Eine Anleitung für optimale Datensicherheit im Kontaktzentrum

Hackerangriffe auf Betriebssysteme, Phishing-E-Mails, Kundendatenlecks ... beinahe täglich lesen wir von solchen Sicherheitsvorfällen. Datensicherheit ist und bleibt eine sehr große Herausforderung. Ein Bericht von Interpol¹⁾ zeigt, dass die Cyberkriminalität infolge der Corona-Pandemie enorm zugenommen hat, und man geht davon aus, dass Unternehmen und Organisationen – und somit auch deren Kunden – zunehmend davon betroffen sein werden.

Kontaktzentren bzw. Service-Center sind besonders gefährdete Angriffsziele, denn hier gibt es sehr viele sensible Daten. Denken Sie zum Beispiel an Kundennamen, Telefonnummern, Steuernummern oder Zahlungsinformationen. Da solche persönlichen Daten nicht (nur) in cloudbasierten CRM-Systemen gespeichert werden, sondern beispielsweise auch auf dem Computer eines Mitarbeiters und auf eigenen Servern des Unternehmens, können Datenlecks zu enormen Sicherheitsrisiken führen. In diesem Artikel erfahren Sie, welche Risiken es gibt und wie Sie diese so gut wie möglich minimieren können.

^{1) Interpol – Cybercrime: COVID-19 Impact (August 2020)}

Kundenvertrauen

Es ist bekannt, dass Kundenloyalität nicht von selbst entsteht. Auch wenn ein Kunde zufrieden mit einem Produkt oder einer Dienstleistung ist, bedeutet das nicht, dass er sich beim nächsten Mal wieder für diese Marke entscheidet. Für Loyalität braucht es daher stetiges Bemühen und ein Übertreffen der Erwartungen. Die Qualität der Produkte oder Services wird jedoch schlagartig irrelevant, sobald Sie das Vertrauen des Kunden verlieren – beispielsweise durch ein Datenleck, bei dem persönliche Daten öffentlich gemacht werden.

Sicherheitsvorfälle haben also nicht nur finanzielle Folgen, wie z. B. Lösegeldforderungen für Daten oder Kosten für Ausfallzeiten, Datenverluste und Systemreparaturen, sondern schaden auch dem Ruf eines Unternehmens. Und ist das Vertrauen des Kunden einmal verspielt, dann ist es kaum wiederherzustellen. Gemäß einer Studie von Gemalto²⁾, weltweit führender Anbieter für digitale Sicherheit, wollen 70 % der Konsumenten nicht mehr von Unternehmen kaufen, die Opfer eines Datenlecks geworden sind.

Immer mehr Sicherheitsvorfälle, über die außerdem umfassend medial berichtet wird, zeigen den Konsumenten, dass die Datensicherheit keine Selbstverständlichkeit (mehr) ist. Dieser Aspekt fließt demzufolge immer stärker in die Entscheidung für ein bestimmtes Unternehmen ein. ZDNet berichtet³⁾, dass 84 % der Verbraucher Unternehmen bevorzugen, die strenge Richtlinien für Datenschutz und Datensicherheit haben.

^{2) VansonBourne (im Auftrag von Gemalto) – Data Breaches and Customer Loyalty Report 2018}

^{3) ZDNet: Top 8 Trends Shaping Digital Transformation in 2021}

Gesetzliche Vorschriften

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) ist die Datensicherheit weiter in den Fokus gerückt. Welche Daten werden gespeichert, und wo? Wer kann darauf zugreifen? Mit welchen Maßnahmen wird ihre Sicherheit gewährleistet? In einem anderen Blogartikel haben wir bereits die Datensicherheit in Kontaktzentren behandelt, mit Schwerpunkt auf der Sicherheit von Cloud-Lösungen.

Auf EU-Ebene werden derzeit neue, verpflichtende Regelungen im Zusammenhang mit Cybersicherheit aufgestellt. Diese sollen nicht nur für systemrelevante Organisationen wie Banken, Krankenhäuser oder Gesundheitseinrichtungen gelten, sondern allgemein für alle Unternehmen mit einem Jahresumsatz von mindestens 10 Mio. Euro und fünfzig Beschäftigten. Diese werden verpflichtet sein, ihre IT-Systeme auf Schwachstellen zu überprüfen, Risikoanalysen auszuführen, die Datensicherheit zu verbessern und möglichst tägliche Datensicherungen durchzuführen.

Menschen machen den Unterschied

Kundenkontakt ist weiterhin hauptsächlich Arbeit von Menschen. Und Menschen machen einen Unterschied. Häufig im positiven Sinn, aber gerade durch die menschliche Komponente sind Kontaktzentren auch anfällig für Sicherheitsvorfälle. Das menschliche Verhalten ist nicht immer vorhersagbar und kontrollierbar. Es kann zu Nachlässigkeiten, Fehlern, Bestechung oder sogar Bedrohungen kommen.

Auch die oft hohe Personalfluktuation in Service-Centern birgt Risiken. Einerseits sind immer wieder unerfahrene Mitarbeiter beschäftigt, die anfälliger für Betrug sind und nicht alle Sicherheitsrisiken kennen. Andererseits ist bei hoher Fluktuation festzustellen, dass die Identifizierung der Mitarbeiter mit dem Arbeitgeber eher niedrig ist, was ebenfalls zu größeren Betrugsgefahren führen kann.

