📘 Leitfaden: So finden Sie eine sichere Contact-Center-Software

Cybersicherheit ist ein grundlegendes Thema für jedes Unternehmen, das mit Kundendaten arbeitet.

Cybersicherheit ist ein grundlegendes Thema für jedes Unternehmen, das mit Kundendaten arbeitet.

Traditionell wird Cybersicherheit als technische Herausforderung betrachtet. Erst seit etwa einem Jahrzehnt steht darüber hinaus auch der menschliche Faktor stärker im Fokus. Cybersicherheit ist jedoch ein weitreichendes Thema, das weit über das ICT-Team hinausgeht. Laut dem Finnischen Nationalen Zentrum für Cybersicherheit haben folgende Phänomene den größten Einfluss auf Cyber-Bedrohungen:

🔹 Internationale wirtschaftliche und politische Instabilität

🔹 Mangelnder Austausch von Informationen innerhalb und zwischen Organisationen

🔹 Ungepatchte Sicherheitslücken in Geräten und Diensten, die mit dem Internet verbunden sind

🔹 Fehlendes diversifiziertes Fachwissen im Bereich Cybersicherheit

🔹 Gestohlene Zugriffsrechte und Anmeldedaten.

Die obige Aufzählung zeigt: Cybersicherheit ist ein komplexes Thema. Angesichts der Vielzahl von Cybersicherheitsrisiken und potenziellen Sicherheitsverletzungen ist heute kein Unternehmen mehr zu 100 % vor allen Bedrohungen sicher. Mit den richtigen Systemen, entsprechender Schulung und zertifizierten Prozessen können Sie jedoch die Auswirkungen von Angriffen und Verstößen auf Ihre Betriebsabläufe minimieren.

Die Bedeutung von Cybersicherheit in Contact Centern

Sowohl Contact Center für ausgehende Anrufe als auch Kundendienstteams arbeiten mit personenbezogenen Daten. Diese Organisationen sind daher potenzielle Ziele für eine Vielzahl von Angriffen auf die Cybersicherheit.

Darüber hinaus richten sich die meisten solchen Angriffe heutzutage nicht mehr nur gegen einzelne Unternehmen. Meistens werfen Hackergruppen und einzelne Hacker ihr Netz so weit aus wie möglich, indem sie die Sicherheitsmaßnahmen von Tausenden von Unternehmen gleichzeitig testen.

Für Unternehmen und Organisationen, die im Europäischen Wirtschaftsraum tätig sind, gelten strenge Vorschriften für den Umgang mit personenbezogenen Daten. Die Datenschutz-Grundverordnung (DSGVO) sieht hohe Geldstrafen für Unternehmen vor, die personenbezogene Daten ihrer Kunden nicht sicher aufbewahren oder Verstöße nicht ausreichend berichtigen.

Allein aus diesen drei Gründen sollte das Thema Cybersicherheit ganz oben auf Ihrer Agenda stehen. Um Cybersicherheitsrisiken zu minimieren, müssen alle Tools – z. B. die Contact-Center-Software – und alle Prozesse von Kundenservice-Teams und Outbound-Vertriebsteams unter dem Gesichtspunkt der Cybersicherheit bewertet werden.

Die von Ihnen gewählte Contact-Center-Software ist von entscheidender Bedeutung für einen sicheren Betrieb. Deshalb hilft dieser Leitfaden Ihnen und Ihrem Team (z. B. dem ICT-Team), die Cybersicherheitseigenschaften von Cloud Contact Center-Systemen zu bewerten.

SOC 2-Zertifizierung

Ein Blick zurück

Die Anfänge von SOC 2 reichen bis zu den in den 1970er Jahren veröffentlichten Prüfungsstandards zurück. Die Zertifizierung wurde vom American Institute of Certified Public Accountants entwickelt und definiert die Kriterien für die Datenverwaltung einer Organisation. SOC 1 legt die Kontrollen für Jahresabschlüsse fest. SOC 2 tut dasselbe für Kundendaten. Mittlerweile wird der SOC 2-Standard im Rahmen der International Standard on Assurance Engagement (ISAE) geregelt.

