Low-Code, hohe Risiken: Warum Sicherheit in der Salesforce Industry Cloud oberste Priorität haben muss

24. Juni 2025

Low-Code-Plattformen wie die Salesforce Industry Clouds versprechen Unternehmen schnellere Innovationen – doch sie bergen auch erhebliche Sicherheitsrisiken. Gerade in stark regulierten Branchen wie dem Gesundheitswesen, dem Finanzsektor oder der Telekommunikation ist es entscheidend, die Sicherheit nicht zugunsten von Geschwindigkeit und Bequemlichkeit zu vernachlässigen.

„Low-Code-Plattformen vereinfachen die Entwicklung von Anwendungen, aber diese Bequemlichkeit kann teuer werden, wenn die Sicherheit nicht an erster Stelle steht“, warnt Aaron Costello, Leiter der SaaS-Sicherheitsforschung bei AppOmni. In seiner aktuellen Studie hat er über 20 sicherheitsrelevante Konfigurationsprobleme in Salesforce-Umgebungen aufgedeckt – darunter mehrere Zero-Day-Schwachstellen.

Die untersuchten Sicherheitslücken betreffen zentrale Komponenten der Industry Clouds, darunter FlexCards, Data Mappers und Integrationsverfahren. Besonders kritisch: Viele der Risiken ergeben sich aus unsicheren Standardkonfigurationen oder fehlerhaft umgesetzten Berechtigungen – und die Verantwortung für deren Absicherung liegt häufig bei den Kunden selbst.

Sicherheitslücken mit weitreichenden Folgen

Zu den identifizierten Risiken zählen unter anderem unbefugter Zugriff auf verschlüsselte Felder, Session-Stealing sowie potenzieller Missbrauch von Geschäftslogik. In fünf Fällen hat Salesforce sogenannte CVEs (Common Vulnerabilities and Exposures) veröffentlicht – drei wurden bereits gepatcht, zwei erfordern Maßnahmen auf Kundenseite. Die übrigen 16 Risiken müssen vollständig von den Unternehmen selbst adressiert werden.

„Unsere Analysen zeigen, wie schnell kleine Fehlkonfigurationen zu gravierenden Angriffspunkten werden können – nicht nur in der Industry Cloud, sondern in der gesamten Salesforce-Umgebung“, betont Costello. Besonders alarmierend: Über ein Viertel der AppOmni-Kunden setzt bereits Salesforce-Branchenlösungen ein.

Empfehlung: Sicherheitskonzepte konsequent mitdenken

Trotz der Risiken bleibt das Potenzial von Low-Code-Plattformen enorm – vorausgesetzt, Sicherheitsaspekte werden von Anfang an mitgedacht. „Wer die Industry Clouds effizient und sicher nutzen will, muss ein tiefes Verständnis für deren Konfiguration entwickeln und Best Practices konsequent anwenden“, so Costello.

Eine detaillierte Analyse der Schwachstellen sowie konkrete Handlungsempfehlungen für Sicherheitsverantwortliche hat AppOmni in einem ausführlichen Report veröffentlicht.

Die Vorteile – und die Folgen – von Low-Code

Die Branchen-Clouds von Salesforce ermöglichen eine schnelle Workflow-Entwicklung. Wie bei jeder leistungsstarken Plattform sind eine durchdachte Konfiguration und regelmäßige Überprüfungen entscheidend für die Aufrechterhaltung einer sicheren Umgebung. Low-Code ist ein leistungsstarkes Tool für Nicht-Entwickler und ermöglicht es auch technisch weniger versierten Anwendern, Logiken zu entwickeln, die kritische Systeme und sensible Kunden- und interne Daten betreffen. Diese Möglichkeit kann jedoch zu Lasten der Sicherheit gehen und das Risiko von Fehlkonfigurationen durch Kunden drastisch erhöhen. Diese Kombination aus Flexibilität und implizitem Vertrauen bedeutet, dass die Fehlkonfiguration einer Komponente oder das Übersehen einer Einstellung durch einen Kunden zu einer systemweiten Datenoffenlegung führen kann. Die Studie identifiziert Möglichkeiten, bei denen Unternehmen eine Absicherung ihrer Bereitstellungen in Branchen-Clouds in Betracht ziehen sollten. Diese Fehlkonfigurationen können schwerwiegende Auswirkungen auf die Sicherheit haben, wenn sie von Kunden nicht behoben werden, darunter unter anderem:

