print logo

BSI – Sicherheitszertifizierung für Customer Care Center

Das steigende Bedürfnis an Informationstechnik in Handel und Dienstleistungsgewerbe führt zu einer wachsenden Abhängigkeit von Informationstechnik.
Das steigende Bedürfnis an Informationstechnik in Handel und Dienstleistungsgewerbe, in privaten und öffentlichen Einrichtungen führt zu einer wachsenden Abhängigkeit aller Anwendungsbereiche von Informationstechnik. Insbesondere in Customer Care Centern ist eine umfangreiche IT-Infrastruktur heute unabdingbar, sie bildet die Basis für die Realisierung professioneller Customer Care Aufgabenstellungen.

Ökonomische Gründe und ein bestmöglicher Wertschöpfungsprozess erfordern einen geregelten IT-Betrieb, der ohne frühzeitige Konzeption, angemessene Sicherheitsmaßnahmen und einer regelmäßigen Überprüfung nicht gewährleistet werden kann. Wachsende Verletzbarkeit und das Risiko unkalkulierbarer monetärer Schäden durch IT-Gefahren erhöhen den Handlungsdruck, durch aktives IT-Sicherheitsmanagement potenzielle Schäden im Vorfeld zu unterbinden und parallel das verbleibende Restrisiko zu minimieren.

Erfolgskritische Fragen im Customer Care Center

Aufgrund der Sensibilität und Vertraulichkeit im Umgang mit Kundendaten besteht in Customer Care Centern eine besonders hohe Schutzanforderung. Technische Sicherheit ist für Customer Care Dienstleister wichtiger denn je. Seit Jahren erlebt der IT-Einsatz, besonders im Customer Care Bereich, eine Dynamisierung, stetig werden neue Aufgaben und Lösungsmöglichkeiten erschlossen. Die Strukturen und Abläufe sind geprägt von steigender Abhängigkeit. Weitere Forderungen nach Vertraulichkeit und Integrität sowie nach der Verfügbarkeit von Daten und Diensten sind in unternehmenskritischen Bereichen aufgrund des zunehmenden Einsatzes neuer Techniken zur Kommunikation und Informationsverarbeitung die natürliche Folge.

Customer Care Verantwortliche sollten sich deswegen einige erfolgskritische Fragen stellen:

- Wie hoch ist der wirtschaftliche Schaden einer Organisation bei einem technischem Totalausfall im Customer Care Center?
- Wie sehen die Back-Up-Strategien aus, um bei technischen Ausfällen durch Viren, Sabotage, Stromausfall usw. den Customer Care Betrieb zu gewährleisten?
- Sind die organisatorischen, personellen, technischen und baulichen Schutzmaßnahmen up to date und entsprechend intern und extern umgesetzt?
- Erfolgt eine regelmäßige Kontrolle aller definierten Eskalationsprozesse in der Gesamtorganisation und im Customer Care Center?
- Existieren transparente Kommunikationsschnittstellen zwecks Information der Kunden im Eskalationsfall?

Unzureichende Auseinandersetzung mit dem Thema IT-/TK-Sicherheit

Obwohl Bedrohungen durch Viren, Würmer, Trojaner und die Gefahren beim unsachgemäßen Betrieb technischer Komponenten (wie beispielsweise ungesicherten WLAN-Hotspots) stetig wachsen, bescheinigen zahlreiche Studien Unternehmen eine unzureichende Auseinandersetzung mit dem Thema IT-/TK- Sicherheit.

Insbesondere eine ganzheitliche Konzeption und Umsetzung, die von der verantwortlichen Geschäftsführung koordiniert wird, fehlt bei ca. 70% aller befragten Unternehmen. Wichtige Aspekte wie Security and Privacy finden in den meisten Umsetzungen dabei nur unzureichend Berücksichtigung. Ein wesentliches damit verbundenes Schadenspotenzial bleibt oft unerkannt, welches monetäre und strafrechtliche Konsequenzen haben kann!

IT-Grundschutzhandbuch – Basis professionellen Sicherheitsmanagements

Aufgrund möglicher Konsequenzen gilt es, aktiv, handlungsorientiert und angemessen mit den Risiken umzugehen, die der Einsatz von Informationstechnik mit sich bringt. Dies erfordert einerseits klare Richtlinien des Managements, was Ziele, Strategien und Methoden für IT-Sicherheit in der eigenen Institution betrifft.

Der nächste und zugleich bedeutendste Schritt besteht jedoch in der Ausarbeitung eines wirksamen, angemessenen und umfassenden IT-Sicherheitskonzepts. Die darin formulierten IT-Sicherheitsmaßnahmen haben zum Ziel, die Bedrohungen für die eigenen Informationen und Informationstechnik auf ein vertretbares Minimum zu reduzieren.

