Ein Datenschutzvorfall beim CRM von Salesforce deckt generelle Probleme von Lieferanten auf!

Der aktuelle Datenschutzvorfall beim CRM von Salesforce (Heise Artikel) deckt auf, dass viele Dienstleister von Zscaler über Palo Alto bis hin zu Cloudflare und einige andere wie Workday oder auch KLM. So zeigt sich auch ohne die Geheimhaltung zu brechen, welche Dienstleister das CRM von Salesforce nutzen, aber leider auch mehr.

Was zeigt sich noch- Ableitung aus dem Vorfall?

Das von einem Angriff auf Salesforce und das CRM System nun tausende personenbezogene Daten abgeflossen sind und es Schwachstellen bei Salesforce offenbart ist die eine Seite der Medaille, die immer wieder bei jedem Hack und Datenschutzvorfall transparent die Lücken aufzeigt. Dies war auch schon bei Microsoft und dem Angriff der chinesischen Hacker so oder auch bei fast allen gängigen Vorfällen, dass die Ursache eine Verkettung der Umstände ist und oft menschliches Versagen.

Aber was zeigt sich gerade bei einem CRM noch?

Ich bin selber auch betroffenen von dem Vorfall und auch einige meiner Daten sind abgeflossen. Dies in verschiedenen Dienstleistern, bei denen ich mich zu 90% frage, warum ich in deren CRM eingetragen bin.  Ich bin Geschäftsführer und damit kann ich als Ansprechpartner in CRM Systemen eingetragen sein, warum ist zwar auch hier fraglich, da ich in der Regeln nicht selber erwerbe, sondern dafür eine Einkaufsabteilung habe. Ich bin aber die Person, die unterschreibt und damit oft im CRM landet. Dies ist erstmal nichts ungewöhnliches.

Aber ich und viele Bekannte von mir tauschen im Salesforce CRM auf, auch wenn wir weder Vorstand, Geschäftsführung, Einkauf oder in irgend einer denkbaren Position sind, die für ein CRM überhaupt interessant sein könnten.  Damit sind Personen im CRM:

  • bereits gestorben seit 5-8 Jahren
  • bereits ausgeschieden beim Arbeitgeber seit 2-3 Jahren
  • bereits die Abteilung gewechselt seit 2-3 Jahren
  • kein Kontakt zum Einkauf und keine Position oder Entscheidung das Produkt zu kaufen
  • In Communities zum Produkt oder beim Kunden mit Personen aus der Firma (Kein Vertrieb, aber Adoption oder Produktfeedback)

 

Probleme vieler Dienstleister

  1. Kalt-Akquise ohne Einwilligung und Nachfrage beim Betroffenen
  2. Bonus für Vertriebler für Eintragungen im CRM
  3. Einkauf von Datenbanken ohne Kontrolle oder Nachweis der gültigen Einwilligung des Betroffenen
  4. Messen -> Eintragungen über Gewinnspiele oder Aktionen ohne Dokumentation oder „verlegte“ Dokumentation
  5. Keine Löschfristen
  6. Keine technische Lösung zur Löschung