Thought Leadership
Die Hackergruppe ShinyHunters meldet den Diebstahl von 500.000 Datensätzen bei Cushman & Wakefield. Ein Ultimatum zur Lösegeldzahlung lief bis zum 6. Mai 2026.
Die kriminelle Gruppierung ShinyHunters hat am Sonntag, den 3. Mai 2026, den globalen Immobiliendienstleister Cushman & Wakefield auf ihre Liste der Erpressungsopfer gesetzt. Die Hacker behaupten, im Rahmen einer groß angelegten Angriffsserie auf Salesforce-Instanzen rund 500.000 Datensätze entwendet zu haben. Diese sollen sowohl personenbezogene Daten (Personally Identifiable Information, PII) als auch interne Unternehmensinformationen enthalten. Cushman & Wakefield, einer der weltweit größten Akteure im Bereich der Gewerbeimmobilien, sieht sich nun mit einer knappen Frist zur Lösegeldzahlung konfrontiert.
Großkonzern auf der Erpressungsliste der ShinyHunters
Die Listung auf dem Blog der ShinyHunters erfolgte ohne die sofortige Bereitstellung von Datenproben, was in der Cybersicherheits-Community zunächst für eine vorsichtige Bewertung sorgt. Dennoch ist die Drohung aufgrund der Historie der Gruppe ernst zu nehmen. ShinyHunters gibt an, direkten Zugriff auf Salesforce-basierte Bestände erlangt zu haben. Die betroffenen Daten umfassen laut den Angreifern sensible Informationen, die für Identitätsdiebstahl oder gezielte Phishing-Attacken gegen Kunden und Mitarbeiter genutzt werden könnten.
Cushman & Wakefield hat seinen Hauptsitz in Chicago und gehört zu den sogenannten „Big Four“ der Branche. Mit einem Umsatz von 10,3 Milliarden US-Dollar im Jahr 2025 und über 52.000 Mitarbeitern in 60 Ländern ist das Unternehmen ein hochkarätiges Ziel. Die Gruppe verwaltet rund 5,1 Milliarden Quadratmeter Fläche und betreut eine Vielzahl namhafter Firmenkunden sowie private Investoren. Ein Datenleck in dieser Größenordnung könnte weitreichende rechtliche und finanzielle Konsequenzen nach sich ziehen.
Ultimatum bis zum 6. Mai: Drohung mit Datenleck
Die Erpresser verfolgen ihr übliches „Pay-or-Leak“-Modell. Sie setzten Cushman & Wakefield eine Frist bis zum 6. Mai 2026, um in Kontakt zu treten und eine bisher nicht öffentlich genannte Summe zu zahlen. In der auf dem Leak-Blog veröffentlichten Nachricht warnen die Hacker vor „zusätzlichen digitalen Problemen“, sollte die Forderung nicht erfüllt werden. Die Warnung ist explizit als „Final Warning“ gekennzeichnet.
Forensik-Experten beobachten derzeit genau, ob die Gruppe in den kommenden Stunden sogenannte „Proof of Breach“-Dateien veröffentlicht. Häufig laden Erpressergruppen kleine Fragmente der gestohlenen Datenbanken hoch, um den Druck auf die Führungsetage zu erhöhen. Cushman & Wakefield hat sich bisher noch nicht detailliert zu dem Vorfall geäußert, eine offizielle Untersuchung mit externen Sicherheitsfirmen gilt jedoch als wahrscheinlich.
Systematische Angriffe auf Salesforce-Infrastrukturen
Der Vorfall bei Cushman & Wakefield ist Teil einer umfassenden Kampagne, die bereits seit Anfang 2025 beobachtet wird. Die Google Threat Intelligence Group (GTIG) identifizierte im Februar 2026 eine „signifikante Eskalation“ der Aktivitäten von ShinyHunters. Die Gruppe hat es gezielt auf Unternehmen abgesehen, die Cloud-basierte Customer-Relationship-Management-Systeme (CRM) wie Salesforce nutzen.
Dabei ist nicht Salesforce selbst die Schwachstelle, sondern die Konfiguration der Zugriffsberechtigungen und die Absicherung der Benutzerkonten. ShinyHunters nutzt Schwachstellen in Drittanbieter-Integrationen oder kompromittierte Zugangsdaten, um tief in die Datenbestände einzudringen. In den vergangenen Wochen meldete die Gruppe bereits erfolgreiche Einbrüche bei anderen Branchengrößen wie Zara, Udemy, 7-Eleven und der Bildungsplattform Canvas.
Vishing und Social Engineering als primäre Einfallstore
Technisch zeichnet sich ShinyHunters durch hochentwickelte Social-Engineering-Methoden aus. Besonders auffällig ist der Einsatz von „Vishing“ (Voice Phishing). Hierbei werden Mitarbeiter telefonisch kontaktiert und unter Vorwänden dazu gebracht, ihre Login-Daten oder Multi-Faktor-Authentifizierungs-Codes (MFA) preiszugeben. Ein ähnliches Muster wurde bereits bei einer Kampagne gegen Okta im Januar 2026 beobachtet, bei der Single-Sign-On-Daten (SSO) entwendet wurden.
Diese Taktik ermöglicht es den Angreifern, legitime Zugänge zu nutzen und so herkömmliche Sicherheitsperimeter zu umgehen. Einmal im System, navigieren sie lateral durch die Netzwerkstruktur, bis sie Zugriff auf die zentralen Salesforce-Instanzen erhalten. Für Unternehmen wie Cushman & Wakefield, die eine dezentrale Struktur mit Hunderten von Büros weltweit betreiben, stellt diese Form des gezielten Mitarbeiter-Targeting eine enorme Herausforderung dar.
IAM-Strategien überprüfen
Die Liste der angeblichen Opfer wächst täglich. Erst am vergangenen Sonntag gab ShinyHunters an, die Lernplattform Canvas kompromittiert zu haben, wobei angeblich 3,65 Terabyte an Daten von 275 Millionen Schülern und Studenten entwendet wurden. Auch hier soll der Zugriff über eine Salesforce-Schnittstelle erfolgt sein.
Innerhalb der Immobilienbranche ist Cushman & Wakefield nicht das erste Ziel. Im Mai des Vorjahres wurden bereits RE/MAX und Landmark Properties Opfer von Ransomware-Angriffen durch Gruppen wie Medusa und Morpheus. Der aktuelle Fall zeigt jedoch eine neue Qualität der Spezialisierung auf CRM-Daten. Salesforce-Datensätze enthalten oft detaillierte Informationen über zukünftige Deals, Provisionsstrukturen und persönliche Profile von vermögenden Investoren, was sie auf dem Schwarzmarkt besonders wertvoll macht.
Die Sicherheitsbehörden raten Unternehmen in diesem Umfeld dringend dazu, ihre IAM-Strategien (Identity and Access Management) zu überprüfen und den Zugriff auf Salesforce-Instanzen auf vertrauenswürdige IP-Bereiche einzuschränken sowie hardwarebasierte Sicherheitsschlüssel für den administrativen Zugriff zu erzwingen.
