Zendesk bietet eine Reihe von Sicherheitsoptionen zum Schutz privater Informationen. Dieser Beitrag behandelt allgemeine bewährte Sicherheitspraktiken, um Ihnen den Einstieg zu erleichtern. Wir empfehlen dringend, Ihre Agenten und Administratoren in der Einhaltung von Best Practices und der Gewährleistung einer sicheren Umgebung zu unterweisen.
Im Zendesk Suite Actionable Security Guide finden Sie eine ausführliche Liste der Best Practices, die wir für Ihre Instanz empfehlen.
- Erhöhen der Kennwortsicherheit für Agenten
- Keine Preisgabe von Benutzernamen, E-Mail-Adressen oder Kennwörtern
- Einschränken der Zahl von Agenten mit Administratorzugriff
- Externe Authentifizierung von Benutzern mit Single-Sign-On (SSO)
- Überwachen von Auditprotokollen
- Beschränken des Zugriffs und Befolgen sicherer Codierungspraktiken bei Verwendung der REST-API
- Bereitstellen einer E-Mail-Adresse für Sicherheitsbenachrichtigungen
Sollten Sie Fragen zur Sicherheit Ihrer Zendesk-Instanz haben, wenden Sie sich direkt an Zendesk. Falls Sie vermuten, dass eine Sicherheitsverletzung vorliegt, reichen Sie ein Ticket mit dem Betreff „Security“ (Sicherheit) sowie den entsprechenden Einzelheiten ein. Sie können auch eine E-Mail an security@zendesk.com senden.
Erhöhen der Kennwortsicherheit für Agenten
In Zendesk gibt es vier Sicherheitsstufen für Kennwörter: Empfohlen, Hoch, Mittel und Niedrig. Sie können auch eine eigene Sicherheitsstufe festlegen. Ein Administrator kann für Endbenutzer und für Administratoren und Agenten unterschiedliche Kennwortsicherheitsstufen festlegen.
Zum Schutz Ihres Kontos empfiehlt Zendesk dringend, sowohl für Teammitglieder als auch für Endbenutzer die Kennwortsicherheitsstufe „Empfohlen“ einzustellen. Diese Sicherheitsstufe erfüllt strenge Kennwortanforderungen, vergleicht neue Kennwörter mit bekannten gehackten Kennwörtern und basiert auf bewährten Sicherheitspraktiken und Industriestandards.
Erhöhen Sie die Kennwortsicherheit für Agenten, um zu verhindern, dass unbefugte Benutzer die Kennwörter Ihrer Agenten erraten. Außerdem sollten Sie Administratoren und Agenten auffordern, eindeutige Kennwörter für ihre Zendesk-Konten zu wählen und die Wiederverwendung von Kennwörtern für externe Systeme zu vermeiden.
Auffordern von Agenten, ihr eigenes Konto zu überwachen Zendesk Support benachrichtigt Agenten per E-Mail, wenn ihr Kennwort geändert wurde. Außerdem können Agenten ihre Konten ganz leicht überwachen, indem sie E-Mail-Benachrichtigungen bei der Anmeldung auf neuen Geräten aktivieren. Wenn Sie eine neue Anmeldung von einem verdächtigen Gerät sehen, entfernen Sie das Gerät, um die Sitzung des Benutzers zu beenden, und wählen Sie dann ein neues Kennwort.
Zur Einrichtung einer weiteren Sicherheitsebene sollten Sie für Agenten und Administratoren die Zwei-Faktor-Authentifizierung erzwingen. Wir empfehlen Ihnen, Ihrem Supportteam eine Nachricht mit einem Link zum Beitrag Verwenden der Zwei-Faktor-Authentifizierung zu senden.
Es kann sinnvoll sein, einen Kennwortmanager wie 1Password oder LastPass zu verwenden. Ein Kennwortmanager ermöglicht Ihnen, ein starkes Kennwort zu generieren, das Sie für alle anderen Websites verwenden können.
Keine Preisgabe von Benutzernamen, E-Mail-Adressen oder Kennwörtern
Zendesk-Agenten und -Administratoren sollten niemals Benutzernamen, E-Mail-Adressen oder Kennwörter weitergeben.
