Softwareanbieter für Online-Beratung müssen Informations- und Datensicherheit bieten

Wollen Softwareanbieter für Online-Beratung auch für Versicherungen, Banken und Ärzte attraktiv sein, müssen sie Informations- und Datensicherheit garantieren, damit die Beratungsanbieter auch vertrauliche Online-Gespräche problemlos durchführen können. Doch wie kann dafür gesorgt werden? Welche Sicherheitsvorkehrungen sollten die Softwareanbieter mindestens bieten?

Welche Sicherheitsvoraussetzungen sollten generell bei einem Softwareanbieter für Online-Beratung mindestens erfüllt sein?

Zunächst kommt es, wie schon im Einleitungstext angedeutet, erst einmal darauf an, in welchem Kontext eine Online-Beratung abgehalten wird. Handelt es sich um Themen, die nicht vertraulich sind und dementsprechend Daten- und Informationssicherheit keine oder nur eine geringe Rolle spielen, kann ohne Probleme eine weit verbreitete Anwendung wie Skype oder Hangouts verwendet werden. Denn diese Anbieter nutzen viele Menschen auch schon privat und sind deshalb damit vertraut.
Für Beratungsanbieter, die mit ihren Kunden auch vertrauliche Gespräche führen und vertrauliche Dokumente austauschen, sind diese Anbieter, die den Ruf von „Datenkraken“ haben, jedoch nicht geeignet. Auf diese Gespräche möchten wir in dem folgenden Blogbeitrag eingehen.

Einleitend und zur ersten Übersicht möchten wir Sicherheitsvorkehrungen nennen, die ein sicherer Softwareanbieter bieten sollte, wenn er Wert auf Daten- und Informationssicherheit legt:

  • Anbieter und Nutzer haben einen eigenen Login Bereich und können ohne Eingabe des Benutzernamens und des Passworts ihre Dokumente und Videositzungen gar nicht aufrufen
  • SSL- Verschlüsselung, die auch der grundlegende Sicherheitsstandard beim Online-Banking ist
  • Server Standort Deutschland, sodass die Informationen nicht in andere Länder, beispielsweise die USA fließen und dort ausgelesen werden können
  • Peer-to-Peer (Ende zu Ende) Verschlüsselung – der Informationsaustausch findet bei einer 1-1 Videositzung ausschließlich zwischen den beiden Computern der Teilnehmer statt. Es ist kein Server dazwischen geschaltet, auf dem die Informationen und Daten gespeichert/gehackt werden können.

Wie finde ich heraus, ob ein Anbieter tatsächlich sicher ist?

Um zu wissen, ob ein Anbieter Wert auf den Schutz der Daten und ausgetauschten Informationen seiner Nutzer legt, können Verbraucher sich zunächst auf der Webseite umschauen. Dort sollte der Softwareanbieter für Online-Beratung zu den oben genannten Voraussetzungen Informationen hinterlegt haben: Wo steht der Server, was tut der Anbieter für die Sicherheit, welche Verschlüsselungsart benutzt er, etc.
Einige Unternehmen, besonders in Deutschland, haben mittlerweile sogar eine extra Kategorie beziehungsweise Seite, auf der sie ausschließlich über ihre Sicherheitsvorkehrungen informieren und ihre Prüfsiegel auflisten. Doch Vorsicht: Nicht alle Siegel, die schick oder professionell aussehen, stehen auch wirklich für fundierte Prüfungen und Prüfungsunternehmen.
Bei großen Unternehmen wie Google etc. ist die Möglichkeit der Informationsbeschaffung via Webseite natürlich wesentlich schwieriger als bei kleinen und mittelständischen Unternehmen. Bei kleinen Unternehmen haben Verbraucher ja sogar zum Teil die Möglichkeit, mit den Verantwortlichen persönlich zu sprechen, um sich zu überzeugen.
Ein weiteres Sicherheitsmerkmal, das für die SSL-Verschlüsselung steht und sofort ins Auge fällt, ist der grün eingefärbte, linke Teil der URL Leiste. Wenn Sie dort links auf das Schloss klicken, können Sie sogar das Unternehmen sehen, welches dem Softwareanbieter für Online-Beratung (oder auch allen anderen Unternehmen bei denen der linke Teil der URL Leiste grün eingefärbt ist) das SSL Zertifikat verliehen hat.

Welche Sicherheitszertifikate gibt es, die Softwareanbieter erwerben können?

