Salesforce Trust

Bei Sicherheit auf dem neuesten Stand bleiben

Salesforce ist bestrebt, als effektiver Partner in der Kundensicherheit bei Software-as-a-Service Standards zu setzen.

 

Bewährte Vorgehensweisen für Sicherheit

Salesforce ist bestrebt, Kunden dabei zu helfen, sicherer auf Salesforce-Services zuzugreifen. Angesichts der steigenden Anzahl von Bedrohungen empfehlen wir unseren Kunden dringend, Maßnahmen zu ergreifen, um nicht autorisierten Zugriff auf ihre Salesforce-Organisationen zu verhindern.

Wir raten Salesforce-Administratoren zu folgenden Schritten, um die Erfahrung für Salesforce-Benutzer so sicher wie möglich zu gestalten und Unternehmensdaten zu schützen. Die nachstehenden in Salesforce verfügbaren Sicherheitsfunktionen bieten zusätzliche Ebenen zur Überprüfung und Authentifizierung von Endbenutzern:

Zwei-Faktoren-Authentifizierung

Die Zwei-Faktoren-Authentifizierung erfordert, dass es für alle Anmeldeversuche Anmeldeinformationen und einen zweiten Authentifizierungsfaktor gibt. Dies kann mithilfe von Salesforce Authenticator oder ähnlichen Lösungen von Sicherheitsanbietern erreicht werden. Bei Anmeldeversuchen, für die keine gültigen Anmeldeinformationen aus beiden Quellen vorliegen, wird kein Zugriff auf Salesforce erteilt. Lernen Sie unter Hilfe und Schulung, wie Sie diese Funktion implementieren können.

IP-Bereiche für die Anmeldung

IP-Bereiche für die Anmeldung schränken den nicht autorisierten Zugriff ein, da sich Benutzer über bestimmte IP-Adressen – in der Regel Ihr Unternehmensnetzwerk oder VPN – bei Salesforce anmelden müssen. Mit "IP-Bereiche für die Anmeldung" können Administratoren einen Bereich zulässiger IP-Adressen definieren, um den Zugriff auf Salesforce zu steuern. Benutzern, die versuchen, sich außerhalb der bestimmten IP-Adressen bei Salesforce anzumelden, wird kein Zugriff erteilt. Wenn Sie die Professional, Group oder Personal Edition verwenden, können Sie IP-Bereiche für die Anmeldung unter "Sicherheitssteuerungen" > "Sitzungseinstellungen" einstellen. Wenn Sie die Enterprise, Unlimited, Performance oder Developer Edition verwenden, können Sie IP-Bereiche für die Anmeldung unter "Benutzer verwalten" > "Profile" konfigurieren. Erfahren Sie mehr zur Implementierung dieser Funktion.

TLS 1.1 oder höher

Ab 4. März 2017 muss das aktuelle Protokoll TLS 1.1 oder höher für sichere Verbindungen zu Salesforce-Organisationen verwendet werden, um die Sicherheit der Umgebung zu erhöhen und eine fortlaufende PCI-Compliance zu erreichen. Organisationen, die TLS 1.0 verwenden, müssen aktualisiert werden, um weiterhin Zugriff auf API-Integrationen, Verbindungen zu Communities und Sites, App Exchange für Partnerprodukte und Browserzugriff für Benutzer zu erhalten.

Überprüfen Sie, auf welche Weise Ihre Benutzer und Integrationen Verbindungen zu Salesforce herstellen, um sicherzustellen, dass Ihre Verbindungen für die Unterstützung von TLS 1.1 bereit sind. Um Benutzer oder Integrationen zu identifizieren, die immer noch TLS 1.0 verwenden, können Administratoren die Felder "TLS-Protokoll" und "TLS Cipher Suite" dem Bericht "Anmeldeverlauf" hinzufügen.

Für einen erfolgreichen Übergang sollten Sie rechtzeitig vor der Deaktivierung Maßnahmen ergreifen. Um bewährte Vorgehensweisen zur Vorbereitung auf diese Änderung zu erfahren, laden Sie die Checkliste zur Vorbereitung auf die Deaktivierung von TLS 1.0 (PDF) herunter.

