Blog Datensicherheit

Rippling – Glauben Sie es oder nicht: Wie der größte Fall von Wirtschaftsspionage in diesem Jahrhundert zustande kam

Rippling, ein führender Anbieter von Workforce Management-Software, hat eine Klage gegen seinen Konkurrenten Deel eingereicht und beschuldigt ihn, einen Spion eingeschleust und Kunden- und Wettbewerbsinformationen exfiltriert zu haben. In diesem Blog erfahren Sie, wie es dazu kam und wie es hätte verhindert werden können.

 

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.

Shawn Hays
5 Min. Lesezeit
Letzte Aktualisierung am 24. März 2025
Rippling vs Deel Lawsuit - How the Largest Corporate Espionage Case this Century Happened

Contents

    Der Bereich HR-Technologie ist sehr wettbewerbsintensiv, mit öffentlichen Auseinandersetzungen und aggressiven Marketingkampagnen in den Jahren nach der COVID-19-Pandemie. Dieser Wettbewerb führte zum größten Fall von Wirtschaftsspionage in diesem Jahrhundert.

    Rippling ist ein erfolgreicher Akteur im Bereich Workforce Management-Technologie und hat vor kurzem eine Klage eingereicht und zwar gegen seinen Konkurrenten Deel, dem Erpressung, Veruntreuung von Geschäftsgeheimnissen und andere schwerwiegende Vorwürfe vorgeworfen wird. Im Zentrum der Klage steht ein Mitarbeiter, der angeblich für Deel spionierte, indem er sich Zugriff auf vertrauliche Informationen auf Slack, Salesforce und anderen Cloud-Plattformen verschaffte.

    Deel bestreitet die Vorwürfe und behauptet, Rippling versuche, das Narrativ zu ändern, nachdem man das Unternehmen beschuldigt hatte, gegen das Sanktionsgesetz in Russland zu verstoßen. Die Klage unterstreicht gewiss die intensive Rivalität, dient aber auch als dramatische Erinnerung daran, dass Insider-Bedrohungen 2025 immer noch genauso verbreitet sind. Die folgende Diskussion gibt Ihnen einen Einblick in die Spionagekampagne und durch welche Maßnahmen man sie hätte verhindern können.

    Was ist passiert?

    Nach vier Monaten gezielter Aufklärung und Datenexfiltration kamen die Aktivitäten des Spions für Rippling erst „vor kurzem ans Licht“, wie aus 48 Seiten Gerichtsakten vom gegen Deel am 17. März 2025 hervorgeht.

    Der Spion (identifiziert als ein Mann aus Irland) konnte innerhalb eines Zeitraums von vier Monaten Kundendaten, Preisinformationen, Wettbewerbsinformationen, Daten von Rippling-Mitarbeitern für gezielte Rekrutierung, Geschäftsgeheimnisse und mehr durchsickern lassen und verbreiten. Zurzeit gibt es nur wenige Details über entwendete Software- oder Technologiegeheimnisse, aber in einer der sieben Klagen, die sich speziell auf Erpressung beziehen, wird auf „Zeichnungen“ und „geistiges Eigentum“ Bezug genommen.

    Weitere Untersuchungen des Rippling-Teams nach den jüngsten Enthüllungen ergaben, dass der Spion von Deel an einem einzigen Tag „Suchanfragen durchführte, die 728 neue Unternehmen zutage förderten, die eine Demo der Rippling-Produkte anforderten. Außerdem 282 ausführliche Notizen von Rippling-Kundenbetreuern über Unternehmen, die neue potenzielle Kunden in der Vertriebspipeline waren.“ Die folgende Grafik aus der Klage von Rippling zeigt, wie oft der Spion den Begriff ‚Deel‘ in Slack abfragte.

    Suchaktivitäten von Deels mutmaßlichem Spion

    Wie sind wir hierher gekommen?

    Rippling wurde 2016 gegründet und bietet seit 2022 ein wachsendes globales Workforce Management-System und eine Plattform als Service an. Deel startete drei Jahre später, 2019 und war ironischerweise bis 2023 Kunde von Rippling, bevor Deel den Vertrag aus Wettbewerbsgründen kündigen musste. Im selben Jahr (2023) wurde der Spion unwissentlich von Rippling als Global Payroll Compliance Manager eingestellt, da er den Gerichtsakten zufolge über einen umfangreichen und glaubwürdigen Hintergrund verfügte.

