Googles Threat Intelligence Group (GTIG) warnt vor einer groß angelegten Kampagne zu Datendiebstahl der kriminellen Gruppe UNC6395. Zunächst schienen die Angriffe mit Salesloft Drift verbundene Salesforce-Instanzen zu betreffen. Neue Analysen zeigen jedoch, dass auch andere mit Salesloft Drift verbundene Systeme gefährdet sind. Alle mit der Drift-Plattform verbundene Authentifizierungstoken müssen als kompromittiert betrachtet werden.

Das schreibt Google in einer aktualisierten Analyse. Zunächst wurde bekannt, dass zwischen dem 8. und mindestens 18. August 2025 die Mitglieder der nicht näher bekannten Gruppe UNC6395 „systematisch große Datenmengen aus Salesforce-Instanzen“ von Unternehmen kopiert haben. Dazu haben sie sich mit kompromittierten OAuth-Token Zugriff verschafft, die aus der KI-Plattform Salesloft Drift stammen. Die Google-IT-Forscher gehen davon aus, dass das Ziel der Angreifer ist, weitere Zugangsdaten zu erlangen.

Die IT-Sicherheitsforscher haben beobachtet, wie die Angreifer nach der Datenausleitung diese nach Informationen durchsucht haben, die sich zur Kompromittierung der Umgebungen der Opfer nutzen lassen. Dazu gehören etwa Anmeldeinformationen zu den Amazon Web Services (AWS), im Speziellen die Zugriffsschlüssel (AKIA, für Langzeit-Zugriffe), Passwörter oder Zugriffstoken mit Snowflake-Bezug. Die Angreifer versuchten, durch Löschen der Anfragen ihr Spuren zu verwischen, allerdings haben sie die Logdateien nicht angefasst – Organisationen können die Protokolle noch nach relevanten Spuren für Datenabfluss durchsuchen.

Salesloft verwirft Zugriffstoken, Problem ist weitreichender

Zunächst hatte Salesloft zusammen mit Salesforce die Zugriffstoken zurückgezogen. Zusätzlich hat das Unternehmen die Drift-App vorerst aus dem Salesforce AppExchange entfernt. Betroffene Organisationen seien von Google, Salesforce und Salesloft benachrichtigt worden. Allerdings ist das Problem weitreichender, wie Googles Threat Intelligence Group nun ergänzt. Nicht nur die Zugangstoken der Salesforce-Integration wurden kompromittiert, sondern potenziell alle Authentifizierungstoken, die von der Salesloft-Drift-Plattform gespeichert oder damit verbunden sind.

Ende vergangener Woche fanden die GTIG-Forscher heraus, dass auch OAuth-Token aus der „Drift Email“-Integration von der kriminellen Gruppierung missbraucht wurden, um Zugriff auf E-Mails in Google-Workspace-Zugängen zu erlangen. Zugriff war damit auf Workspace-Konten möglich, die die Salesloft-Drift-Integration genutzt haben, andere Konten hingegen nicht. Google hat daher die OAuth-Token verworfen, die der Drift-Email-App Zugriff gewähren. Zudem hat das Unternehmen die Integration von Salesloft Drift in Google Workspace deaktiviert, bis die Untersuchungen abgeschlossen sind. Alle Admins von betroffenen Google Workspaces wollen die IT-Sicherheitsforscher benachrichtigen.

Google empfiehlt IT-Verantwortlichen, umgehend alle Drittanbieter-Integrationen, die mit ihrer Salesloft-Drift-Instanz verbunden sind, zu überprüfen und die Zugangsdaten zu verwerfen und neue anzulegen. Sie sollten die verbundenen Systeme auf Anzeichen unberechtigter Zugriffe prüfen. Die Analyse enthält Anzeichen für Angriffe (Indicators of Compromise, IOCs), die Admins für die Prüfung heranziehen sollten.

Insbesondere die Kundenservice-Plattform Salesforce stößt derzeit auf starkes Interesse von Cyberkriminellen. Anfang Juni hatte Google bereits Angriffe auf Salesforce-Zugänge beobachtet. Dort haben die Angreifer jedoch mit Telefonanrufen ihre Opfer überzeugt (Vishing), bösartige „Connected“-Apps in Salesforce zu installieren, mit denen die Täter dann Daten im größeren Stil abgreifen und die Unternehmen damit erpressen konnten.

