Was ist passiert?

Ein kürzlich aufgetretener Verstoß gegen die Cybersicherheit, von dem mehr als 119.000 Nutzer betroffen waren, macht deutlich, dass Cyberkriminelle Organisationen nicht immer direkt angreifen.

Im April 2026 gab Vimeo einen Sicherheitsvorfall bekannt, der mit Anodot in Zusammenhang stand, einem von dem Unternehmen genutzten externen Analyseanbieter. Nach Angaben von Vimeo hatten Angreifer die Umgebung von Anodot kompromittiert und gestohlene Authentifizierungstoken verwendet, um auf verbundene Cloud-Ressourcen zuzugreifen.

Zu den offengelegten Daten gehörten E-Mail-Adressen von Kunden, Videotitel, Metadaten und technische Informationen; Vimeo erklärte jedoch, dass keine Videoinhalte, Passwörter oder Zahlungskartendaten offengelegt worden seien.

Die Cyberkriminalitätsgruppe ShinyHunters bekannte sich zu dem Angriff und soll versucht haben, das Unternehmen zu erpressen, indem sie damit drohte, die gestohlenen Daten online zu veröffentlichen.

Auch wenn die genauen Einzelheiten noch nicht vollständig bekannt sind, verdeutlicht dieser Sicherheitsvorfall eine zunehmende Realität für moderne Unternehmen: Einige der größten Sicherheitsrisiken gehen mittlerweile von außerhalb des eigenen Netzwerks aus.

Warum dieser Datenverstoß von Bedeutung ist

Die meisten Unternehmen sind heutzutage auf ein komplexes Ökosystem aus Lieferanten, Cloud-Plattformen, Softwareanbietern und Integrationen angewiesen.

Diese Verbindungen bieten enorme Vorteile. Sie steigern die Effizienz, senken die Kosten und ermöglichen es den Teams, schneller voranzukommen. Doch jede Verbindung schafft auch einen weiteren potenziellen Zugang zum Unternehmen, und Angreifer sind sich dessen bewusst.

Anstatt ein gut geschütztes Unternehmen direkt anzugreifen, kann es einfacher sein, einen Lieferanten zu kompromittieren und diese Beziehung als Sprungbrett zu nutzen, um Zugang zu mehreren Kundenumgebungen zu erlangen.

Stellen Sie sich das so vor, als würden Sie Zugang zu einem gesicherten Bürogebäude erhalten. Es mag schwierig sein, die Eingangstür aufzubrechen, doch wenn ein vertrauenswürdiger Auftragnehmer bereits einen Schlüssel besitzt, kann dies ein wesentlich einfacher Weg ins Innere sein.

Aus diesem Grund nehmen Angriffe durch Dritte weiter zu. Ein einziger erfolgreicher Angriff kann Auswirkungen auf Dutzende, Hunderte oder sogar Tausende von Organisationen haben.

In diesem Fall war Vimeo nicht das ursprüngliche Ziel. Der Angriff ging von einem vertrauenswürdigen Lieferanten aus, was verdeutlicht, wie schnell Risiken durch Dritte zu Risiken für das gesamte Unternehmen werden können.

Die zunehmende Bedeutung von Authentifizierungstoken

Einer der interessantesten Aspekte dieses Vorfalls ist die Verwendung gestohlener Authentifizierungstoken.

Die meisten Menschen sind mit Passwörtern vertraut, doch moderne Cloud-Umgebungen stützen sich auf eine Reihe maschinengestützter Zugangsdaten, die unbemerkt im Hintergrund arbeiten. Authentifizierungstoken, Dienstkonten und API-Schlüssel ermöglichen es technischen Systemen, sicher zu kommunizieren, ohne dass ständig menschliches Eingreifen erforderlich ist. Während sie für den modernen Geschäftsbetrieb unverzichtbar sind, sind sie für Angreifer ebenso wertvoll wie Passwörter.

Erhält ein Angreifer ein gültiges Authentifizierungstoken, kann er möglicherweise auf die Systeme eines Unternehmens zugreifen, ohne dass viele der Kontrollmechanismen ausgelöst werden, die dazu dienen, herkömmliche Kontoübernahmen zu verhindern. In einigen Fällen kann er sogar die mit diesem Token verbundenen Berechtigungen übernehmen.

