CONTACT CENTER CYBER SECURITY

­čôś Leitfaden: So finden Sie eine sichere Contact-Center-Software

Die Wahl einer geeigneten Contact-Center-Software tr├Ągt entscheidend dazu bei, Ihre Betriebsabl├Ąufe sicher zu gestalten. Dieser Leitfaden unterst├╝tzt Sie und Ihr Team bei der Bewertung der Cybersicherheitseigenschaften von Cloud Contact Center-Systemen.

Erfahren Sie, wie Sie eine sichere Contact-Center-Software f├╝r Ihr Unternehmen ausw├Ąhlen ­čĹë

Mehr dazu unten ÔČç´ŞĆ

Mit Ihrer Registrierung best├Ątigen Sie, dass Sie mit der Speicherung und Verarbeitung Ihrer pers├Ânlichen Daten durch LeadDesk, wie in der Datenschutzrichtliniebeschrieben, einverstanden sind.

Cybersicherheit ist ein grundlegendes Thema f├╝r jedes Unternehmen, das mit Kundendaten arbeitet.

Cybersicherheit ist ein grundlegendes Thema f├╝r jedes Unternehmen, das mit Kundendaten arbeitet.

Traditionell wird Cybersicherheit als technische Herausforderung betrachtet. Erst seit etwa einem Jahrzehnt steht dar├╝ber hinaus auch der menschliche Faktor st├Ąrker im Fokus. Cybersicherheit ist jedoch ein weitreichendes Thema, das weit ├╝ber das ICT-Team hinausgeht. Laut dem Finnischen Nationalen Zentrum f├╝r Cybersicherheit haben folgende Ph├Ąnomene den gr├Â├čten Einfluss auf Cyber-Bedrohungen:

­čö╣ Internationale wirtschaftliche und politische Instabilit├Ąt

­čö╣ Mangelnder Austausch von Informationen innerhalb und zwischen Organisationen

­čö╣ Ungepatchte Sicherheitsl├╝cken in Ger├Ąten und Diensten, die mit dem Internet verbunden sind

­čö╣ Fehlendes diversifiziertes Fachwissen im Bereich Cybersicherheit

­čö╣ Gestohlene Zugriffsrechte und Anmeldedaten.

Die obige Aufz├Ąhlung zeigt: Cybersicherheit ist ein komplexes Thema. Angesichts der Vielzahl von Cybersicherheitsrisiken und potenziellen Sicherheitsverletzungen ist heute kein Unternehmen mehr zu 100┬á% vor allen Bedrohungen sicher. Mit den richtigen Systemen, entsprechender Schulung und zertifizierten Prozessen k├Ânnen Sie jedoch die Auswirkungen von Angriffen und Verst├Â├čen auf Ihre Betriebsabl├Ąufe minimieren.

Was bedeutet Cybersicherheit im Zusammenhang mit dem Betrieb eines Contact Centers?

Minimieren Sie Cybersicherheitsrisiken

Mit einer zertifizierten und sicheren Contact-Center-Software ist Ihr Unternehmen vor Cyberangriffen und Datenverlusten gesch├╝tzt.

Erf├╝llen Sie alle Sicherheitsanforderungen

Sie m├╝ssen sich nicht selbst um EU-, DSGVO- und andere rechtliche Anforderungen k├╝mmern: Ihr Contact-Center-Anbieter erledigt alle rechtlichen Dinge.

Vermeiden Sie Systemausf├Ąlle

Ein zuverl├Ąssiger Contact-Center-Anbieter sollte immer eine Systemverf├╝gbarkeit von >99,95┬á% gew├Ąhrleisten.

Die Bedeutung von Cybersicherheit in Contact Centern

Sowohl Contact Center f├╝r ausgehende Anrufe als auch Kundendienstteams arbeiten mit personenbezogenen Daten. Diese Organisationen sind daher potenzielle Ziele f├╝r eine Vielzahl von Angriffen auf die Cybersicherheit.

Dar├╝ber hinaus richten sich die meisten solchen Angriffe heutzutage nicht mehr nur gegen einzelne Unternehmen. Meistens werfen Hackergruppen und einzelne Hacker ihr Netz so weit aus wie m├Âglich, indem sie die Sicherheitsma├čnahmen von Tausenden von Unternehmen gleichzeitig testen.

F├╝r Unternehmen und Organisationen, die im Europ├Ąischen Wirtschaftsraum t├Ątig sind, gelten strenge Vorschriften f├╝r den Umgang mit personenbezogenen Daten. Die Datenschutz-Grundverordnung (DSGVO) sieht hohe Geldstrafen f├╝r Unternehmen vor, die personenbezogene Daten ihrer Kunden nicht sicher aufbewahren oder Verst├Â├če nicht ausreichend berichtigen.

