Zendesk bietet eine Reihe von Sicherheitsoptionen zum Schutz privater Informationen. Wenn Sie sich an die folgenden zehn Praktiken halten, können Sie die Sicherheit Ihres Zendesks maximieren.
Durch Einhaltung der in diesem Dokument aufgeführten bewährten Praktiken verringert sich das Risiko einer Sicherheitsverletzung. Allerdings reichen auch die besten Sicherheitsrichtlinien nicht aus, wenn sie nicht befolgt werden. Zendesk rät dringend zur Unterweisung von Agenten und Administratoren in der Einhaltung von Best Practices und der Gewährleistung einer sicheren Umgebung.
Falls Sie je Bedenken bezüglich der Sicherheit Ihres Zendesk Support-Kontos haben, wenden Sie sich bitte direkt an Zendesk. Im Falle einer vermuteten Sicherheitsverletzung reichen Sie bitte ein Ticket mit dem Betreff „Security“ (Sicherheit) sowie den entsprechenden Einzelheiten ein. Sie können auch eine E-Mail an security@zendesk.com senden.
Erhöhen der Kennwortsicherheit für Agenten
Zendesk bietet drei Kennwortsicherheitsstufen: niedrig, mittel, hoch. Sie können auch eine eigene angepasste Kennwortsicherheitsstufe angeben. Ein Administrator kann für Endbenutzer und für Administratoren und Agenten unterschiedliche Kennwortsicherheitsstufen festlegen.
Durch erhöhte Kennwortsicherheit für Agenten können Sie verhindern, dass unbefugte Benutzer die Kennwörter Ihrer Agenten erraten. Bei der Sicherheitsstufe „hoch“ müssen Agenten alle 90 Tage ein neues Kennwort festlegen. Weitere Informationen finden Sie unter Festlegen der Kennwortsicherheitsstufe.
Sie sollten von Ihren Administratoren und Agenten darüber hinaus verlangen, dass sie ein eindeutiges Kennwort für ihr Zendesk Support-Konto verwenden, d. h. ein Kennwort, das sie nicht bereits für externe Systeme wie Salesforce, GoodData usw. benutzen. Wenn ein Konto gehackt und ein Kennwort gestohlen wird, hat der Hacker also nur Zugriff auf dieses eine Konto.
Sie können für alle Agenten und Administratoren die Zwei-Faktor-Authentifizierung verlangen. Weitere Informationen finden Sie unter Verwalten der Zwei-Faktor-Authentifizierung. Am besten senden Sie Ihrem Supportteam eine Nachricht mit einem Link zum Beitrag Verwenden der Zwei-Faktor-Authentifizierung im Agentenhandbuch.
Keine Preisgabe von Benutzernamen, E-Mail-Adressen oder Kennwörtern
Es ist nicht immer leicht, ein Gleichgewicht zu finden zwischen Erfüllung der Benutzeranforderungen einerseits und Wahrung der Sicherheit anderseits. Dennoch schreiben die Best Practices vor, dass Agenten und Administratoren niemals Benutzernamen, E-Mail-Adressen oder Kennwörter anderen gegenüber preisgeben.
Wenn Sie die standardmäßige Zendesk-Anmeldeauthentifizierung verwenden, besteht die einzig sichere Möglichkeit zum Zurücksetzen eines Kennworts darin, auf dem Anmeldebildschirm Ihrer Zendesk-Instanz auf Kennwort vergessen zu klicken. Der Benutzer wird dann zur Eingabe einer gültigen E-Mail-Adresse (die bereits für einen legitimen Benutzer des Kontos bestätigt wurde) aufgefordert und erhält unter dieser E-Mail-Adresse eine Nachricht mit einem Link zum Zurücksetzen des Kennworts.
Wenn Sie ein externes Single-Sign-On-Authentifizierungssystem wie ActiveDirectory, Open Directory, LDAP oder SAML verwenden, können Kennwörter auf ähnliche Weise über diese Dienste zurückgesetzt werden.
Bedenken Sie, dass Hacker manchmal auf soziale Manipulationstaktiken setzen, um Druck auf Benutzer auszuüben, damit diese ein bestimmtes Kontokennwort verraten. In manchen Fällen tun sie dies, indem sie den Kundendienst am Abend oder am Wochenende kontaktieren, weil sie davon ausgehen, dass weniger höherrangige Mitarbeiter am Arbeitsplatz sind. Möglicherweise behaupten sie sogar, dass ein Sicherheitsverstoß vorliegt und das Kennwort sofort in eine von ihnen bereitgestellte neue Zeichenfolge geändert werden muss.