Softwareanbieter für Online-Beratung können zum einen ein bestimmtes Softwareprodukt (Internet, Client, Server, SaaS etc.) hinsichtlich Datensicherheit, Funktionalität und Nutzerfreundlichkeit zertifizieren lassen, oder auch Zertifikate erwerben, die das gesamte Unternehmen auf Maßnahmen für die Informations- und Datensicherheit prüfen.
Unternehmenszertifizierungen sind allerdings hinsichtlich ihrer zeitlichen und finanziellen Ressourcen wesentlich aufwendiger.

Produktzertifizierung
Produktzertifizierungen gibt es beispielsweise bei Tüv Süd. Diese testet das Produkt des Softwareanbieters hinsichtlich der Funktionalität (insbesondere laut ISO 25051), hinsichtlich der Usability (vor allem auf Basis von ISO 9241) und besonders auch die Datensicherheit, die mit dem Softwareprodukt gegeben ist hinsichtlich der vergleichbaren Standards der BSI Kataloge zum IT Grundschutz.

Unternehmenszertifizierungen:
Bezüglich Unternehmenszertifizierungen ist für Softwareanbieter für Online-Beratung die Zertifizierung nach der Norm ISO 27001, dem Standard für Informationssicherheit in Unternehmen und Behörden, am interessantesten.
Die Norm gibt einen Katalog mit 133 eher allgemein gehaltenen Maßnahmen vor, die Unternehmen erfüllen müssen, um das Zertifikat zu erhalten. Die allgemeine Formulierung bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen.
Zentral ist hingegen die geforderte, ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich. Insgesamt sollte ein Unternehmen je nach Größe und Komplexität der Prozesse durchschnittlich etwa sechs Monate einplanen, bevor eine Unternehmenszertifizierung ausgehändigt werden kann.

ISO 27001 vs. IT Grundschutz
Eine Unternehmenszertifizierung hinsichtlich der Informations- und Datensicherheit können Softwareanbieter für Online-Beratung sowohl laut der Norm ISO 27001, oder aber auch laut den Maßnahmen des IT-Grunschutz-Katalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Doch was ist der Unterschied?
Im Gegensatz zum IT-Grundschutz-Katalog des BSI, der stärker auf die Absicherung der technischen Infrastruktur abzielt, betrachtet die ISO 27001 die Sicherheit der Informationstechnik aus der Management- und Prozess-Sicht.
Geprüft wird bei ISO 27001 sozusagen auf Metaebene: Nicht „Werden alle möglichen Fehler verhindert“, sondern „ist Unternehmen in der Lage, mögliche Fehler selbst zu identifizieren und zu beheben“?


Video: Welche Sicherheitsvorkehrungen sollten Softwareanbieter für Online-Beratung treffen


Kann man Unternehmen vertrauen, die noch keine Sicherheitszertifikate haben?

Die Antwort hier lautet aus unserer Sicht grundsätzlich ja: Auch jungen Unternehmen ohne Sicherheitszertifikate kann man vertrauen. Diese müssen dann eben noch ein wenig mehr Überzeugungsarbeit leisten und seine Kunden ohne offizielles Zertifikat überzeugen können.
Betrachtet man ISO 27001, zeigt sich, dass diese Norm die Sicherheit der Informationstechnik aus der Management- und Prozess-Sicht betrachtet.
Verbraucher oder auch Unternehmen, die an einer Software eines kleinen Anbieters interessiert sind, können sich von der Qualität von Softwareanbietern für Online-Beratung, die (noch) keine offizielle Zertifizierung vorweisen können, dadurch überzeugen, indem sie während der gemeinsamen Findungs- und Verhandlungsphase eben andere Managementprozesse betrachten.
Kann der Softwareanbieter seinen Kunden während dieser Phase davon überzeugen, dass er allgemein fundierte, gut strukturierte und sichere Prozesse vorzeigen kann und vertrauenswürdig arbeitet, lassen sich am ehesten Rückschlüsse auf die Glaubwürdigkeit seiner Äußerungen hinsichtlich fundierter Prozesse zur Informations- und Datensicherheit ziehen.

Zusätzlich hilft, wie schon vorher erwähnt, eventuell ein persönliches Gespräch mit den Verantwortlichen der meist kleinen Unternehmen, die noch keine Zertifizierung haben. Interessierte, potenzielle Kunden könnten detaillierte Fragen zu Sicherheitstechniken stellen und anschließend beurteilen, wie fundiert und glaubwürdig die Antworten sind.
In jedem Fall ist ein Kriterium bei der Auswahl des richtigen Softwareanbieters also auch Vertrauen.