Allein aus diesen drei Gr├╝nden sollte das Thema Cybersicherheit ganz oben auf Ihrer Agenda stehen. Um Cybersicherheitsrisiken zu minimieren, m├╝ssen alle Tools ÔÇô z.┬áB. die Contact-Center-Software ÔÇô und alle Prozesse von Kundenservice-Teams und Outbound-Vertriebsteams unter dem Gesichtspunkt der Cybersicherheit bewertet werden.

Die von Ihnen gew├Ąhlte Contact-Center-Software ist von entscheidender Bedeutung f├╝r einen sicheren Betrieb. Deshalb hilft dieser Leitfaden Ihnen und Ihrem Team (z.┬áB. dem ICT-Team), die Cybersicherheitseigenschaften von Cloud Contact Center-Systemen zu bewerten.

Sicherheitsakkreditierungen und -zertifikate

Der beste Weg, um sicherzustellen, dass ein Anbieter das Thema Cybersicherheit ernst nimmt? Ein Blick auf dessen Sicherheitszertifikate.

Die SOC 2-Akkreditierung und die ISO 27001-Zertifizierung sind zwei der verl├Ąsslichsten Indikatoren daf├╝r, dass eine Organisation ihre Cybersicherheit systematisch und umfassend kontrolliert.

Vor allem Regierungsbeh├Ârden und gro├če Unternehmen verlangen in ihren Ausschreibungen in der Regel entweder eine SOC 2-Akkreditierung oder eine ISO 27001-Zertifizierung als Mindestanforderung.

Wenn Sie auf die Sicherheit Ihrer Kundendaten bedacht sind, sollten Sie nur Anbieter mit mindestens einer dieser Zertifizierungen w├Ąhlen.

Mehr dazu in unserem Leitfaden

Cybersicherheit ist ein Dauerthema.

Deshalb sollte auch der Umgang damit ein kontinuierlicher Prozess sein. Dieser Prozess sollte klar dokumentiert sein und u.┬áa. regelm├Ą├čige Risikobewertungen und Tests der Informationssicherheit beinhalten.

SOC 2-Zertifizierung

Ein Blick zur├╝ck

Die Anf├Ąnge von SOC 2 reichen bis zu den in den 1970er Jahren ver├Âffentlichten Pr├╝fungsstandards zur├╝ck. Die Zertifizierung wurde vom American Institute of Certified Public Accountants entwickelt und definiert die Kriterien f├╝r die Datenverwaltung einer Organisation. SOC 1 legt die Kontrollen f├╝r Jahresabschl├╝sse fest. SOC 2 tut dasselbe f├╝r Kundendaten. Mittlerweile wird der SOC 2-Standard im Rahmen der International Standard on Assurance Engagement (ISAE) geregelt.

Die Bedeutung von SOC 2

Bei den System- und Organisationskontrollen (SOC) handelt es sich um Berichte, die von unabh├Ąngigen Pr├╝fern erstellt werden und bewerten, wie ein Unternehmen mit sensiblen Daten umgeht. Das SOC 2 bescheinigt, dass eine Organisation die Wahrscheinlichkeit von Kundendatenlecks und Sicherheitsverletzungen minimiert hat.
Der SOC 2-Bericht basiert auf den f├╝nf Trust-Services-Kriterien f├╝r den Umgang mit Kundendaten: Sicherheit, Vertraulichkeit, Verarbeitungsintegrit├Ąt, Datenschutz und Verf├╝gbarkeit. Er wurde f├╝r alle Unternehmen entwickelt, die Kundendaten speichern, verarbeiten oder ├╝bermitteln ÔÇô z.┬áB. SaaS-Unternehmen oder Datenhosting-Unternehmen.

Grunds├Ątze der internen Kontrolle und Trust-Services-Kriterien

Die SOC 2-Zertifizierung basiert auf 17 obligatorischen Grunds├Ątzen der internen Kontrolle und f├╝nf optionalen Trust Service-Kriterien.

Die Grunds├Ątze der internen Kontrolle stellen sicher, dass das Unternehmen ├╝ber geeignete Prozesse verf├╝gt, um Informationen zu sch├╝tzen. Der Zugang zu vertraulichen Informationen ist auf die entsprechenden Mitarbeiter beschr├Ąnkt, Risiken werden durch kontinuierliche Schulungen minimiert, Systeme kontinuierlich ├╝berwacht und Gesch├Ąftspartner konsequent bewertet.

