📘 Leitfaden: So finden Sie eine sichere Contact-Center-Software
Die Wahl einer geeigneten Contact-Center-Software trägt entscheidend dazu bei, Ihre Betriebsabläufe sicher zu gestalten. Dieser Leitfaden unterstützt Sie und Ihr Team bei der Bewertung der Cybersicherheitseigenschaften von Cloud Contact Center-Systemen.
Erfahren Sie, wie Sie eine sichere Contact-Center-Software für Ihr Unternehmen auswählen 👉
Mehr dazu unten ⬇️
Mit Ihrer Registrierung bestätigen Sie, dass Sie mit der Speicherung und Verarbeitung Ihrer persönlichen Daten durch LeadDesk, wie in der Datenschutzrichtliniebeschrieben, einverstanden sind.
Cybersicherheit ist ein grundlegendes Thema für jedes Unternehmen, das mit Kundendaten arbeitet.
Cybersicherheit ist ein grundlegendes Thema für jedes Unternehmen, das mit Kundendaten arbeitet.
Traditionell wird Cybersicherheit als technische Herausforderung betrachtet. Erst seit etwa einem Jahrzehnt steht darüber hinaus auch der menschliche Faktor stärker im Fokus. Cybersicherheit ist jedoch ein weitreichendes Thema, das weit über das ICT-Team hinausgeht. Laut dem Finnischen Nationalen Zentrum für Cybersicherheit haben folgende Phänomene den größten Einfluss auf Cyber-Bedrohungen:
🔹 Internationale wirtschaftliche und politische Instabilität
🔹 Mangelnder Austausch von Informationen innerhalb und zwischen Organisationen
🔹 Ungepatchte Sicherheitslücken in Geräten und Diensten, die mit dem Internet verbunden sind
🔹 Fehlendes diversifiziertes Fachwissen im Bereich Cybersicherheit
🔹 Gestohlene Zugriffsrechte und Anmeldedaten.
Die obige Aufzählung zeigt: Cybersicherheit ist ein komplexes Thema. Angesichts der Vielzahl von Cybersicherheitsrisiken und potenziellen Sicherheitsverletzungen ist heute kein Unternehmen mehr zu 100 % vor allen Bedrohungen sicher. Mit den richtigen Systemen, entsprechender Schulung und zertifizierten Prozessen können Sie jedoch die Auswirkungen von Angriffen und Verstößen auf Ihre Betriebsabläufe minimieren.
Was bedeutet Cybersicherheit im Zusammenhang mit dem Betrieb eines Contact Centers?
Minimieren Sie Cybersicherheitsrisiken
Mit einer zertifizierten und sicheren Contact-Center-Software ist Ihr Unternehmen vor Cyberangriffen und Datenverlusten geschützt.
Erfüllen Sie alle Sicherheitsanforderungen
Sie müssen sich nicht selbst um EU-, DSGVO- und andere rechtliche Anforderungen kümmern: Ihr Contact-Center-Anbieter erledigt alle rechtlichen Dinge.
Vermeiden Sie Systemausfälle
Ein zuverlässiger Contact-Center-Anbieter sollte immer eine Systemverfügbarkeit von >99,95 % gewährleisten.
Die Bedeutung von Cybersicherheit in Contact Centern
Sowohl Contact Center für ausgehende Anrufe als auch Kundendienstteams arbeiten mit personenbezogenen Daten. Diese Organisationen sind daher potenzielle Ziele für eine Vielzahl von Angriffen auf die Cybersicherheit.
Darüber hinaus richten sich die meisten solchen Angriffe heutzutage nicht mehr nur gegen einzelne Unternehmen. Meistens werfen Hackergruppen und einzelne Hacker ihr Netz so weit aus wie möglich, indem sie die Sicherheitsmaßnahmen von Tausenden von Unternehmen gleichzeitig testen.
Für Unternehmen und Organisationen, die im Europäischen Wirtschaftsraum tätig sind, gelten strenge Vorschriften für den Umgang mit personenbezogenen Daten. Die Datenschutz-Grundverordnung (DSGVO) sieht hohe Geldstrafen für Unternehmen vor, die personenbezogene Daten ihrer Kunden nicht sicher aufbewahren oder Verstöße nicht ausreichend berichtigen.
