goSecurity BLOG

Cloud bzw. eBusiness sind Schlagwörter, welche in den letzten Jahren immer mehr in den Mittelpunkt des Interesses gerückt wurden – sowohl in der Bevölkerung als auch bei Unternehmen. Dazu beigetragen hat nicht zuletzt der Erfolg des Online-Auktionshauses eBay oder des Buchversenders Amazon. Gemäss einer Studie kaufen mittlerweile 20 Millionen Deutsche im Internet ein. In der Cloud-CRM-Welt konnte sich z.B. Microsoft mit ihrem Dienst M365 Dynamics, SAP S/4HANA Cloud oder SalesForce einen Namen machen, welche Kundendaten bzw. Kundenkorrespondenzen bearbeiten.

Die Cloud Computing Technologie hat zunehmend an Bedeutung gewonnen. Insbesondere für KMUs bietet die Cloud-Computer-Technologie mehrere Vorteile. Einer der grössten Vorteile befindet sich vor allem im Bereich von Administration und Wartung der Hardware bzw. der Serversysteme. Da die entsprechenden Dienste (wie z.B. Dateiablage, E-Mail, MDM etc.) direkt aus der Cloud bezogen werden können, braucht es keine Hardware im eigenen Haus, welche zusätzlich noch gewartet und administriert werden muss.

Neu gegründete Firmen (Startups) setzen grundsätzlich von Anfang an auf eine CRM-Cloud-Lösung, während KMUs mittleren Alters in diesem Bereich Nachholbedarf haben. Der Grund liegt vor allem darin, dass diese CRM-Systeme einen hohen Datenbestand haben, was die Komplexität bezüglich einer Migration erhöht. Die damit verbundene Herausforderung wird als hoch eingestuft. Aus diesem Grund gibt es Unternehmen, die nach dem Motto «never change a working system» arbeiten.

Die Datensicherheit eines CRM-Systems spielt eine grosse Rolle. Viele Kundeninformationen, die nicht in falsche Hände gelangen sollen, werden im CRM-System gespeichert. Durch die vermehrten Cyberattacken, sowie der Anforderung durch die DSGVO, hat die Datensicherheit global einen höheren Stellenwert erhalten. Daher ist es wichtig, dem Kunden den Schutz seiner Daten zu garantieren. Zu Zeiten, als sich die Cloud-Technologie noch in den Kinderschuhen befand, waren Cloud-CRM-Systeme zu wenig gesichert. In der heutigen Zeit ist festzustellen, dass die CRM-Dienstleister vieles für die IT-Sicherheit unternehmen, um Kundendaten bestmöglichst zu schützen. Trotz dieser Tatsache können immer wieder Sicherheitslückken entstehen, welche Ihre Daten gefährden könnten. Ebenfalls besteht noch Unsicherheit in Bezug auf die Speicherung von Kundeninformationen. Fragen wie «welche Daten dürfen gelöscht bzw. behalten werden?» erhalten nicht immer eine zuverlässige Antwort. In diesem Bereich gibt es, vor allem in KMUs, hohen Beratungsbedarf von externen Spezialisten.

Im Folgenden gebe ich Einblicke in ein internes Projekt: Hierfür haben wir unsere on-Premise CRM Lösung in die Cloud migriert. Ich durfte das Projekt leiten und kann Ihnen mitteilen: es sind einige interessante (zum Teil auch sehr ernüchternde) Dinge während dieser Erfahrung ans Licht getreten.

Um den Umfang des Blogs zu begrenzen, liegt der Fokus ausschliesslich auf den Sicherheitsaspekten dieses Projekts.

Cloud-CRM (und was CRM bedeutet)

Immer mehr Firmen stellen ihr Angebot online und versuchen, auf diesem Weg neue Käuferschichten zu erreichen und Umsatz zu generieren. War es früher beim klassischen Face-to-Face- oder Telefonverkauf schwierig, geeignete Daten über den Kunden und dessen Kaufverhalten zu bekommen und diese kundenorientiert auszuwerten, so ist dies heute dank leistungsfähiger Computersysteme kein grosses Problem mehr. Gerade im Bereich der Kundenbindung ist es besonders wichtig, auf eine grosse Datenbasis zugreifen zu können, welche es einem erlaubt, eine gezielte Ansprache des Kunden zu verwirklichen. Um dies zu realisieren, bedienen sich viele Firmen so genannter CRM-Systeme, welche die technischen Möglichkeiten bereitstellen, um CRM nach der in der Einleitung genannten Definition zu betreiben. Die Ziele des CRM (Costumer Relationship Management) kann man wie folgt darstellen:

• Sammeln von Kundendaten: Ein Online-CRM-System ermöglicht das Sammeln von Kundeninformationen wie Kontaktdaten, Kaufhistorie, Feedback und Präferenzen.

