten enthalten. Insgesamt liegen rund 2,8 Millionen Einträge vor. Darin finden sich hochsensible persönliche Informationen wie Namen, Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Steuer-Identifikationsnummern (Tax IDs) der Versicherungsnehmer. Zusätzlich enthalten die Datensätze berufliche und geschäftliche Details der Allianz-Partner – etwa Lizenznummern, Firmenzugehörigkeiten, Produktzulassungen und Marketing-Klassifizierungen. Mehrere Personen, deren Daten in den Leaks auftauchen, bestätigten gegenüber der Tech-News-Seite BleepingComputer die Echtheit ihrer Daten. Ein Allianz-Life-Sprecher erklärte auf Anfrage lediglich, man könne aufgrund der laufenden Untersuchungen keinen Kommentar abgeben.

Social-Engineering-Angriff auf Salesforce

Bei der Attacke auf Allianz Life – wie auch bei zahlreichen ähnlichen Fällen in den vergangenen Monaten – machten sich die Täter nicht etwa eine Sicherheitslücke in Salesforce zunutze, sondern täuschten gezielt Mitarbeiter. Salesforce ist eine weltweit verbreitete cloudbasierte Plattform für Customer-Relationship-Management (CRM), mit der Unternehmen ihre Kundenbeziehungen, Vertriebs- und Marketingdaten zentral verwalten. Im aktuellen Fall schalteten die Angreifer eine Art digitalen „Trojaner“ in die Salesforce-Umgebung, indem sie einen autorisierten Zugang über die Schnittstellen der Plattform erlangten. Dazu gaben sie sich am Telefon als Mitarbeiter des IT-Supports aus (sogenanntes Voice-Phishing oder „Vishing“). In dem Anruf brachten sie einen Allianz-Mitarbeiter dazu, auf einer speziellen Salesforce-Einstellungsseite einen von den Betrügern vorgegebenen Verbindungscode einzugeben. Dieser Code verknüpfte eine scheinbar legitime Anwendung mit der Salesforce-Instanz von Allianz Life – in Wirklichkeit handelte es sich um eine manipulierte Version der offiziellen Salesforce-App Data Loader.

Der Data Loader ist eigentlich ein nützliches Werkzeug von Salesforce, mit dem autorisierte Nutzer große Datenmengen importieren oder exportieren können. Durch die eingeschleuste Fake-App erhielten die Hacker über die offizielle API direkten Zugriff auf die Kundendatenbank. Im Hintergrund konnten sie so unbemerkt massenhaft Datensätze auslesen und herunterladen. Laut Ermittlern wurden in manchen Fällen die betrügerischen Apps sogar unter harmlos klingenden Namen wie „My Ticket Portal“ getarnt, um keinen Verdacht zu erregen. Der gesamte Angriff beruht somit auf Social Engineering – der gezielten Ausnutzung menschlichen Vertrauens. Technische Schwachstellen in der Salesforce-Plattform selbst brauchten die Kriminellen nicht, denn die ahnungslosen Mitarbeiter gaben ihnen freiwillig den Schlüssel zu den Daten.

Nach dem Datendiebstahl kontaktierten die Täter die betroffenen Firmen per E-Mail und forderten Lösegeld, um eine Veröffentlichung der Informationen abzuwenden. In diesen Erpresserschreiben bezeichneten sie sich als „ShinyHunters“. Die Hackergruppe ShinyHunters ist seit Jahren für Datendiebstähle und Erpressungsversuche bekannt und hat unter anderem riesige Benutzerdatenbanken von Tech-Firmen und Cloud-Diensten illegal zum Verkauf angeboten. Ungewöhnlich an der aktuellen Kampagne ist jedoch die Methode des Telefon-Phishings – ein Ansatz, der eher der Gruppe Scattered Spider (auch bekannt als UNC3944) zugeschrieben wird, welche 2022–2023 durch dreiste Social-Engineering-Angriffe und Netzwerk-Hacks (u. a. bei Telekommunikations- und Tech-Konzernen) von sich reden machte. Die Grenzen zwischen den Gruppen scheinen zu verschwimmen: ShinyHunters behauptete jüngst, man arbeite mit Scattered Spider Hand in Hand und sei faktisch ein und dieselbe Organisation. Brancheninsider vermuten sogar personelle Überschneidungen mit den berüchtigten Lapsus$-Hackern, die 2022 zahlreiche Unternehmen infiltrierten. Klar ist, dass die Angreifer professionell vorgehen und ihre Kampagne auf maximale Effektivität ausgerichtet haben.