Manche Hacker arbeiten mit Werkzeugen, die es ihnen ermöglichen, mittels Spoofing die E-Mail-Adressen von Benutzern mit legitimen E-Mail-Domänen nachzuahmen. Daher kann es sein, dass auch anscheinend legitime E-Mail-Anfragen von Benutzern nicht wirklich von dieser Adresse stammen. Wenn sich jemand an Sie wendet, der vorgibt, Administrator oder Benutzer eines Kontos zu sein, sollten Sie die IP-Adresse notieren (diese sehen Sie in der Ereignis- und Benachrichtigungsansicht unter „Tickets“) und dessen Identität unabhängig verifizieren (z. B. durch Anruf der Telefonnummer im Benutzerprofil des Benutzers). Geben Sie im Zweifelsfall niemals sensible Informationen heraus und nehmen Sie keine Kontoänderungen im Namen einer anderen Person vor. Legitime Benutzer sollten in der Lage sein, ihre Kontoeinstellungen mithilfe der oben beschriebenen Verfahren zu ändern.
Wir empfehlen, dass Sie Ihre Agenten über Sicherheitsrisiken dieser Art informieren und darüber hinaus eine Sicherheitsrichtlinie schaffen, die jeder kennt und auf die in einem solchen Fall zurückgegriffen werden kann.
Einschränken der Zahl von Agenten mit Administratorzugriff
Administratoren haben Zugriff auf Teile Ihres Zendesk Support-Kontos, auf den normale Agenten keinen Zugriff haben. Beispielsweise stehen sämtliche in diesem Dokument beschriebenen Sicherheitsfunktionen nur Administratoren zur Verfügung. Durch die Einschränkung der Zahl von Agenten, die Administratorzugriff besitzen, verringern Sie Ihr Sicherheitsrisiko. Die Agentenrolle bietet den Zugriff, den normale Agenten benötigen, um Tickets zu verwalten und zu lösen.
In der Enterprise-Version von Zendesk Support können Sie vordefinierte Agentenrollen auswählen Support, die Agenten zusätzliche Berechtigungen erteilen. Darüber hinaus können Sie eigene angepasste Agentenrollen erstellen und entscheiden, auf welche Bereiche von Zendesk Support diese zugreifen können. Diese Berechtigungen sind jedoch auf die Zendesk Support-Bereiche zur Verwaltung von Benutzern, Tickets, Foren und Workflow beschränkt. Beispielsweise haben nur Kontoinhaber und Administratoren Zugriff auf Sicherheitseinstellungen.
Wenn Agenten nicht in der Lage sein sollen, auf Informationen über Endbenutzer zuzugreifen, können Sie eine Rolle erstellen, die keine Berechtigungen zum Bearbeiten von Endbenutzerprofilen oder zum Anzeigen der Endbenutzerliste hat. Legen Sie hierzu die folgenden zwei Berechtigungen fest:
- Welchen Zugriff hat dieser Agent auf Endbenutzerprofile? Setzen Sie diese Einstellung auf Nur Lesen.
- Darf dieser Benutzer Listen von Benutzerprofilen anzeigen? Setzen Sie diese Einstellung auf Durchsicht der Benutzerliste nicht möglich.
Weitere Informationen finden Sie unter Erstellen von angepassten Rollen und Zuweisen von Agenten (Enterprise).
Regelmäßige Überprüfung des Zendesk-Kontos
- Überprüfen Sie den Agentenzugriff und die Agentenrollen auf der Seite Personen und halten Sie Ausschau nach unbekannten Agenten oder Administratoren bzw. nach ungewöhnlichen E-Mail-Adressen, die nicht zur Domäne Ihres Unternehmens gehören.
- Vergewissern Sie sich bei Verwendung der E-Mail-Archivierungsfunktion in der Enterprise-Version von Zendesk Support, dass die E-Mail-Adresse legitim ist. Weitere Informationen finden Sie unter Archivieren von E-Mail-Benachrichtigungen für Tickets (Enterprise).
