zuletzt aktualisiert 6. Oktober 2025
Der US-amerikanische HR-Software-Anbieter Workday hat eine Sicherheitsverletzung bestätigt, nachdem Angreifer über eine Social-Engineering-Attacke Zugriff auf ein extern betriebenes CRM-System erlangten. Betroffen war laut Workday eine Drittanbieter-Plattform, über die unter anderem Geschäftskontaktdaten gespeichert wurden.
Umfang der Datenpanne
Nach Unternehmensangaben seien keine Kundendaten aus den eigentlichen Workday-Tenants kompromittiert worden. Vielmehr hätten die Angreifer Zugriff auf geschäftlich übliche Kontaktdaten wie Namen, Telefonnummern und E-Mail-Adressen erlangt. Diese könnten nun gezielt für weitere Phishing- oder Voice-Phishing-Kampagnen genutzt werden.
BleepingComputer berichtet, laut eines internen Hinweises an Kunden sei die Attacke bereits am 6. August entdeckt worden. Die Vorgehensweise: Die Täter kontaktieren Mitarbeitende per SMS oder Anruf und geben sich als HR- oder IT-Mitarbeitende aus, um Anmeldedaten oder Zugänge zu erschleichen.
Zusammenhang mit globaler Angriffswelle
Recherchen zufolge ist der Vorfall Teil einer größeren Angriffswelle, die mit der Hackergruppe ShinyHunters in Verbindung gebracht wird. Diese soll in den vergangenen Monaten gezielt Salesforce-CRM-Systeme namhafter Unternehmen ins Visier genommen haben, darunter Google, Qantas, Allianz Life, Dior, Chanel und Adidas. Ziel sei es, Mitarbeitende über manipulierte OAuth-Apps dazu zu bringen, Zugriffe auf Datenbanken freizuschalten. Die so gestohlenen Datensätze würden anschließend zur Erpressung genutzt.
Kritik an Workdays Kommunikation
Während Workday die Panne in einem Blogbeitrag bestätigte, wurde von TechCrunch darauf hingewiesen, dass die entsprechende Mitteilung mit einem „noindex“-Tag versehen war – was Suchmaschinenanbietern signalisiert, die Seite nicht zu indexieren. Damit sei die Transparenz der Kommunikation eingeschränkt, da die Information für Außenstehende schwer auffindbar bleibt. Auf Nachfragen, wie viele Datensätze betroffen seien und ob auch Kundendaten exfiltriert wurden, gab Workday bislang keine präzisen Antworten. Stand der Veröffentlichung dieses Artikels ist der „noindex“-Tag auf der betreffenden Seite jedoch entfernt.
Einordnung für HR-Abteilungen
Für Personalabteilungen zeigt der Vorfall erneut, dass Social Engineering und Vishing eine erhebliche Gefahr darstellen – gerade für Unternehmen mit großen Mitarbeiterzahlen und umfangreichen Datenbeständen. HR-Teams gelten oft als Zielscheibe, da sie regelmäßig mit sensiblen Daten und vertraulichen Zugängen arbeiten.
Besonders relevant ist dabei die Rolle externer Systeme wie CRM-Plattformen, die nicht unter direkter Kontrolle der HR-IT stehen, jedoch Daten enthalten, die Angreifer für weiterführende Attacken nutzen können.
Update 30.08.2025
Unternehmen berichten KI-im-Personalwesen.de derweil, dass sie auch mehr als drei Wochen später bisher noch nicht seitens Workdays über den Vorfall informiert worden seien und kritisieren die mangelnde Kommunikation des Software-Riesen der kürzlich bekannt gab, Paradox.ai übernehmen zu wollen.