    Wie zahlreich Unternehmen investiert Rippling erhebliche Ressourcen in die Identifizierung potenzieller Kunden und die Vermittlung seines Wertversprechens an sie. Rippling hat über Jahre hinweg enorme Datenmengen darüber gesammelt, welche Marketing- und Vertriebsmaßnahmen erfolgreich waren und warum. Diese Daten steuerten dann, wie das Unternehmen seine Produkte und Botschaften anpasste.

    Zusätzlich zu den Vertriebsdatenbanken, die Kundeninformationen und Aktivitäten in Salesforce erfassen, speicherte das Unternehmen „Competitive Intelligence Cards“ und andere vertrauliche Dokumente über die jeweiligen Wettbewerber in einem Google Drive-Repository.

    Dies ist eine Kostprobe der ‚Geheimzutat‘, hinter der Deel angeblich her war.

    Wie fängt man einen Spion?

    Multi-Cloud-Sichtbarkeit

    Rippling hat viele Datenquellen, darunter die interne Messaging-Anwendung Slack, eine Salesforce-Datenbank mit vertraulichen Informationen über aktuelle und potenzielle Kunden, ein Google Drive-Repository, ein HR-System mit Namen, Adressen und persönlichen Handynummern der Rippling-Mitarbeiter und Gong zum Transkribieren von Verkaufsgesprächen und Speichern dieser Notizen in Slack.

    In der Akte wird angegeben, dass der mutmaßliche Spion auf alle oben genannten Datenspeicher zugegriffen hat, es gibt jedoch wahrscheinlich noch mehr. Rippling hatte scheinbar keine Möglichkeit, Zugriffsrisiken oder die Sicherheitslage in den verschiedenen Cloud-Systemen zu überwachen, Alarme einzusetzen oder proaktiv zu mindern. Wir können davon ausgehen, weil das Unternehmen eine „Ermittlungsfirma“ beauftragen musste, um das Ausmaß und den Umfang des Einbruchs zu ermitteln, und einen „Cyber-Security-Anbieter“, um herauszufinden, wie Deel die Systeme von Rippling ausnutzen konnte.

    Das ist nicht neu vielen Organisationen fehlt ein umfassender Überblick über ihre sensitive Daten in der gesamten Umgebung, wer Zugriff darauf hat und wie sich dieser Zugriff im Laufe der Zeit in jedem dieser Datenspeicher verändert.

    Eine einzige Plattform wie Salesforce kann über 75 Berechtigungssätze mit unterschiedlichen Berechtigungsstufen und mehr als 30 Nutzerprofile direkt verfügen. In den meisten Fällen wird ein Unternehmen innerhalb von einigen Jahren das Zwei- bis Fünffache dieser Menge haben.

    Die manuelle Verwaltung und Überprüfung des Zugriffs jedes einzelnen Nutzers für Slack, Salesforce, Google Workspace und mehr ist nicht skalierbar und wahrscheinlich unpraktisch. Daher benötigen Unternehmen eine automatisierte Plattform, um Berechtigungen in großem Umfang zu verwalten. Es ist auch wichtig, eine zentrale Ansicht zu haben, um den Zugriff auf sensitive Daten zusammen mit Berechtigungen und Ansprüchen in der gesamten Umgebung auf einen Blick zu sehen.

    Integrierte Identitätssicherheit und Datensicherheit

    Die primäre Form des Datenschutzes für Rippling-Cloud-Systeme und -Anwendungen war „verschiedene Authentifizierungsmethoden“, oder MFA. Sobald sie authentifiziert und für die Anwendung oder das System autorisiert sind, können der Spion und andere Nutzer Daten entdecken, Gruppen und Kanälen beitreten, Informationen lokal herunterladen und sie „über elektronische Post und/oder andere elektronische Mittel“ verbreiten.