Zusammengefasst muss ein Unternehmen folgende Kriterien erf├╝llen, um die SOC 2-Zertifizierung zu erhalten:

­čö╣ Schulungen zum Thema Informationssicherheit f├╝r alle Mitarbeiter

­čö╣ Gew├Ąhrleistung, dass alle Unternehmen, von denen Dienstleistungen eingekauft werden, ├╝ber ├Ąhnliche Informationssicherheitsprotokolle verf├╝gen

­čö╣ Gew├Ąhrleistung, dass alle Kundendaten sicher sind und Sicherheitskopien erstellt werden

­čö╣ Beschr├Ąnkung des physischen und digitalen Zugriffs auf diese Daten und L├Âschung der Daten, wenn eine Kundenbeziehung beendet wird

­čö╣ Etablierte Verfahren, die eine schnelle Reaktion auf Zwischenf├Ąlle erm├Âglichen

­čö╣ Regelm├Ą├čige interne und externe Pr├╝fung der Verfahren zur Informationssicherheit.

Der Zertifizierungsprozess

Der SOC 2-Bericht wird von einem zertifizierten externen Wirtschaftspr├╝fer gepr├╝ft. Dieser Wirtschaftspr├╝fer bewertet, inwieweit ein Anbieter die Trust-Services-Kriterien erf├╝llt. Das SOC 2 umfasst zwei Arten von Berichten: Typ I und Typ II. Typ I beschreibt die Systeme des Unternehmens. Der Pr├╝fer best├Ątigt, dass die Konzeption dieser Systeme den entsprechenden Trust-Services-Kriterien entspricht. Berichte von Typ II gehen dar├╝ber hinaus: Sie untersuchen die operative Wirksamkeit dieser Systeme, d.┬áh. sie f├╝hren Tests durch, um sicherzustellen, dass sie wie angegeben funktionieren.

Die optionalen Trust-Services-Kriterien sind die Eckpfeiler der Cybersicherheit

Sicherheit

Wie ist das System gegen Angriffe gesch├╝tzt?

Verf├╝gbarkeit

Wie kann sichergestellt werden, dass das System rund um die Uhr funktioniert?

Verarbeitungsintegrit├Ąt

Funktioniert das System wie geplant?

Vertraulichkeit

Wie k├Ânnen der Zugang zu, die Speicherung und die Verwendung von vertraulichen Informationen eingeschr├Ąnkt werden?

Datenschutz

Wie k├Ânnen sensible pers├Ânliche Daten vor unbefugtem Zugriff gesch├╝tzt werden?

Die ISO 27001-Zertifizierung

Ein Blick zur├╝ck

Die ISO 27001 wurde erstmals im Jahr 2005 ver├Âffentlicht. Im Laufe der Jahre wurden ├ťberarbeitungen vorgenommen. Die neueste Version ist von 2018. Der Standard wurde von der Internationalen Organisation f├╝r Normung entwickelt und ver├Âffentlicht.

Die Bedeutung von SOC 2

Die ISO 27001 ist eine Norm f├╝r das Informationssicherheitsmanagement, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt. Die Anforderungen legen fest, wie Organisationen die Sicherheit ihrer Informationswerte┬áÔÇô wie etwa geistiges Eigentum, Kundendaten oder Informationen Dritter ÔÇô verwalten k├Ânnen.

Absoluter Schutz vor allen Bedrohungen der Cybersicherheit ist nicht m├Âglich. Die ISO 27001 ist jedoch ein international anerkanntes Kennzeichen f├╝r eine Organisation, die die h├Âchsten Sicherheitsstandards erf├╝llt.

Wie Sicherheitskontrollen aufgebaut sind

Eine Sicherheitskontrolle ist jede Ma├čnahme, die darauf abzielt, die Cybersicherheit einer Organisation zu erh├Âhen. Die meisten Unternehmen verwenden mehrere Sicherheitskontrollen: Firewalls, automatische Updates, Passw├Ârter, Protokolle f├╝r das Incident Management usw.

Der Zweck des ISMS ist es, sicherzustellen, dass die Sicherheitskontrollen einer Organisation effektiv verwaltet werden und gleichzeitig das gesamte Spektrum m├Âglicher Cybersicherheitsbedrohungen abdecken.

Das ISMS muss die Sicherheitsrisiken der Organisation systematisch untersuchen, bei Bedarf zus├Ątzliche Sicherheitskontrollen einrichten und sicherstellen, dass die Kontrollen den Anforderungen der Organisation fortlaufend gerecht werden.

