Salesforce Connected App Security: ist Ihre Org bereit?

TL;DR: Seit Anfang September 2025 schränkt Salesforce den Zugriff auf nicht installierte Connected Apps ein und entfernt OAuth 2.0 Device Flow aus Data Loader. Diese Sicherheitsverbesserungen erfordern sofortiges Handeln von Admins, um Störungen bestehender Integrationen zu vermeiden.

Salesforce führte im September wichtige Änderungen an Connected App Security ein. Das verändert die Balance, und Vorbereitung ist entscheidend.

Warum diese Änderung?

In den letzten Monaten zielte eine Welle von Voice-Phishing (“Vishing”) und Social-Engineering-Angriffen auf Salesforce-Kunden. Angreifer gaben sich als IT-Helpdesk aus, brachten Mitarbeitende dazu, OAuth-Zugriff für bösartige Apps zu gewähren, und nutzten diese Credentials zur Exfiltration von Kundendaten.

Prominente Opfer sind Google, wo Geschäftskontakte und Sales Notes gestohlen wurden, sowie Chanel, Farmers Insurance und LVMH-Marken wie Louis Vuitton, Dior und Tiffany & Co. Im Luftfahrtsektor meldeten Air France und KLM im August 2025, dass eine kompromittierte Third-party Customer-Service-Plattform Namen, E-Mail-Adressen, Telefonnummern und Loyalty-Programme-Details offenlegte. 

Diese Vorfälle zeigen, warum Salesforce die Kontrolle über nicht installierte Connected Apps verschärft und OAuth Device Flow auslaufen lässt.

Als Salesforce-Admins balancieren wir Zugänglichkeit und Sicherheit. Nutzer brauchen ihre Tools, während Organisationen vor Bedrohungen geschützt bleiben müssen.

Was ändert sich?

1. Nicht installierte Connected Apps standardmäßig blockiert

Die wichtigste Änderung ist einfach, aber wirksam: nicht installierte Connected Apps sind für die meisten Nutzer nicht mehr zugänglich. Wenn eine App nicht formell in der Org installiert ist, wird sie blockiert.

Das bedeutet:

• Neue Nutzer, die nicht installierte Connected Apps öffnen wollen, werden vollständig blockiert, sofern sie keine speziellen Bypass-Berechtigungen haben.
• Bestehende Nutzer, die eine App zuvor autorisiert haben, können sie weiter nutzen, aber nur wenn sie nicht auf OAuth 2.0 Device Flow basiert.
• Alle nicht installierten Apps mit OAuth 2.0 Device Flow werden vollständig blockiert, auch für Nutzer mit früherer Autorisierung.

2. Neue Berechtigungen für Bypass-Zugriff

Salesforce hat neue Wege für vertrauenswürdige Nutzer eingeführt, diese Einschränkungen zu umgehen, aber mit zusätzlicher Verantwortung:

• “Approve Uninstalled Connected Apps”, eine neue Berechtigung aus Summer '25, mit der bestimmte Nutzer nicht installierte Apps selbst autorisieren können.
• “Use Any API Client”, eine bestehende breitere Berechtigung, die ebenfalls Bypass ermöglicht.

Die Wirksamkeit hängt von den API Access Control-Einstellungen Ihrer Org ab.

3. Entfernung von Data Loader OAuth 2.0 Device Flow

Am 2. September 2025 wurde die OAuth Device Flow-Option für die automatisch installierte Data Loader App vollständig entfernt. Nutzer müssen zu password authentication oder OAuth Web Server Flow wechseln.

Warum macht Salesforce diese Änderungen?

Die Antwort ist einfach: Sicherheit. Aktuelle Social-Engineering-Angriffe haben Salesforce-Nutzer dazu gebracht, bösartige Connected Apps zu autorisieren, die sich als legitime Tools wie Data Loader ausgaben. Diese Angriffe waren erfolgreich, weil sie die Lücke zwischen Nutzerkomfort und Organisationskontrolle ausnutzten.

Sicherheitsforscher weisen darauf hin, dass Gruppen wie ShinyHunters/UNC6040 telefonisches Social Engineering nutzen, um MFA zu umgehen und Mitarbeitende zur Genehmigung von OAuth Scopes zu bewegen. Nach Zugriff extrahieren Angreifer leise Customer-care Records und nutzen die Daten für Erpressung oder weiteres Phishing.

Wie Googles Threat Analysis zeigte, nutzten Angreifer keine Salesforce-Schwachstellen. Sie manipulierten Nutzer, um bösartigen Apps Zugriff zu geben. Mit einem “locked door”-Standard zwingt Salesforce Organisationen, bewusst zu entscheiden, welche Apps Nutzer öffnen dürfen.

Was Sie jetzt tun müssen

1. Ihre aktuellen Connected Apps auditieren

Sofortige Maßnahme erforderlich: Gehen Sie zu Setup → Connected Apps OAuth Usage und prüfen Sie jede genutzte App.

Suchen Sie den “Install”-Button in der Actions-Spalte. Wenn er sichtbar ist, ist die App nicht installiert und betroffen.

Achten Sie bei der Prüfung auf:

• Erstes und letztes Nutzungsdatum, wird die App aktiv genutzt oder ist sie veraltet?
• Welche Nutzer darauf zugreifen, brauchen sie sie wirklich?
• Vertrauenswürdigkeit, erkennen Sie App und Publisher?
• Legitime Integrationen, etwa Power BI, Nonprofit Apps oder Partnerlösungen, die installiert werden müssen.

