Bei der Allianz in den USA kam es zu einem schwerwiegenden Datenschutzvorfall, bei dem die personenbezogenen Daten von fast allen 1,4 Millionen Kunden erbeutet wurden. Die Attacke erfolgte über ein externes CRM-System in der Cloud. Experten des Informationsdienstes BleepingComputer vermuten, dass es sich dabei um das System von Salesforce handelt, denn darauf ist die involvierte Hackergruppe spezialisiert. Die Allianz hat angekündigt, alle betroffenen Personen zu informieren und ihnen entsprechende Unterstützung anzubieten.

Schwachstelle: Externes CRM-System

Am 16. Juli 2025 konnten sich die Cyberkriminellen Zugang zu einem externen, cloudbasierten CRM-System der Allianz Life Insurance Company of North America verschaffen. Wie ein Unternehmenssprecher mitteilte, nutzten die Angreifer Social-Engineering-Techniken, um an die sensiblen Daten zu gelangen. Betroffen sind neben Kundendaten auch Informationen von Vermittlern und Allianz-Mitarbeitern.

Allianz-Hauptsysteme sind nicht betroffen

Die Allianz betont, dass nach bisherigem Ermittlungsstand ausschließlich das externe CRM-System betroffen war. Weder das interne Netzwerk von Allianz Life noch andere Unternehmenssysteme, einschließlich der zentralen Vertragsverwaltung, wurden kompromittiert. Die Untersuchungen laufen derzeit noch. Das FBI wurde unmittelbar nach der Entdeckung des Vorfalls informiert.

Verdacht auf ShinyHunters-Gruppe

Nach Informationen von Sicherheitsexperten steht die Hackergruppe ShinyHunters im Verdacht, für den Angriff verantwortlich zu sein. Diese Gruppe war bereits an mehreren hochkarätigen Cyberattacken beteiligt, darunter Angriffe auf Unternehmen wie Santander und AT&T. Obwohl mehrere Mitglieder der Gruppe in den vergangenen Jahren verhaftet wurden, setzt die Gruppe ShinyHunters die illegalen Aktivitäten fort.

Neue Angriffsmethoden im Fokus

Der aktuelle Angriff läuft wie folgt ab: Die Täter rufen Allianz-Mitarbeiter an und überreden sie, eine gefälschte Salesforce-Website zu besuchen. Dort sollen die Angestellten eine scheinbar legitime "Connected App" von Sales Force genehmigen. Tatsächlich haben die Kriminellen eine modifizierte Version von "Salesforce Data Loader" erstellt, einem offiziellen Tool zum Datenimport. Diese Fälschung sieht dem Original zum Verwechseln ähnlich und sobald der Mitarbeiter die gefälschte App installiert, erhalten die Hacker umfassende Berechtigungen. Über diese Anwendung können sie anschließend Daten aus Salesforce-Umgebungen exportieren und voila - jetzt läuft das Erpressungsgeschäftsmodell an. Offensichtlich ist die Allianz nicht darauf eingegangen.

Allianz betreibt mit den Kunden Schadenbegrenzung

Allianz Life hat den Vorfall bei der Generalstaatsanwaltschaft gemeldet und wird alle betroffenen Personen identifizieren und benachrichtigen. Den betroffenen Kunden werden Unterstützungsleistungen angeboten, um weiteren Schaden durch die kompromittierten Daten zu verhindern. Die genaue Anzahl der kompromittierten Datensätze wurde nicht bekannt gegeben. Das Unternehmen bestätigte jedoch, dass die Mehrheit der 1,4 Millionen Kunden betroffen ist.