Der 31. März ist der internationale Tag des Backups, und die Woche davor ist immer voller Geschichten rund um Sicherheit. Am Montag wurden wir bereits über den kompromittierten Asus und "drei nicht genannte Hersteller" informiert. Besonders superstitionelle Unternehmen sind die ganze Woche über nervös und führen Backups durch. Das liegt daran, dass wir alle in Sachen Sicherheit ein wenig nachlässig sind: Einige vergessen, den Sicherheitsgurt auf dem Rücksitz anzulegen, andere ignorieren das Haltbarkeitsdatum von Lebensmitteln, während wieder andere ihre Logins und Passwörter unter der Tastatur aufbewahren oder sogar alle Passwörter in einem Notizbuch festhalten. Manche Individuen schalten sogar ihre Antivirenprogramme aus, "um den Computer nicht zu bremsen" und verzichten auf die Rechteverteilung in Unternehmenssystemen (welche Geheimnisse können schon in einem Unternehmen mit 50 Personen existieren!). Vielleicht hat die Menschheit einfach noch keinen Instinkt für cybersicheres Verhalten entwickelt, der letztlich ein neuer grundlegender Instinkt werden könnte.
Es wurden keine solchen Instinkte oder ein entsprechendes Geschäft entwickelt. Eine einfache Frage: Ist ein CRM-System eine Bedrohung für die Informationssicherheit oder ein Werkzeug zur Gewährleistung der Sicherheit? Wahrscheinlich wird niemand sofort darauf eine präzise Antwort geben können. Hier beginnt es, wie wir in unseren Englischstunden gelernt haben: es hängt davon ab… Es hängt von den Einstellungen, der Form der Bereitstellung des CRM, den Gewohnheiten und Überzeugungen des Anbieters und der Sorglosigkeit der Mitarbeiter sowie der Raffinesse der Angreifer ab. Letztendlich kann man alles hacken. Wie soll man also leben?
So sieht Informationssicherheit im kleinen und mittleren Unternehmen aus
CRM-System als Schutz
Die Daten über geschäftliche und operationale Aktivitäten zu schützen und eine zuverlässige Speicherung der Kundendatenbank ist eine der Hauptaufgaben eines CRM-Systems und in dieser Hinsicht ist es weitaus wichtiger als jede andere Anwendungssoftware im Unternehmen.
Sie haben wahrscheinlich diesen Artikel begonnen zu lesen und innerlich geschmunzelt über die Frage, wer sich für Ihre Informationen interessiert. Wenn das der Fall ist, haben Sie wahrscheinlich keine Erfahrung im Vertrieb und wissen nicht, wie begehrt „echte“ und qualitativ hochwertige Kundenlisten sowie Informationen über den Umgang mit diesen Daten sind. Der Inhalt eines CRM-Systems interessiert nicht nur die Unternehmensleitung, sondern auch:
- Kriminelle (selten) – sie haben ein spezifisches Interesse an Ihrer Firma und werden alle verfügbaren Mittel einsetzen, um an Ihre Daten zu gelangen: Bestechung von Mitarbeitern, Hacking, den Kauf Ihrer Daten bei Managern, Gespräche mit Managern und anderes.
- Mitarbeiter (häufiger), die als Insider für Ihre Konkurrenz auftreten können. Sie sind bereit, Kundenlisten zu stehlen oder zu verkaufen, um sich selbst zu bereichern.
- Hobby-Hacker (sehr selten) – Ihre Daten könnten durch einen Cloud-Hack oder Netzwerkangriff betroffen sein, oder jemand könnte einfach aus Neugier versuchen wollen, Ihre Daten zu erlangen (zum Beispiel Daten von Pharma- oder Alkoholgroßhändlern – einfach aus Interesse).
Wenn jemand in Ihr CRM eindringt, erhält er Zugang zu Ihren Betriebsabläufen, also zu den Datenmengen, mit denen Sie den Großteil Ihres Gewinns erzielen. Und ab dem Moment, in dem schädlicher Zugriff auf das CRM-System erfolgt, lächelt der Gewinn demjenigen zu, in dessen Händen sich die Kundenbasis befindet. Oder seinen Partnern und Auftraggebern (sprich: neuen Arbeitgebern).
