Crunchyroll und Infinite Campus: Doppelter Datenalarm offenbart Schwachstellen

Zwei große Dienstleister bestätigen schwere Sicherheitsvorfälle, die Millionen Nutzer und tausende Schulen betreffen. Die Angriffe nutzten Drittanbieter als Einfallstor.

Die globale Cybersicherheitslandschaft erlebte einen turbulenten Wochenstart. Der Anime-Streaming-Riese Crunchyroll und der Bildungssoftware-Anbieter Infinite Campus bestätigten umfangreiche Ermittlungen zu schwerwiegenden Datensicherheitsvorfällen. Beide Unternehmen arbeiten mit digitalen Forensik-Experten zusammen, um das volle Ausmaß unbefugten Zugriffs zu klären. Dieser hat potenziell persönliche Daten von Millionen Nutzern und tausenden Schulmitarbeitern in den USA offengelegt.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und neue Gesetze die Haftungsrisiken verschärfen, erklärt dieser aktuelle Experten-Report. Erfahren Sie, wie Sie Ihr Unternehmen mit einfachen Maßnahmen effektiv schützen können. IT-Sicherheit stärken ohne Budget-Explosion

Diese zeitgleichen Vorfälle unterstreichen einen eskalierenden Trend 2026: Angreifer zielen gezielt auf Drittanbieter und Outsourcing-Firmen (BPO), um in wertvolle Unternehmensumgebungen einzudringen. Technisch scheinen die beiden Angriffe unabhängig voneinander. Gemeinsam werfen sie jedoch ein grelles Licht auf die Schwachstellen zentraler Identitätsmanagementsysteme und die Risiken moderner Support-Infrastrukturen.

Crunchyroll: Millionen Kundendaten nach Angriff auf Support-Mitarbeiter gefährdet

Die Ermittlungen bei Crunchyroll begannen ernsthaft am 23. März 2026. Auslöser waren Behauptungen eines Angreifers, etwa 100 Gigabyte Daten aus den Systemen der Plattform erbeutet zu haben. Analysen deuten darauf hin, dass der Bruch am 12. März begann und für rund 24 Stunden unentdeckt blieb. Der Einstiegspunkt? Der Computer eines Kundensupport-Mitarbeiters bei Telus International, einem Drittanbieter, der operativen Support für den Streaming-Dienst leistet.

Mittels Malware erlangte der Hacker angeblich die Okta Single Sign-On (SSO)-Zugangsdaten des Mitarbeiters. Diese erlaubten den Zugriff auf interne und externe Anwendungen von Crunchyroll, darunter Zendesk, Slack, Google Workspace Mail und Jira Service Management. Der größte Schaden konzentriert sich auf die Zendesk-Instanz. Der Angreifer behauptet, 8 Millionen Support-Ticket-Datensätze heruntergeladen zu haben.

Eine erste Analyse der gestohlenen Daten zeigt 6,8 Millionen eindeutige E-Mail-Adressen. Die Tickets enthalten wahrscheinlich auch Nutzernamen, Login-IDs, IP-Adressen und grobe geografische Standorte. Crunchyroll betont, es gebe keine Hinweise auf anhaltenden Zugriff auf die Kernsysteme. Das Unternehmen prüft die Angreifer-Behauptungen jedoch mit hoher Priorität. Bestätigte Berichte über gestohlene Kreditkartendaten liegen derzeit nicht vor. Allerdings könnten manuell in Tickets eingegebene Finanzdetails gefährdet sein.

Infinite Campus: Erpressungsversuch der Hackergruppe ShinyHunters

Parallel dazu sieht sich Infinite Campus, ein führender Anbieter von Schulinformationssystemen in 45 US-Bundesstaaten, einem gezielten Erpressungsversuch gegenüber. Der Vorfall wurde am 18. März entdeckt, als Sicherheitsprotokolle verdächtige Aktivitäten eines Mitarbeiterkontos bei Salesforce meldeten. Das Unternehmen deaktivierte das Konto umgehend und startete eine Untersuchung. Kurz darauf kontaktierte die berüchtigte Gruppe ShinyHunters die firma und forderte Zahlung.

Die Gruppe setzte eine finale Frist auf den 25. März 2026. Sie droht, die gestohlenen Daten zu veröffentlichen, falls ihre Forderungen nicht erfüllt werden. ShinyHunters beansprucht, Salesforce-Daten mit personenbezogenen Informationen (PII) und internen Unternehmensdaten erbeutet zu haben. Infinite Campus-CEO Charlie Kratsch teilte Kunden mit, dass das Unternehmen jegliche Verhandlungen mit den Erpressern ablehnt.

Laut offizieller Kommunikation beschränkte sich der Bruch auf die Salesforce-Umgebung, ein internes Fallmanagement- und Ticket-System. Die zentralen Schülerdatenbanken mit sensiblen akademischen Aufzeichnungen und Sozialversicherungsnummern seien nicht betroffen. Die kompromittierten Daten scheinen sich auf Kontaktinformationen und Verzeichnisdaten von Schulpersonal zu beschränken – Informationen, die oft bereits öffentlich auf Schul-Websites stehen. Vorsorglich deaktivierte das Unternehmen vorübergehend bestimmte Dienste für Kunden ohne IP-Adressenbeschränkungen.

