Thought Leadership
Nach gescheiterten Lösegeldverhandlungen veröffentlichte die Gruppe ShinyHunters einen 50 GB großen Datensatz von Cushman & Wakefield mit Salesforce-Daten.
Update vom 11. Mai 2026, 07:50 Uhr
Der globale Immobiliendienstleister Cushman & Wakefield ist zum Ziel einer Datenveröffentlichung durch die Hackergruppe ShinyHunters geworden. Nachdem Verhandlungen über eine Lösegeldzahlung am 6. Mai 2026 offiziell scheiterten, stellte die Gruppierung am Freitag ein etwa 50 Gigabyte großes Datenpaket in das Darknet. Laut Angaben der Angreifer handelt es sich dabei um sensible Informationen aus Salesforce-Umgebungen des Unternehmens, darunter personenbezogene Daten (PII) und interne Konzerndaten.
Gescheiterte Verhandlungen führen zum Daten-Dump
Die Gruppe ShinyHunters aktualisierte ihre Leak-Seite am vergangenen Freitag mit einem Download-Link für das Cushman & Wakefield-Archiv. In ihrem Post warfen die Cyberkriminellen dem Immobilienriesen vor, trotz „unglaublicher Geduld“ ihrerseits keine Einigung erzielt zu haben. Das Ultimatum für eine Kontaktaufnahme war bereits am 6. Mai 2026 verstrichen.
Der Datensatz umfasst laut den Hackern über 500.000 Salesforce-Einträge. Der veröffentlichte Link trägt die für ShinyHunters typische, zynische Bezeichnung „shouldve_paid_the_ransom“ (Hätte das Lösegeld zahlen sollen), gefolgt vom Namen des betroffenen Unternehmens. Sicherheitsforscher begannen unmittelbar nach Bekanntwerden mit dem Herunterladen der komprimierten ZIP-Archive, um den genauen Inhalt und die Validität der Daten zu prüfen.
Cushman & Wakefield bestätigt Vishing-Vorfall
Das betroffene Unternehmen Cushman & Wakefield bestätigte gegenüber Fachmedien einen „begrenzten Datensicherheitsvorfall“. Interessanterweise führt das Unternehmen den Einbruch auf eine „Vishing“-Attacke (Voice Phishing) zurück. Bei dieser Methode versuchen Angreifer über Telefonanrufe und Social Engineering, Zugangsdaten von Mitarbeitern zu erschleichen.
Cushman & Wakefield betonte, dass man nach Entdeckung des Vorfalls sofort Reaktionsprotokolle aktiviert und externe Experten hinzugezogen habe, um die Untersuchung zu leiten. Das Unternehmen gab an, dass der Betrieb trotz des Vorfalls normal weiterlaufe. Eine offizielle Bestätigung der von ShinyHunters behaupteten Menge von 500.000 Salesforce-Datensätzen blieb seitens des Immobilienkonzerns bisher aus.
Salesforce und Cloud-Umgebungen im Visier der Erpresser
Der Vorfall ist Teil einer breiter angelegten Kampagne von ShinyHunters, die gezielt auf Cloud-basierte Unternehmenssysteme und Identitätsmanagement-Lösungen abzielt. Neben Salesforce standen zuletzt auch Umgebungen von Okta, Microsoft 365 und Google Workspace im Fokus der Gruppe. Diese Angriffe nutzen oft Schwachstellen in der Authentifizierungskette aus, um tiefen Zugriff auf Kundendatenbanken zu erhalten.
Ein pikantes Detail des Vorfalls ist die Beteiligung einer zweiten Ransomware-Gruppe namens „Qilin“. Diese hatte Cushman & Wakefield bereits wenige Tage zuvor auf ihrer eigenen Opferliste geführt. Bisher lieferte Qilin jedoch keine Beweise oder Datenproben, weshalb unklar bleibt, ob es sich um eine Kooperation, einen Zweitangriff oder schlicht eine Trittbrettfahrer-Aktion handelte.
Parallele Angriffe auf die Bildungsplattform Canvas
Die Analyse des Cushman & Wakefield-Leaks wurde am Freitag durch ungewöhnlich langsame Download-Geschwindigkeiten auf den Servern der Hacker behindert. Experten vermuten, dass dies mit einem weiteren, zeitgleichen Großangriff der Gruppe zusammenhängt. ShinyHunters gab bekannt, die E-Learning-Plattform „Canvas by Instructure“ kompromittiert zu haben.
