07.12.2022 – Kategorie: IT-Sicherheit, Sponsored-Post

Sponsored Post

Wertvoll und doch oft ungeschützt: Wie man Kundendaten effektiv sichert

VertriebsdatenQuelle: carlos muza/unsplash

Wenn leitende Vertriebsmitarbeitende das Unternehmen verlassen, stellt dies für ihre Arbeitgeber eine Herausforderung dar. Nicht nur, dass die Stelle adäquat neu besetzt werden muss, meist besteht auch die begründete Annahme, dass sie ihre wichtigsten Kontakte mitnehmen. Besonders problematisch wird es jedoch, wenn sie Projektdaten entwenden, was das Security-Team häufig nicht bemerkt.

Mehr und mehr werden auch Projektdaten in der Cloud gespeichert. Dabei gehen viele Führungskräfte davon aus, dass ihre Daten in den Cloud-Anwendungen effektiv geschützt sind. Das ist jedoch eine gefährliche Fehlannahme: Cloud-Anbieter sind für die Sicherheit der Applikationen, Rechenzentren und Infrastruktur verantwortlich. Die Verantwortung für die Sicherheit der Daten liegt hingegen ausschließlich auf Seiten der Kunden bzw. Anwender. Dieses mangelnde Bewusstsein für die geteilte Verantwortung führt häufig zu gravierenden Sicherheitslücken. So wurde bei einem weltweit tätigen Unternehmen einer Gruppe von Auftragnehmern Zugang zur Salesforce-Instanz des Unternehmens gewährt. Noch Monate nachdem die Projekte beendet waren, konnten sich die ehemaligen Auftragnehmer immer noch anmelden und auf die Daten des Unternehmens zugreifen – was sie auch taten. Und dies ist sicher kein Einzelfall.

Vertriebsdaten sind von größter Bedeutung

Die Daten in einem CRM-System sind wertvoll und sensitiv: Vertriebsdaten enthalten nicht nur personenbezogene und regulierte Informationen wie Namen, Adressen, Telefonnummern oder E-Mails, die geschützt werden müssen. Sie sind vielmehr auch der Schlüssel zu den Vertriebsaktivitäten eines Unternehmens. Wenn sie verloren gehen, geht wahrscheinlich auch ein Großteil des Vertriebserfolges verloren. Für viele Unternehmen sind deshalb diese Daten von größter Bedeutung, zumal sie ihre CRM-Systeme für alle möglichen kritischen Arbeitsabläufe nutzen, die auch Verträge, Rabatte, Angebote, Kundenvorgänge, Zahlungsinformationen und andere sensitive Dokumente umfassen.

Es ist in der Tat ein erschreckendes Szenario, dass Cyberkriminelle oder ehemalige Mitarbeitende und Partner persönliche Daten der Kunden entwenden und weitergeben könnten. In der gegenwärtigen Bedrohungslage muss dies jedoch unbedingt in Betracht gezogen werden. Dabei kann neben der Gefährdung der Vertriebs-Pipeline auch der Ruf des Unternehmens geschädigt werden, von hohen Bußgeldern aufgrund von Datenschutzverstößen (DSGVO) ganz zu schweigen.

Leider ist der Schutz von CRM-Daten eine recht komplexe Aufgabe. Viele Cloud-Anwendungen (und insbesondere CRM-Anwendungen) sind so komplex geworden, dass sie ein hohes Maß an Fachwissen erfordern, um sie zu verstehen und entsprechend schützen zu können. Sie wurden entwickelt, um das Erstellen, Freigeben und Analysieren von Vertriebsdaten zu erleichtern. Sicherheit spielte dabei eher eine Nebenrolle. Zudem verlassen sich viele auf die nativen Sicherheitsfunktionen der jeweiligen Anwendung. Besonders kritisch wird es, sobald Anwender Dokumente in die entsprechenden Tools hochladen können: Hierbei verlieren Sicherheitsverantwortliche häufig die Kontrolle und ein Datenabfluss kann auf einem „unbekannten“ Weg erfolgen bzw. wird nicht mehr sichtbar.

Die Daten in einem CRM-System sind wertvoll und sensitiv. (Bild: joshua sortino/unsplash)

Warum der Schutz der Vertriebsdaten so schwierig ist

Entsprechend schwierig ist es auch, von Cloud-Anwendungen Antworten auf die dringendsten Fragen zur Datensicherheit und zum Datenschutz zu bekommen. Wer kann auf welche vertraulichen Daten zugreifen? Worauf hat ein bestimmter ehemaliger Mitarbeitender vor seinem Weggang zugegriffen? Ist die Instanz richtig konfiguriert? Jede dieser Fragen führt auf einen anderen Weg.

