OAuth Verbundene Anwendungskontrolle: Sperren Sie Ihre Salesforce-Umgebung, bevor sich Angreifer anmelden

Hat sich eine App schon einmal ohne Vorwarnung in Ihre Salesforce-Umgebung eingeschmuggelt? Das passiert häufiger, als Sie denken – und Angreifer zählen darauf. 

Das neue Feature API Zugriffskontrolle von Salesforce verhindert jedoch, dass unerwünschte Apps eine Verbindung zu Ihrer Umgebung herstellen. Stellen Sie es sich wie einen Sicherheitskontrollpunkt vor, an dem nur vertrauenswürdige Apps vorbeikommen und zwar erst, nachdem Sie es zulassen.

Wenn OAuth-Phishing zu Hause zuschlägt

In einer kürzlich durchgeführten Phishing-Kampagne lag der Fokus mehr auf dem Stehlen von Vertrauen als auf Passwörtern. Salesforce-Anwender wurden dazu verleitet, eine bösartige OAuth-App zu autorisieren, die ein legitimes Produktivitätstool nachahmte. Einmal genehmigt, erlangte die App dauerhaften Zugriff auf Gmail, Drive und andere Dienste, umging die MFA und arbeitete unbemerkt im Hintergrund.

Ohne API-Zugriffskontrolle kann jeder Anwender eine App autorisieren, die nie überprüft oder installiert wurde. Auf diese Weise schleichen sich Angreifer ein.

An dieser Stelle wird das Least-Privilege-Prinzip der ausschlaggebende Faktor. Wenn jeder Anwender die Möglichkeit hat, umfangreichen Zugriff zu erteilen, erweitert sich die Angriffsfläche dramatisch. Das Least-Privilege-Prinzip bedeutet, den Zugriff auf das Notwendigste zu beschränke  und zwar nur für diejenigen, die ihn wirklich benötigen.

Durch das Durchsetzen strengerer Kontrollen darüber, wer Apps autorisieren kann und was diese Apps tun können, verkleinern Unternehmen die Chance für Angreifer.

Die neuen Steuerungsfunktionen von Salesforce ändern die Spielregeln:

• Apps müssen installiert sein, bevor sie eine Verbindung herstellen können.
• Der Zugriff kann auf bestimmte Anwender abgegrenzt werden.
• Admins müssen die Blockierung manuell aufheben.

Das Least-Privilege-Prinzip ist eine einfache, aber wirkungsvolle Methode, OAuth-basierte Angriffe zu stoppen, bevor sie starten. Es gibt die Kontrolle zurück, wo sie hingehört – in die Hände Ihres Sicherheitsteams.

Nachdem wir nun die wichtigsten Änderungen skizziert haben, lassen Sie uns untersuchen, warum sie wichtig sind und wie sie die App-Governance in Salesforce neu gestalten.

Was API-Zugriffskontrolle ändert

Unabhängig von ihrer Rolle können alle Salesforce-Anwender zurzeit eine Anwendung autorisieren, in ihrem Namen zu handeln. Dieses offene Konzept kann aus mehreren Gründen riskant sein, besonders wenn Angreifer ahnungslose Anwender ins Visier nehmen und sie dazu verleiten, Zugriff auf bösartige Apps über OAuth-Abläufe zu erteilen.

Sobald diese Apps genehmigt wurden, können sie unbemerkt sensible Unternehmensdaten abschöpfen, sich als Anwender ausgeben oder sogar die Multifaktor-Authentifizierung umgehen. Ohne angemessene Zugangskontrolle verlieren Unternehmen die Übersicht und Kontrolle darüber, welche Apps in ihrer Umgebung aktiv sind und Bedrohungen können leichter übersehen werden.

Da Angreifer immer raffinierter werden, wird aus diesem Mangel an Beaufsichtigung eine eklatante Schwachstelle, die zu Datenlecks, Compliance-Verstößen und Reputationsschäden führen kann. Bedrohungen verwenden nicht mehr nur Data Loader – sie nutzen mehrere mit OAuth verbundene Apps aus, um die herkömmliche Authentifizierung zu umgehen und dauerhaften Zugriff zu erlangen.

Das neue Standardverhalten von Salesforce hilft dabei, diese Tür zu schließen. Das funktioniert folgendermaßen:

• Neu installierte Anwendungen setzen nun voraus, dass Anwender vor der Nutzung der App vorab autorisiert werden, auch wenn sie bereits vorher installiert war.
• Nicht verwaltete Apps sind standardmäßig blockiert. Wenn eine App versucht, eine Verbindung herzustellen, ohne installiert zu sein, wird sie automatisch blockiert.
• Eine manuelle Genehmigung ist erforderlich. Nach der Installation müssen Administratoren:
  • Zugriff für eine vorab autorisierte Liste von Anwendern genehmigen
  • Heben Sie die Blockierung der App auf, um zu bestätigen, dass sie vertrauenswürdig ist.
• Zuvor installierte Anwendungen müssen von einem Administrator gesichert werden. 

