Wenn Sie im vergangenen Jahr auch nur ein paar Websites besucht haben, sind Sie bestimmt mit einer Einladung zum Chat mit einem Support-Mitarbeiter begrüßt worden. Vielleicht haben Sie eine Nachricht wie „Hallo, ich sehe, dass Sie zum ersten Mal hier sind! Kann ich Ihnen helfen?“ erhalten. Möglicherweise haben Sie sogar mit einem Chatbot interagiert, bei dem Sie anstatt mit einem menschlichen Mitarbeiter mit einem virtuellen Assistenten „sprechen“. Egal, ob mit oder ohne Personal, Chat-Widgets auf Websites sind mittlerweile überall zu finden. Das ist nicht überraschend, vor allem, wenn man bedenkt, dass fast drei Viertel der Kunden sagen, dass der Live-Chat das beste Support-Erlebnis bietet .

Die breite Verfügbarkeit von Chatsoftware – und die einfache Installation – ist natürlich auch ein Vorteil für Unternehmen, da sie die Problemlösungszeiten verkürzt und den menschlichen Support-Mitarbeitern die Möglichkeit gibt, sich auf spezifischere oder komplexere Kundenbedürfnisse zu konzentrieren. Aber auch wenn jedes Unternehmen mit einer Website (egal, ob es sich um eine E-Commerce-Marke oder ein B2B-SaaS-Unternehmen handelt) wahrscheinlich von der Verwendung eines Chat-Widgets profitieren kann, kann es wie jede Software Sicherheitsrisiken mit sich bringen, wenn sie nicht ordnungsgemäß implementiert und getestet wird.

Wie können Sie Website-Chat-Software nutzen und gleichzeitig Kundendaten schützen und Sicherheitsschwachstellen minimieren? Das wollen wir erkunden.

Verstehen, welche Daten gesammelt werden – und wohin sie gelangen!

Zunächst sollten Sie eine Bestandsaufnahme machen, welche Art von Daten Ihr Chat-Widget tatsächlich sammelt. Beschränkt es sich auf grundlegende Informationen wie Namen und E-Mail-Adressen? Oder umfasst es auch sensiblere Felder wie Bestelldaten, Kontonummern oder sogar Zahlungsinformationen?

Sie werden staunen, wie viele Daten durch ein scheinbar harmloses Chat-Feld fließen – vor allem, wenn Kunden dazu aufgefordert werden, Freiformfragen einzugeben oder Dokumente hochzuladen.

Viele Live-Chat-Tools – einschließlich beliebter Tools wie Zendesk oder Crisp, das weithin als die beste Alternative zu Zendesk gilt – lassen sich direkt in CRM- oder Helpdesk-Systeme integrieren. Das sorgt für einen reibungslosen Kundenservice, bedeutet aber auch, dass Sie Chatdaten an mehr als einem Ort speichern. Das Risiko? Eine Sicherheitslücke in einem verknüpften System könnte den gesamten Supportverlauf Ihrer Kunden offenlegen.

Vermeiden Sie dies, indem Sie Ihre Datenflüsse immer aufzeichnen. Sie sollten genau wissen, welche Daten Ihr Chat-Widget sammelt, wo sie gespeichert werden und wer Zugriff darauf hat. Sie sollten nur die Daten erfassen, die Sie wirklich benötigen, und Ihre Chatsoftware so konfigurieren, dass unnötige sensible Daten automatisch unkenntlich gemacht oder anonymisiert werden.

Die Sicherheitspraktiken des Chat-Anbieters überprüfen 

Chat-Software ist nicht gleich Chat-Software – und wenn es um Sicherheit geht, können die Unterschiede erheblich sein. Alle Unternehmen mit einer digitalen Präsenz sollten IT-Sicherheitssoftware wie G DATA verwenden, aber das allein reicht nicht unbedingt aus.

Vor der Integration einer Chat-Lösung in Ihre Website sollten Sie kritische Fragen stellen. Unterstützt der Anbieter eine Ende-zu-Ende-Verschlüsselung? Entspricht er den wichtigsten Datenschutzbestimmungen wie GDPR, HIPAA oder CCPA? Welche Art von Protokollierung und Zugangskontrollen gibt es auf den Servern des Anbieters?

Informieren Sie sich über die Sicherheitsdokumentation des Anbieters. Suchen Sie nach Funktionen wie:

• TLS-Verschlüsselung für Daten während der Übertragung
• Rollenbasierte Zugriffskontrollen, um internen Missbrauch zu verhindern
• Audit-Logs, um nachverfolgen zu können, wer was wann getan hat
• IP-Whitelisting oder Geofencing für den Zugriff von Support-Mitarbeitern
• Multi-Faktor-Authentifizierung (MFA) für Benutzer und Support-Personal

Wenn ein Anbieter in dieser Hinsicht nicht transparent ist, ist das ein Warnsignal. Ihr Chat-Anbieter ist praktisch eine Erweiterung der Infrastruktur Ihres Unternehmens – also sollten Sie ihn auch so behandeln.

