factory42 FachBlog

Ein neuer Sicherheitsbaustein für die Marketing Cloud: die Multi-Faktor Authentifizierung

Geschrieben von Alexander Diegelmann | 19.08.2020 07:54:09

Seit dem Sommer-Release 2020 unterstützt die Salesforce Marketing Cloud die sogenannte Multi-Faktor-Authentifizierung (MFA). Administratoren werden beim Log-in sogar extra mit einem Pop-Up darauf hingewiesen.
Doch was ist das? Wie und warum wird sie verwendet? Und muss ich für meine Marketing Cloud nun schnell aktiv werden? Unser Blog-Artikel erklärt die Funktion und die nächsten Schritte.

Wenn Sie Administrator in einer Marketing Cloud Instanz sind, dann erscheint für Sie nach dem regulären Log-in seit dieser Woche eventuell eine neue Meldung zur Multi-Faktor-Authentifizierung.

Was hat es damit auf sich?

Aktuell wird dieser Dialog nur den Administratoren angezeigt. Aber nach der initialen Einrichtung werden auch die anderen Nutzer durch ähnliche Meldungen in ersten Kontakt mit diesem Thema kommen. Daher ist es sinnvoll, sich frühzeitig mit der Multi-Faktor-Authentifizierung (MFA) vertraut zu machen.

Das Grundprinzip der MFA dürfte den meisten von uns bereits einige Male in unserem digitalen Alltag begegnet sein - besonders in der Form der sogenannten Zwei-Faktor Authentifizierung (2FA). Zum Beispiel bei der Anmeldung in einer Banking-App oder nach der Installation von WhatsApp, die jeweils die Eingabe eines zusätzlich via SMS gesendeten Nummerncodes erfordern. Immer häufiger, meist dann, wenn Datensicherheit in den Fokus rückt, kommt dieser Mechanismus zum Einsatz.

Der zugrunde liegende Ablauf bleibt hierbei jedes Mal gleich:
Durch die Verwendung von mindestens zwei unterschiedlichen Übertragungswegen und Geräten oder eines zusätzlichen biometrischen Faktors wie Fingerabdruck oder Iris-Scan wird sichergestellt, dass der sich Anmeldende der tatsächlich Berechtigte ist und nicht nur jemand, der auf irgendeinem Weg - zum Beispiel nach einer Phishing-Attacke - auf unrechtmäßige Weise an Anmeldenamen und Passwort gekommen ist.

Seit diesem Sommer unterstützt die Salesforce Marketing Cloud (SFMC) diese zusätzliche Stufe der Zugriffssicherung. Durch den berechtigten Administrator kann die neue Funktion aktiviert und sogleich von allen Usern benutzt werden.

Dabei gilt: Vorerst ist diese Funktion für alle bestehenden SFMC-Kunden optional, für zukünftige Neukunden laut Salesforce bereits verpflichtend. Diese Verpflichtung soll ab 2021 zusätzlich auf Bestandskunden ausgedehnt werden. Ein weiterer guter Grund, sich bereits jetzt mit diesem Thema zu beschäftigen.

Start durch den Administrator

Um die neue Funktion zum Einsatz zu bringen, muss der SFMC-Administrator diese in den Systemeinstellungen im Bereich “Multi-Factor-Authentication” aktivieren oder dem Dialog direkt nach dem Log-in folgen (“Enable”).

Hierbei kann man als Administrator noch einige konfigurative Entscheidungen treffen.
So kann festgelegt werden, ob und welche Authentifizierungsapps allgemein verwendet werden dürfen.

Später kann der Admin auf Userebene erfolgte Authentifizierungen zurücksetzen (“Revoke”) oder auf Anfrage temporäre Zugangscodes erzeugen, falls ein Benutzer vorübergehend keinen Zugriff auf sein MFA-Gerät hat.