Dieser Prozess stellt sicher, dass keine App ohne bewusste administrative Beaufsichtigung Zugriff erhält – ein großer Gewinn für Sicherheitsteams.

Wenn Sie mit der Konfiguration von API-Zugriffskontrollen in Salesforce beginnen, ist es wichtig, die Mechanismen der Verwaltung verbundener Apps zu kennen. Die folgende Anleitung führt Sie durch die Schritte zur Angabe von Anwenderberechtigungen, zum Erteilen von Admingenehmigungen und zur Anpassung der OAuth-Richtlinien an die Sicherheitsanforderungen Ihres Unternehmens.

In Anbetracht der Risiken und der neuen Kontrollen sollten wir über die Konfiguration des Zugriffs auf verbundene Apps in Ihrer Salesforce-Organisation sprechen.

Zugriff auf eine verbundene App nach der Installation verwalten.

Nachdem Sie eine verbundene App in Ihrer Salesforce-Organisation installiert haben, können Sie den Zugriff verwalten, indem Sie die Einstellung „Genehmigte Anwender“ auswählen und konfigurieren, welche Anwender Zugriff darauf haben. Folgen Sie diesen Schritten: 

1. Geben Sie „Verbundene Apps“ in der Einrichtung im Feld „Schnellsuche“ ein und wählen Sie „Verbundene Apps verwalten“ aus.
2. Klicken Sie auf „Bearbeiten“ neben der verbundenen App, für die Sie den Zugriff konfigurieren.
3. Klicken Sie unter „OAuth-Richtlinien“ auf das Dropdown-Menü „Zugelassene Anwender“ und wählen Sie eine der folgenden Optionen aus.

Alle Anwender können sich selbst autorisieren: Diese Standardoption ermöglicht es allen Anwendern innerhalb der Organisation, die App zu autorisieren, nachdem sie sich erfolgreich angemeldet haben. Anwender müssen die App genehmigen, wenn sie sie zum ersten Mal aufrufen.

Admin-genehmigte Anwender sind vorab autorisiert: Diese Einstellung lässt nur den Zugriff von Anwendern auf die App mit dem entsprechenden Profil oder Berechtigungssatz ohne vorherige Autorisierung zu. Nachdem Sie diese Option gewählt haben, können Sie die Profile für die App verwalten, indem Sie die Liste „Zugriff auf verbundene Apps“ der einzelnen Profile oder die Liste „Zugewiesene verbundene Apps“ der einzelnen Berechtigungssätze bearbeiten.

Sie können den Zugriff einzelner Anwender nicht mit Profilen in einer Gruppenedition-Organisation verwalten. Sie können jedoch den Zugriff aller Anwender kontrollieren, wenn Sie die OAuth-Einstellungen einer verbundenen App ändern.

Über die Konfiguration hinaus ist es wichtig, die strategischen Auswirkungen der API-Zugangskontrolle zu kennen und wie sie ein Data-First-Sicherheitsmodell stärken.

Technischer Einblick: Warum die API-Zugriffskontrolle funktioniert

Die API-Zugriffskontrolle von Salesforce ist eine strategische Umstellung auf Data-First-Sicherheit. Durch die Zugangskontrolle von API-Verbindungen und die Durchsetzung manueller Vertrauensvalidierung unterstützt Salesforce Unternehmen dabei, von Perimeter-basierten Abwehrmaßnahmen abzuweichen und die Prinzipien Zero Trust und Least-Privilege-Prinzip zuzuwenden.

So funktioniert es und warum es wichtig ist:

• IP-Beschränkung: Wenn Admins eine neue App installieren, können sie den bekannten IP-Bereich der Drittanbieter-App nehmen und nur zulassen, Verbindungen von diesem angegebenen Bereich aus zu herzustellen. So werden die potenziellen Auswirkungen eines Angriffs auf den Drittanbieter reduziert.
• Verbindungskontrolle: Apps müssen installiert werden, bevor die Blockierung aufgehoben werden kann. Dies verhindert Drive-by-API-Verbindungen und erzwingt einen beabsichtigten Installationsprozess. Es ist eine einfache, aber wirkungsvolle Methode, um das Exposure gegenüber unseriösen OAuth-Abläufen zu reduzieren.
• Zugriffskontrolle auf Anwenderebene: Admins können den API-Zugriff auf bestimmte Anwender beschränken. Dies minimiert die Angriffsfläche, wenn eine Apps kompromittiert ist – eine kritische Fähigkeit, wenn Angreifer sich zunehmend mit gestohlenen Zugangsdaten anmelden.
• Manuelle Vertrauensvalidierung: Das Blockieren einer App ist eine beabsichtigte Aktion, keine Voreinstellung. Es gibt Admins Zeit, Verhalten, Berechtigungen und Risiko der App zu prüfen, bevor der Zugriff erteilt wird. Es ist ein Wechsel g von reaktiver zu proaktiver Sicherheit.
• Durchsetzung als Ausgangsbasis: Salesforce geht dazu über, dieses Verhalten als Standard für alle Organisationen einzuführen. Das bedeutet eine allgemein stärkere Sicherheitslage – auch für Teams, die noch kein Zero Trust-Modell übernommen haben.