• Kundensegmentierung: Durch die Analyse von Kundeninformationen können Kunden in verschiedene Segmente unterteilt werden. So können gezielte Marketingkampagnen für jedes Segment entwickelt werden.

• Kundenkommunikation: Ein Online-CRM-System ermöglicht es Unternehmen, mit Kunden über verschiedene Kanäle wie E-Mail, Chat, Social Media und Telefon zu kommunizieren. Es können auch automatisierte E-Mails und Nachrichten erstellt werden, um Kunden auf dem Laufenden zu halten und sie zu binden.

• Verkaufsoptimierung: Ein Online-CRM-System hilft Unternehmen, ihre Verkaufsprozesse zu optimieren, indem sie den Verkaufsprozess von der Lead-Generierung bis zum Abschluss des Verkaufs automatisieren.

• Kundenbindung: Ein Online-CRM-System hilft Unternehmen dabei, Kundenbeziehungen aufrechtzuerhalten und zu verbessern, indem es Kundenfeedback sammelt und auf Kundenwünsche eingeht.

• Datenauswertung: Durch die Analyse von Kundeninformationen können Unternehmen wertvolle Erkenntnisse gewinnen und Entscheidungen auf Grundlage dieser Erkenntnisse treffen. Ein Online-CRM-System kann auch genutzt werden, um Trends und Muster in Kundendaten zu erkennen.

• Effizienzsteigerung: Durch die Automatisierung von Aufgaben wie der Kundenkommunikation und Verkaufsprozessen können Unternehmen Zeit und Ressourcen sparen und die Effizienz ihrer Abläufe verbessern.

Diese Ziele tragen dazu bei, dass Unternehmen erfolgreichere Beziehungen zu ihren Kunden aufbauen und halten können, was letztendlich zu einem höheren Umsatz und Gewinn führt.

goSecurity AG wagte den Schritt in die Cloud

Anfang des Jahres 2019 hat die Geschäftsleitung der goSecurity AG entschieden, die bestehende CRM-Lösung, die On-Premise betrieben wird, in die Cloud zu migrieren. Der Zeitpunkt schien mir persönlich perfekt, denn angesichts der bevorstehenden Themenfindung für meine Diplomarbeit meines Studiums, übernahm ich die Projektleitung dieses Projekts. Eines vorneweg: Ich brauchte zwei Projekt-Anläufe, um dieses Projekt erfolgreich durchzuführen. Was im ersten Anlauf schief gelaufen ist, erfahren Sie gleich.

Definition von Anforderungen

Die Definition von Anforderungen sowie deren korrekte Gewichtung an das neue CRM-System ist ein essenzieller Bestandteil, um eine Evaluation erfolgreich zu gestalten.

• Der CRM-Anbieter muss ISO 27001 zertifiziert sein

• • Mit dem ISO 27001 Zertifikat stellt der Cloud-CRM Anbieter sicher, dass interne IT-Sicherheitsprozesse regelmässig geprüft und gelebt werden. Weitere Informationen zu ISO 27001 finden Sie ebenfalls auf unserer Homepage

• Die Daten müssen in der Schweiz liegen. Falls dies nicht möglich ist, müssen die Daten auf europäischem Boden, vorausgesetzt verschlüsselt, liegen.

  • Mit dieser Anforderung will goSecurity AG sicherstellen, dass die „ruhenden“ CRM-Daten bestmöglich geschützt sind – auch juristisch (EU-Datenschutzgesetz).

• Übertragung der Daten ist verschlüsselt (HTTPS)

  • Die Verbindung bzw. Kommunikation zwischen Client und der CRM-Webapplikation muss zwingend verschlüsselt erfolgen.

• Mehr-Faktor-Authentifizierung (inkl. SSO – Single Sign On)

  • Mit dieser Anforderung wird sichergestellt, dass das Authentifizierungsverfahren auf der Web-Applikation bestmöglich geschützt ist – durch den zweiten Faktor für die Authentifizierung (z.B. Authenticator-App oder OTP über SMS).

• Export des Backups (Übermittlung an goSecurity AG)

  • Der CRM-Anbieter wird monatlich von goSecurity AG aufgefordert, ein Backup zur Verfügung zu stellen. So stellt goSecurity AG sicher, dass sie selbst ein Offline-Backup des entsprechenden Standes hat, falls die Integrität des Backups des Online-CRM-Anbieters beschädigt ist (Worst-Case).

Der erste Anlauf

Nach langer Recherche, um herauszufinden, welches Online-CRM-System der goSecurity AG am besten zusagen würde, konnte ich drei Online-CRM-Anbieter für die Finalrunde der Evaluation eruieren. Mittels einer Nutzwertanalyse konnte ich die drei Finalisten und ihre Funktionalitäten unseren Anforderungen gegenüber stellen und daraus Schlüsse ziehen, welcher CRM-Anbieter unsere Anforderungen am besten abdeckt. Wir entschieden uns dann für den erstrangierten Finalisten. Der Projektstart mit diesem einen CRM-Anbieter konnte also starten.