Die Bedeutung von SOC 2

Bei den System- und Organisationskontrollen (SOC) handelt es sich um Berichte, die von unabhängigen Prüfern erstellt werden und bewerten, wie ein Unternehmen mit sensiblen Daten umgeht. Das SOC 2 bescheinigt, dass eine Organisation die Wahrscheinlichkeit von Kundendatenlecks und Sicherheitsverletzungen minimiert hat.
Der SOC 2-Bericht basiert auf den fünf Trust-Services-Kriterien für den Umgang mit Kundendaten: Sicherheit, Vertraulichkeit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit. Er wurde für alle Unternehmen entwickelt, die Kundendaten speichern, verarbeiten oder übermitteln – z. B. SaaS-Unternehmen oder Datenhosting-Unternehmen.

Grundsätze der internen Kontrolle und Trust-Services-Kriterien

Die SOC 2-Zertifizierung basiert auf 17 obligatorischen Grundsätzen der internen Kontrolle und fünf optionalen Trust Service-Kriterien.

Die Grundsätze der internen Kontrolle stellen sicher, dass das Unternehmen über geeignete Prozesse verfügt, um Informationen zu schützen. Der Zugang zu vertraulichen Informationen ist auf die entsprechenden Mitarbeiter beschränkt, Risiken werden durch kontinuierliche Schulungen minimiert, Systeme kontinuierlich überwacht und Geschäftspartner konsequent bewertet.

Zusammengefasst muss ein Unternehmen folgende Kriterien erfüllen, um die SOC 2-Zertifizierung zu erhalten:

🔹 Schulungen zum Thema Informationssicherheit für alle Mitarbeiter

🔹 Gewährleistung, dass alle Unternehmen, von denen Dienstleistungen eingekauft werden, über ähnliche Informationssicherheitsprotokolle verfügen

🔹 Gewährleistung, dass alle Kundendaten sicher sind und Sicherheitskopien erstellt werden

🔹 Beschränkung des physischen und digitalen Zugriffs auf diese Daten und Löschung der Daten, wenn eine Kundenbeziehung beendet wird

🔹 Etablierte Verfahren, die eine schnelle Reaktion auf Zwischenfälle ermöglichen

🔹 Regelmäßige interne und externe Prüfung der Verfahren zur Informationssicherheit.

Der Zertifizierungsprozess

Der SOC 2-Bericht wird von einem zertifizierten externen Wirtschaftsprüfer geprüft. Dieser Wirtschaftsprüfer bewertet, inwieweit ein Anbieter die Trust-Services-Kriterien erfüllt. Das SOC 2 umfasst zwei Arten von Berichten: Typ I und Typ II. Typ I beschreibt die Systeme des Unternehmens. Der Prüfer bestätigt, dass die Konzeption dieser Systeme den entsprechenden Trust-Services-Kriterien entspricht. Berichte von Typ II gehen darüber hinaus: Sie untersuchen die operative Wirksamkeit dieser Systeme, d. h. sie führen Tests durch, um sicherzustellen, dass sie wie angegeben funktionieren.

Die ISO 27001-Zertifizierung

Ein Blick zurück

Die ISO 27001 wurde erstmals im Jahr 2005 veröffentlicht. Im Laufe der Jahre wurden Überarbeitungen vorgenommen. Die neueste Version ist von 2018. Der Standard wurde von der Internationalen Organisation für Normung entwickelt und veröffentlicht.

Die Bedeutung von SOC 2

Die ISO 27001 ist eine Norm für das Informationssicherheitsmanagement, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Die Anforderungen legen fest, wie Organisationen die Sicherheit ihrer Informationswerte – wie etwa geistiges Eigentum, Kundendaten oder Informationen Dritter – verwalten können.

Absoluter Schutz vor allen Bedrohungen der Cybersicherheit ist nicht möglich. Die ISO 27001 ist jedoch ein international anerkanntes Kennzeichen für eine Organisation, die die höchsten Sicherheitsstandards erfüllt.

