Mehr Schutz für Ihre Organisation durch informierte Benutzer

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

Erläutern einer Richtlinie für sichere Kennwörter
Beschreiben, wie vermieden werden kann, Opfer von Phishing-E-Mails zu werden
Bestimmen des Prinzips der geringsten Rechte für Benutzerberechtigungen

Benutzer haben Zugriff auf wertvolle Daten

Wie in der vorherigen Einheit dargelegt, ist das Ziel der heutigen Cyberkriminalität in den meisten Fällen ein Mitarbeiter. Mitarbeiter mit Zugriff auf sensible Daten wie Finanz- oder Patientendaten sind wertvolle Ziele für Hacker. Aus diesem Grund kann die Schulung Ihrer Salesforce-Benutzer in Sachen sicheres Verhalten einen großen Beitrag dazu leisten, Ihr System abzusichern und die Daten Ihrer Kunden zu schützen.

Der einzelne Benutzer spielt eine entscheidende Rolle bei der Gewährleistung der Sicherheit Ihrer Daten. Die Aufklärung der Benutzer über ihre Rolle bei der Absicherung von Salesforce-Daten wird sich auf lange Sicht auszahlen. Das wertvollste Kapital, das ein Unternehmen besitzen kann, ist das Vertrauen seiner Kunden. Und es liegt in Ihrer Verantwortung, ihre Daten sicher zu halten, damit Sie ihr Vertrauen jeden Tag aufs Neue verdienen.

Fragen Sie bei Ihren Kollegen oder anderen Salesforce-Administratoren nach, welche kreative Methoden sie eingesetzt haben, um ihre Benutzer zu sensibilisieren und dazu zu motivieren, ihren Beitrag zum Schutz der Daten zu leisten. Wenn Sie Benutzern das Thema Sicherheit auf unterhaltsame Weise näher bringen, z B. durch Wettbewerbe oder Spiele, bei denen es darum geht, wer die Multi-Faktor-Authentifizierung (MFA) am schnellsten aktivieren kann, werden die Benutzer eher bereit sein, sichere Verhaltensweisen anzunehmen. Sie können auch einen systematischeren Ansatz wählen und mit Ihren IT- oder Cybersicherheitsteams zusammenarbeiten, um regelmäßige Phishing-Tests durchzuführen, die die Benutzer darin schulen, wachsam gegenüber Phishing-E-Mails von Hackern zu sein.

Passen Sie auf Kennwörter auf

Kennwörter sind Ihre erste Verteidigungslinie gegen unbefugten Zugriff auf Ihr Salesforce-System. Um den Schutz von Benutzer-Accounts zu erhöhen, bitten wir unsere Kunden außerdem, MFA für den Zugriff auf Salesforce zu verwenden. MFA bedeutet, dass Sie mehrere Formen der Authentifizierung haben müssen, um Zugang zu erhalten, normalerweise etwas, das Sie wissen, wie ein Kennwort, und etwas, das Sie haben, wie einen Code in einer mobilen Authentifizierungsanwendung. Allerdings bieten nicht alle Plattformen diese sicherere Methode des Benutzerzugriffs. Legen Sie Mindestanforderungen an Verlauf, Länge und Komplexität des Kennworts fest, um dessen Sicherheit zu erhöhen, und geben Sie die Vorgehensweise an, wenn Benutzer ihr Kennwort vergessen haben sollten.

Das National Institute of Standards and Technology (NIST) veröffentlicht regelmäßig Richtlinien für Authentifizierung und Verwaltung des Lebenszyklus digitaler Identitäten. Diese einfachen bewährten Vorgehensweisen können Kennwortangriffe reduzieren, ob Sie nun zusätzliche Technologien wie MFA und Single Sign-On für zusätzlichen Schutz verwenden oder nicht.