Wenn Sie die standardmäßige Zendesk-Anmeldeauthentifizierung verwenden, besteht die einzige sichere Möglichkeit zum Zurücksetzen eines Kennworts darin, auf dem Zendesk-Anmeldebildschirm auf Kennwort vergessen zu klicken. Der Benutzer wird dann zur Eingabe einer gültigen E-Mail-Adresse (die bereits für einen legitimen Benutzer des Kontos bestätigt wurde) aufgefordert und erhält unter dieser E-Mail-Adresse eine Nachricht mit einem Link zum Zurücksetzen des Kennworts.
Wenn Sie ein externes Single-Sign-On-Authentifizierungssystem wie Active Directory, Open Directory, LDAP oder SAML verwenden, können Kennwörter auf ähnliche Weise über diese Dienste zurückgesetzt werden.
Hacker setzen manchmal auf Social-Engineering-Taktiken, um Druck auf Benutzer auszuüben, damit diese ein bestimmtes Kontokennwort verraten. Manche Hacker arbeiten mit Werkzeugen, die mittels Spoofing die E-Mail-Adressen von Benutzern mit legitimen E-Mail-Domänen nachahmen. Daher kann es sein, dass auch anscheinend legitime E-Mail-Anfragen von Benutzern nicht wirklich von dieser Adresse stammen.
Wenn sich jemand an Sie wendet, der vorgibt, Benutzer oder Administrator eines Kontos zu sein, sollten Sie die IP-Adresse notieren (diese sehen Sie in der Ereignisansicht unter „Tickets“) und dessen Identität unabhängig verifizieren (z. B. durch Anruf der Telefonnummer in seinem Benutzerprofil). Geben Sie im Zweifelsfall niemals sensible Informationen heraus und nehmen Sie keine Kontoänderungen im Namen einer anderen Person vor. Legitime Benutzer können eigene Kontoänderungen vornehmen.
Informieren Sie Ihre Agenten über diese Arten von Sicherheitsrisiken. Erstellen Sie außerdem eine Sicherheitsrichtlinie, die alle kennen und auf die sie sich berufen können, wenn es zu solchen Vorfällen kommt.
Einschränken der Zahl von Agenten mit Administratorzugriff
Administratoren können auf Bereiche Ihres Zendesk-Kontos zugreifen, auf die normale Agenten keinen Zugriff haben. Sie können das Sicherheitsrisiko verringern, wenn Sie die Zahl von Agenten, die Administratorzugriff besitzen, einschränken. Die Agentenrolle bietet den Zugriff, den normale Agenten benötigen, um Tickets zu verwalten und zu lösen.
Sie können vordefinierte Agentenrollen auswählen, die Agenten zusätzliche Berechtigungen erteilen. Bei Enterprise-Plänen können Sie auch eigene angepasste Agentenrollen erstellen und festlegen, auf welche Teile von Zendesk diese Rolle zugreifen und welche sie verwalten kann. Diese Berechtigungen sind eingeschränkt. Beispielsweise haben nur Kontoinhaber und Administratoren Zugriff auf Sicherheitseinstellungen.
Wenn Agenten nicht in der Lage sein sollen, auf Informationen über Endbenutzer zuzugreifen, können Sie eine Rolle erstellen, die keine Berechtigungen zum Bearbeiten von Endbenutzerprofilen oder zum Anzeigen der Endbenutzerliste hat.
Einschränken des Zugriffs auf private Informationen in Tickets
Bei Enterprise-Plänen können Administratoren eine Gruppe als privat kennzeichnen. Dadurch wird der Zugriff allgemein auf Agenten innerhalb der Gruppe beschränkt, wobei Administratoren und Teamleiter standardmäßig Zugriff haben. Außerdem kann Agenten die Berechtigung zum Anzeigen privater Tickets erteilt werden. Agenten können beim Bearbeiten eines privaten Tickets keine Teammitglieder @erwähnen, die nicht der privaten Gruppe angehören, und keine Nebenkonversationen mit diesen Teammitgliedern eröffnen. Die Verwendung privater Ticketgruppen kann die Sichtbarkeit der Inhalte von Tickets erheblich einschränken.