Der Zertifizierungsprozess

Der erste Schritt zum Erhalt des ISO 27001-Zertifikats besteht darin, die Norm zu erwerben und die darin enthaltenen Anforderungen an die Informationssicherheit zu verstehen. Beim ersten Mal ist es in der Regel erforderlich, Sicherheitskontrollen hinzuzuf├╝gen und zu ├Ąndern, um die Anforderungen des Standards zu erf├╝llen. Nat├╝rlich muss jede Sicherheitskontrolle dokumentiert werden.

Sobald das ISMS die Anforderungen des Standards erf├╝llt, wird der akkreditierte Registrator eingeladen, die Pr├╝fung durchzuf├╝hren. Es kann eine vorl├Ąufige Pr├╝fung der Stufe 1 durchgef├╝hrt werden, um festzustellen, ob die richtigen Prozesse und Systeme vorhanden sind. Eine Pr├╝fung der Stufe 2 ist eine formelle, vollst├Ąndige Pr├╝fung.

Der Pr├╝fer ├╝berpr├╝ft die Dokumentation, um sicherzustellen, dass sie den Anforderungen des Standards entspricht. Erst dann kann ein Zertifikat ausgestellt werden.

Um den Standard zu erf├╝llen, sind fortlaufende Nachpr├╝fungen erforderlich. Die ISO 27001-Pr├╝fung wird regelm├Ą├čig vorgenommen, kann aber auch intern durchgef├╝hrt werden. Ein interner Pr├╝fer kann zum Beispiel eine j├Ąhrliche Pr├╝fung durchf├╝hren, w├Ąhrend die externe Pr├╝fung nur alle drei Jahre stattfindet.

Externer Pr├╝fer

ISO 27001 basiert auf Standards ÔÇô sprich, auf langen Listen von Cybersicherheitsrichtlinien, die es zu befolgen gilt. Die Zertifizierung ist nicht obligatorisch. Manche Organisationen entscheiden sich deshalb daf├╝r, die Richtlinien und Best Practices der Norm zu befolgen, ohne sich zertifizieren zu lassen. Dagegen ist nichts einzuwenden. Nur eine externe Pr├╝fung und die daraus resultierende Zertifizierung sind jedoch eine echte Garantie f├╝r Kunden und Partner, dass die im Standard beschriebenen Ma├čnahmen in der Organisation auch wirklich eingehalten werden.

Zahlreiche sicherheitsbewusste Unternehmen setzen auf LeadDesk┬áÔÇô darunter auch Organisationen aus dem Gesundheits- und Finanzwesen.

LeadDesk h├Ąlt sowohl die SOC 2- als auch die ISO 27001-Zertifizierung. Dar├╝ber hinaus wurde unsere L├Âsung auch in Bezug auf drei ma├čgebliche Trust Service-Kriterien bewertet: Sicherheit, Verf├╝gbarkeit und Vertraulichkeit.

Erfahren Sie mehr ├╝ber LeadDesk
sales@leaddesk.com
+44 203 8080 414

Zusammenfassung

Contact Center sind potenzielle Ziele f├╝r Cybersicherheitsangriffe. Sie verarbeiten und speichern Kundendaten┬áÔÇô Daten, die f├╝r Cyberkriminelle ├Ąu├čerst lukrativ sind. Gezielte Angriffe sind jedoch nicht das einzige Risiko. Auch blinde Angriffe, die gleichzeitig Sicherheitsl├╝cken in Tausenden von Unternehmen ausnutzen, sind inzwischen ├╝blich.

Unternehmen sollten deshalb sicherstellen, dass ihre Softwareanbieter nach SOC 2 und/oder ISO 27001 zertifiziert sind. Beide Zertifizierungen sind allgemein anerkannte und extern gepr├╝fte Zeichen daf├╝r, dass eine Organisation das Thema Cybersicherheit im Blick hat.

Wenn Sie eine Anfrage oder Ausschreibung f├╝r ein Contact-Center-Tool erstellen oder die Systeme verschiedener Anbieter bewerten, sollten Sie diese Zertifizierungen in Ihre Bewertungskriterien einbeziehen. Bitten Sie den Anbieter zum Beispiel um Folgendes:

­čö╣ Einen ├ťberblick ├╝ber seine Sicherheitskontrollen

­čö╣ Eine Auflistung von relevanten Zertifizierungen f├╝r diese Kontrollen

­čö╣ Eine Auflistung anderer externer Pr├╝fungen oder Berichte.

Leitfaden zur Cybersicherheit f├╝r Contact Center herunterladen:

Mit Ihrer Registrierung best├Ątigen Sie, dass Sie mit der Speicherung und Verarbeitung Ihrer pers├Ânlichen Daten durch LeadDesk, wie in der Datenschutzrichtlinie beschrieben, einverstanden sind.