Steuerung der Sitzungs-Timeout-Einstellungen

Steuerelementname

Sitzungs-Timeout

Empfohlene Konfiguration

• Festlegen des Sitzungs-Timeout-Werts auf maximal 15 Minuten
• Popup 'Zeitüberschreitungswarnung für Sitzung deaktivieren'
• Aktivieren der Abmeldung bei Sitzungs-Timeout erzwingen

Setup>Sitzungseinstellungen>Sitzungs-Timeout.

Steuerelementübersicht

Bei der Salesforce-Steuerung für Sitzungs-Timeouts handelt es sich um eine Sicherheitsmaßnahme, die vor unbefugtem Zugriff schützt, indem Benutzersitzungen nach einem angegebenen Zeitraum der Inaktivität automatisch beendet werden.

Sicherheitsrisiko, wenn nicht konfiguriert

Wenn in Salesforce keine geeignete Sitzungszeitüberschreitung konfiguriert wird, erhöht sich das Risiko eines nicht autorisierten Zugriffs auf sensible Daten, wenn ein Benutzer einen Arbeitsplatz unbeaufsichtigt lässt oder ein Gerät verloren geht. Diese Sicherheitslücke kann zu Session-Hijacking und Datenexfiltration führen und gleichzeitig zur Nichteinhaltung gesetzlicher Branchenstandards, die zeitgebundene Zugriffskontrollen erfordern.

Bedrohungsszenarien

Ein Angreifer nutzt ein unbeaufsichtigtes, aktives Sitzungstoken oder gestohlenes Sitzungstoken aus, um persistenten nicht autorisierten Zugriff auf sensible Daten zu erhalten.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Beachten Sie das Benutzerverhalten und die Umgebung, in der der Benutzer auf die Plattform zugreift.

Höheres Risiko, wenn

Wenn eine Sitzungs-Timeout nicht (oder schlecht) konfiguriert ist, kann das folgende Fehlen von Steuerelementen das Sicherheitsrisiko weiter erhöhen:

• Fehlende Multi-Faktor-Authentifizierung (MFA): Ohne MFA wird eine Sitzung nur durch einen einzigen Satz von Anmeldeinformationen geschützt. Wenn eine Sitzung unbegrenzt aktiv bleibt, muss ein Angreifer, der Zugriff auf das Gerät erhält, keine zusätzlichen Sicherheitsebenen umgehen.
• Fehlende "Abmeldung bei Sitzungs-Timeout erzwingen": Wenn diese spezielle Einstellung deaktiviert ist, kann Salesforce die Sitzung nach ihrem Ablauf nicht mehr beenden, sodass der Browser die Sitzung so lange am Leben erhält, wie sie geöffnet ist.
• Fehlende IP-Adresseneinschränkungen: Wenn Sitzungen nicht an die ursprüngliche IP-Adresse gebunden oder auf Unternehmensbereiche beschränkt sind, kann ein "persistentes" Sitzungstoken gestohlen und von jedem Standort weltweit verwendet werden, ohne dass es in Frage gestellt wird.
• Fehlende Workstation oder automatische Gerätesperre: Wenn keine Organisationsrichtlinie oder technische Steuerung (wie GPO oder MDM) vorhanden ist, um den Computer oder das Mobilgerät eines Benutzers nach einer Zeit der Inaktivität zu sperren, bleibt die offene Salesforce-Sitzung für alle Benutzer mit physischem Zugriff vollständig sichtbar.
• Fehlende Überschreibungen auf Profilebene: Wenn Sie sich nur auf allgemeine organisationsweite Einstellungen verlassen und nicht auf strengere, kürzere Zeitüberschreitungen für Profile mit hohen Berechtigungen (wie Systemadministratoren), wird der "Explosionsradius" erhöht, wenn die Sitzung eines Administrators gekapert wird.
• Fehlende Echtzeit-Sitzungsüberwachung: Ohne Tools wie die Salesforce-Ereignisüberwachung oder Transaktionssicherheitsrichtlinien kann die Organisation verdächtige Sitzungen, die ungewöhnlich lange aktiv waren, nicht erkennen oder automatisch beenden.
• Fehlen von "Sitzungen für die Domäne sperren": Wenn Sitzungen nicht auf die bestimmte Domäne beschränkt werden, in der sie gestartet wurden, kann dies das Risiko von Cross-Site-Scripting (XSS) oder Sitzungsfixierungsangriffen erhöhen.