Wenn nicht alle Agenten in der Lage sein sollen, auf Tickets mit vertraulichen Informationen zuzugreifen, können Sie private Gruppen erstellen und ihnen gezielt diejenigen Agenten zuweisen, die diese Tickets bearbeiten sollen.
Externe Authentifizierung von Benutzern mit Single-Sign-On (SSO)
Neben der von Zendesk bereitgestellten Benutzerauthentifizierung können Sie auch den Single-Sign-On (SSO) verwenden. Dabei werden Benutzer außerhalb von Zendesk authentifiziert. Es gibt zwei SSO-Optionen: Social-Media-Single-Sign-On und Enterprise-Single-Sign-On.
Mit Social-Media-Single-Sign-On können sich Kunden entweder mit ihrem Zendesk-Konto oder mit einem ihrer Social-Media-Konten, z. B. Google oder Microsoft, anmelden. Diese Optionen sind zwar praktisch, aber wir empfehlen, unnötige Social-Media-Logins zu deaktivieren.
Enterprise-Single-Sign-On umgeht Zendesk und authentifiziert Benutzer extern. Wenn Benutzer zu Ihrer Zendesk-Anmeldeseite navigieren oder auf einen Link klicken, um auf Ihr Zendesk-Konto zuzugreifen, können sie sich authentifizieren, indem sie sich bei einem Unternehmensserver oder einem Identitätsanbieter eines Drittanbieters, wie OneLogin oder Okta, anmelden.
Wenn Sie Enterprise- oder Social-Media-Single-Sign-On unterstützen, empfehlen wir, die Vorteile der Zwei-Faktor-Authentifizierung (auch Multi-Faktor-Authentifizierung genannt) zu nutzen, die diese Services bieten. Da ein zusätzlicher Identitätsnachweis erforderlich ist, entsteht eine zusätzliche Sicherheitsebene. Wenn Sie JWT oder SAML verwenden, müssen Sie die entsprechenden Einstellungen für Ihr Zendesk-Konto konfigurieren. Wenn Sie Social-Media-Single-Sign-On verwenden, müssen Ihre Benutzer die entsprechenden Einrichtungsschritte selbst durchführen. Für alle Services gibt es eine entsprechende Dokumentation mit Anweisungen zur Einrichtung.
Agenten und Endbenutzer können sich auf unterschiedliche Weise authentifizieren. Sie können Ihre Zendesk Support-Instanz absichern, indem Sie strengere Authentifizierungsrichtlinien für Agenten festlegen und gleichzeitig Kunden und Endbenutzern den Zugriff so einfach wie möglich machen.
Überwachen von Auditprotokollen
Im Auditprotokoll werden alle größeren Kontoänderungen verfolgt. Anhand des Auditprotokolls können Sie diverse Sicherheitsereignisse wie Sperren von Benutzern, Ändern der Kennwortrichtlinie, Exportieren von Kundendaten, Ändern der Definition angepasster Rollen usw. überwachen.
Beschränken des Zugriffs und Befolgen sicherer Codierungspraktiken bei Verwendung der REST-API
Mit der Zendesk REST-API und dem Zendesk Apps-Framework können Sie die Funktionalität Ihrer Zendesk Support-Instanz erweitern.
Wenn Sie Ihre Zendesk-Instanz erweitern möchten, raten wir, hierbei die Best Practices für das Coding zu befolgen. Eine gute Referenz hierfür ist das Open Web Application Security Project (OWASP).
Bereitstellen einer E-Mail-Adresse für Sicherheitsbenachrichtigungen
Über die rechtliche Verpflichtung hinaus hat es für Zendesk höchste Priorität, Kunden, deren Dienstdaten von einem Sicherheitsvorfall betroffen sind, innerhalb der vorgeschriebenen Zeitspanne zu benachrichtigen. Fügen Sie die E-Mail-Adresse des Sicherheitskontakts oder der Sicherheitsgruppe hinzu, an die Sicherheitsbenachrichtigungen gesendet werden sollen. Weitere Informationen finden Sie unter Angeben einer E-Mail-Adresse für den Empfang erforderlicher Sicherheitsbenachrichtigungen.