(dmk)

Jean Sommer wirft sich ein dünnes, braun-schwarzes, in Schlangenlederoptik gemustertes Tuch über den Kopf. Jetzt sieht er aus wie ein hippes Gespenst. Was Sommer hier vorführt, ist eine Art Tarnanzug. Er trug ihn eine Weile, immer wenn er das Haus verließ oder auch nur das Fenster öffnete. Immer, wenn er in Kontakt mit der Welt vor seiner Tür zu kommen drohte.

Denn vor seiner Wohnung ist Überwachungsgebiet. Dort, auf dem Hof der Koloniestraße 10 im Berliner Ortsteil Gesundbrunnen, steht seit dem 3. Juni ein Kameraturm von BauWatch. Der Turm ist etwa sechs Meter hoch, Sommer lebt im ersten Stock. Er öffnet vorsichtig das Schlafzimmerfenster und präsentiert den Ausblick.

Geschätzt zwei Meter vor dem Fenster hängen die Kameras. Ungefähr auf Augenhöhe. „Das ist schon ne ganz schöne Ansage“, sagt Sommer. Marie Münch, seine Frau, fügt hinzu: „Wenn ich das Fenster öffne, um den Tag zu begrüßen und die Vöglein zu füttern, blicke ich direkt in die Kameras. Wie soll es einem dabei gehen?“

Am Anfang war Jean Sommer noch sorgfältig darauf bedacht, sich in dem Bereich, den die Kameras überwachen können, unkenntlich zu machen. Dann folgte eine Phase des Aufstands: Er zeigte sich unvermummt und den Kameras den Mittelfinger oder sogar den blanken Po. Inzwischen passiert er den Turm, ohne ihm besondere Beachtung zu schenken. In seinem Kopf ist er dennoch präsent. Marie Münch sagt: „Dieses Überwachungsungetüm ist wirklich eine Zumutung. Mir bereitet jeder Weg vorbei an dem Turm Bauchschmerzen.“

Drei Kameras, ein Bewegungsmelder und ein 120-Dezibel-Lautsprecher

Wer zur Wohnung von Münch und Sommer will, muss unter dem Kameraturm durchgehen. Es gibt keinen anderen Weg. Wenn Sommer und Münch gehen, wenn sie wiederkommen, wenn sie aus dem Fenster schauen: Da ist der Turm.

Es ist ein BauWatch GreenLight. Er hat zwei Kuppel-Kameras mit Infrarot-Erkennung zur Überwachung des Geländes und eine Kamera zur Detektion von Sabotageakten am Turm. Er wird laut Hersteller-Website mit einer App vermietet, mit der die Kunden das Gelände „jederzeit und von überall“ überwachen können. Sobald der verbaute Bewegungsmelder anschlägt, wird ein Livestream an die BauWatch-Leitstelle übertragen.

Die Menschen dort können über eingebaute Lautsprecher Eindringlinge mit bis zu 120 Dezibel ansprechen. In Gefahrensituationen schicken sie die Polizei vorbei. Öffentliche Bereiche werden in den Videobildern angeblich geschwärzt. „Ein Filmen von unbeteiligten Personen ist somit ausgeschlossen“, heißt es auf der BauWatch-Website.

Mikroapartments und die Umgehung der Mietpreisbremse

Münch und Sommer wohnen hier seit 2016. Den Turm hat ihnen der Vermieter in die Aussicht stellen lassen, die Campus Berlin III GmbH. Sie gehört hauptsächlich ihrem Geschäftsführer beziehungsweise der GRUND.CONCEPT GmbH, an der dieser 100 Prozent hält.

Die GRUND.CONCEPT wiederum ist mit 50 Prozent an der Campus Viva Service GmbH beteiligt. Auf dem Nachbargrundstück der Koloniestraße 10 stehen zwei Häuserblöcke von Campus Viva. Darin sind Mikroapartments, die möbliert vermietet werden und so von der Mietpreisbremse ausgenommen sind. Solche Wohnungen gelten als lukrative Investition. Auf dem Gelände der Koloniestraße 10 sollen ebenfalls Mikroapartments von Campus Viva entstehen.

Sommer vermutet, dass der Kameraturm dazu da ist, ihn und die anderen sieben Menschen, die aktuell noch in den Remisen am Hof wohnen, zum Auszug zu drängen. „Es besteht der Verdacht, dass die Kamera das Wohnen hier verunmöglichen oder so ungemütlich machen soll, dass wir freiwillig gehen“, sagt er.