Da Unternehmen zunehmend Cloud-Dienste und -Integrationen einsetzen, gewinnt die Sicherung von Maschinenidentitäten ebenso an Bedeutung wie die Sicherung menschlicher Identitäten.

Was Vimeo gut gemacht hat

Keine Organisation möchte sich mit einer Datenschutzverletzung konfrontiert sehen, doch die Art und Weise, wie ein Unternehmen darauf reagiert, kann einen großen Unterschied ausmachen. Im Anschluss an diesen Vorfall hat Vimeo mehrere positive Maßnahmen ergriffen.

Das Unternehmen entzog Anodot umgehend den Zugriff auf seine Systeme, leitete eine Untersuchung ein, zog externe Sicherheitsexperten hinzu und schaltete die Strafverfolgungsbehörden ein.

Zudem informierte das Unternehmen offen darüber, was geschehen war, welche Daten betroffen waren und welche Daten nicht betroffen waren.

Dieses Maß an Transparenz ist wichtig, da Kunden bei einem Sicherheitsvorfall klare und genaue Informationen wünschen, insbesondere wenn ihre Daten davon betroffen sein könnten.

Vimeo bemühte sich zudem, den Umfang des Datenlecks zu klären, und bestätigte, dass Passwörter, Zahlungskartendaten und Videoinhalte nicht offengelegt worden seien.

Keine Organisation kann garantieren, dass sie vor Cyberangriffen gefeit ist. Was widerstandsfähige Organisationen von den übrigen unterscheidet, ist ihre Fähigkeit, Vorfälle schnell zu erkennen, sie wirksam einzudämmen und während des gesamten Reaktionsprozesses klar zu kommunizieren.

Der menschliche Faktor hinter Risiken durch Dritte

Es ist leicht, Vorfälle wie diesen als rein technische Probleme zu betrachten. Schließlich betraf der Sicherheitsvorfall Cloud-Umgebungen, Authentifizierungstoken und Systemintegrationen.

Hinter den technischen Details verbergen sich jedoch menschliche Entscheidungen, die das Risiko bereits lange vor einem Angriff beeinflussen.

  • Es wird entschieden, welche Lieferanten zugelassen werden
  • Es wird festgelegt, welche Zugriffsrechte diese Lieferanten erhalten
  • Die Verantwortlichen richten Governance-Prozesse ein und überprüfen die Berechtigungen
  • Es liegt im Ermessen der Beteiligten, zu entscheiden, wie Sicherheitsbedenken eskaliert und behandelt werden

Technologie spielt eine entscheidende Rolle bei der Risikominderung, doch oft bestimmt die Sicherheitskultur, wie diese Kontrollmaßnahmen umgesetzt werden.

Für Sicherheitsverantwortliche werfen Vorfälle wie dieser wichtige Fragen auf:

  • Wie gründlich werden Dritte überprüft, bevor ihnen Zugriff auf unsere Systeme gewährt wird?
  • Handeln die Lieferanten nach dem Prinzip der geringstmöglichen Berechtigungen?
  • Wie oft werden die Berechtigungen von Drittanbietern überprüft?
  • Haben wir einen Überblick darüber, auf welche Daten externe Anbieter zugreifen können?
  • Gibt es eine klare Zuständigkeitsregelung für das Management von Lieferantenrisiken?

Die Antworten auf diese Fragen können im Falle eines Vorfalls erhebliche Auswirkungen haben.

Was Organisationen daraus lernen können

Zwar kann keine Organisation Cyberrisiken vollständig ausschließen, doch bieten Vorfälle wie dieser wichtige Gelegenheiten zum Lernen.

Eine wichtige Erkenntnis ist, dass der Zugriff durch Dritte mit derselben Sorgfalt geprüft werden muss wie der interne Zugriff. Anbieter sollten nur Zugriff auf die Systeme und Informationen haben, die zur Erfüllung ihrer Aufgaben erforderlich sind, und diese Zugriffsrechte sollten regelmäßig überprüft werden.

Ebenso wichtig ist die Transparenz. Sicherheitsteams sollten auf ungewöhnliche Aktivitäten im Zusammenhang mit Konten von Drittanbietern, unerwartete API-Nutzung, ungewöhnliche Datenzugriffsmuster oder den Export großer Datenmengen achten.

