Tobias Müller-von Bloh, Lead Center of Excellence Salesforce bei T-Systems MMS

In unserem digitalen Zeitalter ist immer häufiger von Cyberangriffen und Online-Kriminalität zu hören, daher nehmen Themen wie Datensicherheit stetig an Bedeutung zu. Salesforce reagiert gezielt auf diese Gefahren mit der Verpflichtung zur Multi-Faktor-Authentifizierung (MFA). Doch was bedeutet die MFA-Pflicht für Salesforce-Nutzer*innen? Was ist zu beachten? Und wie können Unternehmen unterstützt werden?

Unternehmen stehen vor der konstanten Herausforderung, sich allzeit gegen häufende Hacker-Angriffe und andere Cyberbedrohungen rüsten zu müssen. Zum einen werden digitale Übergriffe wie Phishing-Attacken, Credential Stuffing und Kontoübernahmen immer ausgeklügelter und somit gefährlicher. Zum anderen finden Datenleaks oft auch ihren Ursprung im fahrlässigen Umgang mit Login-Informationen. In diesem Zusammenhang entsteht ein besonders hohes Sicherheitsrisiko durch viele Nutzer*innen, welche dieselben Passwörter für verschiedene Dienste zur gleichen Zeit benutzen.

Daraus ergibt sich die Frage, wie die Unternehmens-IT sensible Kundendaten zuverlässig gegen Unachtsamkeiten und Cybergefahren schützen kann. Salesforce hat eine simple Antwort darauf gefunden: mit der Multi-Faktor-Authentifizierung.

WAS IST DIE MULTI-FAKTOR-AUTHENTIFIZIERUNG?

Anfang des Jahres kündigte Salesforce an, dass der Zugriff auf Salesforce-Produkte ab dem
01. Februar 2022 nur noch mit einer Multi-Faktor-Authentifizierung, kurz MFA, möglich sein wird.

Der Anmeldeprozess wird dabei um eine Sicherheitsebene erweitert, bei der Benutzer*innen zusätzlich zu ihrem Kennwort zur Eingabe eines zweiten Identitätsnachweises („Faktors“) aufgefordert werden:

  1. Der erste Faktor ist dem Benutzer und der Benutzerin bekannt: Benutzername und Kennwort.
  2. Der zweite Faktor sind Überprüfungsmethoden im Besitz der Benutzerin oder des Benutzers, bspw. Authentifizierungsanwendungen oder Sicherheitsschlüssel.

Im Grunde gilt: Je mehr und desto unterschiedlichere Authentifizierungsfaktoren mit dem Benutzerzugriff verknüpft sind, desto besser ist Ihre Salesforce-Instanz geschützt.

Das Prinzip der Multi-Faktor-Authentifizierung

WELCHE ÜBERPRÜFUNGSMETHODEN SIND ZUGELASSEN?

E-Mail, SMS und Telefonanrufe sind von Salesforce nicht als sichere MFA-Überprüfungsmethoden zugelassen. Das hat den Hintergrund, dass Anmeldeinformationen in E-Mails einfacher ausgespäht und Textnachrichten sowie Telefonanrufe ebenso relativ leicht abgefangen werden können.

Stattdessen gibt es drei Möglichkeiten, den zweiten Faktor zu authentifizieren. Diese zugelassenen Überprüfungsmöglichkeiten bieten ein höheres Maß an Sicherheit, da die Kontrolle über ein Mobilgerät oder einen physischen Sicherheitsschlüssel für Angreifer sehr viel schwieriger zu erlangen ist:

Varianten der Multi-Faktor-Authentifizierung

  • Salesforce Authenticator-Anwendung: Schnelle, kostenlose Authentifizierung über die App
  • TOTP-Authentifizierungsanwendung eines Drittanbieters: z.B. Google Authenticator, Microsoft Authenticator
  • U2D- oder WebAuthn- Sicherheitsschlüssel: z.B. YubiKey, Titan Security Key

Neben der direkten MFA-Aktivierung in den Salesforce-Produkten besteht ebenso die Möglichkeit, den MFA-Service Ihres eigenen Single-Sign-On-Anbieters (SSO) zu verwenden.  Sind SSO- und Nicht-SSO-Benutzer*innen gemischt, so können diese Optionen kombiniert werden. Weiterhin ist darauf hinzuweisen, dass die MFA von Salesforce nicht zusätzlich aktiviert werden muss, falls das SSO-System des Unternehmens die MFA verwendet und Anwender*innen ausschließlich über SSO einen Zugriff auf Salesforce-Produkte haben. Mit der folgenden Übersicht kann einfach nachvollzogen werden, in welchen Fällen die Implementierung einer MFA notwendig ist:

Self-Check: Ist die Umstellung auf MFA für Sie notwendig?

BEI WELCHEN PRODUKTEN MUSS DIE MFA AKTIVIERT WERDEN?

Alle Salesforce-Produkte (inklusive Partner-Lösungen) müssen diese Anforderung erfüllen. Dabei ist die MFA-Aktivierung bereits jetzt für folgende Produkte möglich:

  • Produkte, die auf der Salesforce-Plattform basieren:

Sales Cloud, Service Cloud, Analytics Cloud, B2B Commerce Cloud, Experience Cloud, Branchenprodukte (Consumer Goods Cloud, Education Cloud, Financial Services Cloud, Government Cloud, Health Cloud, Manufacturing Cloud, Nonprofit Cloud, Philanthropy Cloud), Marketing Cloud – Audience Studio, Marketing Cloud – Pardot, Platform, Salesforce Essentials, Salesforce Field Service sowie Partnerlösungen

  • B2C Commerce Cloud
  • Marketing Cloud – Datorama
  • Marketing Cloud – Email Studio, Mobile Studio und Journey Builder
  • MuleSoft Anypoint-Plattform
  • Quip

Für alle anderen Produkte strebt Salesforce eine schnelle Bereitstellung der MFA-Funktion an, damit es auch hier genügend Zeit für die Implementierung geben wird.

