ServiceNow-Sicherheitslücke: API-Fehler ermöglichte tagelang Datenzugriff
10.06.2026 - 22:33:43 | boerse-global.de
Ein Fehler in der Sicherheitskonfiguration ermöglichte Unbefugten tagelang den Zugriff auf sensible Kundendaten.
Der Cloud-Spezialist ServiceNow hat seine Unternehmenskunden über einen Sicherheitsvorfall informiert, der durch eine falsch konfigurierte API-Schnittstelle entstand. Wie das Unternehmen am Dienstag, dem 9. Juni 2026, mitteilte, konnten Angreifer zwischen dem 2. und 5. Juni auf bestimmte Kundensysteme zugreifen, ohne sich authentifizieren zu müssen.
Der aktuelle Vorfall zeigt erneut, wie schnell Sicherheitslücken in der IT-Infrastruktur zum Risiko für das gesamte Unternehmen werden. Dieses Gratis-E-Book enthüllt, wie Sie solche Schwachstellen proaktiv schließen und gleichzeitig neue gesetzliche Anforderungen an die Cyber-Sicherheit erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Schwachstelle im Detail
Die Sicherheitslücke betraf den Endpunkt /api/now/related_list_edit/create. Dort war der Parameter für die erforderliche Authentifizierung auf „falsch" gesetzt – mit gravierenden Folgen: Externe Akteure konnten Datenbanktabellen abfragen, ohne gültige Anmeldedaten vorzuweisen.
ServiceNow reagierte umgehend und schloss die Sicherheitslücke am 5. Juni mit einem Patch. Eine offizielle CVE-Kennung für diese spezifische Schwachstelle liegt noch nicht vor. Sicherheitsexperten haben jedoch die IP-Adresse 51.159.98.241 als wichtigen Indikator für mögliche Kompromittierungen identifiziert.
Das Unternehmen erklärte, ein Teil der verdächtigen Aktivitäten gehe auf Sicherheitsforscher zurück, die am hauseigenen Bug-Bounty-Programm teilnehmen. Allerdings bestätigte ServiceNow auch, dass andere, nicht autorisierte Akteure erfolgreich auf Kundendaten zugegriffen haben.
Betroffene Systeme und Daten
Nach Angaben des Softwareherstellers waren vor allem Kunden betroffen, die die Plattformversion „Australia" oder ältere Releases nutzen. Nutzerberichte deuten jedoch darauf hin, dass auch Instanzen außerhalb dieser Region während des Zeitfensters zugänglich gewesen sein könnten.
Die offengelegten Daten umfassen sensible Unternehmensinformationen: Mitarbeiterdaten, IT-Incident-Tickets sowie interne Wissensdatenbank-Artikel. ServiceNow hat damit begonnen, betroffene Organisationen über sein Support-Portal zu informieren. Die genaue Zahl der kompromittierten Kunden wurde bislang nicht öffentlich genannt.
Wenn Mitarbeiterdaten und sensible IT-Tickets durch Konfigurationsfehler offenliegen, drohen Unternehmen nicht nur Imageschäden, sondern auch empfindliche DSGVO-Bußgelder. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen, um sich wirksam abzusichern. Gratis-Report zu neuen Cyberrisiken anfordern
Kritik an der Kommunikation
Der Vorfall reiht sich in eine Serie von Sicherheitsproblemen bei ServiceNow ein. Bereits zuvor waren Schwachstellen wie eine Privilege-Escalation-Lücke (CVE-2025-12420) und eine Remote-Code-Execution-Sicherheitslücke (CVE-2026-0542) bekannt geworden.
Besonders brisant: Ersten Berichten zufolge könnten Informationen über die aktuelle API-Schwachstelle bereits am 7. April 2026 – also fast zwei Monate vor der Schließung – in Umlauf gewesen sein. Die Kommunikationsstrategie des Unternehmens steht in der Kritik: Mehrere Sicherheitsportale bemängeln, dass ServiceNow den Vorfall zunächst diskret behandelt habe, bevor die breite Offenlegung in dieser Woche erfolgte.