Schließlich sollten Unternehmen die Rolle, die die Mitarbeiter nach einem Sicherheitsvorfall spielen, nicht außer Acht lassen.

Wenn E-Mail-Adressen und Unternehmensdaten offengelegt werden, nutzen Angreifer diese Daten häufig, um anschließende Phishing-Kampagnen, Identitätsbetrugsversuche und Social-Engineering-Angriffe zu starten.

Die Mitarbeiter müssen verstehen, wie Angreifer durchgesickerte Informationen ausnutzen, und sich sicher fühlen, verdächtige Vorfälle zu melden.

Der größere Zusammenhang

Der Hackerangriff auf Vimeo spiegelt einen allgemeinen Trend wider, den Sicherheitsteams in der gesamten Bedrohungslandschaft beobachten. Angreifer zielen zunehmend auf Vertrauensbeziehungen ab und nicht mehr nur auf technische Schwachstellen.

Lieferanten, Softwareanbieter, Cloud-Plattformen und Integrationslösungen sind zu attraktiven Zielen geworden, da der Angriff auf ein Unternehmen den Zugang zu vielen anderen ermöglichen kann.

Aus diesem Grund geht es bei einer wirksamen Cybersicherheit nicht nur darum, die eigene Umgebung zu schützen, sondern auch darum, das umfassendere Ökosystem zu verstehen, von dem Ihr Unternehmen abhängt, und sicherzustellen, dass in all diesen Beziehungen angemessene Kontrollmaßnahmen vorhanden sind.

Manchmal ist die größte Bedrohung nicht der Angreifer vor der Tür, sondern derjenige, der über eine vertrauenswürdige Verbindung hereinkommt, die Sie bereits zugelassen haben.

Stärken Sie die Abwehrmaßnahmen Ihres Unternehmens gegen Cyberrisiken durch Dritte

Beziehungen zu Dritten sind für moderne Unternehmen unverzichtbar, bergen jedoch auch Risiken, die über das eigene Netzwerk hinausreichen. Da Angriffe auf die Lieferkette immer raffinierter werden, müssen Unternehmen sicherstellen, dass ihre Mitarbeiter verstehen, inwiefern Lieferanten, Cloud-Dienste und externe Partner zu potenziellen Angriffsvektoren werden können.

Der Aufbau von Resilienz erfordert mehr als nur technische Kontrollmaßnahmen. Es geht darum, eine sicherheitsbewusste Kultur zu schaffen, in der Mitarbeiter Phishing-Versuche erkennen, verdächtige Aktivitäten melden und ihre Rolle beim Schutz des Unternehmens verstehen können – insbesondere nach Vorfällen, bei denen Geschäftsdaten offengelegt wurden.

MetaCompliance unterstützt Unternehmen dabei, durch ansprechende Schulungen zur Sensibilisierung für Sicherheitsfragen, Phishing-Simulationen und Lösungen für das Richtlinienmanagement das durch menschliches Versagen bedingte Cyberrisiko zu verringern, wodurch die Mitarbeiter in die Lage versetzt werden, eine aktive Verteidigungslinie zu bilden.

Ganz gleich, ob Sie Ihre Strategie zum Umgang mit Risiken durch Dritte stärken oder Ihre allgemeine Cyber-Resilienz verbessern möchten – wir können Ihnen dabei helfen, eine Belegschaft aufzubauen, die für die sich ständig wandelnde Bedrohungslandschaft von heute gerüstet ist.

Nehmen Sie Kontakt mit uns auf, um zu erfahren, wie MetaCompliance Ihrem Unternehmen dabei helfen kann, Cyberbedrohungen immer einen Schritt voraus zu sein.

Häufig gestellte Fragen zu Risiken durch Dritte

Was versteht man unter Cyberrisiken durch Dritte?

Unter Cyberrisiken durch Dritte versteht man die Sicherheitsrisiken, die durch externe Lieferanten, Anbieter, Cloud-Anbieter oder Partner entstehen, die Zugriff auf Ihre Systeme, Daten oder Netzwerke haben. Sollte eine dieser Organisationen kompromittiert werden, könnten Angreifer diese Verbindung , um Ihr Unternehmen gezielt anzusprechen.