Eine gute, zuverlässige kann diese Risiken mindern und bietet zudem viele zusätzliche Sicherheitsvorteile.
Was kann eine CRM-Lösung in Bezug auf Sicherheit?
(wir erklären dies am Beispiel, da wir nicht für andere verantwortlich sind)
- Zwei-Faktor-Authentifizierung mit einem USB-Schlüssel und Passwort. unterstützt den Modus der Zwei-Faktor-Authentifizierung für Benutzer beim Systemzugang. In diesem Fall muss beim Anmelden neben der Eingabe des Passworts ein USB-Schlüssel, der zuvor eingerichtet wurde, in den USB-Port des Computers gesteckt werden. Der Zwei-Faktor-Authentifizierungsmodus hilft, Diebstahl oder Offenlegung des Passworts zu verhindern.
Klickbar
- Zugriff nur von vertrauenswürdigen IP-Adressen und MAC-Adressen. Um die Sicherheit zu erhöhen, kann der Zugang für Benutzer ausschließlich von registrierten IP-Adressen und MAC-Adressen eingeschränkt werden. Dabei können sowohl interne IP-Adressen im lokalen Netzwerk als auch externe Adressen verwendet werden, wenn sich der Benutzer remote (über das Internet) verbindet.
- Domainautorisierung (Windows-Autorisierung). Der Systemstart kann so konfiguriert werden, dass bei der Anmeldung kein Benutzerpasswort eingegeben werden muss. In diesem Fall erfolgt die Windows-Autorisierung, die den Benutzer über WinAPI bestimmt. Das System wird unter dem Benutzer gestartet, dessen Profil zu dem Zeitpunkt aktiv ist, an dem das System hochgefahren wird.
- Ein weiterer Mechanismus ist private Clients. Private Clients sind solche, die nur von ihrem Kurator gesehen werden können. In den Listen anderer Benutzer erscheinen diese Clients nicht, selbst wenn andere Benutzer über das volle Berechtigungsset, einschließlich administrativer Rechte, verfügen. Auf diese Weise kann beispielsweise ein Pool besonders wichtiger Kunden oder eine Gruppe nach anderen Kriterien geschützt werden, die einem vertrauenswürdigen Manager zugewiesen wird.
- Mechanismus zur Rechteverwaltung — eine Standard- und vorrangige Schutzmaßnahme in CRM-Systemen. Um den Administrationsprozess der Benutzerrechte zu vereinfachen, werden Rechte nicht konkreten Benutzern, sondern Vorlagen zugewiesen. Der Benutzer erhält dann eine dieser Vorlagen, die über einen bestimmten Rechtesatz verfügt. Dies ermöglicht es jedem Mitarbeiter — von neuen Mitarbeitern und Praktikanten bis hin zu Direktoren —, Berechtigungen und Zugriffsrechte zu vergeben, die ihnen den Zugang zu vertraulichen Daten und wichtigen Geschäftsinformationen ermöglichen oder verweigern.
- Das System zur automatischen Datensicherung (Backups), konfigurierbar über einen Skriptserver .
Dies ist eine Sicherheitsimplementierung anhand eines einzigen Systems, wobei jeder Anbieter eigene Richtlinien hat. Doch das CRM-System schützt tatsächlich Ihre Informationen: Sie können nachvollziehen, wer wann welchen Bericht abgerufen hat, wer welche Daten eingesehen hat, wer Exporte durchgeführt hat und vieles mehr. Selbst wenn Sie von einer Schwachstelle erst nachträglich erfahren, bleibt die Tat nicht unbestraft, und Sie können den Mitarbeiter, der das Vertrauen und die Loyalität des Unternehmens missbraucht hat, leicht identifizieren.
Entspannt? Zu früh! Dieser Schutz kann bei nachlässigem Umgang und Ignorieren von Datenschutzproblemen gegen Sie verwendet werden.