    Die meisten Datenbedrohungsakteure loggen sich ein, anstatt einzubrechen und ein Insider-Risiko oder ein Spion ist ein perfektes Beispiel dafür. Daher müssen sich Unternehmen auf eine Datensicherheitsplattform (DSP) verlassen, die vollständig in ihren Identitätsanbieter, wie Microsoft Entra ID und Okta, integriert ist und Informationen über lokale Identitäten in Salesforce und Slack erfasst.

    Der Spion konnte viele Kanäle einsehen, ohne ihnen beizutreten. Mit einem vollständigen DSP, das mit der Identitätsstruktur jedes Nutzers verbunden ist, können Unternehmen beide Ereignistypen (Vorschau und Beitritt) erfassen und Spitzen wie die nachstehenden aus der Gerichtsakte von Rippling erkennen.

    Überwachung der Slack-Kanäle im Laufe der Zeit

    Analysen des Nutzerverhaltens

    Der Spion war ein Jahr und fünf Monate in der Gehaltsabrechnung tätig und führte bis November 2024 überwiegend normalen Datenzugriff durch. Danach – während einer viermonatigen Phase – änderte er sein Zugriffsverhalten vollständig in Bezug auf Vertrieb, Marketing und Wettbewerbsressourcen nicht jedoch in Bezug auf die Lohnbuchhaltung. Nachfolgend finden Sie eine kurze Liste der geänderten Verhaltensweisen:

    • Suchbegriffe tauchten plötzlich aus dem Nichts auf und mit erhöhter Häufigkeit
    • Suchbegriffe und Zugriff auf Ressourcen, die nicht mit seiner Arbeit, seiner Rolle oder seinen Aufgaben in Verbindung stehen.
    • Erhöhter Zugriff auf Kanäle und Gruppen „um Größenordnungen größer als zuvor“
    • Innerhalb von vier Monaten mehr als 600 Mal Informationen über bestehende Kunden von Rippling angesehen oder heruntergeladen

    Sicherheitsteams sind historisch gesehen nicht in der Lage, das Ausmaß der auf sie zukommenden Alerts und Ereignisse zu überblicken und zu priorisieren. Mit User Behavior Analytics (UBA) innerhalb eines DSP können Sie anomales Verhalten erkennen, hervorheben und Maßnahmen ergreifen. Je schneller ein Unternehmen in der Lage ist, Verhaltensänderungen zu korrelieren, desto schneller kann es die Verweildauer des Akteurs – in diesem Fall eines Spions mit dreisten Spionageaktivitäten über vier Monate – reduzieren.

    Datenaktivität auf Endpoints

    Ein Datenleck kann mehrere Datensysteme, Identitäts- und Zugriffsschwachstellen anomales Benutzerverhalten umfassen. Allerdings können auch Telemetriedaten von Endpoints Hinweise auf einen Verstoß liefern.

    Im Fall des Spions bei Rippling bestand seine häufigste Taktik aus drei Schritten:

    1. Suche mit den mobilen Anwendungen Slack und Salesforce auf einem privaten Telefon nach sensitive Daten
    2. Sobald eine Zielquelle (z. B. ein Kanal in Slack) identifiziert wurde, die sensitive Daten oder Listen auf einen Arbeitscomputer herunterladen
    3. Heruntergeladene Dateien über persönliche E-Mails oder Nachrichten an externe Parteien senden

    Wenn Nutzer Informationen in mobilen Anwendungen aufrufen oder Aktionen wie Herunterladen, Drucken und Senden von E-Mails von ihren verschiedenen Endpoints ausführen können – benötigen Organisationen technische Lösungen, um diese Ereignisse zu überwachen oder zu steuern, wenn sie auftreten können. Viele Endpoint-Sicherheitslösungen können schädliche Dateien wie Ransomware und ausführbare Dateien erkennen, jedoch nicht den Missbrauch von sensitive Daten.

    Wer wird in diesem Rechtsstreit verlieren?

    Letztlich verlieren Mitarbeitende und Kunden beider Organisationen. Tausende von Mitarbeitenden sind aufgrund dieser Klage (sowohl vor als auch nach der Klage) mit dem Verlust ihres Arbeitsplatzes oder mit Unsicherheiten konfrontiert und Zehntausende von Kunden müssen nun unerwartet mitten im Geschäftsjahr eine Migration ihrer Personal- und Finanzsysteme in Erwägung ziehen.