Wie Sicherheitskontrollen aufgebaut sind

Eine Sicherheitskontrolle ist jede Maßnahme, die darauf abzielt, die Cybersicherheit einer Organisation zu erhöhen. Die meisten Unternehmen verwenden mehrere Sicherheitskontrollen: Firewalls, automatische Updates, Passwörter, Protokolle für das Incident Management usw.

Der Zweck des ISMS ist es, sicherzustellen, dass die Sicherheitskontrollen einer Organisation effektiv verwaltet werden und gleichzeitig das gesamte Spektrum möglicher Cybersicherheitsbedrohungen abdecken.

Das ISMS muss die Sicherheitsrisiken der Organisation systematisch untersuchen, bei Bedarf zusätzliche Sicherheitskontrollen einrichten und sicherstellen, dass die Kontrollen den Anforderungen der Organisation fortlaufend gerecht werden.

Der Zertifizierungsprozess

Der erste Schritt zum Erhalt des ISO 27001-Zertifikats besteht darin, die Norm zu erwerben und die darin enthaltenen Anforderungen an die Informationssicherheit zu verstehen. Beim ersten Mal ist es in der Regel erforderlich, Sicherheitskontrollen hinzuzufügen und zu ändern, um die Anforderungen des Standards zu erfüllen. Natürlich muss jede Sicherheitskontrolle dokumentiert werden.

Sobald das ISMS die Anforderungen des Standards erfüllt, wird der akkreditierte Registrator eingeladen, die Prüfung durchzuführen. Es kann eine vorläufige Prüfung der Stufe 1 durchgeführt werden, um festzustellen, ob die richtigen Prozesse und Systeme vorhanden sind. Eine Prüfung der Stufe 2 ist eine formelle, vollständige Prüfung.

Der Prüfer überprüft die Dokumentation, um sicherzustellen, dass sie den Anforderungen des Standards entspricht. Erst dann kann ein Zertifikat ausgestellt werden.

Um den Standard zu erfüllen, sind fortlaufende Nachprüfungen erforderlich. Die ISO 27001-Prüfung wird regelmäßig vorgenommen, kann aber auch intern durchgeführt werden. Ein interner Prüfer kann zum Beispiel eine jährliche Prüfung durchführen, während die externe Prüfung nur alle drei Jahre stattfindet.

Externer Prüfer

ISO 27001 basiert auf Standards – sprich, auf langen Listen von Cybersicherheitsrichtlinien, die es zu befolgen gilt. Die Zertifizierung ist nicht obligatorisch. Manche Organisationen entscheiden sich deshalb dafür, die Richtlinien und Best Practices der Norm zu befolgen, ohne sich zertifizieren zu lassen. Dagegen ist nichts einzuwenden. Nur eine externe Prüfung und die daraus resultierende Zertifizierung sind jedoch eine echte Garantie für Kunden und Partner, dass die im Standard beschriebenen Maßnahmen in der Organisation auch wirklich eingehalten werden.

Zusammenfassung

Contact Center sind potenzielle Ziele für Cybersicherheitsangriffe. Sie verarbeiten und speichern Kundendaten – Daten, die für Cyberkriminelle äußerst lukrativ sind. Gezielte Angriffe sind jedoch nicht das einzige Risiko. Auch blinde Angriffe, die gleichzeitig Sicherheitslücken in Tausenden von Unternehmen ausnutzen, sind inzwischen üblich.

Unternehmen sollten deshalb sicherstellen, dass ihre Softwareanbieter nach SOC 2 und/oder ISO 27001 zertifiziert sind. Beide Zertifizierungen sind allgemein anerkannte und extern geprüfte Zeichen dafür, dass eine Organisation das Thema Cybersicherheit im Blick hat.

Wenn Sie eine Anfrage oder Ausschreibung für ein Contact-Center-Tool erstellen oder die Systeme verschiedener Anbieter bewerten, sollten Sie diese Zertifizierungen in Ihre Bewertungskriterien einbeziehen. Bitten Sie den Anbieter zum Beispiel um Folgendes:

🔹 Einen Überblick über seine Sicherheitskontrollen

🔹 Eine Auflistung von relevanten Zertifizierungen für diese Kontrollen

🔹 Eine Auflistung anderer externer Prüfungen oder Berichte.