CRM-System als Bedrohung
Wenn in Ihrem Unternehmen mindestens ein PC vorhanden ist, stellt dies bereits eine Quelle für Cyberbedrohungen dar. Entsprechend vervielfacht sich das Risiko mit der Zunahme der Arbeitsplätze (und Mitarbeiter) sowie mit der Vielzahl an installierter und genutzter Software. Bei CRM-Systemen ist die Situation kompliziert – schließlich handelt es sich um eine Software, die darauf abzielt, das wichtigste und wertvollste Gut zu speichern und zu verarbeiten: die Kundenbasis und geschäftlichen Informationen. Wir sprechen hier von Sicherheit, während wir über ihre Bedrohungen berichten. In Wirklichkeit sieht die Situation jedoch gar nicht so düster aus, und bei richtiger Handhabung werden Sie von einem CRM-System nichts als Nutzen und Sicherheit erhalten.
Wie erkennt man ein gefährliches CRM-System?
Lassen Sie uns mit einer kurzen Einführung in die Grundlagen beginnen. CRM-Systeme gibt es in zwei Formen: cloudbasiert und stationär. Cloud-CRM bedeutet, dass die Datenbank nicht in Ihrem Unternehmen, sondern in einer privaten oder öffentlichen Cloud in einem Rechenzentrum gespeichert ist (zum Beispiel sitzen Sie in Tscheljabinsk, während Ihre Datenbank in einem erstklassigen Rechenzentrum in Moskau läuft, weil der CRM-Anbieter das so entschieden hat und einen Vertrag mit diesem Anbieter hat). Stationäre Systeme (auch als On-Premise oder Server-Lösungen bezeichnet, was nicht ganz korrekt ist) basieren ihre Datenbank auf Ihren eigenen Servern (keine Sorge, malen Sie sich nicht gleich ein riesiges Serverzimmer mit teuren Racks aus; in kleinen und mittleren Unternehmen ist es oft nur ein einzelner Server oder sogar ein gewöhnlicher PC mit moderner Konfiguration), das heißt, physisch befinden sich die Datenbanken in Ihrem Büro.
Unbefugten Zugriff auf beide Arten von CRM-Systemen kann man erlangen, aber die Geschwindigkeit und Einfachheit des Zugriffs unterscheiden sich, insbesondere wenn wir über KMU sprechen, die nicht wirklich großen Wert auf Informationssicherheit legen.
Gefahrenzeichen Nr. 1
Die Ursache für die höhere Wahrscheinlichkeit von Problemen in einer Cloud-Infrastruktur liegt in den Beziehungen, die mehrere Ebenen betreffen: Sie (Mieter der CRM) – Anbieter – Dienstleister (häufig gibt es eine erweiterte Version: Sie – Anbieter – IT-Outsourcing-Dienstleister des Anbieters – Dienstleister). Drei bis vier Beziehungsebenen birgen mehr Risiken als ein oder zwei: Es kann auf der Seite des Anbieters zu Problemen kommen (Änderung des Vertrags, ausbleibende Zahlungen an den Dienstleister), auf der Seite des Dienstleisters (höhere Gewalt, Hackerangriffe, technische Probleme), auf der Seite des Outsourcing-Partners (Wechsel des Managers oder Technikers) usw. Natürlich bemühen sich große Anbieter, redundante Rechenzentren zu haben, Risiken zu managen und ihre eigene DevOps-Abteilung zu betreiben, jedoch schließt dies Probleme nicht aus.
Desktop-CRMs werden in der Regel nicht gemietet, sondern von den Unternehmen erworben, was die Beziehungen einfacher und transparenter gestaltet: Der Anbieter konfiguriert während der Implementierung der CRM die erforderlichen Sicherheitsstufen (von der Zugriffskontrolle und physischen USB-Schlüsseln bis hin zur Unterbringung des Servers in einer Betonschicht usw.) und übergibt die Verwaltung an das Unternehmen, das die CRM besitzt. Dieses kann den Schutz verstärken, einen Systemadministrator einstellen oder bei Bedarf auf den Softwareanbieter zurückgreifen. Die Probleme beschränken sich auf die Zusammenarbeit mit den Mitarbeitern, den Schutz des Netzwerks und die physische Sicherheit der Informationen. Bei der Nutzung einer Desktop-CRM wird selbst ein vollständiger Internetausfall die Arbeit nicht stoppen, da die Datenbank im „heimischen“ Büro abgelegt ist.