Um weitere Informationen zu erhalten, lesen Sie Salesforce deaktiviert TLS 1.0 und posten Sie Fragen an Official: Salesforce Infrastructure Success Community Group. Sie können sich außerdem das Webinar Secure Connections: How TLS 1.0 disablement impacts your organization ansehen, in dem sich Experten zur Deaktivierung austauschen.

Wenn Sie weitere Fragen haben, öffnen Sie einen Kundenvorgang beim Support über das Portal "Hilfe und Schulung".

Informieren Sie Benutzer über Phishing

Salesforce empfiehlt dringend, alle Salesforce-Benutzer über Phishing aufzuklären. Bei den meisten Cyber-Angriffen wird Malware (Schadsoftware) verwendet, um einen Computer mit schädlichem Code zu infizieren und Kennwörter oder Daten zu stehlen oder einen Computer bzw. ein Netzwerk zu beeinträchtigen. Glücklicherweise müssen Sie kein Sicherheitsexperte sein, um Malware zu stoppen.

Einige einfache Empfehlungen, die Sie an Ihre Salesforce-Benutzer weitergeben können:

Erklären Sie Benutzern, dass sie sich nicht von Phishing täuschen lassen und nicht auf Links klicken oder Anhänge in verdächtigen E-Mails öffnen dürfen. Eine der wirkungsvollsten Methoden bei Cyber-Angriffen besteht darin, Benutzer zu verleiten, auf einen Link zu klicken oder einen Anhang zu öffnen, der Malware installiert. Solche Mittel werden als Phishing-E-Mails bezeichnet, da Benutzer dabei dazu verleitet werden, eine E-Mail zu öffnen. Phishing-E-Mails können interessante, nützliche Inhalte enthalten oder scheinbar legitime Nachrichten von einem tatsächlichen Absender sein (Paketlieferung, Lohnbuchhaltung, Finanzamt, soziale Netzwerke usw.).

Weisen Sie Benutzer an, niemals E-Mails unbekannten Ursprungs zu öffnen. Hacker möchten erreichen, dass Benutzer auf ihren Link klicken, damit der Computer des Benutzers infiziert werden kann. Erklären Sie Benutzern ebenso, dass E-Mails unbekannten Ursprungs hinsichtlich ihrer Herkunft geprüft werden sollten und auch in Hinblick darauf, wie sinnvoll die E-Mail ist. Wenn sie nicht sinnvoll ist, kann es sich um einen Angriffsversuch handeln. Die Adresse des Absenders sollte immer verifiziert werden. Links zu URLs können geprüft werden, indem Benutzer den Mauszeiger darüber bewegen. Wenn der Link beispielsweise auf Salesforce verweist, sollte ein auf ".salesforce.com" endender URL angezeigt werden, wenn der Mauszeiger darüber bewegt wird.

Wenn Sie oder einer Ihrer Benutzer sich nicht sicher sind, ob es sich bei einer Nachricht um eine legitime Salesforce-E-Mail handelt, leiten Sie die E-Mail an security@salesforce.com weiter. Weitere Informationen erhalten Sie im Folgenden unter aktuelle Beispiele für Phishing.

Eigene Domäne

"Meine Domäne" ermöglicht Ihnen, dem URL Ihrer Salesforce-Organisation eine benutzerdefinierte Domäne hinzuzufügen. Mithilfe einer benutzerdefinierten Domäne können Sie Ihre Marke hervorheben und die Sicherheit Ihrer Organisation erhöhen. Außerdem können Sie unseren bewährten Vorgehensweisen folgen und keine Namen von Instanzen und Integrationen im Code angeben (z. B. na1.salesforce.com). Das Umsetzen dieser bewährten Vorgehensweise ermöglicht Ihnen und Ihren Endbenutzern eine reibungslosere Erfahrung bei zukünftigen Wartungen.

Mithilfe von "Meine Domäne" legen Sie eine benutzerdefinierte Domäne fest, die Bestandteil Ihrer Salesforce-Domäne ist. Bei einer benutzerdefinierten Domäne handelt es sich eigentlich um eine Unterdomäne einer primären Domäne. Wenn der Unternehmensname "Universal Containers" lautet, können Sie als "Meine Domäne" beispielsweise die Unterdomäne "universal-containers" verwenden: https://universal-containers.my.salesforce.com.

