Softwareanbieter für Online-Beratung müssen Informations- und Datensicherheit bieten

Wollen Softwareanbieter für Online-Beratung auch für Versicherungen, Banken und Ärzte attraktiv sein, müssen sie Informations- und Datensicherheit garantieren, damit die Beratungsanbieter auch vertrauliche Online-Gespräche problemlos durchführen können. Doch wie kann dafür gesorgt werden? Welche Sicherheitsvorkehrungen sollten die Softwareanbieter mindestens bieten?

Welche Sicherheitsvoraussetzungen sollten generell bei einem Softwareanbieter für Online-Beratung mindestens erfüllt sein?

Zunächst kommt es, wie schon im Einleitungstext angedeutet, erst einmal darauf an, in welchem Kontext eine Online-Beratung abgehalten wird. Handelt es sich um Themen, die nicht vertraulich sind und dementsprechend Daten- und Informationssicherheit keine oder nur eine geringe Rolle spielen, kann ohne Probleme eine weit verbreitete Anwendung wie Skype oder Hangouts verwendet werden. Denn diese Anbieter nutzen viele Menschen auch schon privat und sind deshalb damit vertraut.
Für Beratungsanbieter, die mit ihren Kunden auch vertrauliche Gespräche führen und vertrauliche Dokumente austauschen, sind diese Anbieter, die den Ruf von „Datenkraken“ haben, jedoch nicht geeignet. Auf diese Gespräche möchten wir in dem folgenden Blogbeitrag eingehen.

Einleitend und zur ersten Übersicht möchten wir Sicherheitsvorkehrungen nennen, die ein sicherer Softwareanbieter bieten sollte, wenn er Wert auf Daten- und Informationssicherheit legt:

Anbieter und Nutzer haben einen eigenen Login Bereich und können ohne Eingabe des Benutzernamens und des Passworts ihre Dokumente und Videositzungen gar nicht aufrufen
SSL- Verschlüsselung, die auch der grundlegende Sicherheitsstandard beim Online-Banking ist
Server Standort Deutschland, sodass die Informationen nicht in andere Länder, beispielsweise die USA fließen und dort ausgelesen werden können
Peer-to-Peer (Ende zu Ende) Verschlüsselung – der Informationsaustausch findet bei einer 1-1 Videositzung ausschließlich zwischen den beiden Computern der Teilnehmer statt. Es ist kein Server dazwischen geschaltet, auf dem die Informationen und Daten gespeichert/gehackt werden können.

Wie finde ich heraus, ob ein Anbieter tatsächlich sicher ist?

Um zu wissen, ob ein Anbieter Wert auf den Schutz der Daten und ausgetauschten Informationen seiner Nutzer legt, können Verbraucher sich zunächst auf der Webseite umschauen. Dort sollte der Softwareanbieter für Online-Beratung zu den oben genannten Voraussetzungen Informationen hinterlegt haben: Wo steht der Server, was tut der Anbieter für die Sicherheit, welche Verschlüsselungsart benutzt er, etc.
Einige Unternehmen, besonders in Deutschland, haben mittlerweile sogar eine extra Kategorie beziehungsweise Seite, auf der sie ausschließlich über ihre Sicherheitsvorkehrungen informieren und ihre Prüfsiegel auflisten. Doch Vorsicht: Nicht alle Siegel, die schick oder professionell aussehen, stehen auch wirklich für fundierte Prüfungen und Prüfungsunternehmen.
Bei großen Unternehmen wie Google etc. ist die Möglichkeit der Informationsbeschaffung via Webseite natürlich wesentlich schwieriger als bei kleinen und mittelständischen Unternehmen. Bei kleinen Unternehmen haben Verbraucher ja sogar zum Teil die Möglichkeit, mit den Verantwortlichen persönlich zu sprechen, um sich zu überzeugen.
Ein weiteres Sicherheitsmerkmal, das für die SSL-Verschlüsselung steht und sofort ins Auge fällt, ist der grün eingefärbte, linke Teil der URL Leiste. Wenn Sie dort links auf das Schloss klicken, können Sie sogar das Unternehmen sehen, welches dem Softwareanbieter für Online-Beratung (oder auch allen anderen Unternehmen bei denen der linke Teil der URL Leiste grün eingefärbt ist) das SSL Zertifikat verliehen hat.

