Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Mehr Schutz für Ihre Organisation durch informierte Benutzer

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, sind Sie in der Lage, die folgenden Aufgaben auszuführen:

  • Beschreiben des Unterschieds zwischen einer sicheren und einer schwachen Kennwortrichtlinie
  • Nennen verschiedener Methoden zur Vermeidung von Schäden durch Phishing-E-Mails
  • Beschreiben eines minimalistischen Ansatzes für Benutzerberechtigungen

Reden Sie mit Ihren Benutzern

Angreifer haben es heutzutage auf den Benutzer abgesehen. Als erstes Einfalltor für jeden Angriff, ob auf ein Unternehmen, eine Behörde oder den Account eines Einzelnen, wird ein Benutzer ins Visier genommen.

Eine Schulung Ihrer Salesforce-Benutzer in sicheren Verhaltensweisen kann Sie beim Sichern Ihrer Implementierung einen großen Schritt voranbringen.

Unterschätzen Sie nicht die Rolle des einzelnen Benutzers bei der Gewährleistung Ihrer Datensicherheit. Schulen, schulen, schulen. Fragen Sie bei Ihren Kollegen oder anderen Salesforce-Administratoren nach, welche kreative Methoden sie eingesetzt haben, um ihre Benutzer zu sensibilisieren und dazu zu motivieren, ihren Beitrag zur Sicherung der Daten zu leisten.

Passen Sie auf Kennwörter auf

Kennwörter sind Ihre erste Verteidigungslinie. Manchmal trennt Sie nur ein Kennwort von der Katastrophe.

Daher sollten Sie Vorgaben für Kennwortverlauf, -länge und -komplexität sowie andere Werte festlegen und angeben, was bei vergessenen Kennwörtern zu tun ist.

Die folgenden einfachen bewährten Vorgehensweisen können Kennwortangriffe reduzieren, ob Sie nun zusätzliche Technologien wie Zwei-Faktoren-Authentifizierung und Single Sign-On verwenden oder nicht.

Ändern Sie Kennwörter häufig

Fordern Sie Benutzer auf, ihr Kennwort spätestens alle 90 Tage zurückzusetzen.

Verlangen Sie eindeutige Kennwörter

Halten Sie Benutzer an, nie die gleichen Kennwörter für mehrere Konten zu verwenden, für den Fall, dass eines oder mehrere der Konten gekapert werden. Hacker wissen, dass Kennwörter wiederverwendet werden, und probieren ein geknacktes Kennwort auch auf anderen Websites aus. Wenn Sie Kennwörter wiederverwenden, machen Sie es Hackern leicht.

Je länger das Kennwort desto besser

Verlangen Sie Kennwörter mit 10 Zeichen oder mehr.

Erschweren Sie das Knacken von Kennwörtern

Legen Sie fest, dass Kennwörter aus Buchstaben und Zahlen bestehen müssen. Oder noch besser: Bitten Sie Benutzer, bevorzugt Kennwörter zu verwenden, die sich aus mehreren Wörtern zusammensetzen. Ein Nonsens-Satz ist leichter zu merken als eine zufällige Abfolge von Zeichen und kann sogar noch schwerer geknackt werden.

Und natürlich: Behalten Sie Ihr Kennwort für sich!

Erinnern Sie Ihre Benutzer daran, ein Kennwort, einschließlich ihr Salesforce-Kennwort, nie weiterzugeben, weder online noch von Person zu Person. Nicht mal an Salesforce-Administratoren!

Fallen Sie nicht auf Phishing herein

Bei den meisten Angriffen kommt Malware (Schadsoftware) zum Einsatz, um einen Computer mit Code zu infizieren, der Kennwörter oder Daten stehlen oder ganze Computer oder Netzwerke lahmlegen soll.

Glücklicherweise müssen Sie kein Sicherheitsexperte sein, um Malware den Riegel vorzuschieben.

Suchen Sie nach dem Betreff

Schärfen Sie Ihren Benutzern ein, keine Links in verdächtigen E-Mails anzuklicken oder deren Anhänge zu öffnen. Bei Phishing-E-Mails wird das normale menschliche Verhalten ausgenutzt, um Sie zum Öffnen einer E-Mail zu verführen. Vielleicht wird Ihnen mitgeteilt, dass ein Päckchen auf dem Weg zu Ihnen ist oder die Gehaltsabrechnung bereitsteht. Wenn Sie unsicher sind, googeln Sie den Betreff der E-Mail. So können Sie feststellen, ob andere Quelle die E-Mail als Phishing-Angriff gemeldet haben.

Machen Sie sich Gedanken zur Quelle

Weisen Sie Benutzer an, erst einmal nachzudenken, bevor sie auf Links in E-Mails klicken. Sie sollten immer die Adresse des Absenders überprüfen und den Mauszeiger über Links bewegen, um diese zu validieren. Wenn im Link beispielsweise steht, dass er von Salesforce kommt, bewegen Sie zuerst den Mauszeiger über den Link. So sehen Sie, ob der URL mit salesforce.com endet.

Fragen Sie bei Salesforce nach

Wenn Sie nicht sicher sind, ob eine E-Mail von Salesforce stammt, leiten Sie sie an die Sicherheitsfachleute Ihres Unternehmens oder an security@salesforce.com weiter. Das Sicherheitsteam Ihres Unternehmens arbeitet eng mit dem Salesforce Trust-Team zusammen, um böswillige E-Mails zu identifizieren. Sie können auch trust.salesforce.com aufrufen und die Liste der aktuellen E-Mail-Bedrohungen einsehen, die dem Trust-Team bekannt sind.

Informieren Sie Ihre Benutzer gut

Kleine Änderungen im Benutzerverhalten können viel bewirken. Wenn das Sicherheitsteam von Salesforce an unsere eigenen Mitarbeiter Phishing-E-Mails sendet, zeigt sich immer wieder, dass Personen, die an unserer Sicherheitsschulung teilgenommen haben, nur halb so oft auf Phishing-Links klicken und diese fast doppelt so oft melden als Mitarbeiter, die die Schulung nicht absolviert haben. Wiederholen Sie diese Schulung regelmäßig. Sie können sogar Anmelde-Flows verwenden, um Benutzer an diese Prinzipien zu erinnern oder sie mit den Schulungsmaterialien zu verlinken.

Gehen Sie sparsam mit Rechten um

Eine wichtige Sicherheitsmaßnahme besteht darin, Benutzern nur so viel Zugriff zu gewähren, wie sie zur Ausübung ihrer Tätigkeit benötigen. Dies nennt sich "Prinzip der geringsten Rechte".

Ein Geschäftsanalyst muss beispielsweise keine Rechnungsdaten von Kunden einsehen können. Beschränken Sie die Anzahl der Benutzer mit Administratorrechten und stellen Sie regelmäßig sicher, dass dieselben Personen Administratorberechtigungen haben. Wer welchen Zugriff benötigt kann sich im Laufe der Zeit ändern.