Ein benutzerdefinierter Domänenname bietet Ihnen folgende Möglichkeiten zur verbesserten Verwaltung von Anmeldung und Authentifizierung für Ihre Organisation:

  • Sie können Seitenaufrufe blockieren oder umleiten, bei denen der neue Domänenname nicht verwendet wird.
  • Sie können eine benutzerdefinierte Richtlinie festlegen, um zu bestimmen, wie Benutzer authentifiziert werden.
  • Sie können in mehreren Salesforce-Organisationen gleichzeitig arbeiten.
  • Sie können Benutzern die Anmeldung über einen sozialen Account wie Google oder Facebook über die Anmeldeseite ermöglichen.
  • Sie können es Benutzern ermöglichen, sich einmal anzumelden, um auf externe Services zuzugreifen.
  • Sie können Ihre Geschäftsidentität mit Ihrem eindeutigen Domänen-URL hervorheben.
  • Sie können Ihren Anmeldebildschirm mit Branding versehen und die Inhalte im rechten Frame anpassen.

Erfahren Sie mehr zu "Meine Domäne" und der Implementierung in Ihrer Organisation.

Kennwortrichtlinien

Starke Kennwortsicherheit ist ein wichtiger erster Schritt beim Schutz Ihrer Salesforce-Accounts.

Salesforce empfiehlt diese bewährten Vorgehensweisen:

  1. Kennwortablauf: Salesforce empfiehlt einen Zeitraum von maximal 90 Tagen, um Benutzer zu zwingen, ihre Kennwörter neu festzulegen.
  2. Kennwortlänge: Salesforce schlägt eine Mindestkennwortlänge von 8 bis 10 Zeichen vor.
  3. Kennwortkomplexität: Zwingen Sie Benutzer, eine Mischung aus Buchstaben und Zahlen in ihren Salesforce-Kennwörtern zu verwenden.
    Erinnern Sie Benutzer daran, Kennwörter niemals bei mehreren Accounts zu verwenden, denn sonst können gleich mehrere Accounts in falsche Hände geraten. Erklären Sie ihnen außerdem, dass sie niemals ein Kennwort an andere weitergeben dürfen – weder online noch persönlich. Dies schließt auch ihr Salesforce-Kennwort ein.

Verringern der Schwellenwerte für Sitzungs-Timeouts

In manchen Fällen lassen Benutzer Ihre Computer unbeaufsichtigt oder melden sich nicht ab. Sie können Ihre Anwendungen gegen unberechtigten Zugriff schützen, indem Sie Sitzungen automatisch schließen, wenn innerhalb eines bestimmten Zeitraums keine Sitzungsaktivität festgestellt wird. Standardmäßig erfolgt der Timeout nach 2 Stunden. Sie können einen Wert zwischen 30 Minuten und 8 Stunden festlegen. Zum Ändern des Sitzungs-Timeouts klicken Sie auf "Setup" > "Sicherheitssteuerungen" > "Sitzungseinstellungen".

Beispiele für Phishing

Beim Phishing werden Benutzer mit betrügerischen E-Mails dazu verleitet, vertrauliche Informationen preiszugeben. Solche E-Mails erwecken typischerweise den Anschein, als kämen sie von einer seriösen Organisation, und können Links enthalten, die scheinbar zur Website der Organisation führen. Die Website ist jedoch gefälscht und dient dazu, Daten zu erfassen.

Melden Sie verdächtige E-Mails, indem Sie sie an security@salesforce.com weiterleiten.

Diese Betrügereien werden immer raffinierter und es kann schwierig sein, den Unterschied zwischen einer legitimen und einer gefälschten E-Mail zu erkennen. Am besten können Sie sich gegen solche Angriffe schützen, wenn Sie wissen, wonach Sie suchen müssen. Sehen Sie sich die folgenden Beispiele für aktuelle Betrügereien an:

Melden einer verdächtigen E-Mail