Zendesk bietet drei Kennwortsicherheitsstufen: niedrig, mittel, hoch. Enterprise-Kunden können ihre eigene Kennwortsicherheitsstufe festlegen. Ein Administrator kann eine bestimmte Kennwortsicherheitsstufe für Endbenutzer und eine andere für Agenten und Administratoren festlegen.

Durch erhöhte Kennwortsicherheit für Agenten können Sie verhindern, dass unbefugte Benutzer die Kennwörter Ihrer Agenten erraten. Bei der Sicherheitsstufe „hoch“ müssen Agenten alle 90 Tage ein neues Kennwort festlegen. Weitere Informationen finden Sie unter Festlegen der Kennwortsicherheitsstufe (Professional und Enterprise).

Sie sollten von Ihren Administratoren und Agenten darüber hinaus verlangen, dass sie ein eindeutiges Kennwort für ihr Zendesk Support-Konto verwenden, d. h. ein Kennwort, das sie nicht bereits für externe Systeme wie Salesforce, GoodData usw. benutzen. Wenn ein Konto gehackt und ein Kennwort gestohlen wird, hat der Hacker also nur Zugriff auf dieses eine Konto.

Sie können für alle Agenten und Administratoren die Zwei-Faktor-Authentifizierung verlangen. Weitere Informationen finden Sie unter Verwalten der Zwei-Faktor-Authentifizierung. Wir empfehlen Ihnen, Ihrem Supportteam eine Nachricht mit einem Link zum Beitrag Verwenden der Zwei-Faktor-Authentifizierung zu senden.

Es ist nicht immer leicht, ein Gleichgewicht zu finden zwischen Erfüllung der Benutzeranforderungen einerseits und Wahrung der Sicherheit anderseits. Dennoch schreiben die Best Practices vor, dass Agenten und Administratoren niemals Benutzernamen, E-Mail-Adressen oder Kennwörter anderen gegenüber preisgeben.

Wenn Sie die Standardanmeldeauthentifizierung von Zendesk verwenden, kann das Kennwort nur auf sichere Weise zurückgesetzt werden, indem der Benutzer auf dem Anmeldebildschirm Ihrer Zendesk-Instanz auf den Link Kennwort vergessen klickt. Der Benutzer wird dann zur Eingabe einer gültigen E-Mail-Adresse (die bereits für einen legitimen Benutzer des Kontos bestätigt wurde) aufgefordert und erhält unter dieser E-Mail-Adresse eine Nachricht mit einem Link zum Zurücksetzen des Kennworts.

Wenn Sie ein externes Single-Sign-On-Authentifizierungssystem wie ActiveDirectory, Open Directory, LDAP oder SAML verwenden, können Kennwörter auf ähnliche Weise über diese Dienste zurückgesetzt werden.

Bedenken Sie, dass Hacker manchmal auf soziale Manipulationstaktiken setzen, um Druck auf Benutzer auszüben, damit diese ein bestimmtes Kontokennwort verraten. In manchen Fällen tun sie dies, indem sie den Kundendienst am Abend oder am Wochenende kontaktieren, weil sie davon ausgehen, dass weniger höherrangige Mitarbeiter am Arbeitsplatz sind. Möglicherweise behaupten sie sogar, dass ein Sicherheitsverstoß vorliegt und das Kennwort sofort in eine von ihnen bereitgestellte neue Zeichenfolge geändert werden muss.

Manche Hacker arbeiten mit Werkzeugen, die es ihnen ermöglichen, mittels Spoofing die E-Mail-Adressen von Benutzern mit legitimen E-Mail-Domänen nachzuahmen. Daher kann es sein, dass auch anscheinend legitime E-Mail-Anfragen von Benutzern nicht wirklich von dieser Adresse stammen. Wenn sich jemand an Sie wendet, der vorgibt, Administrator oder Benutzer eines Kontos zu sein, sollten Sie die IP-Adresse notieren (diese sehen Sie in der Ereignis- und Benachrichtigungsansicht unter „Tickets“) und dessen Identität unabhängig verifizieren (z. B. durch Anruf der Telefonnummer im Benutzerprofil des Benutzers). Geben Sie im Zweifelsfall niemals sensible Informationen heraus und nehmen Sie keine Kontoänderungen im Namen einer anderen Person vor. Legitime Benutzer sollten in der Lage sein, ihre Kontoeinstellungen mithilfe der oben beschriebenen Verfahren zu ändern.

Wir empfehlen, dass Sie Ihre Agenten über Sicherheitsrisiken dieser Art informieren und darüber hinaus eine Sicherheitsrichtlinie schaffen, die jeder kennt und auf die in einem solchen Fall zurückgegriffen werden kann.