Einer unserer Mitarbeiter berichtet über Cloud-Technologien, der in einem Unternehmen gearbeitet hat, das komplexe Cloud-Bürosysteme, einschließlich CRM, entwickelt hat. „An einem meiner Arbeitsplätze entwickelte das Unternehmen etwas sehr Ähnliches wie eine grundlegende CRM-Lösung, das alles mit Online-Dokumenten und Ähnlichem verbunden war. Eines Tages bemerkten wir in Google Analytics anomale Aktivitäten eines unserer abonnementgebundenen Kunden. Unsere Überraschung war groß, als wir – ohne Entwickler zu sein, aber mit hohem Zugangslevel – einfach über einen Link die Benutzeroberfläche des Kunden öffnen konnten, um zu sehen, was es mit dieser beliebten Tabelle auf sich hatte. Übrigens scheint der Kunde nicht gewollt zu haben, dass jemand diese kommerziellen Daten sieht. Ja, es war ein Fehler, und der wurde mehrere Jahre lang nicht behoben – soweit ich weiß, besteht das Problem weiterhin. Seitdem bin ich ein Verfechter der Desktop-Lösungen und vertraue den Clouds nicht wirklich, obwohl wir sie natürlich sowohl in der Arbeit als auch im Privatleben nutzen, wo ebenfalls lustige Pannen vorgefallen sind.“

Aus unserer Umfrage auf Habré, das sind Mitarbeiter fortschrittlicher Unternehmen.
Datenverlust aus einer Cloud-CRM-System kann durch Serverausfälle, Serverunzugänglichkeit, höhere Gewalt, das Ende der Geschäftstätigkeit des Anbieters und andere Faktoren verursacht werden. Die Cloud bietet einen ständigen, kontinuierlichen Internetzugang, und der Schutz muss auf allen Ebenen beispiellos sein: sowohl im Code, als auch bei Zugriffsrechten und zusätzlichen Cybersecurity-Maßnahmen (wie z.B. Zwei-Faktor-Authentifizierung).
Warnsignal Nr. 2
Es handelt sich nicht nur um ein einzelnes Warnsignal, sondern um eine Gruppe von Anzeichen, die mit dem Anbieter und seiner Politik verbunden sind. Lassen Sie uns einige wichtige Beispiele aufführen, die wir und unsere Mitarbeiter erlebt haben.
- Der Anbieter könnte einen unzureichend zuverlässigen Rechenzentrums (RZ) wählen, in dem die Datenbanken der Kunden betrieben werden. Er spart Kosten, kontrolliert das SLA nicht und berechnet die Last nicht realistisch, was letztendlich fatale Folgen für Sie haben wird.
- Der Anbieter könnte Ihnen das Recht verweigern, den Service in das von Ihnen gewählte Rechenzentrum zu übertragen. Dies ist eine recht häufige Einschränkung für SaaS.
- Der Anbieter könnte einen rechtlichen oder wirtschaftlichen Konflikt mit dem Cloud-Anbieter haben, und in einem solchen Fall können während der "Auseinandersetzungen" die Backup-Prozesse oder z.B. die Geschwindigkeit eingeschränkt werden.
- Der Service zur Erstellung von Backups kann kostenpflichtig sein. Eine gängige Praxis, von der der Kunde des CRM-Systems erst erfährt, wenn ein Backup benötigt wird, also genau in dem kritischen und verletzlichen Moment.
- Mitarbeiter des Anbieters können ungehinderten Zugriff auf die Kundendaten haben.
- Datenlecks jeglicher Art können auftreten (menschlicher Faktor, Betrug, Hacker usw.).
Diese Probleme sind in der Regel bei kleinen oder neuen Anbietern zu beobachten, jedoch waren auch große Anbieter nicht wiederholt in unangenehme Geschichten verwickelt (googeln Sie es). Daher sollten Sie immer Möglichkeiten zum Schutz Ihrer Informationen auf Ihrer Seite haben und im Vorfeld mit dem gewählten CRM-Anbieter Sicherheitsfragen abklären. Bereits Ihr Interesse an diesem Thema wird den Anbieter dazu bringen, das Implementierungsprojekt äußerst verantwortungsbewusst anzugehen (insbesondere wichtig, wenn Sie es nicht mit dem Büro des Anbieters, sondern mit einem Partner zu tun haben, der den Vertrag abschließen und eine Provision erhalten möchte, und nicht mit irgendwelchen Zweifaktorverfahren… na, Sie wissen, was ich meine).
