Cushman & Wakefield: Datenklau per Telefon-Trick erschüttert Immobilienriesen

Am 1. Mai 2026 gelang es Kriminellen, durch gezielte Anrufe Mitarbeiter zu manipulieren und Zugang zu internen Systemen zu erlangen. Gleich mehrere Hackergruppen beanspruchen nun die Verantwortung für den Diebstahl Hunderttausender Datensätze. Der Fall zeigt: Selbst milliardenschwere Konzerne sind gegen menschliche Schwachstellen kaum gewappnet.

Der aktuelle Angriff auf Cushman & Wakefield verdeutlicht, wie gezielt Cyberkriminelle psychologische Schwachstellen ausnutzen. Schützen Sie Ihr Unternehmen effektiv mit dem kostenlosen Anti-Phishing-Paket und entlarven Sie manipulative Taktiken rechtzeitig. In 4 Schritten zum sicheren Unternehmen

Die Masche: Ein Anruf mit verheerenden Folgen

Die Angreifer nutzten Voice Phishing – kurz Vishing – eine perfide Methode, bei der sich Kriminelle am Telefon als Kollegen oder IT-Mitarbeiter ausgeben. Ihr Ziel: Zugangsdaten erfragen oder sich per Fernwartung Zugang verschaffen. Genau das scheint am 1. Mai gelungen zu sein.

Im Anschluss an den Vorfall haben sich gleich zwei prominente Gruppen zu Wort gemeldet: ShinyHunters und Qilin – beide bekannte Größen in der Cyberkriminalität. ShinyHunters behauptet, mehr als 500.000 Salesforce-Datensätze gestohlen zu haben, darunter personenbezogene Daten von Kunden und Geschäftspartnern.

Die Erpresser haben ein klares Ultimatum gesetzt: Bis zum heutigen Dienstag muss Cushman & Wakefield Kontakt aufnehmen – sonst droht die Veröffentlichung der Daten. Dass zwei konkurrierende Gruppen zeitgleich auftauchen, wirft Fragen auf. Haben sie zusammengearbeitet? Oder wurde das Unternehmen gleich von mehreren Seiten attackiert? Die Ermittlungen laufen.

„Salesforce-Datenbanken sind das digitale Gold der Immobilienbranche", erklärt ein auf Wirtschaftskriminalität spezialisierter Analyst. „Sie enthalten komplette Kundenprofile, Vertragsinformationen und strategische Geschäftsdaten."

ShinyHunters: Eine Serie von Angriffen

Die Gruppe ShinyHunters ist in den letzten Wochen besonders aktiv. Erst kürzlich wurde bekannt, dass sie auch die Bildungsplattform Instructure – Betreiber des weit verbreiteten Canvas-Lernsystems – attackiert haben. Dort sollen Daten von rund 9.000 Schulen und über 275 Millionen Nutzern erbeutet worden sein, darunter Namen, Schüler-IDs und interne Nachrichten.

Zudem veröffentlichte die Gruppe kürzlich 119.000 E-Mail-Adressen von Vimeo-Nutzern. Der Videodienst gab an, dass ein Analyse-Tool eines Drittanbieters – Anodot – die Schwachstelle gewesen sei. Der Vorfall begann bereits Anfang April.

Der Mensch bleibt die größte Schwachstelle

Der Angriff auf Cushman & Wakefield zeigt einen gefährlichen Trend: Während Unternehmen ihre technischen Schutzmaßnahmen immer weiter ausbauen, setzen Kriminelle verstärkt auf psychologische Tricks. Vishing ist dabei nur eine von vielen Methoden.

Parallel dazu beobachten Sicherheitsexperten eine besorgniserregende Entwicklung: Seit Januar 2026 nutzt eine Schadsoftware namens CloudZ Remote Access Trojan die Microsoft-Funktion „Phone Link", um SMS-TANs direkt von Windows-Rechnern abzugreifen. Damit wird selbst die Zwei-Faktor-Authentifizierung ausgehebelt – ohne dass die Angreifer das Handy des Opfers in die Hände bekommen müssten.

Lieferketten unter Beschuss

Auch die Sicherheit von Software-Lieferketten bleibt ein großes Problem. Bei DAEMON Tools, einem weit verbreiteten Tool zur Verwaltung von Datenträger-Abbildern, entdeckten Forscher eine Hintertür in der Installationsroutine. Bereits am 8. April 2026 hatten chinesischsprachige Angreifer einen Backdoor in signierte Installationsdateien eingeschleust.

Betroffen sind tausende Rechner in Russland, Belarus und Thailand – vor allem in den Bereichen Einzelhandel, Fertigung und öffentliche Verwaltung. Der mehrstufige Angriff nutzt Datendiebe und minimalistische Hintertüren, um langfristig in den Systemen zu bleiben.

Selbst Cybersicherheitsfirmen sind nicht immun: Bei Trellix verschafften sich Unbefugte Zugriff auf Teile des Quellcodes. Zwar gibt es keine Hinweise auf eine Veröffentlichung, doch Marktforscher von Gartner warnen vor langfristigen Risiken für die gesamte Software-Lieferkette. Die Gruppe LAPSUS$ hatte erst kürzlich 96 Gigabyte Daten von Checkmarx aus einem GitHub-Repository gestohlen und veröffentlicht.