Allein aus diesen drei Gründen sollte das Thema Cybersicherheit ganz oben auf Ihrer Agenda stehen. Um Cybersicherheitsrisiken zu minimieren, müssen alle Tools – z. B. die Contact-Center-Software – und alle Prozesse von Kundenservice-Teams und Outbound-Vertriebsteams unter dem Gesichtspunkt der Cybersicherheit bewertet werden.
Die von Ihnen gewählte Contact-Center-Software ist von entscheidender Bedeutung für einen sicheren Betrieb. Deshalb hilft dieser Leitfaden Ihnen und Ihrem Team (z. B. dem ICT-Team), die Cybersicherheitseigenschaften von Cloud Contact Center-Systemen zu bewerten.
Sicherheitsakkreditierungen und -zertifikate
Der beste Weg, um sicherzustellen, dass ein Anbieter das Thema Cybersicherheit ernst nimmt? Ein Blick auf dessen Sicherheitszertifikate.
Die SOC 2-Akkreditierung und die ISO 27001-Zertifizierung sind zwei der verlässlichsten Indikatoren dafür, dass eine Organisation ihre Cybersicherheit systematisch und umfassend kontrolliert.
Vor allem Regierungsbehörden und große Unternehmen verlangen in ihren Ausschreibungen in der Regel entweder eine SOC 2-Akkreditierung oder eine ISO 27001-Zertifizierung als Mindestanforderung.
Wenn Sie auf die Sicherheit Ihrer Kundendaten bedacht sind, sollten Sie nur Anbieter mit mindestens einer dieser Zertifizierungen wählen.
Mehr dazu in unserem LeitfadenCybersicherheit ist ein Dauerthema.
Deshalb sollte auch der Umgang damit ein kontinuierlicher Prozess sein. Dieser Prozess sollte klar dokumentiert sein und u. a. regelmäßige Risikobewertungen und Tests der Informationssicherheit beinhalten.
SOC 2-Zertifizierung
Ein Blick zurück
Die Anfänge von SOC 2 reichen bis zu den in den 1970er Jahren veröffentlichten Prüfungsstandards zurück. Die Zertifizierung wurde vom American Institute of Certified Public Accountants entwickelt und definiert die Kriterien für die Datenverwaltung einer Organisation. SOC 1 legt die Kontrollen für Jahresabschlüsse fest. SOC 2 tut dasselbe für Kundendaten. Mittlerweile wird der SOC 2-Standard im Rahmen der International Standard on Assurance Engagement (ISAE) geregelt.
Die Bedeutung von SOC 2
Bei den System- und Organisationskontrollen (SOC) handelt es sich um Berichte, die von unabhängigen Prüfern erstellt werden und bewerten, wie ein Unternehmen mit sensiblen Daten umgeht. Das SOC 2 bescheinigt, dass eine Organisation die Wahrscheinlichkeit von Kundendatenlecks und Sicherheitsverletzungen minimiert hat.
Der SOC 2-Bericht basiert auf den fünf Trust-Services-Kriterien für den Umgang mit Kundendaten: Sicherheit, Vertraulichkeit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit. Er wurde für alle Unternehmen entwickelt, die Kundendaten speichern, verarbeiten oder übermitteln – z. B. SaaS-Unternehmen oder Datenhosting-Unternehmen.
Grundsätze der internen Kontrolle und Trust-Services-Kriterien
Die SOC 2-Zertifizierung basiert auf 17 obligatorischen Grundsätzen der internen Kontrolle und fünf optionalen Trust Service-Kriterien.
Die Grundsätze der internen Kontrolle stellen sicher, dass das Unternehmen über geeignete Prozesse verfügt, um Informationen zu schützen. Der Zugang zu vertraulichen Informationen ist auf die entsprechenden Mitarbeiter beschränkt, Risiken werden durch kontinuierliche Schulungen minimiert, Systeme kontinuierlich überwacht und Geschäftspartner konsequent bewertet.
