Die Schwachstelle liegt im Design selbst: Wenn Mitarbeiter Cloud-Apps mit Google Workspace oder Microsoft 365 verbinden, erhalten diese persistent OAuth-Tokens – gültig ohne Ablaufdatum, ungekündigt auch nach Mitarbeiterkündigung. Ein klassisches Sicherheitsproblem, das wächst, je mehr KI-Tools unternehmensweit eingesetzt werden.
Bislang war dies kein großes Problem. Früher brauchten nur wenige IT-genehmigte Apps Zugriff auf Kalender und E-Mails. Heute verbindet jeder Mitarbeiter eigenständig ChatGPT, Zapier, Make und andere Tools direkt mit der Cloud-Infrastruktur. Jede dieser Verbindungen hinterlässt einen Token, den kein zentrales System überwacht.
Material Security zeigt in aktuellen Daten die Konsequenzen: Während 80 Prozent der Security-Leader das Risiko als kritisch einstufen, wird nichts getan. 45 Prozent der Organisationen überprüfen ihre OAuth-Grants überhaupt nicht. Die restlichen 33 Prozent nutzen manuelle Prozesse – Spreadsheets, gelegentliche Audits. Ein System, das nicht funktionieren kann, wenn täglich neue Apps hinzukommen.
Der Drift-Angriff zeigt, warum diese Sorglosigkeit gefährlich ist. Drift, eine Sales-Engagement-Plattform mit Hunderten Kundenintegrationen zu Salesforce, wurde kompromittiert. Angreifer der Gruppe UNC6395, verfolgt von Palo Alto Unit 42, stahlen OAuth-Refresh-Tokens – vermutlich über Phishing-Kampagnen – und nutzen sie zur Authentifizierung in 700+ Salesforce-Umgebungen. MFA spielte keine Rolle, weil sich die Hacker nicht selbst anmeldeten. Sie präsentierten legitime Tokens, die Drift bereits berechtigt war zu nutzen. Im Inneren durchsuchten sie systematisch nach Daten: AWS-Keys, Snowflake-Token, Passwörter. Auch Cloudflare und PagerDuty waren betroffen.
Die Lehre: Das Problem ist nicht, dass unseriöse Apps Zugriff erhalten. Das Problem ist, dass legitime, vertrauenswürdige Apps später kompromittiert werden können. Klassische OAuth-Security-Tools prüfen nur beim Installation – ob Berechtigungen übertrieben sind, ob der Hersteller fragwürdig ist. Aber sie überwachen nicht kontinuierlich, was die App später tatsächlich tut.
Für effektive OAuth-Sicherheit braucht es drei Faktoren: erstens die Bewertung von Vendor-Vertrauenswürdigkeit und Berechtigungsumfang; zweitens kontinuierliche Überwachung des tatsächlichen Verhaltens – welche API-Aufrufe die App macht, auf welche Daten sie zugreift; drittens Kontext: Welches Konto nutzt diese App, hat dieses Konto privilegierten Zugriff?
Deutsche Unternehmen sollten ihr OAuth-Management überprüfen. Das BSI empfiehlt bereits Maßnahmen zur Cloud-Integration und Zugriffskontrolle. Wer als Verantwortlicher Datenlecks durch solche Tokens zulässt, muss mit DSGVO-Meldepflichten und empfindlichen Bußgeldern rechnen.