Administratoren haben Zugriff auf Teile Ihres Zendesk Support-Kontos, auf den normale Agenten keinen Zugriff haben. Beispielsweise stehen sämtliche in diesem Dokument beschriebenen Sicherheitsfunktionen nur Administratoren zur Verfügung. Durch die Einschränkung der Zahl von Agenten, die Administratorzugriff besitzen, verringern Sie Ihr Sicherheitsrisiko. Die Agentenrolle bietet den Zugriff, den normale Agenten benötigen, um Tickets zu verwalten und zu lösen.

In der Enterprise-Version von Zendesk Support können Sie vordefinierte Agentenrollen auswählen Support, die Agenten zusätzliche Berechtigungen erteilen. Darüber hinaus können Sie eigene angepasste Agentenrollen erstellen und entscheiden, auf welche Bereiche von Zendesk Support diese zugreifen können. Diese Berechtigungen sind jedoch auf die Zendesk Support-Bereiche zur Verwaltung von Benutzern, Tickets, Foren und Workflow beschränkt. Beispielsweise haben nur Kontoinhaber und Administratoren Zugriff auf Sicherheitseinstellungen.

Wenn Sie befürchten, dass Ihre Agenten auf Informationen über Ihre Endbenutzer zugreifen, können Sie eine Rolle erstellen, die weder die Bearbeitung von Endbenutzerprofilen noch die Auflistung aller Endbenutzerprofile zulässt. Legen Sie hierzu die folgenden zwei Berechtigungen fest:

Weitere Informationen finden Sie unter Erstellen von angepassten Rollen und Zuweisen von Agenten (Enterprise).

Bei den meisten dieser Ereignisse benachrichtigt Zendesk Support automatisch alle Administratoren. Sie müssen aber sicherstellen, dass die Benachrichtigungen an die richtigen Personen gesendet werden. Sie können eine Gruppe in Zendesk Support erstellen, die diese Warnungen erhalten.

In der Enterprise-Version von Zendesk Support können Sie anhand des Auditprotokolls diverse Sicherheitsereignisse wie Sperren von Benutzern, Ändern der Kennwortrichtlinie, Annehmen der Identität anderer Benutzer, Exportieren von Kundendaten, Ändern der Definition angepasster Rollen usw. überwachen. Auf diese Weise können Sie viele wichtige Änderungen in Ihrem Konto verfolgen. Weitere Informationen finden Sie unter Aufrufen des Auditprotokolls zu Durchsicht von Änderungen (Enterprise).

Da Agenten über mehr Berechtigungen verfügen als Endbenutzer, sind sie der sprichwörtliche Kanarienvogel in der Kohlengrube, wenn es um die Erkennung unberechtigter Zugriffe auf Zendesk Support geht. Um sich den zukünftigen Zugriff zu sichern, fügt ein Eindringling vielleicht eine neue E-Mail-Adresse zu einem Administratorprofil hinzu und veranlasst das Zurücksetzen des Kennworts.

Zendesk Support benachrichtigt Agenten per E-Mail, wenn ihr Kennwort geändert wurde. Agenten können außerdem ihr Benutzerkonto auf komfortable Weise überwachen, indem sie sich bei Anmeldung von einem neuen Gerät aus benachrichtigen lassen (siehe Überprüfen von Geräten und Anwendungen, die auf Ihr Konto zugegriffen haben). Wenn Sie eine neue Anmeldung von einem verdächtigen Ort aus sehen, entfernen Sie dieses Gerät, um die Sitzung des Benutzers zu beenden, und wählen Sie dann ein neues Kennwort.

Neben der von Zendesk Support bereitgestellten Benutzerauthentifizierung können Sie auch den Single-Sign-On (SSO) verwenden. Dabei werden Benutzer außerhalb von Zendesk Support authentifiziert. Es gibt zwei verschiedene Arten: Social-Media-Single-Sign-On und Enterprise-Single-Sign-On.

Über das Social-Media-Single-Sign-On können Sie zusätzliche Anmeldeoptionen für Ihre Kunden bereitstellen. Beispielsweise können Sie Kunden die Möglichkeit geben, sich auf der Anmeldeseite für das Help Center mit ihrem Facebook-, Google- oder Twitter-Login anzumelden. Kunden können sich dann entweder mit ihrem Zendesk Support-Konto oder mit einem ihrer Social-Media-Konten anmelden.