Eindeutige Kennwörter verlangen

Wir haben es alle schon mal gemacht, nämlich dasselbe Kennwort für mehrere Websites verwendet (noch jemand ABC123?). Dadurch lässt sich das Kennwort zwar leicht merken, aber da das Schema so häufig vorkommt, ist das Hinzufügen kleinerer Variationen das erste, was Angreifer versuchen, wenn sie ein Kennwort knacken wollen. Die Verwendung unsicherer Kennwörter wie dieses ist ein gängiger Weg für Angreifer, um an wichtige Informationen zu gelangen, wenn eine Website oder Plattform kompromittiert (gehackt) wird und die Benutzerdaten öffentlich zugänglich gemacht oder online verkauft werden. Wenn das Kennwort, das für die kompromittierte Website verwendet wird, auch für etwas Wichtiges verwendet wird, z. B. für Ihr Online-Banking oder den Zugriff auf Unternehmensdatenbanken, kann dies zu ernsthaften Problemen führen. Wenn Sie dasselbe Kennwort mit kleinen Variationen verwenden, können sich Angreifer durch einfaches Ausprobieren der Varianten Zugang zu vielen Websites verschaffen.

Komplexe Kennwörter

Verlangen Sie, dass Kennwörter mindestens 10 Zeichen haben, wobei längere Kennwörter noch besser sind. Empfehlen Sie den Benutzern, eine Passphrase (eine Aneinanderreihung von Wörtern) zu erstellen, damit sie es sich leichter merken können, kombiniert mit mindestens einer Zahl und einem Zeichen. Es folgt ein Beispiel eines sicheren Kennworts: "CouchAdler$Fenster9783Fan."

Jährliche Kennwortänderung

Fordern Sie Benutzer auf, ihr Kennwort jährlich zu ändern.

Kennwörter für sich behalten

Erinnern Sie Ihre Benutzer daran, ein Kennwort, einschließlich ihres Salesforce-Kennworts, nie weiterzugeben, weder online noch telefonisch.

Kennwort-Manager

Die Verwendung eines Kennwort-Managers wie LastPass oder 1Password ist eine der besten Möglichkeiten, Ihre Kennwörter sicher zu halten. Möglicherweise stellt Ihnen Ihr Unternehmen einen Kennwort-Manager zur Verfügung, aber wenn dies nicht der Fall ist, können Sie auch selbst einen aussuchen. Mit Kennwort-Managern können Sie Anmeldeinformationen für beliebige Websites speichern, sichere Kennwörter generieren und in einer sicheren Datenbank ablegen, ohne dass Sie sich komplexe, sichere Kennwörter für jeden von Ihnen genutzten Service merken müssen. Wir empfehlen außerdem, MFA für Ihren Kennwort-Manager zu aktivieren, um ihn besonders sicher zu machen.

Salesforce wird Sie oder Ihre Benutzer niemals per E-Mail oder Telefon nach Ihrem Kennwort fragen. Wenn Sie jemand kontaktiert, der sich als Salesforce-Mitarbeiter ausgibt und ein Kennwort oder andere sensible Daten (z. B. die Sozialversicherungsnummer) verlangt, melden Sie den Vorfall sofort security@salesforce.com.

Nicht auf Phishing hereinfallen

Bei den meisten Angriffen kommt Schadsoftware (Malware) zum Einsatz, um einen Computer mit Code zu infizieren, der Kennwörter oder Daten stehlen oder ganze Computer oder Netzwerke lahmlegen soll. Glücklicherweise müssen Sie und Ihre Benutzer keine Sicherheitsexperten sein, um eine Phishing-E-Mail zu erkennen.

Drei Bilder: Angler mit Rute und Haken, der jemanden auf einem aufgeklappten Laptop anlockt und ihn auf eine betrügerische Website umleitet

Betreff oder Absender der E-Mail in einer Suchmaschine nachschlagen

Denken Sie daran, dass Phishing-E-Mails darauf ausgelegt sind, normales menschliches Verhalten auszunutzen und Sie dazu zu verleiten, auf einen betrügerischen Link zu klicken oder einen Anhang herunterzuladen. Sie können sehr glaubwürdig sein und auf einer legitimen Prämisse basieren, wie z. B. der Aussage, dass Ihnen ein Paket zugestellt wird oder Ihre Gehaltsabrechnung vorliegt. Oft kann die E-Mail-Adresse des Absenders Zweifel aufkommen lassen, weil sie nicht mit dem tatsächlichen Firmennamen des Absenders übereinstimmt. Wenn Sie sich nicht sicher sind, ob eine E-Mail legitim ist, versuchen Sie, die Betreffzeile oder E-Mail-Adresse des Absenders in eine Suchmaschine einzugeben und prüfen Sie nach, ob andere Quellen gemeldet haben, dass es sich um einen Phishing-Versuch handelt.