2. Installationsentscheidungen treffen

Für jede identifizierte nicht installierte App:

• Installieren Sie Apps, die legitim und aktiv genutzt sind.
• Blockieren Sie Apps, die Sie nicht erkennen, nicht vertrauen oder nicht benötigen.
• Dokumentieren Sie die Business Justification jeder behaltenen App für eine klare Audit Trail.

Stärkere Governance, weniger Breaches

Auditieren, installieren oder blockieren Sie Apps mit einem klaren Approval-Prozess. Nutzen Sie Serpent, um Berechtigungen zu verfolgen und Ihre Org sicher zu halten, ohne Delivery zu bremsen.

Kostenlose Demo testen Mehr über Serpent

3. Neue Berechtigungen vorsichtig vergeben

Vergeben Sie “Approve Uninstalled Connected Apps” nur wenn absolut nötig. Geeignete Kandidaten können sein:

• Administratoren, die Apps vor org-weiter Installation testen müssen.
• Entwickler, die Integrationen bauen oder warten.
• Ausgewählte Business-Nutzer mit klarem Bedarf und nachweisbarer Security Awareness.

⚠️ Hinweis: Dies ist eine Alles-oder-nichts-Berechtigung. Nutzer können jede nicht installierte Connected App autorisieren.

4. Data Loader-Änderungen vorbereiten

Wenn Nutzer auf Data Loader angewiesen sind:

• Laden Sie die neueste Version vor dem 2. September 2025 herunter
• Schulen Sie Nutzer zu password authentication oder Web Server Flow
• Kommunizieren Sie früh, um Workflow-Störungen zu vermeiden

4. Data Loader-Änderungen vorbereiten

Wenn Nutzer auf Data Loader angewiesen sind:

• Aktualisieren Sie auf die neueste Version nach dem 2. September 2025
• Schulen Sie Nutzer zum Wechsel von OAuth Device Flow zu Password Authentication oder OAuth Web Server Flow
• Kommunizieren Sie die Änderung klar, um reguläre Workflows nicht zu stören.

5. Governance stärken

Nutzen Sie den Übergang, um Ihre Connected App Governance zu verbessern:

• Prüfen Sie, wer neue Connected Apps installieren darf.
• Überwachen Sie App-Nutzung und Nutzerautorisierungen regelmäßig.
• Erzwingen Sie Least Privilege über alle Profiles und Roles.
• Beantragen Sie API Access Control bei Ihrem Salesforce Account Executive, wenn Sie strengere Guardrails brauchen.

Verifizieren Sie Helpdesk-Anfragen und begrenzen Sie Third-party Access. Viele Breaches 2025 begannen, als Angreifer IT-Support imitierten und Service-desk Personal überzeugten, Credentials zu gewähren oder zurückzusetzen. Fordern Sie strenge Identitätsprüfung für jede Service-desk Aktion, erzwingen Sie MFA auf allen Konten, auditieren Sie Third-party App Scopes und entfernen Sie ungenutzte Integrationen. Prüfen Sie Connected Apps regelmäßig und widerrufen Sie langlebige Tokens, um den Schaden bei Kompromittierung zu begrenzen.

Compliance halten, release-ready bleiben

Lassen Sie Tekunda eine security-first DevOps-Strategie für Ihr Salesforce-Setup entwerfen, damit Sie auf Business Value fokussieren, während wir Governance übernehmen.

Demo buchen Kontakt aufnehmen

Zeitplan und Rollout

Der Rollout begann Ende August und läuft durch September:

• 28. August 2025, neue Orgs erhielten die Einschränkungen.
• 2. September 2025, bestehende Orgs erhielten die Änderungen phasenweise über etwa 2 Wochen.
• 2. September 2025, OAuth 2.0 Device Flow wurde aus Data Loader entfernt.

Was sich nicht ändert

Wichtig ist, dass nicht alles umgestellt wird. Das bleibt gleich:

• Installed Connected Apps funktionieren weiter ohne Störung.
• Berechtigungen zum Installieren neuer Apps bleiben unverändert.
• Bereits autorisierte Apps funktionieren für bestehende Nutzer weiter, außer jene mit OAuth 2.0 Device Flow.

Das größere Bild: Sicherheit ist Teamsport

Auch wenn Salesforce diese neuen Sicherheitskontrollen bereitstellt, bleibt Plattformsicherheit gemeinsame Verantwortung. Die stärksten technischen Kontrollen schützen nicht vor einem Nutzer, der durch Social Engineering Zugriff gewährt.

Nutzen Sie den Übergang, um Security Awareness zu stärken:

• Nutzer zu Phishing und Vishing schulen
• Klare Eskalationsverfahren für verdächtige Anfragen definieren
• Connected App-Nutzung und Berechtigungen regelmäßig auditieren.
• Dokumentieren Sie Ihren App Approval Process für konsistente, transparente Entscheidungen.

Fazit

Diese Updates zeigen Salesforces Einsatz, Sicherheitslücken zu schließen und zugleich die Flexibilität der Plattform zu bewahren. Im Kontext aktueller Vorfälle, von Google und Chanel bis Air France–KLM, wird klar, warum die Einschränkung nicht installierter Apps und die Entfernung von OAuth Device Flow notwendig sind. Angreifer missbrauchen zunehmend Vertrauen und Komfort; Ihre Governance und Nutzerschulung müssen ebenso schnell weiterentwickelt werden.

Die Änderungen geben Admins mehr Kontrolle, verlangen aber auch proaktive Vorbereitung. Durch Audits von Connected Apps, Berechtigungsupdates und Nutzerschulung vermeiden Sie Störungen und stärken Ihre Sicherheitslage während des Rollouts.

Ihre Nutzer verlassen sich darauf, dass Sie die richtigen Türen offen und die falschen fest geschlossen halten.