Welche Sicherheitszertifikate gibt es, die Softwareanbieter erwerben können?

Softwareanbieter für Online-Beratung können zum einen ein bestimmtes Softwareprodukt (Internet, Client, Server, SaaS etc.) hinsichtlich Datensicherheit, Funktionalität und Nutzerfreundlichkeit zertifizieren lassen, oder auch Zertifikate erwerben, die das gesamte Unternehmen auf Maßnahmen für die Informations- und Datensicherheit prüfen.
Unternehmenszertifizierungen sind allerdings hinsichtlich ihrer zeitlichen und finanziellen Ressourcen wesentlich aufwendiger.

Produktzertifizierung
Produktzertifizierungen gibt es beispielsweise bei Tüv Süd. Diese testet das Produkt des Softwareanbieters hinsichtlich der Funktionalität (insbesondere laut ISO 25051), hinsichtlich der Usability (vor allem auf Basis von ISO 9241) und besonders auch die Datensicherheit, die mit dem Softwareprodukt gegeben ist hinsichtlich der vergleichbaren Standards der BSI Kataloge zum IT Grundschutz.

Unternehmenszertifizierungen:
Bezüglich Unternehmenszertifizierungen ist für Softwareanbieter für Online-Beratung die Zertifizierung nach der Norm ISO 27001, dem Standard für Informationssicherheit in Unternehmen und Behörden, am interessantesten.
Die Norm gibt einen Katalog mit 133 eher allgemein gehaltenen Maßnahmen vor, die Unternehmen erfüllen müssen, um das Zertifikat zu erhalten. Die allgemeine Formulierung bietet damit zwar größeren Spielraum bei der Erreichung eines den eigenen Bedürfnissen tatsächlich angemessenen Schutzniveaus. Gefordert ist aber, die recht abstrakten Vorgaben der Norm selbst im Detail auszuarbeiten und mit angemessenem Inhalt zu füllen.
Zentral ist hingegen die geforderte, ausführliche Analyse der Risiken und deren Behandlung. Der hierfür erforderliche Aufwand und Ressourcenbedarf ist erheblich. Insgesamt sollte ein Unternehmen je nach Größe und Komplexität der Prozesse durchschnittlich etwa sechs Monate einplanen, bevor eine Unternehmenszertifizierung ausgehändigt werden kann.

ISO 27001 vs. IT Grundschutz
Eine Unternehmenszertifizierung hinsichtlich der Informations- und Datensicherheit können Softwareanbieter für Online-Beratung sowohl laut der Norm ISO 27001, oder aber auch laut den Maßnahmen des IT-Grunschutz-Katalogs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten. Doch was ist der Unterschied?
Im Gegensatz zum IT-Grundschutz-Katalog des BSI, der stärker auf die Absicherung der technischen Infrastruktur abzielt, betrachtet die ISO 27001 die Sicherheit der Informationstechnik aus der Management- und Prozess-Sicht.
Geprüft wird bei ISO 27001 sozusagen auf Metaebene: Nicht „Werden alle möglichen Fehler verhindert“, sondern „ist Unternehmen in der Lage, mögliche Fehler selbst zu identifizieren und zu beheben“?

Video: Welche Sicherheitsvorkehrungen sollten Softwareanbieter für Online-Beratung treffen

Kann man Unternehmen vertrauen, die noch keine Sicherheitszertifikate haben?