Die Ernüchterung

Wie in der Einleitung erwähnt, wird in diesem Blog nur auf die Sicherheitsaspekte eingegangen. Eine Anforderung war, dass bevor das neue Online-CRM-System produktiv eingesetzt wird, die Mitarbeitenden vorgängig geschult werden. So wird sichergestellt, dass die Mitarbeitenden die wichtigsten Funktionen des CRM-Systems kennen, um ihnen so den Einstig in das neue CRM-Produkt zu erleichtern.

Am Tag X war es dann soweit, ich durfte unseren Mitarbeitenden das neue CRM-System vorstellen.

Zu Beginnn der Schulung erhielten die Mitarbeitenden von mir einen Test-Account, mit dem sie sich an der Web-Applikationi anmelden konnten.

Noch eine wichtige Information an Sie, also den Blog-Lesenden: Sobald unsere Auditoren eine neue Web-Applikation zu Gesicht bekommen, scheinen sie in eine Art „Trance-Zustand“ zu verfallen. Was ich damit meine:

Schulung

Nicht mal eine Minute ist vergangen, seit ich den Auditoren die Test-Login-Informationen für die Schulung übergeben hatte, schon hatte ein Auditor eine Schwachstelle in der Web-Applikation gefunden. Im ersten Moment war ich etwas schockiert, wies aber darauf hin, dass dies nicht Teil der Schulung ist, und wir dies später anschauen können. Wie bereits erwähnt, hat meine Aussage nicht wirklich Anklang gefunden – denn eben: Die Auditoren sind in einer „Trance-Phase“ (wie kleine Kinder, die einen Sandkasten auseinandernehmen) – so haben sie eben die Web-Applikation auseinander genommen. Ich wollte die Schulung weiterführen, drei Minuten später kam ein anderer Auditor und teilte eine weitere Schwachstelle mit. So ging es dann immer weiter, bis ich mich dazu entschlossen habe, die Schulung nicht mehr weiterzuführen. Es war zu ernüchternd, denn nach ca. 40 Minuten haben wir mehrere Schwachstellen gefunden, davon einige gravierende. Folgend ein Auszug der gefundenen Schwachstellen:

• E-Mail-Header

  • Wie jedes gängige CRM-System der heutigen Zeit, kann diese Mails versenden (z.B. Offertenerstellung, Terminvereinbarungen, Bestätigungsmails für Kontaktanfragen etc.). Bei der Analyse des E-Mail-Headers dieses Systems konnte herausgefunden werden, dass genaue Informationen (z.B. Versionsinformationen eingesetzter Server usw.) preisgegeben werden. Solche Informationen sollten so gut wie möglich im Rahmen eines Server-Hardenings verborgen werden.

  • Als dann die Version der Systeme geprüft wurde, war ersichtlich, dass diese stark veraltet ist. Der eingesetzte Exchange-Server, IIS-Version sowie das zugrundeliegende Hostsystem waren so veraltet, dass diese seitens Microsoft schon länger nicht mehr mit aktuellen Sicherheitsupdates beliefert werden.

  • Ein direkter Zugriff auf den Exchange-Server ermöglichte es uns herauszufinden, dass das verwendete Zertifikat bereits im Jahr 2016 abgelaufen war.

• Security-Header (HTTP-Header)

  • Es wurden keine Security-Header eingerichtet. Somit war es sehr einfach, die Web-Applikation zu manipulieren.

• Fehlende Cookie Attribute

  • Damit ein Cookie nicht gestohlen werden kann, müssen einige sicherheitsrelevante Cookie Attribute gesetzt werden. Dies war bei dieser Web-Applikation nicht der Fall.

• XSS (Cross-Site-Scripting)

  • Auf mehreren Seiten der Web-Applikation wurden XSS-Schwachstellen gefunden. Es war davon auszugehen, dass die Web-Applikation keine Eingaben prüft.

• Session Handling (Sitzung)

  • Wird die Sitzung nicht über den Abmelden-Button getätigt, bleibt die Sitzung für mehrere Tage aktiv (laut unseren Tests mind. 4 Tage, da das Session Cookie so lange gültig ist).