    Darüber hinaus werden Unternehmensressourcen wie Finanzen und der Fokus der Führungskräfte auf diese Rechtsangelegenheiten gelenkt, anstatt auf Innovation, Kundenerfolg und das Wohlergehen der Mitarbeitenden in beiden Unternehmen. Strafen werden möglicherweise gezahlt und ein irischer Spion verbringt vielleicht Zeit im Gefängnis aber Insiderbedrohungen können einen möglichen Schaden betreffen, der den Strafschadenersatz bei weitem übersteigt.

    Aus diesem Grund sollten Unternehmen eine interne oder externe Risikobewertung in Betracht ziehen, die sich auf Daten und den Zugriff innerhalb jedes Systems konzentriert. Wenn Sie darauf warten, dass ein Datenverstoß oder ein Vorfall eintritt, ist es bereits zu spät. Lassen Sie sich nicht von einem Vorfall dieses Ausmaßes zu einer Bewertung veranlassen. Risikobewertungen sollten Technologien und Abhilfemaßnahmen beinhalten, aber auch eine Überprüfung der Richtlinien und Verfahren für Mitarbeitende, um ungewöhnliches Verhalten zu melden.

    Einfach ausgedrückt: Wenn Sie etwas sehen, sagen Sie etwas.

     

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Shawn Hays
    Shawn Hays Shawn is a Product Marketing Manager for Varonis, focusing largely on the Microsoft cloud. He has been a journeyman in the Microsoft ecosystem and cybersecurity arena for ten years. When not pontificating on data security, you can catch him at a music festival or throwing a frisbee.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    arbeiten-mit-lokalen-administratorkonten-unter-windows,-teil-ii
    Arbeiten mit lokalen Administratorkonten unter Windows, Teil II
    arbeiten-mit-lokalen-administratorkonten-unter-windows,-teil-ii
    Michael Buckbee
    26. Oktober 2017
    Bevor wir uns eingehender mit eingeschränkten Gruppen befassen, dachte ich, es könnte vielleicht nicht schaden, einen genaueren Blick darauf zu werfen, wie Hacker Administratorkennwörter ausnutzen. Pass-the-Hash-Fans werden hier erfahren, inwieweit...
    5-aufgaben,-die-it-abteilungen-durchführen-sollten
    5 Aufgaben, die IT-Abteilungen durchführen sollten
    5-aufgaben,-die-it-abteilungen-durchführen-sollten
    Michael Buckbee
    23. Dezember 2012
    Ein klarer Weg zum Management und Schutz von Informationen. 1. Auditing des Datenzugriffs Ohne einen Zugriffsbericht ist das effektive Management von Datensätzen unmöglich. Nur eine zuverlässige Kontrolle der Datennutzung ermöglicht eine...
    warum-identität-die-größte-schwachstelle-der-datensicherheit-ist
    Warum Identität die größte Schwachstelle der Datensicherheit ist
    warum-identität-die-größte-schwachstelle-der-datensicherheit-ist
    Shawn Hays
    13. Februar 2025
    Moderne Datensicherheitsplattformen (DSP) müssen Identitätsrisiken und Kontext integrieren, um eine effektive Verwaltung der Sicherheitslage und eine wirkungsvolle Bedrohungserkennung und -bekämpfung zu ermöglichen.
    automatisierte-bereinigung-von-berechtigungen:-eine-gründliche-roi-analyse
    Automatisierte Bereinigung von Berechtigungen: Eine gründliche ROI-Analyse
    automatisierte-bereinigung-von-berechtigungen:-eine-gründliche-roi-analyse
    Michael Buckbee
    18. April 2018
    In früheren Artikeln haben wir behandelt, wie die Automatisierung von Datenzugriffsanforderungen die Anzahl von Helpdesk-Tickets drastisch reduziert und damit eine hohe Investitionsrendite erwirtschaftet. Dabei sind wir auch kurz darauf eingegangen,...