Die Antwort hier lautet aus unserer Sicht grundsätzlich ja: Auch jungen Unternehmen ohne Sicherheitszertifikate kann man vertrauen. Diese müssen dann eben noch ein wenig mehr Überzeugungsarbeit leisten und seine Kunden ohne offizielles Zertifikat überzeugen können.
Betrachtet man ISO 27001, zeigt sich, dass diese Norm die Sicherheit der Informationstechnik aus der Management- und Prozess-Sicht betrachtet.
Verbraucher oder auch Unternehmen, die an einer Software eines kleinen Anbieters interessiert sind, können sich von der Qualität von Softwareanbietern für Online-Beratung, die (noch) keine offizielle Zertifizierung vorweisen können, dadurch überzeugen, indem sie während der gemeinsamen Findungs- und Verhandlungsphase eben andere Managementprozesse betrachten.
Kann der Softwareanbieter seinen Kunden während dieser Phase davon überzeugen, dass er allgemein fundierte, gut strukturierte und sichere Prozesse vorzeigen kann und vertrauenswürdig arbeitet, lassen sich am ehesten Rückschlüsse auf die Glaubwürdigkeit seiner Äußerungen hinsichtlich fundierter Prozesse zur Informations- und Datensicherheit ziehen.

Zusätzlich hilft, wie schon vorher erwähnt, eventuell ein persönliches Gespräch mit den Verantwortlichen der meist kleinen Unternehmen, die noch keine Zertifizierung haben. Interessierte, potenzielle Kunden könnten detaillierte Fragen zu Sicherheitstechniken stellen und anschließend beurteilen, wie fundiert und glaubwürdig die Antworten sind.
In jedem Fall ist ein Kriterium bei der Auswahl des richtigen Softwareanbieters also auch Vertrauen.

Wo sollten die Server des Softwareanbieters idealerweise stehen?

Bei einer Studie von Stiftung Warentest schnitten quasi alle amerikanischen Anbieter äußerst schlecht ab. Von „verheerend unsicher“ war dabei häufig die Rede.
Das kam für viele nicht überraschend. Denn besonders die USA und US-Unternehmen haben in den letzten Jahren bekanntermaßen nicht viel Wert auf Daten- und Informationssicherheit gelegt. Das liegt allerdings auch daran, dass in den USA andere Rechtsgrundlagen und damit Datenschutzrichtlinien vorherrschen.
Viele deutsche Nutzer von Google, Skype etc. waren überrascht, dass während eines innerdeutschen Gesprächs die Informationen trotzdem stets über einen Server in den USA liefen und dort aufgezeichnet und/oder gespeichert wurden.
Dementsprechend gibt es vor allem den Nutzern ein Gefühl von deutlich mehr Sicherheit, wenn die Server eines Software Anbieters für Online-Beratung ausschließlich und nachweislich in Deutschland stehen und somit keine Möglichkeit für die bereits angesprochenen großen US-Datenkraken besteht, Informationen auszulesen und zu speichern.

Selbstverständlich sollten sich die Verbraucher im Klaren darüber sein, dass auch deutsche Unternehmen oder Behörden in der Lage sind, Informationen auszulesen oder Daten zu speichern. Auch dort kommt also wieder der Faktor Vertrauen ins Spiel.
Jedoch sind diesbezüglich bisher keine vergleichbaren Fälle bekannt, weshalb der Eindruck besteht, dass bei der Nutzung von ausschließlich deutschen Server ein höherer Sicherheitsstandard erfüllt ist.

Wie können Kunden sicher gehen, dass die Zahlungs-/ Kontoinformationen gut geschützt sind?

Beim Thema Zahlungs- und Kontoinformationen haben Nutzer erfahrungsgemäß ein sehr hohes Misstrauensniveau und gehen keinerlei Kompromisse ein. Was kann und sollte ein Software-Anbieter für Online-Beratung beim Thema Zahlungsabwicklung demnach beachten, insbesondere wenn beispielsweise auch die Zahlungsabwicklung für Online-Beratungen zwischen Beratungsanbieter und Ratsuchendem vom Softwareunternehmen übernommen wird?
Softwareanbieter müssen vermeiden, Kreditkarteninformationen auf ihren eigenen Servern zu speichern. Dafür lohnt es sich, mit einem Zahlungsanbieter zusammenzuarbeiten, der eine elektronische Banklizenz besitzt und Gelder trauhänderisch verwalten darf. Denn um solch eine Banklizenz zu erhalten müssen bezüglich der Datenspeicherung sehr strenge Anforderungen erfüllt werden, gerade in Deutschland.