Das Enterprise-Single-Sign-On unterscheidet sich vom Social-Media-Single-Sign-On. Im Gegensatz zum Social-Media-Single-Sign-On, das optional ist und zusätzlich zur Anmeldung über das Zendesk Support-Konto verwendet werden kann, ersetzt das Enterprise-Single-Sign-On alle anderen Anmeldeoptionen. Nach Aktivierung des Enterprise-Single-Sign-On in Ihrem Zendesk Support-Konto sehen Kunden die Anmeldeseite im Help Center nicht mehr. Stattdessen melden sie sich in der Regel bei ihrem Firmennetzwerk an und klicken dann zum Zugriff auf Zendesk Support einfach auf einen Link. Die Anmeldung bei Zendesk Support erfolgt automatisch. Die gesamte Benutzerverwaltung und -authentifizierung findet außerhalb von Zendesk Support statt. JSON Web Token (JWT) ist nur beim Team-Plan und höher verfügbar. Beim Professional- und Enterprise-Plan wird außerdem Single-Sign-On über Secure Assertion Markup Language (SAML) unterstützt.

In beiden Fällen – Single-Sign-On über Enterprise-Single-Sign-On oder Social-Media-Single-Sign-On – sollten Sie und Ihre Benutzer die Zwei-Faktor-Authentifizierung (auch als „Multi-Faktor-Authentifizierung“ bezeichnet) nutzen, die von diesen Diensten geboten wird. Da ein zusätzlicher Identitätsnachweis erforderlich ist, entsteht eine zusätzliche Sicherheitsebene. Wenn Sie JWT oder SAML verwenden, müssen Sie die entsprechenden Einstellungen für Zendesk Support konfigurieren. Wenn Sie Social-Media-Single-Sign-On verwenden, müssen Ihre Benutzer die entsprechenden Einrichtungsschritte selbst durchführen. Es gibt für alle Dienste entsprechende Dokumentation.

Weitere Informationen zum Thema Single-Sign-On:

Bei der Enterprise-Version von Zendesk Support kann ein Administrator den Zugriff auf bestimmte IP-Adressen beschränken. Das bedeutet, dass sich Benutzer nur von den IP-Adressen, die Sie manuell zu Ihrem Konto hinzufügen, bei Zendesk Support anmelden können.

Dies kann auf sämtliche Benutzer oder ausschließlich auf Agenten angewendet werden. Wenn Sie „Nur für Agenten“ auswählen, ist der Agentenzugriff beschränkt, der Endbenutzerzugriff dagegen nicht.

Weitere Informationen über diese Funktion finden Sie unter Beschränken des Zugriffs auf Zendesk Support nach IP-Bereich (Enterprise).

Mit der Zendesk REST-API und dem Zendesk Apps-Framework können Sie die Funktionalität Ihrer Zendesk Support-Instanz erweitern.

Wenn Sie nicht vorhaben, diese Tools zum Erweitern von Zendesk Support zu verwenden, lassen Sie die API deaktiviert. Deaktivieren Sie unter Admin > Kanäle > API die Optionen Tokenzugriff und Kennwortzugriff.

Wenn Sie Zendesk Support erweitern möchten, raten wir, hierbei bewährte Codierungspraktiken zu befolgen. Als Referenz empfehlen wir das Open Web Application Security Project (OWASP).

Darüber hinaus sollten Anwendungen, die auf die APIs von Zendesk zugreifen, niemals eigentliche Benutzernamen und Kennwörter verwenden, sondern stattdessen nur OAuth-Token (siehe Verwenden der OAuth-Authentifizierung für Ihre Anwendung). Auf diese Weise können Sie die von einer solchen Anwendung durchgeführten Aktionen eingrenzen und das Token widerrufen, wenn der Verdacht auf einen Sicherheitsverstoß besteht.

Endbenutzer geben in Supportanfragen manchmal Kreditkartennummern an, auch wenn sie das nicht tun sollten. Diese Daten sind nicht nur für jeden sichtbar, der Zugriff auf das Ticket hat, sondern werden zusammen mit dem restlichen Ticket in einer Datenbank gespeichert. Beim Professional- und Enterprise-Plan können Sie Ziffern in Kreditkartennummern schwärzen (unkenntlich machen) lassen, damit sie nicht mehr leserlich sind. Weitere Informationen finden Sie unter Schwärzen von Kreditkartennummern in Tickets (Professional und Enterprise).

Anhänge verwenden Links in Zendesk Support. Wenn private Anhänge nicht aktiviert sind, kann jeder, der einen Link hat, auf diesen zugreifen, ohne sich zuerst bei Zendesk authentifizieren zu müssen. Sie sollten private Anhänge aktivieren, es sei denn, es gibt einen überzeugenden Grund, dies nicht zu tun. Weitere Informationen finden Sie unter Aktivieren von Ticketanhängen.

Sie können einen Filter für das Help Center aktivieren, der verhindert, dass Posts von Endbenutzern, die Spam zu sein scheinen, veröffentlicht werden. Verdächtige Posts werden in eine Spamwarteschlange gestellt, wo sie von einem Administrator überprüft werden können. Weitere Informationen finden Sie unter Verhindern von Spam im Help Center anhand des Spamfilters.