Zusammengefasst muss ein Unternehmen folgende Kriterien erfüllen, um die SOC 2-Zertifizierung zu erhalten:
🔹 Schulungen zum Thema Informationssicherheit für alle Mitarbeiter
🔹 Gewährleistung, dass alle Unternehmen, von denen Dienstleistungen eingekauft werden, über ähnliche Informationssicherheitsprotokolle verfügen
🔹 Gewährleistung, dass alle Kundendaten sicher sind und Sicherheitskopien erstellt werden
🔹 Beschränkung des physischen und digitalen Zugriffs auf diese Daten und Löschung der Daten, wenn eine Kundenbeziehung beendet wird
🔹 Etablierte Verfahren, die eine schnelle Reaktion auf Zwischenfälle ermöglichen
🔹 Regelmäßige interne und externe Prüfung der Verfahren zur Informationssicherheit.
Der Zertifizierungsprozess
Der SOC 2-Bericht wird von einem zertifizierten externen Wirtschaftsprüfer geprüft. Dieser Wirtschaftsprüfer bewertet, inwieweit ein Anbieter die Trust-Services-Kriterien erfüllt. Das SOC 2 umfasst zwei Arten von Berichten: Typ I und Typ II. Typ I beschreibt die Systeme des Unternehmens. Der Prüfer bestätigt, dass die Konzeption dieser Systeme den entsprechenden Trust-Services-Kriterien entspricht. Berichte von Typ II gehen darüber hinaus: Sie untersuchen die operative Wirksamkeit dieser Systeme, d. h. sie führen Tests durch, um sicherzustellen, dass sie wie angegeben funktionieren.
Die optionalen Trust-Services-Kriterien sind die Eckpfeiler der Cybersicherheit
Sicherheit
Wie ist das System gegen Angriffe geschützt?
Verfügbarkeit
Wie kann sichergestellt werden, dass das System rund um die Uhr funktioniert?
Verarbeitungsintegrität
Funktioniert das System wie geplant?
Vertraulichkeit
Wie können der Zugang zu, die Speicherung und die Verwendung von vertraulichen Informationen eingeschränkt werden?
Datenschutz
Wie können sensible persönliche Daten vor unbefugtem Zugriff geschützt werden?
Die ISO 27001-Zertifizierung
Ein Blick zurück
Die ISO 27001 wurde erstmals im Jahr 2005 veröffentlicht. Im Laufe der Jahre wurden Überarbeitungen vorgenommen. Die neueste Version ist von 2018. Der Standard wurde von der Internationalen Organisation für Normung entwickelt und veröffentlicht.
Die Bedeutung von SOC 2
Die ISO 27001 ist eine Norm für das Informationssicherheitsmanagement, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Die Anforderungen legen fest, wie Organisationen die Sicherheit ihrer Informationswerte – wie etwa geistiges Eigentum, Kundendaten oder Informationen Dritter – verwalten können.
Absoluter Schutz vor allen Bedrohungen der Cybersicherheit ist nicht möglich. Die ISO 27001 ist jedoch ein international anerkanntes Kennzeichen für eine Organisation, die die höchsten Sicherheitsstandards erfüllt.
Wie Sicherheitskontrollen aufgebaut sind
Eine Sicherheitskontrolle ist jede Maßnahme, die darauf abzielt, die Cybersicherheit einer Organisation zu erhöhen. Die meisten Unternehmen verwenden mehrere Sicherheitskontrollen: Firewalls, automatische Updates, Passwörter, Protokolle für das Incident Management usw.
Der Zweck des ISMS ist es, sicherzustellen, dass die Sicherheitskontrollen einer Organisation effektiv verwaltet werden und gleichzeitig das gesamte Spektrum möglicher Cybersicherheitsbedrohungen abdecken.
Das ISMS muss die Sicherheitsrisiken der Organisation systematisch untersuchen, bei Bedarf zusätzliche Sicherheitskontrollen einrichten und sicherstellen, dass die Kontrollen den Anforderungen der Organisation fortlaufend gerecht werden.