Geringes oder kein Risiko, wenn

Um das Risiko zu reduzieren, wenn eine strenge Sitzungs-Timeout nicht möglich oder konfiguriert ist, können Sie eine "defense-in-detail"-Strategie mit den folgenden Steuerelementen implementieren: 1. Native Salesforce-Sicherheitssteuerungen

• Multi-Faktor-Authentifizierung (MFA) erzwingen: Für alle Anmeldungen ist ein zweiter Faktor erforderlich. Selbst wenn eine Sitzung aktiv bleibt, müsste ein Angreifer zunächst die MFA umgehen, um diese Sitzung einzurichten.
• Abmeldung bei Sitzungs-Timeout erzwingen: Stellen Sie sicher, dass diese Einstellung in den Sitzungseinstellungen aktiviert ist. Ohne sie können einige Browser eine "Timeout"-Sitzung unbegrenzt im Hintergrund aktiv lassen.
• Sperren von Sitzungen für die IP-Adresse: Dadurch wird "Session-Hijacking" verhindert, da sichergestellt wird, dass die Sitzung nur von der spezifischen IP-Adresse aus verwendet werden kann, von der aus sie ursprünglich stammt.
• Anmelde-IP-Bereiche (Profilebene): Schränken Sie den Zugriff auf bestimmte, vertrauenswürdige Netzwerke (z. B. Ihr Unternehmens-VPN) ein. Dadurch wird sichergestellt, dass selbst eine aktive Sitzung nutzlos ist, wenn das Gerät in ein nicht vertrauenswürdiges Netzwerk verschoben wird.
• Anmeldezeiten: Definieren Sie bestimmte Zeitfenster (z. B. 8:00 – 18:00 Uhr), in denen Benutzer auf Salesforce zugreifen können. Dadurch wird die Sitzungspersistenz außerhalb der Geschäftszeiten automatisch verhindert.

2. Erweiterte Überwachung und Automatisierung (Shield)

• Transaktionssicherheitsrichtlinien (Salesforce Shield): Erstellen Sie Echtzeitrichtlinien, die bei verdächtigem Verhalten ausgelöst werden. Beispielsweise können Sie eine Sitzung mit der Multi-Faktor-Authentifizierung automatisch blockieren oder herausfordern, wenn ein Benutzer versucht, große Daten zu exportieren, oder nach einem langen Zeitraum des "Leerlaufs" auf sensible Datensätze zugreift.
• Ereignisüberwachung: Verwenden Sie die Echtzeit-Ereignisüberwachung, um LoginEvent und SessionHijackingEvent zu verfolgen und anormale Sitzungen zu identifizieren und programmgesteuert zu beenden.

3. Identitäts- und Endpunktsteuerungen

• Single Sign-On (SSO): Delegieren Sie die Sitzungsverwaltung an einen zentralen Identitätsanbieter wie Okta oder Azure AD. Sie können dann strengere globale Sitzungsrichtlinien erzwingen oder alle aktiven Anwendungssitzungen über ein einzelnes Dashboard "abbrechen", wenn ein Gerät kompromittiert wird.
• Endpoint Management (MDM/GPO): Implementieren Sie eine Unternehmensrichtlinie, die den physischen Arbeitsplatz oder das Mobilgerät nach 5–10 Minuten Inaktivität automatisch sperrt. Dadurch wird das Risiko einer "unbeaufsichtigten Workstation" minimiert, die die primäre Bedrohung für lange Sitzungen darstellt.

Überlegungen zu Unternehmen und Integration

Kunden sollten die Eintrittspunkte der Endpunkte ihrer Benutzer auswerten und die Daten, denen die einzelnen Benutzerprofile ausgesetzt sind.

Empfohlene Sanierung

Implementieren Sie Sitzungs-Timeout auf Endpunktebene und auch auf Plattformebene.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsprüfung identifiziert die Plattformkonfiguration in Bezug auf die Sitzungs-Timeouts, indem die Sitzungs-Timeouts anhand der bewährten Vorgehensweisen der Branche (15 Minuten) überprüft werden.