Warnsignal Nr. 3
Sicherheit in Ihrem Unternehmen effektiv gestalten. Vor einem Jahr haben wir traditionell über Sicherheit auf Habré berichtet und eine Umfrage durchgeführt. Die Stichprobe war nicht besonders groß, aber die Antworten sind aussagekräftig:

Am Ende des Artikels geben wir Links zu unseren Publikationen, in denen wir das Verhältnis im System „Unternehmen – Mitarbeiter – Sicherheit“ detailliert behandelt haben. Hier präsentieren wir eine Liste von Fragen, deren Antworten Sie in Ihrem Unternehmen finden sollten (auch wenn Sie kein CRM benötigen).
- Wo speichern die Mitarbeiter ihre Passwörter?
- Wie ist der Zugang zu den Speichern auf den Unternehmensservern organisiert?
- Wie ist die Software, die kommerzielle und betriebliche Informationen enthält, geschützt?
- Haben alle Mitarbeiter aktive Antivirus-Programme?
- Wie viele Mitarbeiter haben Zugriff auf Kundendaten und welches Niveau hat dieser Zugriff?
- Wie viele Neueinsteiger haben Sie und wie viele Mitarbeiter sind im Kündigungsprozess?
- Haben Sie in letzter Zeit mit Schlüsselmitarbeitern gesprochen und ihre Anliegen und Beschwerden angehört?
- Werden die Drucker überwacht?
- Wie ist die Richtlinie für die Verbindung eigener Geräte mit den PCs sowie die Nutzung des Unternehmens-WLAN organisiert?
Das sind eigentlich grundlegende Fragen – in den Kommentaren werden sicherlich noch einige härtere Aspekte hinzugefügt, aber das hier ist die Basis, die selbst ein Einzelunternehmer mit zwei Mitarbeitern wissen sollte.
Wie kann man sich schützen?
- Backups sind von größter Bedeutung, um die man oft entweder vergisst oder sich nicht ausreichend kümmert. Wenn Sie ein Desktop-System haben, richten Sie ein Daten-Backup-System mit einer festgelegten Frequenz ein (zum Beispiel kann dies für RegionSoft CRM durchgeführt werden mit ) und sorgen Sie für eine ordentliche Aufbewahrung der Kopien. Wenn Sie eine Cloud-CRM nutzen, erkundigen Sie sich unbedingt vor Vertragsabschluss, wie das Backup-Management organisiert ist: Sie benötigen Informationen über Tiefe und Häufigkeit, den Speicherort sowie die Kosten für Backups (häufig sind nur die "letzten Daten für den Zeitraum" kostenlos, während vollständige, sichere Backups als kostenpflichtiger Service angeboten werden). Kurz gesagt, hier ist definitiv kein Platz für Einsparungen oder Nachlässigkeit. Und ja, vergessen Sie nicht zu überprüfen, ob die Wiederherstellung aus Backups funktioniert.
- Trennung der Zugriffsrechte auf Funktionen- und Datenebene.
- Netzwerksicherheit — die Nutzung von CRM sollte nur innerhalb des Büros erlaubt sein. Restrukturieren Sie den Zugriff für mobile Geräte, und verbieten Sie die Nutzung der CRM-Software von zu Hause oder, noch schlimmer, aus öffentlichen Netzwerken (Coworking-Spaces, Cafés, Kundenbüros usw.). Seien Sie besonders vorsichtig mit der mobilen Version — diese sollte nur eine stark abgespeckte Variante für den Einsatz sein.
- Ein Antivirenprogramm mit Echtzeitscan ist in jedem Fall erforderlich, besonders im Kontext der Sicherheit von Unternehmensdaten. Verhindern Sie auf politischer Ebene, dass Mitarbeitende es selbstständig deaktivieren können.
- Die Schulung der Mitarbeitenden zur Cyber-Sicherheits Hygiene ist keine Zeitverschwendung, sondern eine dringende Notwendigkeit. Es ist wichtig, allen Kolleginnen und Kollegen zu vermitteln, dass es nicht nur darum geht, Bedrohungen zu vermeiden, sondern auch richtig auf eingehende Gefahren zu reagieren. Den Zugriff auf das Internet oder persönliche E-Mails im Büro zu verbieten, gehört der Vergangenheit an und führt zu starkem Unmut; daher muss Weiterbildung im Bereich Vorbeugung Priorität haben.