Wo sollten die Server des Softwareanbieters idealerweise stehen?

Bei einer Studie von Stiftung Warentest schnitten quasi alle amerikanischen Anbieter äußerst schlecht ab. Von „verheerend unsicher“ war dabei häufig die Rede.
Das kam für viele nicht überraschend. Denn besonders die USA und US-Unternehmen haben in den letzten Jahren bekanntermaßen nicht viel Wert auf Daten- und Informationssicherheit gelegt. Das liegt allerdings auch daran, dass in den USA andere Rechtsgrundlagen und damit Datenschutzrichtlinien vorherrschen.
Viele deutsche Nutzer von Google, Skype etc. waren überrascht, dass während eines innerdeutschen Gesprächs die Informationen trotzdem stets über einen Server in den USA liefen und dort aufgezeichnet und/oder gespeichert wurden.
Dementsprechend gibt es vor allem den Nutzern ein Gefühl von deutlich mehr Sicherheit, wenn die Server eines Software Anbieters für Online-Beratung ausschließlich und nachweislich in Deutschland stehen und somit keine Möglichkeit für die bereits angesprochenen großen US-Datenkraken besteht, Informationen auszulesen und zu speichern.

Selbstverständlich sollten sich die Verbraucher im Klaren darüber sein, dass auch deutsche Unternehmen oder Behörden in der Lage sind, Informationen auszulesen oder Daten zu speichern. Auch dort kommt also wieder der Faktor Vertrauen ins Spiel.
Jedoch sind diesbezüglich bisher keine vergleichbaren Fälle bekannt, weshalb der Eindruck besteht, dass bei der Nutzung von ausschließlich deutschen Server ein höherer Sicherheitsstandard erfüllt ist.

Wie können Kunden sicher gehen, dass die Zahlungs-/ Kontoinformationen gut geschützt sind?

Beim Thema Zahlungs- und Kontoinformationen haben Nutzer erfahrungsgemäß ein sehr hohes Misstrauensniveau und gehen keinerlei Kompromisse ein. Was kann und sollte ein Software-Anbieter für Online-Beratung beim Thema Zahlungsabwicklung demnach beachten, insbesondere wenn beispielsweise auch die Zahlungsabwicklung für Online-Beratungen zwischen Beratungsanbieter und Ratsuchendem vom Softwareunternehmen übernommen wird?
Softwareanbieter müssen vermeiden, Kreditkarteninformationen auf ihren eigenen Servern zu speichern. Dafür lohnt es sich, mit einem Zahlungsanbieter zusammenzuarbeiten, der eine elektronische Banklizenz besitzt und Gelder trauhänderisch verwalten darf. Denn um solch eine Banklizenz zu erhalten müssen bezüglich der Datenspeicherung sehr strenge Anforderungen erfüllt werden, gerade in Deutschland.

Von außen ist das schwer ersichtlich. Aus Nutzersicht sieht es oft, so auch bei Flexperto aus, als würden direkt über die Seite des Anbieter bezahlen. Doch im Endeffekt geben Sie ihre Informationen in eine Maske des Bankenpartners ein, auf deren Informationen der Softwareanbieter keinen Zugriff hat.
Dementsprechend werden beim Softwareanbieter selbst die Zahlungs- und Kontoinformationen niemals gespeichert oder können ausgelesen werden.

Können vertrauliche Videochatsitzungen vom Anbieter eingesehen werden?
Wie schütze ich mich gegen eine Speicherung der Daten?

Technisch gesehen gibt es zwei Möglichkeiten, wie die Informationen bei einer Videochat-Sitzung übertragen werden
o   Peer-to-Peer, das heißt nur zwischen den beiden Computern der Gesprächsteilnehmer
o   Computer – Server -Computer (Server dazwischen geschaltet)

Im Fall, dass ein Server zwischen die teilnehmenden Computer geschaltet ist, besteht auch die Möglichkeit, dass das Gespräch aufgezeichnet und auf dem Server gespeichert wird. Soll also eine Speicherung nicht möglich sein, sollte sich der Nutzer vergewissern, dass die Kommunikation Peer-to-Peer stattfindet. Ansonsten ist es aber selbstverständlich auch nicht gestattet, ohne das Mitwissen und der ausdrücklichen Zustimmung der Softwarenutzer das Gespräch einfach aufzuzeichnen.