Von außen ist das schwer ersichtlich. Aus Nutzersicht sieht es oft, so auch bei Flexperto aus, als würden direkt über die Seite des Anbieter bezahlen. Doch im Endeffekt geben Sie ihre Informationen in eine Maske des Bankenpartners ein, auf deren Informationen der Softwareanbieter keinen Zugriff hat.
Dementsprechend werden beim Softwareanbieter selbst die Zahlungs- und Kontoinformationen niemals gespeichert oder können ausgelesen werden.

Können vertrauliche Videochatsitzungen vom Anbieter eingesehen werden?
Wie schütze ich mich gegen eine Speicherung der Daten?

Technisch gesehen gibt es zwei Möglichkeiten, wie die Informationen bei einer Videochat-Sitzung übertragen werden
o Peer-to-Peer, das heißt nur zwischen den beiden Computern der Gesprächsteilnehmer
o Computer – Server -Computer (Server dazwischen geschaltet)

Im Fall, dass ein Server zwischen die teilnehmenden Computer geschaltet ist, besteht auch die Möglichkeit, dass das Gespräch aufgezeichnet und auf dem Server gespeichert wird. Soll also eine Speicherung nicht möglich sein, sollte sich der Nutzer vergewissern, dass die Kommunikation Peer-to-Peer stattfindet. Ansonsten ist es aber selbstverständlich auch nicht gestattet, ohne das Mitwissen und der ausdrücklichen Zustimmung der Softwarenutzer das Gespräch einfach aufzuzeichnen.

Mehr über Datensicherheit auch beim Messaging im Vertrieb, erfahren Sie in unserem Whitepaper.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers zu den Cookies in der Kategorie "Werbe Cookies" zu speichern.
cookielawinfo-checkbox-analytics	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dientdazu, die Zustimmungdes Nutzers zu den Cookies in der Kategorie "Analyse Cookies" zu speichern.
cookielawinfo-checkbox-functional	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Funktions Cookies" zu speichern.
cookielawinfo-checkbox-necessary	1 year	Dieses Cookie wird vom GDPR-Cookie-Consent-Plugin gesetzt und dient dazu, die Zustimmung des Nutzers zu den Cookies in der Kategorie "unbedingt erforderliche Cookies" zu speichern.
cookielawinfo-checkbox-others	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers für Cookies der Kategorie "Sonstige Cookies" zu speichern.
cookielawinfo-checkbox-performance	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers für Cookies der Kategorie "Performance Cookies" zu speichern.
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	Das JSESSIONID-Cookie wird von New Relic verwendet, um eine Sitzungskennung zu speichern, damit New Relic die Sitzungszahlen für eine Anwendung überwachen kann.