WEN BETRIFFT DIE MFA-ANFORDERUNG?  

Die MFA ist für alle internen Benutzer*innen erforderlich, die sich bei Salesforce-Produkten, einschließlich der Partner-Lösungen, über die Benutzeroberfläche anmelden. Genauere Anforderungsdetails abhängig von Benutzer- und Anmeldetypen sowie Umgebungen sind in den folgenden Tabellen zu finden:

Benutzertyp

MFA erforder­lich?

Hinweise

Interne Benutzer*innen

Ja

Beinhaltet Administratoren, Entwickler, privilegierte Benutzer, Standardbenutzer und alle Benutzer, die autorisiert sind, im Namen eines Kunden zu agieren (z. B. Partner und Drittanbieter).

Externe Benutzer*innen

Nein

Kunden und Partner von Kunden, die sich bei Experience Cloud-Sites, E-Commerce-Sites, Hilfeportalen usw. anmelden, müssen die Multi-Faktor-Authentifizierung nicht verwenden.

Benutzer*innen von Chatter External und Chatter Free

Nein

  • Anforderungen der Multi-Faktor-Authentifizierung für Anmeldetypen und Authentifizierungsmethoden:

Anmeldetyp/Authentifizierungsmethode

MFA erforderlich?

Hinweise

Direkte Anmeldungen bei der Benutzeroberfläche

Ja

Gilt für alle Salesforce-Oberflächen, einschließlich mobiler Anwendungen.

Anmeldungen bei der API/Integration

Nein

Administratoren müssen sich mit der Multi-Faktor-Authentifizierung anmelden, um API-Verbindungen und Integrationen einzurichten.

Geräteaktivierung/Identitätsüberprüfung

Ja

Die Geräteaktivierung allein reicht für die Anforderung der Multi-Faktor-Authentifizierung nicht aus. Salesforce-Organisationen, die die Geräteaktivierung verwenden, müssen bei jeder Anmeldung auch die Multi-Faktor-Authentifizierung verlangen.

Wenn die Multi-Faktor-Authentifizierung für Marketing Cloud Email Studio, Mobile Studio und Journey Builder aktiviert wurde, ersetzt sie die Identitätsüberprüfung.

Delegierte Authentifizierung

Ja

Verbund-SSO (SAML, OpenID Connect)

Ja

Stellen Sie sicher, dass die Multi-Faktor-Authentifizierung für alle Salesforce-Benutzer aktiviert ist. Kunden sind komplett für den Schutz der durch ihren Identitätsanbieter verwendeten Accounts verantwortlich.

  • Anforderungen der Multi-Faktor-Authentifizierung für Organisations- und Mandantentypen:
Organisations-/MandantentypMFA erforderlich?
ProduktionsumgebungenJa
Sandbox-Umgebungen (Teilkopie, vollständig, Developer, Pro)Ja
TestorganisationenNein
Umgebungen mit Developer Edition und Partner Developer EditionJa
Trailhead PlaygroundsNein

WOBEI KÖNNEN WIR SIE UNTERSTÜTZEN?  

Vorbereitung, Einführung, Verwaltung – auf den ersten Blick simple Schritte. Für eine erfolgreiche MFA-Aktivierung und einen reibungslosen Übergang ist etwas mehr zu beachten. Folgende Fragen sind zu klären: 

  • Was sind die technischen Gegebenheiten im Unternehmen?
  • Welche Authentifizierungsmöglichkeiten passen am besten auf die Geschäfts- und Benutzeranforderungen?
  • Wie steht es um die Barrierefreiheit? Haben alle Beschäftigten ein (berufliches) Smartphone, mit dem die notwendige Authentifizierung möglich ist?
  • MFA und SSO – welche generelle Login-Methode ist die beste Wahl?
  • Wie werden Benutzer*innen auf die MFA vorbereitet? Wie werden die anstehenden Änderungen kommuniziert? Wie kann die Akzeptanz der MFA und Mitarbeiter*innen-Adoption sichergestellt werden?
  • Worauf muss das interne Supportteam geschult werden, damit Mitarbeitende auch nach der MFA-Aktivierung unterstützt und Fehler zügig während des laufenden Betriebs behoben werden können?

Als Salesforce Summit-Partner verfügen wir über langjährige Projekterfahrung mit breit aufgestellter Branchen-Expertise, mittels der wir Sie gerne bei der Strategieplanung, Gestaltung und Implementierung Ihrer Salesforce Multi-Faktor-Authentifizierung unterstützen.


Mithilfe des MFA-Enabler Beratungspakets geben wir Ihnen einen klaren und individuell abgestimmten Kurs für Ihren Rollout und lassen dabei keine Frage offen.


Dank unseres Salesforce Knowhows, einer vorausschauenden Planung und Wissen rund um das Change-Management finden wir mit Ihnen eine optimale Balance zwischen Projektaufwand, Implementierungskosten und User Experience.


Tobias Müller-von Bloh, Lead Center of Excellence Salesforce bei T-Systems MMS

Tobias Müller-von Bloh begleitet seit 2015 Salesforce-Projekte in der T-Systems MMS. In Großprojekten war er in der Rolle des Lead Consultants mit dem weltweiten Roll Out von Salesforce-Lösungen in der Automotive-, Medizin- und Telekommunikations-Branche betraut. In seiner jetzigen Rolle als Lead des Center of Excellence Salesforce bündelt Tobias die Salesforce-Expertise der T-Systems MMS und treibt Themen wie operationale Exzellenz, Business Development, Innovationen und Knowledge Management voran.