Bei diesem Angriff wurden angeblich 3,65 Terabyte an Daten gestohlen, die 275 Millionen Kommunikationsvorgänge zwischen Studenten und Lehrkräften an rund 9.000 Schulen weltweit umfassen sollen. Da auch hier die Verhandlungen mit dem Betreiber Instructure scheiterten, droht die Gruppe nun damit, einzelne Schulen individuell zu erpressen. Der enorme Traffic durch Forscher und andere Akteure, die auf den massiven Canvas-Datensatz zugreifen wollen, belastete die Infrastruktur der Hacker am Wochenende erheblich.
Salesforce-Datenexporte bestätigt
Die Forscher von Cybernews erklärten, dass die Untersuchung der Cushman & Wakefield-Daten Zeit in Anspruch nehmen wird. Da ShinyHunters die Daten in hochkomprimierten Formaten hochlädt, ist eine Stichprobenprüfung ohne vollständigen Download kaum möglich. Erste Sichtungen bestätigen jedoch die Struktur von Salesforce-Datenexporten.
Das Risiko für die betroffenen Personen in den Salesforce-Listen ist hoch, da solche Datensätze oft Kontaktinformationen, Vertragsdetails und interne Notizen enthalten, die für gezielte Phishing-Angriffe oder Identitätsdiebstahl genutzt werden können. Cushman & Wakefield muss nun prüfen, inwieweit Kunden und Partner über den Abfluss ihrer Daten informiert werden müssen.
Die Strategie von ShinyHunters, nach gescheiterten Verhandlungen unmittelbar zur vollständigen Veröffentlichung überzugehen, erhöht den Druck auf Unternehmen massiv. Während die Behörden weltweit davon abraten, Lösegelder zu zahlen, zeigt dieser Leak die harten Konsequenzen dieser Entscheidung in Form von Reputationsschäden und dem Verlust der Datenkontrolle.
Erstmeldung vom 07. Mai 2026: Cushman & Wakefield: 500.000 Salesforce-Datensätze im Visier
Die kriminelle Gruppierung ShinyHunters hat am Sonntag, den 3. Mai 2026, den globalen Immobiliendienstleister Cushman & Wakefield auf ihre Liste der Erpressungsopfer gesetzt. Die Hacker behaupten, im Rahmen einer groß angelegten Angriffsserie auf Salesforce-Instanzen rund 500.000 Datensätze entwendet zu haben. Diese sollen sowohl personenbezogene Daten (Personally Identifiable Information, PII) als auch interne Unternehmensinformationen enthalten. Cushman & Wakefield, einer der weltweit größten Akteure im Bereich der Gewerbeimmobilien, sieht sich nun mit einer knappen Frist zur Lösegeldzahlung konfrontiert.
Großkonzern auf der Erpressungsliste der ShinyHunters
Die Listung auf dem Blog der ShinyHunters erfolgte ohne die sofortige Bereitstellung von Datenproben, was in der Cybersicherheits-Community zunächst für eine vorsichtige Bewertung sorgt. Dennoch ist die Drohung aufgrund der Historie der Gruppe ernst zu nehmen. ShinyHunters gibt an, direkten Zugriff auf Salesforce-basierte Bestände erlangt zu haben. Die betroffenen Daten umfassen laut den Angreifern sensible Informationen, die für Identitätsdiebstahl oder gezielte Phishing-Attacken gegen Kunden und Mitarbeiter genutzt werden könnten.
Cushman & Wakefield hat seinen Hauptsitz in Chicago und gehört zu den sogenannten „Big Four“ der Branche. Mit einem Umsatz von 10,3 Milliarden US-Dollar im Jahr 2025 und über 52.000 Mitarbeitern in 60 Ländern ist das Unternehmen ein hochkarätiges Ziel. Die Gruppe verwaltet rund 5,1 Milliarden Quadratmeter Fläche und betreut eine Vielzahl namhafter Firmenkunden sowie private Investoren. Ein Datenleck in dieser Größenordnung könnte weitreichende rechtliche und finanzielle Konsequenzen nach sich ziehen.
Ultimatum bis zum 6. Mai: Drohung mit Datenleck
Die Erpresser verfolgen ihr übliches „Pay-or-Leak“-Modell. Sie setzten Cushman & Wakefield eine Frist bis zum 6. Mai 2026, um in Kontakt zu treten und eine bisher nicht öffentlich genannte Summe zu zahlen. In der auf dem Leak-Blog veröffentlichten Nachricht warnen die Hacker vor „zusätzlichen digitalen Problemen“, sollte die Forderung nicht erfüllt werden. Die Warnung ist explizit als „Final Warning“ gekennzeichnet.