Ein umfassendes Werkzeug zur Entwicklung eines Sicherheitsmanagementsystems ist das IT-Grundschutzhandbuch vom Bundesamt für Sicherheit in der Informationstechnik (BSI), welches sich, besonders in Deutschland aber auch in anderen Ländern, mit seinen Definitionen von Sicherheitsrichtlinien als Standardwerk zur IT-Sicherheit durchgesetzt hat. Unternehmen aller Größenordnungen verwenden das IT-Grundschutzhandbuch als Hilfsmittel bei der Konzeption, Realisierung und Revision von Standard-Sicherheitsmaßnahmen.

Detailliert beschreibt das IT-Grundschutzhandbuch eine systematische Methodik zur Erarbeitung von IT-Sicherheitskonzepten auf Grundlage praxiserprobter Standard-Sicherheitsmaßnahmen, die nachvollziehbar für jedes IT-System zu beachten sind. Es umfasst Sicherheitsmaßnahmen für typische IT-Systeme mit „normalem“ Schutzbedarf, eine Darstellung der pauschal angenommenen Gefährdungslage, ausführliche Maßnahmenbeschreibungen als Umsetzungshilfe, eine Beschreibung des Prozesses zum Erreichen und Aufrechterhalten eines angemessenen IT-Sicherheitsniveaus und eine einfache Verfahrensweise zur Ermittlung des erreichten IT-Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs.

Erwerb des IT-Grundschutz-Zertifikats für ein belegbar hohes Sicherheitsniveau

Das IT-Grundschutz-Zertifikat garantiert durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau, dass als fundierte Basis für hochschutzbedürftige IT-Anwendungen dienen kann. Zudem kann ein Unternehmen mit einem IT-Grundschutz-Zertifikat die erfolgreiche Umsetzung der IT-Grundschutz-Maßnahmen nach außen transparent machen.

Grundlage für die Vergabe eines IT-Grundschutz-Zertifikats ist die Durchführung eines Audits durch einen externen, beim BSI lizenzierten Auditor. Das Ergebnis des Audits ist ein Zertifizierungsreport. Nach eingehender Prüfung durch die Zertifizierungsstelle des BSI entscheidet diese über die Vergabe des IT-Grundschutz-Zertifikats. Die Gültigkeit von IT-Grundschutz-Zertifikaten ist auf 2 Jahre begrenzt. Nach Ablauf dieses Gültigkeitszeitraums ist eine Re-Zertifizierung des Untersuchungsgegenstands erforderlich.

buw führt als erstes und bisher einziges Unternehmen der Customer Care Branche mit dem IT-Grundschutz-Zertifikat einen vertrauenswürdigen Nachweis, dass alle Maßnahmebündel nach dem IT-Grundschutzhandbuch berücksichtigt und in der erforderlichen Tiefe umgesetzt wurden. Es handelt sich um messbare IT-Sicherheit, die intern und Kunden gegenüber grundschutzgerechtes Verhalten zur Datensicherheit belegt und von staatlicher Stelle bescheinigt wurde.

Der Weg zur Zertifizierung

Um sich mit einem Zertifikat dieser Art zu beschäftigen, bedarf es einer exzellenten Gesamtperformance sowie gut strukturierter Prozesse innerhalb des gesamten Unternehmens. Eine aktive Unterstützung des IT-Sicherheitsprozesses durch die Geschäftsleitung, interne Awarenes-Kampagnen sowie die Bildung eines IT-Sicherheitsteams haben sich als unverzichtbare Erfolgsfaktoren erwiesen.

Durch Anwendung des IT-Grundschutzhandbuchs lassen sich IT-Sicherheitskonzepte realisieren. Um die reibungslose Etablierung des IT-Sicherheitsprozesses mit möglichst geringem Aufwand zu erreichen, empfiehlt es sich, auf erfahrene Berater auf dem Weg zur Zertifizierung zurückzugreifen. Bei Anwendung des IT-Grundschutzhandbuchs wird ein Soll-Ist-Vergleich zwischen empfohlenen und bereits umgesetzten Maßnahmen durchgeführt. Dabei festgestellte unzureichend umgesetzte oder fehlende Maßnahmen zeigen die Sicherheitsdefizite auf, die es durch die vom IT-Grundschutzhandbuch empfohlenen Maßnahmebündel zu beheben gilt. Erst bei einem signifikant höheren Schutzbedarf müssen zusätzlich ergänzende Sicherheitsanalysen durchgeführt werden.

Die Kosten einer Zertifizierung stehen in Abhängigkeit zum Schutzbedarf des jeweiligen Unternehmens und zum bereits erlangten Sicherheitsniveau. Im Optimalfall verfügt ein Unternehmen bereits über ein IT-Sicherheitsmanagementsystem und über Komponenten zur Erhaltung eines ordentlichen Geschäftsbetriebes auf technischer Ebene, so dass nur ein Aufwand auf organisatorischer Seite zu verzeichnen ist.