- Vergewissern Sie sich, dass die URL, die auf der Seite Branding auf Ihr Logo verweist, korrekt ist und nicht geändert wurde.
- Überprüfen Sie, ob alle verwendeten Ziele gültig sind und auf bekannte, korrekte Adressen zeigen. Weitere Informationen finden Sie unter Benachrichtigen externer Ziele.
- Überprüfen Sie alle Ziele und Automatisierungen, die Benachrichtigungen senden, und vergewissern Sie sich, dass die richtigen Personen benachrichtigt werden.
Bei den meisten dieser Ereignisse benachrichtigt Zendesk Support automatisch alle Administratoren. Sie müssen aber sicherstellen, dass die Benachrichtigungen an die richtigen Personen gesendet werden. Sie können eine Gruppe in Zendesk Support erstellen, die diese Warnungen erhalten.
Überwachen von Auditprotokollen
In der Enterprise-Version von Zendesk Support können Sie anhand des Auditprotokolls diverse Sicherheitsereignisse wie Sperren von Benutzern, Ändern der Kennwortrichtlinie, Annehmen der Identität anderer Benutzer, Exportieren von Kundendaten, Ändern der Definition angepasster Rollen usw. überwachen. Auf diese Weise können Sie viele wichtige Änderungen in Ihrem Konto verfolgen. Weitere Informationen finden Sie unter Aufrufen des Auditprotokolls zur Durchsicht von Änderungen (Enterprise).
Auffordern von Agenten, ihr eigenes Benutzerkonto zu überwachen
Da Agenten über mehr Berechtigungen verfügen als Endbenutzer, sind sie der sprichwörtliche Kanarienvogel in der Kohlengrube, wenn es um die Erkennung unberechtigter Zugriffe auf Zendesk Support geht. Um sich den zukünftigen Zugriff zu sichern, fügt ein Eindringling vielleicht eine neue E-Mail-Adresse zu einem Administratorprofil hinzu und veranlasst das Zurücksetzen des Kennworts.
Zendesk Support benachrichtigt Agenten per E-Mail, wenn ihr Kennwort geändert wurde. Agenten können außerdem ihr Benutzerkonto auf komfortable Weise überwachen, indem sie sich bei Anmeldung von einem neuen Gerät aus benachrichtigen lassen (siehe Überprüfen von Geräten und Anwendungen, die auf Ihr Konto zugegriffen haben). Wenn Sie eine neue Anmeldung von einem verdächtigen Ort aus sehen, entfernen Sie dieses Gerät, um die Sitzung des Benutzers zu beenden, und wählen Sie dann ein neues Kennwort.
Externe Authentifizierung von Benutzern mit Single-Sign-On (SSO)
Neben der von Zendesk Support bereitgestellten Benutzerauthentifizierung können Sie auch den Single-Sign-On (SSO) verwenden. Dabei werden Benutzer außerhalb von Zendesk Support authentifiziert. Es gibt zwei verschiedene Arten: Social-Media-Single-Sign-On und Enterprise-Single-Sign-On.
Über das Social-Media-Single-Sign-On können Sie zusätzliche Anmeldeoptionen für Ihre Kunden bereitstellen, beispielsweise die Anmeldung über Facebook, Google und Twitter. Kunden können sich dann entweder mit ihrem Zendesk Support-Konto oder mit einem ihrer Social-Media-Konten anmelden.
Das Enterprise-Single-Sign-On unterscheidet sich vom Social-Media-Single-Sign-On. Im Gegensatz zum Social-Media-Single-Sign-On, das optional ist und zusätzlich zur Anmeldung über das Zendesk Support-Konto verwendet werden kann, ersetzt das Enterprise-Single-Sign-On alle anderen Anmeldeoptionen. Nach der Aktivierung für Ihr Zendesk-Konto wird die Anmeldeseite Ihres Help Centers nicht mehr angezeigt. Stattdessen können Kunden nach der Anmeldung bei einem Unternehmensnetzwerk ganz einfach über einen Link auf Zendesk Support zugreifen. Die gesamte Benutzerverwaltung und Authentifizierung findet außerhalb Ihres Zendesk statt. Zendesk unterstützt Single-Sign-On über Secure Assertion Markup Language (SAML) und JSON Web Token (JWT).