Salesforce bietet eine eigene App zur Authentifizierung an (App Store / Google Play), die auch für die Authentifizierung von Saleforce-fremder Software genutzt werden kann. Daneben sind auch Alternativen etwa von Google (App Store / Google Play) oder Microsoft (App Store / Google Play), sowie kleinere Anbieter (z. B. Authy - App Store / Google Play) möglich. Außerdem kann auch zusätzliche Hardware (USB-Keys) eingesetzt werden, wenn kein Smartphone zur Verfügung steht.

Wir empfehlen die Salesforce Authenticator App, da sich mit dieser mit nur einem bestätigendem Klick der tägliche Anmeldeprozess abschließen lässt. Mit den anderen Apps hingegen wird das Ablesen und Eintippen einer sechsstelligen Nummer notwendig.

Nach der Aktivierung der neuen Anmeldung wird der Administrator, genau wie alle anderen Anmelder, bei Neuanmeldung durch einen kurzen, einmaligen Onboarding-Prozess geführt und kann die MFA anschließend nutzen.

Ein zusätzlicher Schritt für die Benutzer

Auch die regulären User werden bei ihrer ersten Anmeldung nach gewohnter Eingabe ihres Benutzernamens und des Passworts mit einem kurzen Dialog konfrontiert, in dem sie durch die erstmalige Einrichtung der neuen Sicherheitsstufe geführt werden. Bei jeder weiteren Anmeldung kommt die neue Funktion zum Einsatz und erwartet entweder Bestätigung auf dem Smartphone oder die Eingabe des auf dem Smartphone angezeigten Codes.

Und hier kommen wir zu einem der Knackpunkte der neuen Funktion, der wohlbedacht und gut geplant werden sollte. Vor der Aktivierung sollten die User über die anstehende Änderung informiert und auch darauf vorbereitet werden, zukünftig ihr Smartphone mit der entsprechenden App bzw. den USB-Stick zur Hand zu haben.

SSO und shared Accounts

Zu erwähnen ist, dass Marketing Cloud-Instanzen, die bereits eine übergreifende Single Sign On (SSO) Lösung im Einsatz haben, MFA nicht aktivieren müssen. Gleiches gilt über den Zugriff via API - auch hier bleibt es bei den bisherigen Legitimierungsmethoden.

Außerdem ist es bemerkenswert, dass mit der Multi-Faktor Authentifizierung die Verwendung von geteilten Accounts (shared accounts) deutlich erschwert wird. D.h. teilten sich bisher mehrere Personen, zum Beispiel innerhalb einer Abteilung, einen Marketing-Cloud Account mit Username und Passwort, so wird dies zukünftig nur noch möglich sein, wenn man gemeinsam ein Smartphone bzw. einen USB-Key verwendet. Eine deutliche Einschränkung, die einige Auswirkung haben dürfte - besonders in Zeit des verteilten Arbeitens.

Zusätzlich scheint es leider nicht möglich zu sein, die Anmeldung über verschiedene Geräte parallel durchzuführen - so etwa wahlweise das eigene Smartphone oder das Tablet einzusetzen.

Was nun?

Die MFA-Funktion steht in allen Marketing-Cloud Versionen und Instanzen zur Verfügung und der Hinweis zur Einrichtung wird Administratoren nach dem Log-in angezeigt. Bei bestehenden Marketing Clouds kann die Funktion aktiviert werden, sobald die User dafür bereit sind.

Laut Salesforce kann diese Aktivierung auch - vorerst - wieder zurückgenommen werden. Salesforce hat angekündigt diese Funktionalität ab dem nächsten Jahr für alle Systeme verpflichtend auszurollen. Daher ist eine Umstellung über kurz oder lang erforderlich. Noch ist allerdings etwas Zeit, die für die entsprechende Planung verwendet werden sollte:

Wir empfehlen dringend, alle Nutzer ihrer Instanz vorab über diese Änderung zu informieren und ihnen einen entsprechenden Leitfaden an die Hand zu geben, bevor mit der Aktivierung Tatsachen geschaffen werden.

Gerne unterstützen wir vom factory42 - Marketing Cloud Team Sie bei diesen Anpassungen und stehen Ihnen natürlich für weitere Fragen zum Thema Sicherheit und Optimierung Ihrer Marketing Automation Prozesse zur Verfügung.