Cookie	Dauer	Beschreibung
__cf_bm	30 minutes	Dieses von Cloudflare gesetzte Cookie ist Teil von Cloudflares Bot Management Service und hilft bei der Erkennung von Datenabfragen durch Bots.
__hssrc	session	Dieses Cookie wird von Hubspot immer dann gesetzt, wenn sich das Sitzungscookie ändert. Damit wird bestimmt, ob der Besucher den Browser erneut gestartet hat. Hat das Cookie den Wert 1, zeigt dies, dass der Benutzer den Browser neu gestartet hat. Existiert das Cookie hingegen nicht, wird davon ausgegangen, dass es sich um eine neue Sitzung handelt.
lang	session	LinkedIn setzt dieses Cookie, um sich die Spracheinstellung eines Benutzers zu merken.
li_gc	2 years	LinkedIn speichert mit diesem Cookie die Einwilligung zur Verwendung von durch LinkedIn gesetzte, nicht zwingend erforderliche Cookies.
lidc	1 day	LinkedIn setzt das lidc-Cookie, um die Auswahl des Rechenzentrums zu erleichtern.
messagesUtk	1 year 24 days	HubSpot setzt dieses Cookie, um Besucher zu erkennen, die über das Chatflows-Tool chatten. Wenn Besucher die Website verlassen, bevor sie als Kontakt hinzugefügt wurden, verbleibt dieses Cookie ihrem Browser. Wenn es bereits einen Chatverlauf mit dem Besucher gibt und der Besucher später mit demselben Browser (mit denselben gesetzten Cookies) auf Ihre Website zurückkehrt, wird sein Gesprächsverlauf im Chatflows-Tool geladen. Das Cookie enthält eine undurchsichtige GUID, um den aktuellen Chat-Benutzer darzustellen.
UserMatchHistory	1 month	LinkedIn setzt dieses Cookie für die Synchronisierung der LinkedIn Ads ID.
VISITOR_INFO1_LIVE	5 months 27 days	Ein Cookie, das von YouTube gesetzt wird, um die Bandbreite zu messen, die bestimmt, ob der Nutzer die neue oder die alte Playeroberfläche erhält.
yt-remote-connected-devices	never	YouTube setzt dieses Cookie, um die Videopräferenzen des Nutzers zu speichern, der ein eingebettetes YouTube-Video verwendet.
yt-remote-device-id	never	YouTube setzt dieses Cookie, um die Videopräferenzen des Nutzers zu speichern, der ein eingebettetes YouTube-Video verwendet.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	Hubspot setzt dieses Cookie als Haupt-Cookie, um Besucher zu tracken. Es enthält die Domain, das Benutzertoken (utk), den ersten Zeitstempel (des ersten Besuchs), den letzten Zeitstempel (des letzten Besuchs), den aktuellen Zeitstempel (für diesen Besuch) und die Sitzungszahl (erhöht sich mit jeder nachfolgenden Sitzung).
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gcl_au	3 months	Wird durch den Google Tag Manager bereitgestellt, um die Werbeeffizienz von Websites zu testen. Es enthält eine zufallsgenerierte User-ID.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.
AnalyticsSyncHistory	1 month	LinkedIn setzt dieses Cookie um den Zeitpunkt der Synchronisierung mit dem Cookie „lms_analytics“ bei Nutzer:innen zu speichern.
bcookie	2 years	LinkedIn setzt dieses Cookie über LinkedIn Share-Buttons und Ad-Tags um die Browser-ID zu erkennen.
bscookie	2 years	LinkedIn setzt dieses Cookie, um durchgeführte Aktionen auf der Website zu speichern.
hubspotutk	1 year 24 days	HubSpot setzt dieses Cookie ein, um die Besucher der Website zu tracken. Es verfolgt die Identität eines Besuchers. Dieses Cookie wird bei der Einsendung eines Formulars an HubSpot übergeben und beim De-duplizieren von Kontakten verwendet. Es enthält eine undurchsichtige GUID, um den aktuellen Besucher darzustellen.
ln_or	1 day	Linkedin sets this cookie to registers statistical data on users' behaviour on the website for internal analytics.
vuid	2 years	Vimeo setzt dieses Cookie, um Tracking-Informationen zu sammeln, indem es eine eindeutige ID zum Einbetten von Videos auf der Website setzt.
YSC	session	YSC-Cookie wird von Youtube gesetzt und dient dazu, die Aufrufe von eingebetteten Videos auf Youtube-Seiten zu verfolgen.

Cookie	Dauer	Beschreibung
CONSENT	2 years	Wird von YouTube verwendet, um festzustellen, ob der Besucher die Werbe-Cookies im Cookie-Banner akzeptiert hat.
IDE	1 year 24 days	Das IDE wird von doubleclick.net gesetzt und verwendet, um Informationen darüber zu speichern, wie der Nutzer die Website nutzt, um ihm relevante Werbung entsprechend seinem Profil zu präsentieren. Es enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google den User über verschiedene Websites domainübergreifend wiedererkennen.
test_cookie	15 minutes	Das test_cookie wird von doubleclick.net gesetzt und wird verwendet, um zu prüfen, ob der Browser das Setzen von Cookies erlaubt. Enthält keine Identifikationsmerkmale.