• Low-Code-Komponenten, die standardmäßig keine Zugriffskontrollen durchführen oder verschlüsselte Daten nicht respektieren
• Standardmäßig besteht die Gefahr, dass Code, der zur Verbesserung von Workflows geschrieben wurde, von unbefugten Parteien wie externen oder nicht authentifizierten Benutzern ausgeführt wird.
• Missbrauch von Caching-Mechanismen kann dazu genutzt werden, Zugriffskontrollen zu umgehen und sogar Daten zwischen einzelnen Personen weiterzugeben.
• Schlecht entwickelte OmniOut-Anwendungen außerhalb der Plattform können zum Diebstahl von API-Token führen und die Daten von Drittanwendern offenlegen.
• Sensible Daten, die direkt in Komponenten eingebettet sind, wie API-Schlüssel, können ohne Ausführungsberechtigung gelesen werden
• Auf exportierte und importierte Komponentenpakete kann zugegriffen werden, um Berechtigungen für die Komponenten selbst zu umgehen
• Unsichere Berechtigungen für gespeicherte Workflows ermöglichen es anderen Benutzern, offene Sitzungen anzuzeigen und gespeicherte Daten offenzulegen

Zu den wesentlichen Schritten, die Kunden unternehmen müssen, um diese Sicherheitsrisiken zu beseitigen, gehören:

• Sperren Sie Freigaberegeln und den Zugriff auf Feldebene für Objekte in Branchen-Clouds, insbesondere für externe Identitäten
• Stärken Sie leistungsstarke Komponenten durch zusätzliche Berechtigungen
• Aktualisieren Sie Standardkonfigurationseinstellungen, die Risiken bergen, wo immer möglich
• Verwenden Sie private Caching-Mechanismen anstelle von öffentlichen, um die Vertraulichkeit benutzerspezifischer Daten zu gewährleisten
• Führen Sie regelmäßige Updates durch, da Salesforce Patches und CVEs als Reaktion auf neue Forschungsergebnisse bereitstellt

Fünf CVEs, die für die Risiken ausgegeben wurden

Aufgrund meiner Offenlegungen stufte Salesforce fünf der Ergebnisse als Schwachstellen ein, für die jeweils eine CVE ausgegeben wurde. Alle stehen im Zusammenhang mit Kernkomponenten, FlexCards und Data Mappers. Jede einzelne zeigt, wie scheinbar geringfügige Konfigurationsentscheidungen des Kunden oder nicht gepatchte Schwachstellen erhebliche Sicherheitsrisiken nach sich ziehen können. Am 19. Mai 2025 wurden alle Salesforce-Kunden (Administratoren) über diese Schwachstellen informiert.

FlexCard-CVEs

• CVE-2025-43698: Die SOQL-Datenquelle ignoriert die Sicherheit auf Feldebene (FLS) und legt alle Felddaten für Datensätze offen.
• CVE-2025-43699: Das Feld „Erforderliche Berechtigungen” kann umgangen werden, da die Überprüfung auf der Clientseite durchgeführt wird.
• CVE-2025-43700: Die Berechtigung „Verschlüsselte Daten anzeigen” wird nicht durchgesetzt, sodass Daten, die mit der klassischen Verschlüsselung verschlüsselt sind, für nicht autorisierte Benutzer im Klartext angezeigt werden.
• CVE-2025-43701: Gastbenutzer können auf Werte für benutzerdefinierte Einstellungen zugreifen.

Datenmapper CVE

• CVE-2025-43697: Die Aktionen „Extrahieren“ und „Turbo-Extrahieren“ erzwingen standardmäßig keine FLS und geben verschlüsselte Werte als Klartext an Benutzer zurück, die keine Berechtigung zum Anzeigen dieser Werte haben.

Was AppOmni festgestellt hat: Wichtige Sicherheitsrisiken nach Funktion

Die CVEs sind nur ein Bestandteil. Nachfolgend finden Sie eine umfassende Liste der risikobehafteten Konfigurationen, die in diesem Dokument ausführlich erläutert werden.

FlexCards

Werden verwendet, um Salesforce-Daten über SOQL, SOSL und Datenmappers abzurufen.

• Fehlende FLS-Durchsetzung für SOQL
• Datenlecks aus Testantworten und Sitzungsvariablen

Datenmappers

Serverseitige Komponenten zum Extrahieren, Transformieren oder Laden von Daten.

• FLS standardmäßig deaktiviert
• Entschlüsselung verschlüsselter Daten standardmäßig ohne Überprüfung der Berechtigungen
• Umgehung von Berechtigungen mithilfe des Scale-Caches

Integrationsverfahren (IProcs)

Serverseitige Orchestrierungs-Engine für APIs, Apex und Logik.

• Verschachtelte Aktionen überspringen die Berechtigungsüberprüfung
• Fest codierte Anmeldedaten sind für Benutzer lesbar, die nicht zur Ausführung des IProc berechtigt sind
• Aufrufbare Apex-Objekte sind standardmäßig für nicht autorisierte Benutzer sichtbar
• Umgehung von Berechtigungen mithilfe des Scale-Caches
• Unsichere Verwendung des Organisations-Caches führt zu Datenlecks zwischen Benutzern

Datenpakete

Wird für die Migration von OmniStudio-Komponenten zwischen Organisationen verwendet.

