Zendesk-Schwachstelle verwandelt Helpdesks in Spam-Schleudern

Eine massive Spam-Welle nutzt falsch konfigurierte Kundenservice-Systeme aus und flutet weltweit Posteingänge. Der Vorfall zeigt gravierende Sicherheitslücken bei Standardeinstellungen beliebter Software.

Seit dem 19. Januar 2026 erhalten Tausende Nutzer Hunderte gefälschter Support-E-Mails von namhaften Unternehmen. Die Nachrichten scheinen von Servern großer Marken wie Capcom oder Tinder zu stammen und umgehen so häufig die Spam-Filter. Die Betreffzeilen sind alarmierend gestaltet – von angeblichen FBI-Ermittlungen bis zu Kontosperrungen. Ziel ist ein Denial-of-Service-Angriff auf den Posteingang, der die Kommunikation der Opfer lahmlegt.

So funktioniert der Angriff über offene Support-Portale

Der Angriff, bereits als „Great Zendesk Spam Wave of 2026“ bekannt, hackt nicht die Software selbst. Stattdessen nutzen Kriminelle eine weit verbreitete Standardeinstellung aus: Viele Unternehmen erlauben es, dass auch nicht verifizierte oder anonyme Nutzer Support-Tickets einreichen können.

Offene Supportformulare und automatische Ticket‑Antworten werden aktuell als Einfallstor für großflächigen Relay‑Spam missbraucht. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier praxisnahen Schritten, wie Unternehmen automatische Antworten sicher konfigurieren, CEO‑Fraud und gefälschte Bestätigungen erkennen sowie Mitarbeiter effektiv schulen können. Enthalten sind Checklisten für IT‑ und Service‑Teams und sofort umsetzbare Gegenmaßnahmen. Anti‑Phishing‑Paket jetzt kostenlos anfordern

Angreifer füllen diese offenen Formulare massenhaft aus und tragen dabei die E-Mail-Adressen ihrer Opfer als Absender ein. Das Zendesk-System des betroffenen Unternehmens sendet daraufhin automatisch eine Ticket-Bestätigung – direkt an das Opfer. Da diese E-Mails von legitimen Unternehmensservern stammen, landen sie oft im Posteingang. Diese Methode, Relay-Spam, macht die Kundenservice-Infrastruktur zur unwissenden Spam-Schleuder.

Compliance-Risiko: Könnte die DSGVO verletzt werden?

Der Vorfall wirft ernste datenschutzrechtliche Fragen auf. Zwar werden keine Daten aus den Zendesk-Datenbanken gestohlen. Doch die unbefugte Verarbeitung von E-Mail-Adressen zur Erzeugung Tausender unerwünschter Nachrichten könnte gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.

Die Verantwortung liegt klar bei den nutzenden Unternehmen. Eine Konfiguration, die anonyme Ticket-Einreichungen ohne jegliche Prüfung erlaubt, kann als Mangel an angemessenen Sicherheitsvorkehrungen gewertet werden. Unternehmen müssen ihre SaaS-Standardeinstellungen kritisch hinterfragen und an ihre Compliance-Anforderungen anpassen.

Zendesk reagiert – doch die Empfehlungen sind nicht neu

Das Problem ist bekannt. Bereits im Dezember 2025 warnte Zendesk vor solchen Relay-Spam-Kampagnen. Als Reaktion auf die aktuelle Eskalation hat das Unternehmen eine Untersuchung eingeleitet.

Die zentrale Gegenmaßnahme ist simpel, wird aber offenbar zu selten umgesetzt: Unternehmen sollten in ihren Einstellungen deaktivieren, dass nicht verifizierte Benutzer Tickets erstellen können. Zendesk empfiehlt, nur registrierten und per E-Mail bestätigten Nutzern diesen Zugang zu gewähren. Zusätzlich sollten bestimmte Platzhalter in automatischen Antworten entfernt werden, um Missbrauch zu erschweren.

Ein Weckruf für die Balance zwischen Komfort und Sicherheit

Die Spam-Welle ist eine eindringliche Mahnung für die digitale Service-Welt. Die bequeme Möglichkeit, schnell Support zu kontaktieren, wurde hier zur Waffe umfunktioniert. Für Unternehmen wird es immer dringlicher, Sicherheit vor maximaler Benutzerfreundlichkeit zu stellen.

Betroffene Nutzer sollten die E-Mails ignorieren, keine Links anklicken und sie als Spam markieren. Langfristig dürfte der Vorfall zu einem branchenweiten Umdenken bei Helpdesk-Standards führen. Die Bequemlichkeit offener Systeme steht nun dem hohen Risiko von Missbrauch und Reputationsschäden gegenüber.

PS: Relay‑Spam zeigt eindrücklich, wie geschickt Angreifer legitime Support‑Infrastruktur ausnutzen. Das Anti‑Phishing‑Paket bietet praxisfertige Vorlagen zur sicheren Ticket‑Konfiguration, eine Mitarbeiter‑Checkliste und konkrete Maßnahmen für IT- sowie Service‑Teams, damit solche Kampagnen erst gar nicht erfolgreich werden. Schützen Sie Postfächer effizient und ohne großen Aufwand. Jetzt Anti‑Phishing‑Paket herunterladen