Nehmen wir Salesforce als Beispiel: Hierbei handelt es sich im Wesentlichen um eine umfangreiche, komplexe Datenbank mit vielen Arten von Datensätzen, zum Beispiel Account-Datensätze für potenzielle Kunden, Kontaktdatensätze für Personen, mit denen man in Kontakt treten möchte, und Opportunity-Datensätze für Angebote, an denen gerade gearbeitet wird. Jedem Datensatz sind zahlreiche Felder zugeordnet, zum Beispiel das Adressfeld, Notizen, Kosten und Verweise auf Personen im Konto. Für die Security-Teams ist eine Cloud-Anwendung zumeist eine „Black Box“. Sie wissen nicht, wie sie funktioniert oder was in ihrem Inneren vor sich geht.

Taucht man ein, erkennt man, dass es umfassende organisatorische Einstellungen, rollenbasierte Zugriffsmöglichkeiten, organisatorische Hierarchien, Vertriebsmodelle (Gebiet vs. Produkt) und fein abgestimmte Zugriffskontrollen bis hinunter auf Objekt- und Feldebene gibt. Zudem gibt es noch Anwendungs-, System- und Freigabeeinstellungen. Was es nicht gibt: Native Möglichkeiten, Berechtigungen Instanz-übergreifend zu verwalten oder einen ganzheitlichen Überblick über Zugriffsaktivitäten zu erhalten.

Einige Salesforce-Administratoren versuchen sich zu helfen, indem sie riesige Excel-Tabellen erstellen und pflegen, nur um nachvollziehen zu können, wer Zugriff auf was hat. Das Verstehen von Änderungen, das Auffinden sensibler und regulierter Daten und das Nachverfolgen von Aktivitäten ist eine ebenso große Herausforderung und erfordert zusätzliche Module, zusätzliche Konfigurationen und jede Menge Fachwissen und Zeit.

Es ist völlig unmöglich für die Sicherheitsverantwortlichen, bei sämtlichen Konfigurationsoptionen und Mechanismen jeder eingesetzten SaaS-Anwendung und jedes genutzten Cloud-Infrastrukturdienstes auf dem Laufenden zu sein. Ebenso ist es unrealistisch, von den Anwendungsspezialisten zu erwarten, dass sie umfangreiche Tabellenkalkulationen führen und diese einmal im Quartal den Compliance- und Sicherheitsteams erklären.

Wie Unternehmen ihre Sales-Daten schützen

Für Cyberkriminelle sind Vertriebsdaten ein überaus interessantes Ziel. Deshalb müssen Sicherheitsverantwortliche ihnen den Zugang so schwer wie möglich machen. Um kritische Daten wie Vertriebsinformationen zu schützen, müssen sie erfassen können, wer darauf zugreifen kann und wo sich die sensitivsten Daten befinden. Anhand dieser Informationen können sie das Risiko und die entsprechenden Maßnahmen priorisieren.

Am besten beginnt man dort, wo der Nutzen hoch und der Aufwand gering ist. Datenrisikobewertungen decken Unmengen sensitiver Daten auf, die zwar allgemein zugänglich sind, aber selten genutzt werden, wie eine vollständige Kopie der Vertriebsdatenbank, die zu Testzwecken hochgefahren, aber nie abgeschaltet wurde. Häufig werden durch Risk Assessments auch übermäßige Berechtigungen aufgezeigt. Viele User verfügen über weitreichende Berechtigungen, die sie entweder nie nutzen oder nicht benötigen. Diese müssen identifiziert und eliminiert werden.

Hilfestellung durch Table-Top-Übungen

Als hilfreich erweisen sich zudem sogenannte Table-Top-Übungen, bei denen man sich auf die CRM-Daten konzentriert: So kann man beispielsweise durchspielen, was der Weggang eines Sales Managers für Auswirkungen haben könnte. Auf wie viele und welche Datensätze bestand Zugriff? Wäre es aufgefallen, wenn die Person kurz vor dem Ausscheiden auf eine große Anzahl von Datensätzen zugegriffen hätte?

Sicherheitsverantwortliche sollten stets davon ausgehen, zum Opfer eines Cyberangriffs geworden zu sein. Folgen sie diesem „Assume Breach“-Ansatz, sind sie in der Lage, ihre wertvollen Daten effektiv zu schützen, ganz gleich, wo diese Daten gespeichert wurden und ob es sich um externe Angreifer oder Insider handelt. CRM-Systeme sind kompliziert, der Schutz der darin enthaltenen Daten muss es aber nicht sein, wenn man sicherstellt, dass nur die richtigen Personen Zugriff auf die richtigen Daten haben und dass diese auf die richtige Weise genutzt werden.

Varonis IT-Security-Trends
Bild: Varonis

Über den Autor: Michael Scheffler ist Country Manager DACH von Varonis Systems.


Teilen Sie die Meldung „Wertvoll und doch oft ungeschützt: Wie man Kundendaten effektiv sichert“ mit Ihren Kontakten:


Scroll to Top