Diese mehrschichtige Verteidigung entspricht der Grundüberzeugung von Varonis: Daten sind der Ort, wo der Schaden entsteht und um sie zu schützen, bedarf es mehr als nur einer Perimeter-Verteidigung. API-Zugriffskontrolle trägt dazu bei, das Least-Privilege-Prinzip auf der Integrationsebene durchzusetzen, einem kritischen Schwachpunkt in vielen Umgebungen.

Diese Änderungen betreffen nicht nur Admins. Sie verändern auch das Erlebnis für alltägliche Salesforce-Anwender.

Wie sich dies auf Salesforce-Endbenutzer auswirkt

Wenn Sie ein Salesforce-Anwender sind, bedeutet API-Zugriffskontrolle Folgendes für Sie: 

• Neu installierte Apps setzen nun vorab autorisierte Anwender voraus.
• Möglicherweise sind anfangs weniger Apps verfügbar. Der Grund dafür ist, dass nicht verwaltete Apps nun standardmäßig blockiert sind. Wenn Sie versuchen, eine Verbindung zu einer App herzustellen, die nicht funktioniert, wartet diese wahrscheinlich auf die Admin-Genehmigung.
• App-Zugriff erfolgt nicht mehr automatisch. Auch wenn Sie eine App bereits zuvor verwendet haben, muss sie möglicherweise neu installiert und gemäß der neuen Richtlinie genehmigt werden. Dies trägt dazu bei, dass Ihre Umgebung sicher bleibt.
• Admins sind Ihre erste Anlaufstelle für den Zugriff. Wenn Sie eine bestimmte App für Ihre Arbeit benötigen, kontaktieren Sie Ihren Admin mit dem Namen der App und warum Sie sie benötigen. Der Zugriff wird überprüft und genehmigt, wenn er sicher ist.
• Sicherheit ist eine Teamleistung. Diese Änderungen tragen dazu bei, Ihr Unternehmen vor OAuth-basierten Angriffen zu schützen. Wenn Sie den neuen Prozess befolgen, tragen Sie dazu bei, dass sensitive Daten geschützt bleiben.

Tipp: Wenn Sie sich nicht sicher sind, warum eine App nicht funktioniert, fragen Sie Ihren Admin vor der Fehlerbehebung. Eventuell wurde sie durch die API-Zugriffskontrolle blockiert.

Die Botschaft von Salesforce: Das ist die neue Normalität

Salesforce gab vor kurzem bekannt, dass dieses Verhalten die Standardgrundlage für alle Organisationen wird. Das ist eine bedeutende Veränderung gegenüber dem heutigen Opt-in-Modell – ein klares Signal, dass die Plattform die App-Governance ernst nimmt.

Es bestätigt auch, was wir bei Varonis schon immer gesagt haben: Angreifer nutzen OAuth-Abläufe aus und Unternehmen brauchen bessere Kontrollen, um sie zu stoppen.

Um OAuth-basierten Bedrohungen einen Schritt voraus zu bleiben, sollten Salesforce-Admins diesem Aktionsplan folgen:

• Überprüfen Sie Ihre verbundenen Apps und deinstallieren Sie alles, was nicht verwaltet oder nicht verwendet wird.
• Richten Sie Genehmigungsworkflows für neue App-Installationen ein
• Schulen Sie Ihre Admins und Anwender in dem neuen Prozess und warum er wichtig ist.

Schützen Sie Ihre Salesforce-Daten.

Ob Sie Admin oder Endanwender sind, diese Änderungen sind Teil einer größeren Verlagerung hin zu proaktiver Sicherheit.

Um Ihnen die Navigation zu erleichtern, bieten wir kostenlose Salesforce Data Risk Assessments an. Diese Bewertungen fassen Ihre Datensicherheitsrisiken zusammen und liefern umsetzbare Empfehlungen für einfachere, sicherere Berechtigungsstrukturen.

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.