Forensik-Experten beobachten derzeit genau, ob die Gruppe in den kommenden Stunden sogenannte „Proof of Breach“-Dateien veröffentlicht. Häufig laden Erpressergruppen kleine Fragmente der gestohlenen Datenbanken hoch, um den Druck auf die Führungsetage zu erhöhen. Cushman & Wakefield hat sich bisher noch nicht detailliert zu dem Vorfall geäußert, eine offizielle Untersuchung mit externen Sicherheitsfirmen gilt jedoch als wahrscheinlich.
Systematische Angriffe auf Salesforce-Infrastrukturen
Der Vorfall bei Cushman & Wakefield ist Teil einer umfassenden Kampagne, die bereits seit Anfang 2025 beobachtet wird. Die Google Threat Intelligence Group (GTIG) identifizierte im Februar 2026 eine „signifikante Eskalation“ der Aktivitäten von ShinyHunters. Die Gruppe hat es gezielt auf Unternehmen abgesehen, die Cloud-basierte Customer-Relationship-Management-Systeme (CRM) wie Salesforce nutzen.
Dabei ist nicht Salesforce selbst die Schwachstelle, sondern die Konfiguration der Zugriffsberechtigungen und die Absicherung der Benutzerkonten. ShinyHunters nutzt Schwachstellen in Drittanbieter-Integrationen oder kompromittierte Zugangsdaten, um tief in die Datenbestände einzudringen. In den vergangenen Wochen meldete die Gruppe bereits erfolgreiche Einbrüche bei anderen Branchengrößen wie Zara, Udemy, 7-Eleven und der Bildungsplattform Canvas.
Vishing und Social Engineering als primäre Einfallstore
Technisch zeichnet sich ShinyHunters durch hochentwickelte Social-Engineering-Methoden aus. Besonders auffällig ist der Einsatz von „Vishing“ (Voice Phishing). Hierbei werden Mitarbeiter telefonisch kontaktiert und unter Vorwänden dazu gebracht, ihre Login-Daten oder Multi-Faktor-Authentifizierungs-Codes (MFA) preiszugeben. Ein ähnliches Muster wurde bereits bei einer Kampagne gegen Okta im Januar 2026 beobachtet, bei der Single-Sign-On-Daten (SSO) entwendet wurden.
Diese Taktik ermöglicht es den Angreifern, legitime Zugänge zu nutzen und so herkömmliche Sicherheitsperimeter zu umgehen. Einmal im System, navigieren sie lateral durch die Netzwerkstruktur, bis sie Zugriff auf die zentralen Salesforce-Instanzen erhalten. Für Unternehmen wie Cushman & Wakefield, die eine dezentrale Struktur mit Hunderten von Büros weltweit betreiben, stellt diese Form des gezielten Mitarbeiter-Targeting eine enorme Herausforderung dar.
IAM-Strategien überprüfen
Die Liste der angeblichen Opfer wächst täglich. Erst am vergangenen Sonntag gab ShinyHunters an, die Lernplattform Canvas kompromittiert zu haben, wobei angeblich 3,65 Terabyte an Daten von 275 Millionen Schülern und Studenten entwendet wurden. Auch hier soll der Zugriff über eine Salesforce-Schnittstelle erfolgt sein.
Innerhalb der Immobilienbranche ist Cushman & Wakefield nicht das erste Ziel. Im Mai des Vorjahres wurden bereits RE/MAX und Landmark Properties Opfer von Ransomware-Angriffen durch Gruppen wie Medusa und Morpheus. Der aktuelle Fall zeigt jedoch eine neue Qualität der Spezialisierung auf CRM-Daten. Salesforce-Datensätze enthalten oft detaillierte Informationen über zukünftige Deals, Provisionsstrukturen und persönliche Profile von vermögenden Investoren, was sie auf dem Schwarzmarkt besonders wertvoll macht.
Die Sicherheitsbehörden raten Unternehmen in diesem Umfeld dringend dazu, ihre IAM-Strategien (Identity and Access Management) zu überprüfen und den Zugriff auf Salesforce-Instanzen auf vertrauenswürdige IP-Bereiche einzuschränken sowie hardwarebasierte Sicherheitsschlüssel für den administrativen Zugriff zu erzwingen.