Eine Investition, die sich lohnt!

Die umgesetzten Maßnahmen nach IT-Grundschutz garantieren einen reibungslosen Geschäftsbetrieb. Die Umsetzung führt nicht nur zu einer erhöhten IT-Sicherheit, sondern gleichzeitig zu einer deutlichen Steigerung der Wirtschaftlichkeit und Effizienz in Unternehmen. Letzteres wird dadurch erreicht, dass die umgesetzten Maßnahmen greifen und durch das erreichte Sicherheitsniveau bereits im Vorfeld potenzielle Schäden neutralisiert werden. Das Einsparungspotenzial durch nicht auftretende Schäden wie Systemausfälle, das Löschen wichtiger Kundendaten durch Virenbefall oder Einbrüche krimineller „Netzwerkforscher“ ist erheblich. In vielen Round-Table-Gesprächen bestätigt sich, dass Unternehmen mit aktivem IT-Grundschutz seltener Ausfälle der Informationstechnik zu beklagen haben und dadurch ein Einsparungspotenzial von bis zu 30% erreichen konnten.

Das IT-Grundschutzhandbuch ist auf langfristige Nutzung ausgelegt. Wer das Konzept erfolgreich umgesetzt hat und den Prozess fortwährend mit Leben füllt, wird folgendes feststellen: Der IT-Sicherheitsprozess gewinnt eine Eigendynamik und wird letzten Endes ein Selbstläufer. Der Sicherheits-Standard nach IT-Grundschutz des BSI sollte für Unternehmen und insbesondere Customer Care Center selbstverständlich sein!



Michael Dickopf, Pressesprecher im Bundesamt für Sicherheit in der Informationstechnik



1. Derzeit gibt es fast täglich Schreckensmeldungen zu neuen Gefahren durch Viren und Würmer. Wie beurteilen Sie den Stand der IT-Sicherheit deutscher Unter-nehmen?

Die Situation in deutschen Unternehmen muss man differenziert betrachten. In Konzernen und Großunternehmen ist die Lage ganz zufriedenstellend. Meistens gibt es hier entsprechende Sicherheitsmaßnahmen, wie z.B. Firewalls oder auch IT-Sicherheitsbeauftragte, die speziell für diese Aufgaben zuständig sind.
Anders ist die Situation in kleinen und mittelständischen Unternehmen, sog. KMU’s. Hier bestehen oftmals ganz erhebliche Defizite, obwohl durch Datenverlust oder Datenklau existenzbedrohende Schäden eintreten können.

2. Das Bundesamt für Sicherheit in der Informationstechnik führt gemeinsam mit dem BMWA und dem BMI diverse Kampagnen im Rahmen der IT-Sicherheit durch. Wie lautet die Zielsetzung Ihrer Kampagne?

Derzeit unterstützt das BSI aufgrund seiner fachlichen Kompetenz die gemeinsame Initiative des BMI und des BMWA „Mittelstand sicher im Internet“. Mit dieser Initiative sollen gezielt mittelständische Unternehmen angesprochen werden, denn nur durch eine sichere Internet- und IT-Nutzung ist die Konkurrenzfähigkeit dieser Unternehmen zu erhalten. Die Website www.mittelstand-sicher-im-Internet.de ist die zentrale Informationsplattform der Initiative. Dort finden Mittelständler leicht verständliche Materialien, die ihnen helfen, sich einfach gegen Viren, Würmer und Hackerangriffe zu schützen – ohne technisches Fachwissen.

3. Wohin geht der Trend im Bereich IT-Sicherheit?

Unter einer Vielzahl von Trends im Bereich IT-Sicherheit sind insbesondere drahtlose Netzwerke (z.B. WLAN’s) hervorzuheben, die zwar ungemein komfortabel sind, aber deren Sicherheit gegenüber Angriffen durch Dritte deutlich verbessert werden müssen. Auch sogenannte biometrische Verfahren z.B. in Verbindung mit Ausweisdokumenten werden in den nächsten Jahren voraussichtlich nicht mehr wegzudenken sein. Allerdings sind nur solche Verfahren zu etablieren, die tatsächlich eine sichere Identifikation realisieren.
Ein sehr spezielles Thema kann die Quantenkryptographie werden. Fachleute gehen davon aus, dass es in einigen Jahren sog. Quantencomputer geben könnte. Deren Rechnerleistung bzw. -methodik dürfte in der Lage sein, alle derzeit verfügbaren Verschlüsselungsverfahren zu durchbrechen. Dies hätte aber ganz massive Auswirkungen auf alle Bereiche, in denen wir zur Zeit hochsichere Verschlüsselungsverfahren einsetzen und uns gut geschützt fühlen. Hier gilt es, neue Verschlüsselungsverfahren zu entwickeln, die Angriffen durch Quantencomputer standhalten.