• Lesen importierter/exportierter Datenpakete zur Umgehung der Berechtigungen enthaltener Komponenten
• „Versteckte” exportierte Datenpakete legen Daten dauerhaft offen

OmniOut

Bettet Komponenten mithilfe von OAuth außerhalb der Plattform ein.

• Diebstahl von API-Tokens aus dem clientseitigen Speicher
• Unsichere Speicherung von Anmeldeinformationen durch direkte Codeeinbettung
• Kontrollierbare API-Pfade gewähren Zugriff auf nicht autorisierte APIs
• API-Token mit überprivilegiertem Benutzer verknüpft

OmniScript Gespeicherte Sitzungen

Speichert laufende Benutzersitzungen.

• Sitzungsdatenlecks durch weitreichende Berechtigungen
• Phishing im Stil einer Sitzungsfixierung zum Stehlen von Informationen

Dies ist nicht nur eine Fehlkonfiguration, sondern ein Reifegraddefizit.

Für Unternehmen, die Compliance-Vorgaben wie HIPAA, GDPR, SOX oder PCI-DSS unterliegen, können diese Defizite ein echtes regulatorisches Risiko darstellen. Und da es in der Verantwortung des Kunden liegt, diese Einstellungen sicher zu konfigurieren, kann eine einzige fehlende Einstellung zur Verletzung tausender Datensätze führen, ohne dass der Anbieter dafür haftet.

Sicherheit ist kein optionales Extra, und bei den Standardeinstellungen steht die Benutzerfreundlichkeit im Vordergrund. Diese Schwachstellen waren keine Fehler, sondern Designentscheidungen, die aus Gründen der Benutzerfreundlichkeit getroffen wurden. In Branchen mit hoher Datensensibilität muss diese Benutzerfreundlichkeit jedoch durch strenge Sicherheitsmaßnahmen ausgeglichen werden.

Die Lösung ist nicht Panik, sondern Disziplin. Behandeln Sie Cloud-Komponenten für die Industrie genauso kritisch wie jeden Produktionscode. Testen, prüfen und konfigurieren Sie defensiv.

So unterstützt AppOmni Unternehmen bei der Absicherung ihrer SaaS-Systeme

AppOmni hat sich auf ein zentrales Ziel spezialisiert: Unternehmen dabei zu unterstützen, versteckte Risiken in ihren SaaS-Umgebungen aufzudecken und so die Sicherheit entscheidend zu verbessern.

Im Rahmen einer umfangreichen Analyse hat das Unternehmen mehr als 20 spezifische Erkennungsmechanismen entwickelt, mit denen sich Fehlkonfigurationen in branchenspezifischen Salesforce-Cloud-Umgebungen identifizieren lassen. Diese Erkenntnisse knüpfen direkt an die Ergebnisse der zugrunde liegenden Forschung an.

Was AppOmnis Ansatz besonders macht: Die entwickelten Erkennungen basieren auf realen Bedrohungsszenarien, die in Kundenumgebungen tatsächlich beobachtet wurden. Dadurch erhalten Sicherheits- und Plattformteams nicht nur unmittelbare Einblicke in potenzielle Schwachstellen, sondern auch konkrete Handlungsempfehlungen zur schnellen Problemlösung.

Joel Wallenstrom, General Manager von AppOmni, fügte hinzu: „SaaS-Anwendungen dominieren die Welt, doch die SaaS-Sicherheit hinkt noch Jahre hinterher. Alle regen sich über einen offenen S3-Bucket auf, doch falsch konfigurierte SaaS-Anwendungen sind allgegenwärtig und werden kaum bemerkt. Das muss sich ändern. Auf der RSA forderte JPMC-CISO Pat Opet echte Führungsstärke, um systemische SaaS-Risiken anzugehen. Die Forschungsergebnisse von Aaron Costello sind eine Antwort auf diesen Ruf und helfen Kunden, ihre Salesforce Industry Cloud-Konfigurationen zu sichern. Wir bei AppOmni sind stolz darauf, die SaaS-Sicherheit voranzutreiben – entwickelt von Hackern, für Verteidiger. Wir sind bestrebt, unseren Kunden dabei zu helfen, Risiken zu reduzieren, und sind dem Salesforce-Sicherheitsteam dankbar für die Zusammenarbeit, um diese Forschungsergebnisse unseren gemeinsamen Kunden zur Verfügung zu stellen.“

---

Bild/Quelle: https://depositphotos.com/de/home.html

---