In beiden Fällen – Single-Sign-On über Enterprise-Single-Sign-On oder Social-Media-Single-Sign-On – sollten Sie und Ihre Benutzer die Zwei-Faktor-Authentifizierung (auch als „Multi-Faktor-Authentifizierung“ bezeichnet) nutzen, die von diesen Diensten geboten wird. Da ein zusätzlicher Identitätsnachweis erforderlich ist, entsteht eine zusätzliche Sicherheitsebene. Wenn Sie JWT oder SAML verwenden, müssen Sie die entsprechenden Einstellungen für Zendesk Support konfigurieren. Wenn Sie Social-Media-Single-Sign-On verwenden, müssen Ihre Benutzer die entsprechenden Einrichtungsschritte selbst durchführen. Es gibt für alle Dienste entsprechende Dokumentation.
Weitere Informationen zum Thema Single-Sign-On:
Beschränken des Zugriffs auf Ihre Zendesk Support-Instanz nach IP-Bereich
Ein Administrator kann den Zugriff auf bestimmte IP-Adressen beschränken. Das bedeutet, dass sich Benutzer nur von den IP-Adressen, die Sie manuell zu Ihrem Konto hinzufügen, bei Zendesk Support anmelden können.
Dies kann auf sämtliche Benutzer oder ausschließlich auf Agenten angewendet werden. Wenn Sie „Nur für Agenten“ auswählen, ist der Agentenzugriff beschränkt, der Endbenutzerzugriff dagegen nicht.
Weitere Informationen zu dieser Funktion finden Sie unter Beschränken des Zugriffs auf Zendesk Support und Ihr Help Center nach IP-Bereich.
Beschränken des Zugriffs und Befolgen sicherer Codierungspraktiken bei Verwendung der REST-API
Mit der Zendesk REST-API und dem Zendesk Apps-Framework können Sie die Funktionalität Ihrer Zendesk Support-Instanz erweitern.
Wenn Sie nicht vorhaben, diese Tools zum Erweitern von Zendesk Support zu verwenden, lassen Sie die API deaktiviert. Deaktivieren Sie unter Admin > Kanäle > API die Optionen Tokenzugriff und Kennwortzugriff.
Wenn Sie Zendesk Support erweitern möchten, raten wir, hierbei bewährte Codierungspraktiken zu befolgen. Eine gute Referenz hierfür ist das Open Web Application Security Project (OWASP).
Darüber hinaus sollten Anwendungen, die auf die APIs von Zendesk zugreifen, niemals eigentliche Benutzernamen und Kennwörter verwenden, sondern stattdessen nur OAuth-Token (siehe Verwenden der OAuth-Authentifizierung für Ihre Anwendung). Auf diese Weise können Sie die von einer solchen Anwendung durchgeführten Aktionen eingrenzen und das Token widerrufen, wenn der Verdacht auf einen Sicherheitsverstoß besteht.
Schwärzen von Kreditkartennummern in Tickets
Endbenutzer geben in Supportanfragen manchmal Kreditkartennummern an, auch wenn sie das nicht tun sollten. Diese Daten sind nicht nur für jeden sichtbar, der Zugriff auf das Ticket hat, sondern werden zusammen mit dem restlichen Ticket in einer Datenbank gespeichert. Beim Professional- und Enterprise-Plan können Sie Ziffern in Kreditkartennummern schwärzen (unkenntlich machen) lassen, damit sie nicht mehr leserlich sind. Weitere Informationen finden Sie unter Schwärzen von Kreditkartennummern in Tickets (Professional und Enterprise).
Aktivieren privater Anhänge
Anhänge verwenden Links in Zendesk Support. Wenn private Anhänge nicht aktiviert sind, kann jeder, der einen Link hat, auf diesen zugreifen, ohne sich zuerst bei Zendesk authentifizieren zu müssen. Sie sollten private Anhänge aktivieren, es sei denn, es gibt einen überzeugenden Grund, dies nicht zu tun. Weitere Informationen finden Sie unter Aktivieren von Ticketanhängen.
Verhindern von Spam in Foren
Sie können einen Filter für das Help Center aktivieren, der verhindert, dass Posts von Endbenutzern, die Spam zu sein scheinen, veröffentlicht werden. Verdächtige Posts werden in eine Spamwarteschlange gestellt, wo sie von einem Administrator überprüft werden können. Weitere Informationen finden Sie unter Verhindern von Spam im Help Center anhand des Spamfilters.
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.