Vor dem Klicken Quelle und Links überprüfen

Niemals sollten Sie auf einen Link klicken oder einen Anhang in einer verdächtig aussehenden E-Mail oder in einer E-Mail von einem unbekannten Absender öffnen. Weisen Sie Ihre Benutzer an, einen Moment innezuhalten und eine E-Mail von einem unbekannten Absender sorgfältig zu prüfen, bevor sie darauf klicken. Ein weiterer guter Tipp zur Prüfung, ob die Links in der E-Mail legitim sind, besteht darin, den Mauszeiger über die Links zu bewegen, um herauszufinden, wohin sie geleitet werden. Wenn Sie beispielsweise in einer E-Mail aufgefordert werden, auf einen Link zu einem Marketing-Whitepaper von Salesforce zu klicken, bewegen Sie den Mauszeiger über den Link, um zu sehen, ob die URL auf salesforce.com endet.

Fragen Sie bei Salesforce nach

Wenn Sie sich nicht sicher sind, ob eine E-Mail von Salesforce stammt, alarmieren Sie die IT-Abteilung oder das Cybersicherheitsteam Ihres Unternehmens. Da das Sicherheitsteam die E-Mail-Kopfzeilen benötigt, ist es wichtig, dass Sie eine Kopie der verdächtigen E-Mail als Anhang an security@salesforce.com weiterleiten. Fügen Sie die Worte "Phish" oder "Malware" in die Betreffzeile ein, um darauf hinzuweisen, dass es sich bei der E-Mail um eine mutmaßliche Phishing-E-Mail handelt.

Das Sicherheitsteam Ihres Unternehmens arbeitet eng mit dem Sicherheit-Team von Salesforce zusammen, um schädliche E-Mails zu identifizieren. Sie können auch security.salesforce.com aufrufen und die Liste der aktuellen E-Mail-Bedrohungen einsehen, die dem Sicherheitsteam von Salesforce bekannt sind.

Benutzer in die Sicherheit mit einbinden

Kleine Änderungen im Benutzerverhalten können viel bewirken. Wenn das Sicherheitsteam von Salesforce an unsere eigenen Mitarbeiter Phishing-E-Mails sendet, zeigt sich immer wieder, dass Personen, die an unserer Sicherheitsschulung teilgenommen haben, nur halb so oft auf Phishing-Links klicken und diese fast doppelt so oft melden wie Mitarbeiter, die die Schulung nicht absolviert haben. Erwägen Sie Phishing-Tests in Ihrem eigenen Unternehmen und erinnern Sie die Benutzer regelmäßig an die bewährten Vorgehensweisen in Sachen Sicherheit.

Gehen Sie sparsam mit Rechten um

Eine wichtige Sicherheitsmaßnahme besteht darin, Benutzern nur so viel Zugriff zu gewähren, wie sie zur Ausübung ihrer Tätigkeit benötigen, was auch als Prinzip der geringsten Rechte bezeichnet wird.

Ein Geschäftsanalyst muss beispielsweise keine Rechnungsdaten von Kunden einsehen können. Eine äußerst bewährte Vorgehensweise besteht darin, die Anzahl der Benutzer mit Administratorrechten zu begrenzen (im Allgemeinen empfehlen wir nicht mehr als fünf) und regelmäßig zu überprüfen, ob dieselben Personen weiterhin Administratorrechte haben müssen. Sie können Sichtbarkeit und Berechtigungen auch auf Feldebene einschränken. Im Lauf der Zeit kann sich ändern, wer welchen Zugriff benötigt. Daher ist es wichtig, einen Mechanismus zur regelmäßigen Überprüfung von Zugriffsberechtigungen zu haben.