• Hijacking per E-Mail (grösstes gefundenes Risiko)

  • Der E-Mail-Client des Online CRM-Systems bietet eine Vorschau-Funktion (ähnlich wie in Outlook) an, sodass die HTML-Versionen der E-Mails direkt angezeigt werden. Die Schwachstelle konnte ausgenutzt werden, in dem man in der Betreffzeile ein Javascript-Tag direkt einfügt. Wird nun diese E-Mail über den E-Mail Client des Online CRM-Systems geöffnet, wird das Javascript sofort ausgeführt und öffnet eine Verbindung zur angegeben IP-Adresse (Hacker-PC) und das aktuelle Cookie übermittelt. So war es möglich, sich an die Web-Applikation ohne Benutzername, Passwort oder MFA anzumelden und auf Kundendaten des Opfers zuzugreifen. Hier ein Auszug der Betreffszeile und des Javascript-TAGs:

Nach weiteren Versuchen und weiteren Problemen, welche nicht nur die IT-Sicherheit betrafen, haben wir uns dazu entschieden, das Projekt abzubrechen und neu zu lancieren. Der zweite Anlauf verlief verhältnismässig sehr rund und wir konnten das Projekt dennoch erfolgreich abschliessen.

Fazit

Wie Sie sehen, ist es für Sie als Kunden sehr wichtig zu prüfen, ob Ihr Lieferant nach aktuellen IT-Sicherheitsstandards arbeitet. Dabei kann ein ISO 27001-Nachweis Ihres Lieferanten Gewissheit geben. Stellen Sie als Kunde sicher, dass Ihr CRM-Anbieter folgende Punkte beherzigt, lebt und sicherstellt:

Datenschutz

Einer der wichtigsten Aspekte der Sicherheit von Online-CRM-Systemen ist der Datenschutz. Das System enthält vertrauliche Kundendaten wie Namen, Adressen, Kontaktdaten und Kaufhistorien. Es ist daher wichtig sicherzustellen, dass diese Daten sicher aufbewahrt werden. Hier sind einige Best Practices für den Datenschutz:

• Verschlüsselung: Alle Daten, die zwischen dem Benutzer und dem System ausgetauscht werden, sollten verschlüsselt werden.  Dies kann mithilfe von SSL/TLS-Protokollen erfolgen, die sicherstellen, dass alle Informationen während der Übertragung verschlüsselt werden.

• Zugriffskontrolle: Nur autorisierte Benutzer sollten Zugang zum System haben. Das System sollte über Funktionen zur Benutzerauthentifizierung und -autorisierung verfügen, um sicherzustellen, dass nur autorisierte Benutzer auf die Daten zugreifen können.

• Datensparsamkeit: Nur die für den Betrieb des Systems erforderlichen Daten sollten gesammelt und gespeichert werden. Überflüssige Daten sollten gelöscht oder anonymisiert werden.

Netzwerksicherheit

Die Netzwerksicherheit ist ein weiterer wichtiger Aspekt der Sicherheit von Online-CRM-Systemen. Das System sollte über angemessene Schutzmassnahmen verfügen, um zu verhindern, dass Hacker oder böswillige Benutzer das Netzwerk oder die Systeme angreifen können. Hier sind einige Best Practices für die Netzwerksicherheit:

• Firewalls: Firewall-Systeme sollten eingerichtet werden, um unautorisierte Zugriffe auf das Netzwerk zu verhindern.

• Intrusion Detection/Prevention: Intrusion Detection/Prevention-Systeme sollten eingerichtet werden, um Angriffe auf das Netzwerk zu erkennen und zu verhindern.

• Netzwerksegmentierung: Das Netzwerk sollte in Segmente unterteilt werden, um den Zugriff auf vertrauliche Daten zu beschränken.

Systemverwaltung

Die Systemverwaltung ist ein weiterer wichtiger Aspekt der Sicherheit von Online-CRM-Systemen. Das System sollte über Funktionen zur Überwachung und Verwaltung von Systemen und Daten verfügen. Hier sind einige Best Practices für die Systemverwaltung:

• Sicherheitsupdates: Sicherheitsupdates sollten regelmässig durchgeführt werden, um bekannte Schwachstellen zu beheben.

• Überwachung: Das System sollte über Funktionen zur Überwachung der Systemleistung und -integrität verfügen, um ungewöhnliche Aktivitäten zu erkennen.

• Backup: Regelmässige Backups der Systemdaten sollten durchgeführt werden, um Datenverlust zu verhindern.

ISO 27001 / Regelmässige Tests

• Stellen Sie sicher, dass Ihr CRM-Anbieter ein ISO 27001 Zertifikat hat. Ist dies nicht der Fall, stellen Sie sicher, dass ihr CRM-Anbieter regelmässige Tests wie Penetration Tests (Black-Box) oder Security Audits (White-Box) durchführt und Ihnen einen Nachweis zur Verfügung stellt.

Backup

• Stellen Sie sicher, dass Sie als Kunde ebenfalls ein Backup Ihres CRM-Anbieters regelmässig anfordern und dieses offline auslagern. So geniessen Sie eine zusätzliche Sicherheit, falls bei Ihrem CRM-Lieferanten alles schief läuft.