Die Risiken

Die Ursachen für Sicherheitsvorfälle und Datenlecks können natürlich nicht nur menschlicher, sondern auch technischer Art sein. Wir erläutern einige der verbreitetsten Risiken, vor denen sich Kontaktzentren schützen sollten:

Denial-of-Service-Angriffe (DoS)

Bei Denial-of-Service-Attacken werden Server durch massenhafte Anfragen lahmgelegt und sind nicht mehr funktionsfähig. Auf diese Weise wollen Angreifer häufig Lösegeldzahlungen erreichen oder den Angegriffenen ablenken, bevor sie andere Hacking-Attacken beginnen.

Speichern von Audioaufnahmen und Transkriptionen

Viele Kontaktzentren speichern Ton- und Textaufzeichnungen von Kundengesprächen auf ihren Servern zu Trainingszwecken oder um gesetzliche Vorgaben zu erfüllen. Bei einer Kompromittierung des Servers können diese sensiblen Daten in falsche Hände geraten.

Verwundbare Sprachdialogsysteme (IVR)

Hier bestehen vor allem Risiken, wenn Kunden sensible Angaben per Telefon machen sollen, die zum Identitätsdiebstahl genutzt werden können.

Social Engineering

Beim Social Engineering versuchen Angreifer, Menschen zu beeinflussen oder zu täuschen, um beispielsweise Zugriff auf Bankkonten oder auf persönliche Informationen zu erlangen.

Verkauf von Gesprächsaufzeichnungen oder anderen sensiblen Daten durch Mitarbeiter

Insbesondere in Customer-Service-Centern mit hoher Fluktuationsrate besteht die Gefahr, dass Mitarbeiter zum eigenen Vorteil Daten verkaufen könnten.

Da seit Beginn der Corona-Pandemie der Bedarf an Kundenkontaktzentren stark gestiegen ist, zum Beispiel zur Kontaktverfolgung oder zur Terminvergabe für Tests oder Impfungen, haben auch diese Risiken zugenommen.

Tipps für mehr Datensicherheit

Hacker nutzen jede Gelegenheit und passen sich an neue Umstände an. Zum Glück kann jedes Kontaktzentrum mit einer Reihe von Sicherheitsmaßnahmen gegen Angriffe geschützt werden. Dazu zählen:

Absichern der Endpunkte

Um das Risiko zu minimieren, dass Mitarbeiter des Kontaktzentrums Fehler machen oder Opfer von Betrug werden, eignen sich Maßnahmen wie Zweifaktor-Authentifizierung, VPN-Verschlüsselung, Einsatz virtueller Desktops oder Vermeiden der lokalen Datenspeicherung. Um Datenverluste zu vermeiden, kann der Zugriff auf Netzwerke außerdem auf feste Verbindungen und übliche Bürozeiten begrenzt werden.

Einhalten von Vorschriften und Gesetzen zur Datensicherheit

Die Einhaltung und Umsetzung aller maßgeblichen Vorschriften betrifft natürlich die Organisation, für die Sie arbeiten, aber sollte auch bei allen anderen betroffenen Parteien Ihres Kontaktzentrums, wie externe Anbieter oder Berater, sichergestellt sein. Vorgaben zu den Prozessen für den Schutz personenbezogener und betrieblicher Daten gegen Angriffe finden sich unter anderem im Standard ISO 27001 und im Sicherheitsstandard SOC 2 (Service Organization Control).

Absicherung von Sprachdialogsystemen (IVR) und Kundenauthentifizierung

Die Verifizierung der Identität eines Kunden ist von großer Bedeutung für die Sicherheit. Dabei wird empfohlen, statt der Überprüfung von Rufnummer und Name ein Verfahren mit mehreren Authentifizierungsschichten zu nutzen. Auf diese Weise wird das Betrugsrisiko vermindert.

Verschlüsselung

Die Verschlüsselung von Daten, Dateien und Gesprächen erschwert den unbefugten Zugriff auf diese. In manchen Fällen ist es auch möglich, sensible Informationen noch vor dem Speichern herauszufiltern.

Sicheres Speichern von Gesprächsaufzeichnungen

Bei Interaktionen mit Kontaktzentren teilen Kunden persönliche Informationen, die geschützt werden müssen. Zwar gibt es bereits Tools, die ein Gespräch unterbrechen, sobald vertrauliche Informationen mitgeteilt werden, aber zusätzlich sollten die Aufnahmen auf besonders gesicherten Servern gespeichert werden.

Unternehmenskultur

Da einzelne Schutzmaßnahmen nicht unbedingt ausreichen, um betrügerische Aktivitäten vollständig zu verhindern, ist die Nutzung eines mehrschichtigen Abwehrmechanismus ratsam. So hat ein Angreifer selbst nach Kompromittierung von zwei oder drei Schichten das Schutzsystem noch nicht komplett überwunden.

Neben der Umsetzung mittels technischer Maßnahmen muss Datenschutz auch in der Unternehmenskultur und bei den Mitarbeitern verankert sein. Dazu sollten regelmäßig Schulungen zu den möglichen Risiken und Folgen erfolgen. Von großer Bedeutung ist außerdem eine hohe Mitarbeiterzufriedenheit und -identifizierung mit dem Arbeitgeber. Zu diesem Thema finden Sie einen separaten Blogartikel bei uns. Bei engagierten Mitarbeitern ist die Gefahr geringer, dass sie Kundendaten, zu denen sie Zugang haben, vorsätzlich missbräuchlich verwenden.

Wollen Sie mehr über den Schutz von Kundendaten in Ihrem Kontaktzentrum erfahren? Sprechen Sie uns an! Unsere Experten sind bestens mit den unterschiedlichen Contact-Center-Lösungen vertraut und haben viel Erfahrung mit der Umsetzung von maßgeschneiderten Lösungen für Datensicherheit.