Ob das der Fall ist, wollten wir von Campus Berlin III wissen, doch das Unternehmen hat auf Fragen von netzpolitik.org nicht geantwortet. Gegenüber Pro7 gab die Firma an, dass der Kameraturm aufgestellt worden sei, weil auf dem Gelände ein Bauzaun abhanden gekommen sei.

Dass ein etwa 60 Meter langer Bauzaun tatsächlich vorübergehend abmontiert worden war, kann auch Sommer bestätigen. Mittlerweile steht wieder einer da und teilt den Hof des Grundstücks in zwei Hälften. Die größere Hälfte steht leer und wird vom dem Kameraturm überwacht. Über die schmalere Hälfte können Sommer und die anderen Remisenbewohner*innen ihre Wohnungen erreichen. Auf dieser sowieso schon engen Seite steht auch der BauWatch-Turm.

„Du hast die ganze Zeit das Gefühl, dir guckt jemand zu“

Dass Vermieter ihre Liegenschaften videoüberwachen, um beispielsweise Vandalismus zu verhindern, kommt häufiger vor. In Berlin nutzen auch einige landeseigene Wohnungsbauunternehmen die Technologie.

„Das Gefühl beobachtet zu werden, sobald man aus dem Fenster guckt, beziehungsweise über den Hof geht, empfinde ich als unerträgliche Einschränkung der Privatsphäre. Du hast die ganze Zeit das Gefühl, dir guckt jemand zu, der hier eigentlich nichts zu suchen hat. Dann noch mit dieser Brutalität: Mitten im Hof, mitten im Weg, ein kompletter Fremdkörper. Das macht Wut“, sagt Sommer.

Jean Sommer ist ein Datenschützer. Ein Fan von Privatsphäre. Die Kamera an seinem Laptop ist abgeklebt und die Schutzhülle seines Handys hat er falsch herum aufgezogen, damit sie die Linsen auf der Rückseite verdeckt. Sommer ist auch Miet-Aktivist. Auf seinem Hoodie ist ein Bild des Hofes der Koloniestraße 10 abgedruckt. Darunter prangt der Schriftzug: „Keine Rendite“.

Die Wohnungen von Sommer und seiner Frau und ihren direkten Nachbarn stehen dem Campus-Viva-Neubau im Weg. Wo zwei weitere Parteien leben, ist die Aufstellung eines Krans geplant.

So lange sie dort leben, kann der Besitzer nicht bauen

Ihre Wohnungen liegen in einem Milieuschutzgebiet. Deshalb kann der Eigentümer sie nicht abreißen und das Campus-Viva-Projekt erweitern, so lange noch Menschen dort leben. Das bestätigt das zuständige Bezirksamt von Berlin-Mitte. Der Besitzer des Grundstücks hat schon vor Gericht versucht, das gesamte Milieuschutzgebiet aufheben zu lassen. Damit ist er gescheitert.

Die Erdgeschosse der Remisen und die Garagen an der gegenüberliegenden Seite des Hofes, in denen einst Künstler und Schrauber ihre Werkstätten hatten und Kinder tanzen lernten, 40 Einheiten, sind bereits leer. Die Campus Berlin III hat den Gewerbenutzer*innen gekündigt. Bei Wohnungen geht das nicht so leicht.

An den Hauswänden steht Spalierobst, je ein Pfirsich-, Aprikosen-, Pflaumen- und Birnbaum. Die Fassaden sind begrünt, auf Pergolen wuchert es. Sommer sagt, er sei hier schon Bussard, Falke und Kauz begegnet, es gäbe Eichhörnchen und Fledermäuse, Waschbären und eine Fuchsfamilie, die immer mal wieder vorbeikommt.

In den 90er-Jahren war die Renaturierung vom Berliner Senat finanziert worden, der Hof gilt als ein Vorbild für naturnahe Stadtumgestaltung und ist ein Schwammstadt-Projekt der Berliner Regenwasseragentur. Quer durch den Asphalt ziehen sich etwa 50 Zentimeter breite Grünstreifen zur Versickerung.

Die Spatzen sind seine Verbündeten

Sommer, von Beruf Landschaftsgärtner, kniet sich vor einen davon, streicht mit der Hand über Pflänzchen und zählt ihre Namen auf: Beifuß, Melde, Schöllkraut, Nachtkerze, Schafgarbe, Breitwegerich. „Vor allem die letzten beiden produzieren Samen, die bei den Spatzen superbegehrt sind“, sagt er. „Das ist ein Lebensraum hier“.

