Vishing-Angriff auf Cisco CRM legt Benutzerdaten von Cisco.com offen

Cisco hat eine Datenschutzverletzung bestätigt, die durch einen Vishing-Angriff (telefonisches Phishing) verursacht wurde. Ziel war ein externes CRM-System. Die Angreifer erlangten Zugriff auf grundlegende Benutzerprofildaten von Cisco.com-Konten, jedoch nicht auf Passwörter oder sensible Unternehmensdaten.

So lief der Angriff ab

Am 24. Juli 2025 gab sich ein Angreifer am Telefon als vertrauenswürdiger IT-Mitarbeiter aus. Mithilfe von Social-Engineering-Taktiken überzeugte er einen Cisco-Mitarbeiter davon, ihm Zugang zum CRM-System zu gewähren. Nachdem Cisco den unbefugten Zugriff entdeckte, wurde dieser sofort widerrufen.

Welche Daten betroffen waren

Folgende Daten wurden kompromittiert:

• Vollständige Namen
• Firmennamen
• E-Mail-Adressen
• Telefonnummern
• Postanschriften
• Eindeutige Cisco-Benutzer-IDs
• Kontometadaten wie Erstellungsdatum

Cisco erklärte, dass keine Zahlungsdaten, Passwörter oder vertraulichen Unternehmensinformationen betroffen waren.

Ciscos Reaktion

Cisco leitete eine interne Untersuchung ein und meldete den Vorfall den zuständigen Behörden. Alle betroffenen Nutzer wurden benachrichtigt. Das Unternehmen bestätigte, dass keine weiteren internen Systeme oder CRM-Umgebungen betroffen waren. Die Sicherheitsrichtlinien wurden verschärft, um künftige Angriffe zu verhindern.

Teil eines wachsenden Trends

Der Vorfall steht im Einklang mit einem wachsenden Trend, bei dem Cyberkriminelle gezielt Cloud-basierte CRM-Plattformen angreifen. Anstatt Sicherheitslücken in der Software auszunutzen, setzen Angreifer vermehrt auf Vishing und Identitätsbetrug, um Sicherheitsmaßnahmen zu umgehen.

Lehren für andere Unternehmen

Der Vorfall unterstreicht die Bedeutung von Mitarbeiterschulungen und strengen Zugangskontrollen. Unternehmen sollten:

• Mitarbeiter über Vishing-Gefahren aufklären
• Alle Zugriffsanfragen sorgfältig prüfen
• Zwei-Faktor-Authentifizierung und Sitzungsüberwachung einsetzen
• Regelmäßige Audits externer Integrationen durchführen

Fazit

Der Vishing-Angriff auf das Cisco-CRM-System legte zwar keine hochsensiblen Daten offen, verdeutlicht aber das anhaltende Risiko durch Social Engineering. Unternehmen müssen sowohl technische Sicherheitsmaßnahmen als auch das Bewusstsein ihrer Mitarbeiter stärken, um solche Angriffe erfolgreich abzuwehren.