Neue Sicherheitslücken in Alltagssoftware

Neben sozialer Manipulation entdecken Forscher weiterhin technische Schwachstellen in weit verbreiteten Programmen. Anfang May wurden zwei ungepatchte Lücken im Windows-Auto-Updater von Ollama gemeldet (CVE-2026-42248 und CVE-2026-42249). Sie ermöglichen eine dauerhafte Remote-Code-Ausführung – trotz Warnungen des polnischen CERT Ende April fehlt bis heute ein Patch.

Der Apache HTTP Server hat hingegen reagiert: Eine kritische „Double-Free"-Sicherheitslücke (CVE-2026-23918) wurde geschlossen. Sie hätte in bestimmten Konfigurationen ebenfalls eine Remote-Code-Ausführung ermöglicht – gemeldet worden war sie bereits im Dezember 2025.

EU ringt um Regulierung von KI und Cybersicherheit

Die Politik reagiert auf die wachsende Bedrohung. Am 4. Mai 2026 bestätigte EU-Wirtschaftskommissar Valdis Dombrovskis, dass die Kommission mit dem KI-Unternehmen Anthropic über dessen „Mythos"-Modell im Gespräch ist. Die Sorge: Die Fähigkeit des Modells, Code-Schwachstellen zu identifizieren, könnte für Angriffe auf Finanzinstitute missbraucht werden.

Der Trilog zum „Digital Omnibus on AI" scheiterte Ende April am Streit über Konformitätsbewertungen für Hochrisiko-KI-Produkte. Sollte auch die nächste Sitzung Mitte Mai kein Ergebnis bringen, bleiben die ursprünglichen Fristen für Hochrisiko-KI-Verpflichtungen bestehen – sie laufen am 2. August 2026 aus.

Angesichts neuer Bedrohungen durch KI und die EU-Gesetzgebung müssen Unternehmen ihre Compliance jetzt anpassen. Sichern Sie sich diesen kostenlosen Leitfaden, um die Anforderungen des AI Acts zu verstehen und Ihr Unternehmen rechtssicher aufzustellen. EU AI Act in 5 Schritten verstehen

Harte Strafen für Cyberkriminelle

Die Justiz zeigt zunehmend Härte. Am 4. Mai 2026 wurde der 35-jährige Lette Deniss Zolotarjovs zu 102 Monaten Haft verurteilt. Er war Mitglied der berüchtigten Conti-Ransomware-Gruppe, die zwischen 2021 und 2023 über 54 Unternehmen angriff und Schäden in Milliardenhöhe verursachte. Seine Festnahme in Georgien Ende 2023 und die anschließende Auslieferung in die USA gelten als Erfolg internationaler Polizeizusammenarbeit.

Deutsche Wirtschaft massiv betroffen

Die Dimension der Bedrohung wird in einem aktuellen Bericht von Schwarz Digits deutlich: 70 Prozent der wirtschaftlichen Schäden in Deutschland gehen inzwischen auf Cyberangriffe zurück. Eine Umfrage unter über 1.000 Unternehmen zeigt: Zwar bewerten 65 Prozent ihre Abwehr als gut, doch jeder fünfte Betrieb wurde bereits erfolgreich angegriffen.

Die IT-Sicherheitsbudgets liegen im Schnitt bei 17 Prozent der gesamten IT-Ausgaben – dennoch führen 75 Prozent der Firmen keine Sicherheitsaudits bei ihren Zulieferern durch.

Auf der UN-Cyberstabilitätskonferenz in Genf (4./5. Mai 2026) forderten Experten daher einen Paradigmenwechsel: Weg von reiner Sicherheit, hin zu „Cyber-Resilienz" – der Fähigkeit, Angriffe nicht nur abzuwehren, sondern auch schnell zu verkraften. Die UN unterstützt derzeit eine Konvention gegen Cyberkriminalität, die von Dutzenden Mitgliedsstaaten unterzeichnet wurde.

Der Beazley Risk & Resilience Report 2026 zeigt indes eine gefährliche Kluft: 80 Prozent der Führungskräfte halten ihr Unternehmen für gut vorbereitet. Doch 35 Prozent der europäischen Organisationen wissen nicht, ob sie bereits Opfer eines KI-gestützten Angriffs wurden. Die Realität, so warnen Analysten, sieht anders aus.

Ausblick: Der Countdown läuft

Der Fall Cushman & Wakefield ist ein Weckruf für die gesamte Branche. Während ShinyHunters und Qilin den Druck vor dem heutigen Ultimatum erhöhen, wird die Reaktion des Immobilienriesen genau beobachtet. Klar ist: Investitionen in Social-Engineering-Training und identitätsbasierte Sicherheitsarchitekturen werden unumgänglich. Die EU-Gesetzgebung und die UN-Initiative zur Cyberkriminalität werden die Anforderungen an Unternehmen weiter verschärfen – und Transparenz sowie strenge Sicherheitspraktiken zur Pflicht machen.

de | wissenschaft | 69283154 |