Die erwähnten Spatzen sitzen in einer Hecke nicht weit von Sommer entfernt. „Das ist die letzte Spatzenkolonie in der Gegend. Die sind ortstreu. Die sind hier geboren und die bleiben auch hier“, sagt Sommer. Die Spatzen sind seine Verbündeten.

Letztlich haben die Vögel auf dem Grundstück verhindert, dass der Besitzer die Garagen und Gebäude gegenüber von Sommers Wohnung abreißen konnte. Zwölf Garagen und Nebengebäude wurden Anfang des Jahres bereits zerstört, dann haben die Mieter*innen die Baufirma mithilfe der Spatzen gestoppt.

„Auf dem Grundstück Koloniestraße 10 befinden sich geschützte Fortpflanzungs- oder Ruhestätten“, schreibt das Bezirksamt von Berlin-Mitte auf Anfrage von netzpolitik.org. Diese dürften nicht beschädigt werden. Eine Ausnahmegenehmigung sei nicht möglich, weil die Pläne des Grundstückseigners wegen des Milieuschutzes aktuell sowieso nicht umgesetzt werden können. Gegen die entsprechenden Bescheide habe der Eigentümer Rechtsmittel eingelegt. Es sei offen, wie die Auseinandersetzung ausgeht.

Das Ende eines Kieztreffpunkts

Der Eigentümer will den Abriss wohl als bauvorbereitende Maßnahme, aber auch, so vermutet zumindest Sommer, „damit es hier nicht mehr so gemütlich ist“. Früher habe man hier im Hof oft zusammengesessen und Gäste eingeladen. „Der Hof war immer ein Kieztreffpunkt“, sagt Sommer. Mittlerweile bekomme er kaum noch Besuch.

Ein Zaunelement voller Gemälde, die Menschen aus der Gegend geschaffen haben, zeugt von der lebhaften Vergangenheit. Oft seien sogar Schulklassen und Stadtführungen gekommen, um den Hof zu bewundern, sagt Sommer. Das sei jetzt vorbei. „Die haben es geschafft, das soziale Leben zum Erlöschen zu bringen. Niemand setzt sich freiwillig unter eine Kamera“, sagt Sommer.

Eigentlich müssen nach Datenschutz-Grundverordnung (DSGVO) Schilder am überwachten Areal die Videoüberwachung kenntlich machen. Auf der BauWatch-Website steht: „An den Baufeldbegrenzungen weisen Schilder (…) auf die Überwachung des Geländes hin, ebenso wie auf die verantwortliche Stelle. Zusätzlich stellen wir unseren Kunden alle erforderlichen Hinweisschilder zur Verfügung, um der geforderten Transparenz und den Informationspflichten nachzukommen. Diese Schilder werden in der Regel deutlich sichtbar im Eingangsbereich der Videoüberwachung aufgestellt.“

Videoüberwachung ohne die vorgeschriebenen Hinweise darauf

Beim Besuch von netzpolitik.org ist kein Hinweis auf die Videoüberwachung zu sehen. Laut Sommer wurden die Mieter*innen auch nicht darüber informiert, weder per Schild, noch per Brief. Eine Nachbarin von Sommer berichtet, dass ein Mensch an dem Bauzaun ein BauWatch-Banner aufhängte, es fotografierte und dann wieder abnahm.

Die Nachbarin hat von dem Vorgang Fotos gemacht, die netzpolitik.org inklusive Zeitstempel vorliegen. Darauf ist ein Mann an der Befestigung des Banners zu sehen. Das nächste Bild, das laut Zeitstempel sechs Minuten später aufgenommen wurde, zeigt den Bauzaun ohne Banner und den gleichen Mann, wie er den Ort verlässt und dabei etwas in der Hand hält. Es könnte das gefaltete Banner sein, aber sicher erkennbar ist das nicht. Wir wollten von der Vermieter-Firma Fragen wissen, wie es um die Kennzeichnung steht. Doch auch dazu gab es keine Antwort.

Das Büro der Berliner Datenschutzbeauftragten sagt gegenüber netzpolitik.org, dass es nicht zuständig sei, weil die Campus Berlin III GmbH, die den Kameraturm hat aufstellen lassen, in Bayern sitzt. Deshalb werde der Fall an den dortigen Datenschutzbeauftragten übergeben. Eine Rückmeldung von dort haben die Anwohner*innen noch nicht. Sie müssen erst einmal weiter mit dem Kameraturm leben.