Blog Datensicherheit

Anatomie eines Salesforce-Datenlecks: Stoppen von Benutzeridentitätsdiebstahl

Wie ein böswilliger Akteur sich systematisch als Benutzer ausgibt, um Millionen von Salesforce-Datensätzen zu stehlen.
 

Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.

Nolan Necoechea
3 Min. Lesezeit
Letzte Aktualisierung am 1. September 2025
Salesforce breach story

Contents

    Ein böswilliger Akteur, der sich als Benutzer ausgibt, ist in Salesforce unglaublich schwer zu erkennen. Sobald ein böswilliger Akteur legitime Anmeldedaten erlangt hat, kann er sich als Administrator ausgeben, auf sensitive Daten zugreifen und diese exfiltrieren – oft ohne einen Alarm auszulösen. 

    Indem sie zwischen Benutzeridentitäten wechseln, können Angreifer im Lärm großer Organisationen untertauchen. Mit komplexen Hierarchien von Profilen, Berechtigungssätzen, Rollen und Systemberechtigungen sind diese Angriffe in Salesforce schwer zu lokalisieren und zu verhindern. 

    In diesem Artikel gehen wir auf einen realen Angriff ein, bei dem Millionen von Datensätzen abgefangen wurden, und zeigen Ihnen, wie Sie Angriffe durch Benutzeridentitäten verhindern können. 

    Die Anatomie des Datenlecks 

    Ein großes multinationales Unternehmen wandte sich an uns, nachdem es entdeckt hatte, dass Millionen von Datensätzen aus ihrem Salesforce CRM exfiltriert worden waren. Nach einer eingehenden Untersuchung haben wir herausgefunden, wie der Angreifer unbemerkt entkommen konnte. 

    So kam es zu der Datenschutzverletzung: 

    • Ein ehemaliger Mitarbeiter, der mit der Salesforce-Umgebung des Unternehmens vertraut war, überzeugte den Helpdesk, sein Passwort zurückzusetzen. 
    • Nach dem Zurücksetzen wurde das Konto entsperrt und alle vorherigen Berechtigungen wurden wiederhergestellt. Anschließend haben sie ihre Berechtigung zum Super-Admin hochgestuft. 
    • Sobald sie über Super-Admin-Rechte verfügten, begannen sie, sich systematisch als Benutzer auszugeben und nach sensitiven Daten zu suchen. 
    • Auf den ersten Blick schienen diese Sitzungen routinemäßig zu sein. Ohne genaueres Hinsehen sahen die Sitzungen wie routinemäßige IT-Support-Aktivitäten aus, aber die Häufigkeit und der Zeitpunkt ließen bei unserer Risikobewertung die Alarmglocken schrillen. 
    • Schließlich nutzte der Angreifer eine ungesicherte Drittanbieter-App, um Millionen von Datensätzen unbemerkt zu exfiltrieren. 

    Diagnose des Salesforce-Datenrisikos 

    Mit mehr als einer Million Benutzern war diese Umgebung von Natur aus schwer zu verwalten, aber einige vermeidbare Hauptrisiken trugen zu dem Datenleck bei.  

    Folgendes haben wir herausgefunden: 

    1. Eingefrorene Konten mit Administratorrechten

    Die Organisation hatte mehr als 600 Super-Admin-Konten, von denen viele eingefroren waren. Diese eingefrorenen Konten behielten jedoch weiterhin volle Berechtigungen. In Salesforce werden durch das Einfrieren eines Kontos dessen Berechtigungen nicht entfernt. Bei einer Reaktivierung erhält das Konto alle vorherigen Zugriffsrechte zurück. 

    Dies stellt ein erhebliches Risiko dar. Bedrohungsakteure wie Scattered Spider nutzen Social Engineering, um Helpdesks dazu zu bringen, Passwörter und MFA zurückzusetzen, wodurch eingefrorene Konten mit intakten Rechten reaktiviert werden. 

    2. Veraltete App-Zuweisungen

    Die Organisation hatte Dutzende veralteter App-Zuweisungen. Diese veralteten App-Zuweisungen behalten oft OAuth-Tokens und Berechtigungen bei, wodurch eine Hintertür für Angreifer oder böswillige Insider geschaffen wird, um auf sensitive Daten zuzugreifen und diese zu exfiltrieren. 

    3. Produktionsdaten in einer Sandbox-Umgebung

    Das vielleicht alarmierendste Problem ist, dass die Produktionsdaten dieses Unternehmens mit einer riesigen Sandbox-Umgebung synchronisiert wurden. Sandboxes fehlen in der Regel die strengen Kontrollen von Produktionsumgebungen, was zu einer gefährlichen Mischung aus sensitive Daten und schwächeren Zugriffskontrollen führt. 