Natürlich kann man mit einem Cloud-System ein ausreichendes Sicherheitsniveau erreichen: durch den Einsatz von dedizierten Servern, das Konfigurieren von Routern und die Aufteilung des Datenverkehrs auf Anwendungs- und Datenbankebene, durch die Nutzung privater Subnetze, strenge Sicherheitsvorschriften für Administratoren, die Gewährleistung der Betriebszeit durch Backups in der erforderlichen Häufigkeit und Vollständigkeit sowie durch die 24/7-Netzwerküberwachung... Wenn man darüber nachdenkt, ist es nicht so kompliziert – eher kostspielig. Doch wie die Praxis zeigt, ergreifen solche Maßnahmen nur wenige Unternehmen, hauptsächlich große. Daher möchten wir erneut betonen: Weder die Cloud noch der Desktop sollten isoliert agieren, schützen Sie Ihre Daten.
Einige kleine, aber wichtige Tipps für die Implementierung eines CRM-Systems in allen Fällen.
- Überprüfen Sie den Anbieter auf Sicherheitslücken – suchen Sie nach Informationen zu Kombinationen von Begriffen wie „Sicherheitslücke Vendor Name“, „hacking Vendor Name“, „Datenleck Vendor Name“. Dies sollte nicht das einzige Kriterium bei der Suche nach einem neuen CRM-System sein, aber es ist unbedingt erforderlich, dies im Hinterkopf zu behalten und insbesondere die Ursachen für die eingetretenen Vorfälle zu verstehen.
- Fragen Sie den Anbieter über das Rechenzentrum: Verfügbarkeit, wie viele es gibt, und wie die Notfallumschaltung organisiert ist.
- Richten Sie Sicherheitsmarker im CRM ein, verfolgen Sie die Aktivitäten innerhalb des Systems und ungewöhnliche Anomalien.
- Deaktivieren Sie den Export von Berichten und den Zugriff über die API für nicht relevante Mitarbeiter – also für diejenigen, die diese Funktionen nicht für ihre tägliche Arbeit benötigen.
- Stellen Sie sicher, dass in Ihrem CRM-System eine Prozessprotokollierung und Benutzeraktionsprotokollierung eingerichtet ist.
Das sind Kleinigkeiten, aber sie ergänzen das Gesamtbild hervorragend. Tatsächlich gibt es in der Sicherheit keine Kleinigkeiten.
Durch die Implementierung eines CRM-Systems sichern Sie Ihre Daten – aber nur, wenn die Einführung professionell erfolgt und Sicherheitsfragen nicht vernachlässigt werden. Wäre es nicht absurd, ein Auto zu kaufen, ohne die Bremsen, ABS, Airbags und Sicherheitsgurte zu überprüfen? Schließlich geht es nicht nur darum, zu fahren, sondern sicher und unversehrt anzukommen. Dasselbe gilt für Ihr Unternehmen.
Und denken Sie daran: Wenn die Arbeitssicherheitsregeln mit Blut geschrieben sind, dann sind die Cybersecurity-Regeln im Geschäftsleben mit Geld geschrieben.
Zu den Themen Cybersecurity und der Rolle von CRM-Systemen darin können Sie unsere ausführlichen Artikel lesen:
- – ein Überblick über mögliche Sicherheitsbedrohungen im Unternehmensbereich und ein beispielhaftes Erkennungsschema.
- – eine detaillierte Analyse, wie Mitarbeiter Ihrem Unternehmen schaden und auf welche Weise sie dies im Geschäftsumfeld tun.
Wenn Sie nach einem CRM-System suchen, dann auf . Wenn Sie ein CRM oder ERP benötigen — werfen Sie einen genaueren Blick auf unsere Produkte und vergleichen Sie deren Funktionen mit Ihren Zielen und Anforderungen. Bei Fragen oder Unsicherheiten — schreiben Sie uns, rufen Sie an, wir organisieren eine individuelle Online-Präsentation für Sie — ohne Rankings oder Vergleiche.
, in dem wir ohne Werbung informelle Dinge über CRM und Business teilen.
Quelle: habr.com