Das wachsende Risiko: Angriffe über Drittanbieter und Outsourcing

Die gemeinsame Schwachstelle beider Vorfälle ist die Ausnutzung von Drittanbieter-Plattformen und outsourcten Support-Mitarbeitern. Cybersicherheitsanalysten sehen BPO-Firmen zunehmend als primäre Ziele, da sie als Zugangstore zu mehreren prominenten Kunden dienen. Durch die Kompromittierung eines einzelnen Support-Mitarbeiters oder den Zugang zu einer weit verbreiteten CRM-Lösung wie Salesforce können Angreifer die robusten Perimeter-Verteidigungen des eigentlichen Zielunternehmens umgehen.

Der Fall Crunchyroll zeigt die Grenzen traditioneller Identitätssicherheit, wenn das Endgerät kompromittiert ist. Experten weisen darauf hin, dass selbst mit Multi-Faktor-Authentifizierung (MFA) Session-Hijacking einem Angreifer erlaubt, sich an eine legitime Anmeldung „anzuhängen“. Diese Methode wird bei sophisticateden Angreifergruppen immer beliebter, die lieber mit autorisierten Tools „vom Land leben“, als offensichtlichen Schadcode auf den Hauptservern zu platzieren.

Der Diebstahl von Zugangsdaten ist oft der erste Schritt für großflächige Cyber-Angriffe auf Unternehmen. Dieser Experten-Guide zeigt in 4 Schritten, wie Sie eine erfolgreiche Hacker-Abwehr aufbauen und Ihre Organisation vor Phishing-Attacken schützen. Kostenloses Anti-Phishing-Paket herunterladen

Der Vorfall bei Infinite Campus unterstreicht die Risiken cloud-basierter Service-Integrationen. Wenn Unternehmen administrative und Support-Funktionen auf Plattformen wie Salesforce oder Zendesk verlagern, werden diese zu riesigen Metadaten-Repositories. Diese enthalten zwar nicht immer primäre Finanzdaten, bieten aber genug Informationen für hochwirksame Phishing- und Social-Engineering-Kampagnen. Die Bedrohungslandschaft 2026 wird zunehmend von diesen „indirekten“ Angriffen definiert, bei denen nicht die Hauptdatenbank, sondern das sie umgebende Ökosystem an Tools das Ziel ist.

Ausblick: Mehr Regulierung und härtere Sicherheitsvorkehrungen

Die Folgen dieser Vorfälle dürften eine neue Welle regulatorischer Prüfungen und Sammelklagen auslösen. Bereits haben mehrere Anwaltskanzleien Untersuchungen zum Infinite Campus-Vorfall angekündigt. Sie wollen prüfen, ob das Unternehmen angemessene Sicherheitsvorkehrungen für die kompromittierten Mitarbeiterkonten getroffen hatte. Für Schulbezirke ist der Vorfall eine Erinnerung an die komplexen Lieferkettenrisiken beim Management von Schüler- und Mitarbeiterdaten.

Für Crunchyroll, das kürzlich die Marke von 17 Millionen zahlenden Abonnenten überschritt, kommt der Vorfall in einer phase starken Wachstums. Das Unternehmen rät Nutzern, wachsam gegenüber Phishing-Versuchen zu sein, die Details aus den Support-Tickets verwenden könnten. Da die gestohlenen Daten den Inhalt von Hilfegesuchen enthalten, könnten Angreifer hochgradig personalisierte Nachrichten erstellen, die wie Folgemitteilungen des echten Crunchyroll-Supports wirken.

Für das restliche Jahr 2026 erwarten Experten eine Verschiebung hin zu aggressiverem Endpunkt-Schutz für Remote- und Outsourcing-Mitarbeiter. Die Abhängigkeit von BPOs für Kundenservice wird kaum abnehmen, aber die Sicherheitsanforderungen für diese Verbindungen dürften sich verschärfen. Denkbar sind verpflichtende hardwarebasierte Sicherheitsschlüssel und häufigere „Zero-Trust“-Neuauthentifizierungen für Mitarbeiter, die auf sensible Ticketsysteme zugreifen.

Mit dem Ablauf der Frist für Infinite Campus am 25. März beobachtet die Sicherheitscommunity nun Foren im Dark Web. Die Frage ist: Setzt ShinyHunters seine Drohung um und veröffentlicht die Salesforce-Daten? Nutzer beider Plattformen sollten jetzt ihre Passwörter aktualisieren, hardwaregestützte MFA aktivieren und unerbetene Kommunikation zu ihren Konten mit äußerster Vorsicht behandeln. Die Doppelvorfälle sind eine deutliche Mahnung: In einer hypervernetzten Digitalwirtschaft kann eine einzige Schwachstelle beim Partner globale Auswirkungen haben.

boerse | 68979802 |