Weltweite Welle von Datenlecks bei Salesforce-Nutzern

Allianz Life ist kein Einzelfall: Die jetzt veröffentlichte Kundenliste steht stellvertretend für eine ganze Serie von Cyberangriffen, die sich seit Anfang 2025 rund um den Globus ereignet. Quer durch verschiedenste Branchen kam es in den letzten Monaten zu sehr ähnlichen Vorfällen, bei denen jeweils ein Salesforce-basiertes System ins Visier geriet. Laut Sicherheitsforschern soll die Angriffswelle weltweit bis zu 91 Organisationen getroffen haben. Bestätigte Opfer sind unter anderem der Sportartikelhersteller Adidas, die Technologiekonzerne Google und Cisco, die Fluggesellschaften Qantas (Australien) und Air France–KLM (Europa), der Luxusgüter-Konzern LVMH mit Marken wie Louis Vuitton, Dior und Tiffany & Co., das französische Modehaus Chanel sowie das dänische Schmuckunternehmen Pandora und der Juwelier Cartier. Auch der US-Versicherer Aflac und die Non-Profit-Organisation Internet Archive sollen zu den Betroffenen gehören. In den meisten Fällen bestätigten die Unternehmen unautorisierten Zugriff auf eine externe Kunden- oder Serviceplattform, ohne zunächst den Namen „Salesforce“ öffentlich zu nennen. Recherchen von IT-Experten ergaben jedoch, dass all diese Datenabflüsse Teil desselben Angriffsschemas sind, das von ShinyHunters und Partnergruppen orchestriert wird.

Die gestohlenen Informationen ähneln sich von Fall zu Fall: Zugang erhielten die Hacker meist zu Kontakt- und Kundenlisten mit Namen, E-Mail-Adressen, Telefonnummern und weiteren kundenbezogenen Metadaten. Finanz- oder Passworteingaben waren nach aktuellem Kenntnisstand nicht in den entwendeten Datensätzen enthalten, betonen die betroffenen Firmen. Dennoch stellt der Verlust solcher personenbezogenen Daten ein erhebliches Risiko dar – Angreifer können damit gezielte Phishing-Attacken auf einzelne Kunden starten oder Identitätsdiebstahl begehen. Im aktuellen Allianz-Life-Fall sind nun Millionen Datensätze frei im Umlauf, was die potenziellen Schäden für die Betroffenen noch erhöht.

Bisher schienen die Täter vorzugsweise im Verborgenen agieren zu wollen: Viele Unternehmen erhielten zwar Erpresser-Mails, doch bis vor kurzem wurde kein Leak öffentlich bekannt. Experten vermuteten, dass die Kriminellen zunächst versuchten, die Daten meistbietend zu verkaufen oder ein Lösegeld zu erstreiten. Scheitert diese Taktik, droht eine Welle von öffentlichen Leaks – und genau dies beginnt sich nun abzuzeichnen. Die Veröffentlichung der Allianz-Life-Daten könnte der Auftakt zu weiteren Enthüllungen sein, falls Opfer den Forderungen der Hacker nicht nachkommen. Schon jetzt beanspruchen die Drahtzieher in ihrem Telegram-Kanal auch die Verantwortung für bislang nicht zugeordnete Cybervorfälle, darunter Einbrüche bei der Bildungsfirma Pearson, der Krypto-Börse Coinbase oder der Online-Bibliothek Internet Archive. Ob diese Daten ebenfalls bald publik gemacht werden, bleibt abzuwarten.

Salesforce reagiert: Der Anbieter der CRM-Plattform, Salesforce Inc., hat mittlerweile Stellung zu den Vorfällen genommen. Man betont, dass kein technischer Fehler im Salesforce-Clouddienst ausgenutzt wurde. „Salesforce selbst wurde nicht kompromittiert – die Angriffe sind auf ausgeklügelte Phishing- und Social-Engineering-Tricks zurückzuführen, die auf unsere Kunden abzielen“, so das Unternehmen sinngemäß. Salesforce erinnert seine Unternehmenskunden daran, alle verfügbaren Sicherheitsmechanismen zu nutzen, um solche Attacken zu vereiteln. Dazu zählen unter anderem die Aktivierung von Multi-Faktor-Authentifizierung (MFA) für alle Zugriffe, eine strikte Rechtevergabe nach dem Prinzip der geringsten Berechtigung, das Einschränken von Login-Zugriffen auf vertrauenswürdige Netzwerkbereiche sowie ein sorgfältiges Management und Monitoring aller verbundenen Drittanbieter-Apps. Schließlich zeigt diese Angriffswelle eindringlich, dass selbst die beste Cloud-Sicherheit wirkungslos ist, wenn menschliche Nutzer durch geschickte Täuschung zum Sicherheitsrisiko werden.

Hacking und Cyber Security mit KI: Prompt…

Cybersecurity Bibel: Der komplette Leitfaden zum…

Hacking u. Security: Das umfassende…

Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.