Der Zertifizierungsprozess
Der erste Schritt zum Erhalt des ISO 27001-Zertifikats besteht darin, die Norm zu erwerben und die darin enthaltenen Anforderungen an die Informationssicherheit zu verstehen. Beim ersten Mal ist es in der Regel erforderlich, Sicherheitskontrollen hinzuzufügen und zu ändern, um die Anforderungen des Standards zu erfüllen. Natürlich muss jede Sicherheitskontrolle dokumentiert werden.
Sobald das ISMS die Anforderungen des Standards erfüllt, wird der akkreditierte Registrator eingeladen, die Prüfung durchzuführen. Es kann eine vorläufige Prüfung der Stufe 1 durchgeführt werden, um festzustellen, ob die richtigen Prozesse und Systeme vorhanden sind. Eine Prüfung der Stufe 2 ist eine formelle, vollständige Prüfung.
Der Prüfer überprüft die Dokumentation, um sicherzustellen, dass sie den Anforderungen des Standards entspricht. Erst dann kann ein Zertifikat ausgestellt werden.
Um den Standard zu erfüllen, sind fortlaufende Nachprüfungen erforderlich. Die ISO 27001-Prüfung wird regelmäßig vorgenommen, kann aber auch intern durchgeführt werden. Ein interner Prüfer kann zum Beispiel eine jährliche Prüfung durchführen, während die externe Prüfung nur alle drei Jahre stattfindet.
Externer Prüfer
ISO 27001 basiert auf Standards – sprich, auf langen Listen von Cybersicherheitsrichtlinien, die es zu befolgen gilt. Die Zertifizierung ist nicht obligatorisch. Manche Organisationen entscheiden sich deshalb dafür, die Richtlinien und Best Practices der Norm zu befolgen, ohne sich zertifizieren zu lassen. Dagegen ist nichts einzuwenden. Nur eine externe Prüfung und die daraus resultierende Zertifizierung sind jedoch eine echte Garantie für Kunden und Partner, dass die im Standard beschriebenen Maßnahmen in der Organisation auch wirklich eingehalten werden.
Zahlreiche sicherheitsbewusste Unternehmen setzen auf LeadDesk – darunter auch Organisationen aus dem Gesundheits- und Finanzwesen.
LeadDesk hält sowohl die SOC 2- als auch die ISO 27001-Zertifizierung. Darüber hinaus wurde unsere Lösung auch in Bezug auf drei maßgebliche Trust Service-Kriterien bewertet: Sicherheit, Verfügbarkeit und Vertraulichkeit.
Erfahren Sie mehr über LeadDesk
sales@leaddesk.com
+44 203 8080 414
Zusammenfassung
Contact Center sind potenzielle Ziele für Cybersicherheitsangriffe. Sie verarbeiten und speichern Kundendaten – Daten, die für Cyberkriminelle äußerst lukrativ sind. Gezielte Angriffe sind jedoch nicht das einzige Risiko. Auch blinde Angriffe, die gleichzeitig Sicherheitslücken in Tausenden von Unternehmen ausnutzen, sind inzwischen üblich.
Unternehmen sollten deshalb sicherstellen, dass ihre Softwareanbieter nach SOC 2 und/oder ISO 27001 zertifiziert sind. Beide Zertifizierungen sind allgemein anerkannte und extern geprüfte Zeichen dafür, dass eine Organisation das Thema Cybersicherheit im Blick hat.
Wenn Sie eine Anfrage oder Ausschreibung für ein Contact-Center-Tool erstellen oder die Systeme verschiedener Anbieter bewerten, sollten Sie diese Zertifizierungen in Ihre Bewertungskriterien einbeziehen. Bitten Sie den Anbieter zum Beispiel um Folgendes:
🔹 Einen Überblick über seine Sicherheitskontrollen
🔹 Eine Auflistung von relevanten Zertifizierungen für diese Kontrollen
🔹 Eine Auflistung anderer externer Prüfungen oder Berichte.
Leitfaden zur Cybersicherheit für Contact Center herunterladen:
Mit Ihrer Registrierung bestätigen Sie, dass Sie mit der Speicherung und Verarbeitung Ihrer persönlichen Daten durch LeadDesk, wie in der Datenschutzrichtlinie beschrieben, einverstanden sind.