Als Paradebeispiel für diesen Kaskadeneffekt führt der Bericht den Vorfall um Salesloft Drift an, den er als “großen SaaS-Einbruch des Jahres 2025” bezeichnet. Letztlich waren mehr als 700 Organisationen betroffen, darunter die Sicherheitsfirmen Cloudflare, Palo Alto Networks, Zscaler und CyberArk.

Die als UNC6395 bezeichneten Angreifer kompromittierten zunächst die internen Systeme von Salesloft, beginnend mit den GitHub-Repositorien, und gelangten von dort in die Drift-Umgebung bei AWS. Dort entwendeten sie aktive OAuth- und Refresh-Tokens, mit denen Kunden den Drift-Chatbot an lokale Installationen von Salesforce und anderen Anwendungen wie Slack angebunden hatten. Mit den legitimen, bereits freigegebenen OAuth-Tokens konnten sich die Angreifer als Drift ausgeben und sich direkt in die Salesforce-Installationen jener Unternehmen einloggen, die den Chatbot ebenfalls einsetzten. Eine einzige kompromittierte SaaS-App weitete sich so zu Hunderten Einbrüchen in unterschiedlichen Firmen weltweit aus.

Der Vorfall habe zwar Bemühungen ausgelöst, die Sicherheit von SaaS-Anwendungen und ihrer KI-Implementierungen zu verbessern, doch Grip Security zweifelt, dass dies ausreicht. “Identität ist der neue Perimeter”, sagt Holmes mit Blick darauf, dass klassische Schutzmaßnahmen wie Firewalls und Absicherung auf Netzwerkebene an Bedeutung verlieren. Wer über die passende Identität verfüge, könne sich überall einloggen. Bei Angriffen auf SaaS-KI ist diese Schlüsselidentität ein gültiges OAuth-Token.

Als Ursache nennt der Bericht vor allem den Zeitdruck im Geschäftsalltag. SaaS-Entwickler bauten agentische KI rasch in ihre Produkte ein, um Wettbewerbern voraus zu sein, und machten die Folgen für ihre Kunden nicht immer transparent. Kunden wiederum übernähmen solche Anwendungen oft überstürzt und ohne Prüfung. Sie seien zudem so daran gewöhnt, OAuth-Tokens auszustellen, dass sie dies häufig automatisch täten – ohne die weiteren Konsequenzen der mitinstallierten Schatten-KI zu bedenken. Ist sich ein Kunde der KI innerhalb einer SaaS-App nicht bewusst, handelt es sich per Definition um Schatten-KI.

Ein Angreifer kann sich laut Bericht durch ein gestohlenes OAuth- oder Refresh-Token tiefen Einblick in eine SaaS-App verschaffen – etwa mithilfe moderner Infostealer, die unbemerkt eindringen, Daten abgreifen und wieder verschwinden. Anschließend lassen sich über die APIs mit gezielten Prompts Daten aus allen mit dem agentischen System verbundenen Quellen sammeln. Eine als IdentityMesh bezeichnete Schwachstelle, die einen einheitlichen Authentifizierungskontext schafft, ermöglicht dann den Zugriff auf weitere agentische Systeme und – bei Anbindung an Drittanbieter-Apps oder geteilte Dienstkonten – das Übergreifen auf andere Organisationen.

Der Bericht prognostiziert, dass 2026 das bislang schlimmste Jahr für SaaS-Angriffe werden könnte, da autonome Arbeitsabläufe bestehende Sicherheitskontrollen überholten und den Wirkungsradius weiter vergrößerten. Regulierung gebe es zwar, doch entwickelten sich entsprechende Vorgaben global in unterschiedliche Richtungen, mit widersprüchlichen Auflagen und ungleichmäßiger Durchsetzung: “Die KI-Regulierung wird unübersichtlicher, bevor sie klarer wird.”

Den Ausweg sieht Grip Security nicht in mehr Vorschriften oder langsamerer Innovation, sondern in einer veränderten Steuerung der KI in der Praxis: mehr Sichtbarkeit und Verständnis für SaaS-Schatten-KI sowie dynamischere Governance. Erfolgreiche Führungskräfte ersetzten statische Freigaben durch fortlaufende Aufsicht, Erkennung und risikobasierte Kontrollen – KI werde so zu einem gesteuerten Drittanbieter-Risiko, das mit derselben Sorgfalt behandelt wird wie jeder kritische Zulieferer.