    Automatically remediate user risk with Varonis for Salesforce.
    Learn more
    VaronisCloud@2x

    So verhindern Sie Benutzerimitation in Salesforce 

    Obwohl die Nachahmung eines Benutzers schwer zu erkennen ist, war dieses Datenleck vermeidbar. So schließen Sie die Lücken: 

    Nicht verwendete Berechtigungen entfernen 

    Prüfen und beseitigen Sie Berechtigungen, die nicht mehr benötigt werden. Wenn Sie ein Konto einfrieren, entfernen Sie seine Berechtigungen, um die Angriffsfläche zu verringern und Audits zu vereinfachen. Regelmäßige Überprüfungen helfen dabei, das Least-Privilege-Prinzip durchzusetzen

    Veraltete App-Zuweisungen widerrufen 

    Überprüfen Sie den Zugriff auf Drittanbieter-Apps und entfernen Sie Zuweisungen, die nicht mehr relevant sind. Dadurch wird eine unnötige Exposure vermieden und das Risiko einer Datenexfiltration durch vergessene Integrationen verringert. 

    Trennen Sie Produktions- und Sandbox-Daten. 

    Die beste Praxis ist, keine Produktionsdaten in Sandbox-Umgebungen zu synchronisieren. Halten Sie Umgebungen isoliert, um versehentliche exposure zu verhindern und stärkere Zugriffskontrollen aufrechtzuerhalten. 

    So hilft Varonis 

    Die obige Empfehlung kann schwierig umzusetzen sein, insbesondere in einem großen Unternehmen. Varonis bietet die umfassendste Salesforce-Sicherheitslösung zur Eliminierung von Risiken und Erkennung von Bedrohungen mit automatisierten Sanierungen, um sicherzustellen, dass Sicherheit und Bedrohungserkennung skaliert werden.  

    Herabstufung der Berechtigungen auf einen angemessenen Umfang 

    Varonis zeigt Ihnen die effektiven Berechtigungen jedes Benutzers und wie er diese mithilfe automatisierter Sanierung erhalten hat, beispielsweise durch das Entfernen von Berechtigungen aus eingefrorenen oder veralteten Konten. 

    Risiko von Drittanbieter-Apps verwalten 

    Varonis entdeckt alle verbundenen Drittanbieter-Apps, bewertet deren Risiko und überwacht ihre Aktivität. Es kann nicht genehmigte oder ungenutzte App-Verbindungen automatisch entfernen. 

    Anomale Aktivität erkennen 

    Varonis überwacht Salesforce und Ihren gesamten Datenbestand proaktiv auf verdächtiges Verhalten, einschließlich Berechtigungseskalation, Massenzugriff auf Objekte und Datenexfiltration. Varonis korreliert Identitäten über Apps hinweg, um Bedrohungen wie einen Benutzer aufzudecken, der sich über Okta anmeldet, auf Salesforce zugreift und Daten an ein persönliches Konto sendet. 

    Testen Sie Varonis for Salesforce 

    Um Ihre sensitiven Daten zu schützen, müssen Sie wissen, wo sie gespeichert sind, wer darauf zugreifen kann und was mit ihnen geschieht. Nur Varonis vereint all dies auf einer Plattform. 

    Varonis schützt Salesforce und andere SaaS-Apps sowie Cloud- und lokale Daten. 

    Möchten Sie herausfinden, welche Risiken in Ihrer Salesforce-Umgebung bestehen? Starten Sie noch heute eine kostenlose Data Risk Assessment

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Nolan Necoechea
    Nolan Necoechea Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Varonis kündigt eine strategische Partnerschaft mit Microsoft an, um die Zukunft der KI zu sichern.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Yaki Faitelson
    18. August 2025
    Unternehmen schließen sich zusammen, um skalierbare Datensicherheit, Governance und Compliance für das KI-Zeitalter bereitzustellen
    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Ein Leitfaden zur KI-Datensicherheit: Warum sie wichtig ist und wie man es richtig umsetzen
    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Lexi Croisdale
    11. Juli 2025
    Erfahren Sie mehr darüber, was KI-Datensicherheit wirklich bedeutet, warum sie wichtig ist und wie Sie sensitive Daten schützen, die von KI-Systemen und -Workflows verwendet oder von diesen offengelegt werden.
    verborgene-risiken-von-shadow-ai
    Verborgene Risiken von Shadow AI
    verborgene-risiken-von-shadow-ai
    Jonathan Villa
    11. Juli 2025
    Shadow AI ist auf dem Vormarsch, da Mitarbeitende nicht genehmigte KI-Tools verwenden. Erfahren Sie, welche Risiken dies für Sicherheit und Compliance darstellt und wie Sie verantwortungsvoll damit umgehen.