Intelligente Zugriffskontrollen implementieren

Nach der Einrichtung Ihrer Chat-Software müssen Sie sicherstellen, dass die richtigen Personen – und nur die richtigen Personen – auf die Chat-Daten zugreifen können.

Das beginnt mit Ihrem internen Team. Nicht jeder Supportmitarbeiter oder jedes Mitglied des Marketingteams muss Zugang zu Chatprotokollen haben, insbesondere wenn diese persönliche Kundendaten enthalten. Teilen Sie den Zugriff nach Abteilungen oder Rollen auf und überprüfen Sie regelmäßig die Berechtigungen, um sicherzustellen, dass ehemalige Mitarbeiter oder Auftragnehmer entfernt werden.

Darüber hinaus sollten Sie auch überwachen, wie Kunden auf das Chat-System zugreifen. Wenn Ihr Widget an Benutzerkonten gebunden ist, sollten Sie sicherstellen, dass Sitzungsverwaltung und Authentifizierung einwandfrei funktionieren. Erlauben Sie z. B. niemals einem nicht authentifizierten Besucher, Chatverläufe aus vorherigen Sitzungen einzusehen.

Es ist außerdem sinnvoll, Sitzungszeitüberschreitungen und automatische Abmeldefunktionen zu aktivieren, sofern vorhanden. Diese kleinen Maßnahmen können verhindern, dass Kundendaten durch offene Registerkarten auf gemeinsam genutzten Geräten preisgegeben werden.

Schutz vor Chatbot-Sicherheitslücken

KI-gestützte Chatbots bieten eine großartige Möglichkeit, die Effizienz zu steigern und die Supportkosten zu senken, aber mit dem erhöhten Komfort der Automatisierung geht auch eine Reihe von Risiken einher.

Das größte Risiko? Eingabeaufforderungen und böswillige Eingaben. Wenn Ihr Chatbot mit Backend-Systemen integriert ist – wie z. B. einem Tool für die Auftragssuche oder einer CRM-Verwaltungsplattform – könnte eine geschickt formulierte Nachricht ihn dazu verleiten, unbeabsichtigte Aktionen durchzuführen.

Zwar verfügen die meisten seriösen Bots inzwischen über Sicherheitsvorkehrungen, doch ist kein System zu 100 % narrensicher. Um die Dinge sicher zu halten:

• Begrenzen Sie, was Bots tun dürfen – Zum Beispiel sollten sie keine Zahlungen abwickeln oder Rückerstattungen vornehmen dürfen, ohne menschliche Bestätigung.
• Verwenden Sie eine starke Eingabeüberprüfung – Entfernen Sie schädlichen Code oder Befehle, die falsch interpretiert werden könnten (Input-Sanitization).
• Vermeiden Sie zu detaillierte Antworten – Diese könnten interne Logik oder vertrauliche Prozesse offenlegen.
• Überprüfen Sie Protokolle regelmäßig – Achten Sie auf ungewöhnliche Interaktionen, die auf Missbrauch oder gezieltes Austesten des Systems hinweisen könnten.

Zuletzt: Machen Sie es den Nutzern stets einfach, zu einem menschlichen Mitarbeiter weitergeleitet zu werden. Bots sollen unterstützen, nicht frustrieren – oder schlimmer noch, durch schlechte Programmierung oder Sicherheitslücken versehentlich Informationen preisgeben.

Überwachen, testen und auf den Ernstfall vorbereitet sein

Auch das sicherste System der Welt ist nicht immun gegen menschliches Versagen oder sich entwickelnde Bedrohungen. Aus diesem Grund ist ständige Wachsamkeit entscheidend.

Sie sollten regelmäßig Penetrationstests durchführen – entweder intern oder durch einen externen Anbieter wie SySS –, um versteckte Schwachstellen in Ihrer Chat-Umgebung aufzudecken. Zusätzlich sollten Sie Datenpannen-Simulationen durchführen, damit Ihr Team im Ernstfall genau weiß, wie es reagieren muss. So stellen Sie sicher, dass alle Abläufe im Krisenfall eingeübt und einsatzbereit sind. Außerdem ist es wichtig, den Datenverkehr und das Verhalten innerhalb Ihres Chatsystems zu überwachen. Ungewöhnliche Spitzen bei den Nachrichten, wiederholte Anfragen von derselben IP-Adresse oder seltsame Metadaten können Anzeichen für Scraping oder Missbrauch sein.

Genauso wichtig ist es, die Software auf dem neuesten Stand zu halten. Es mag zwar offensichtlich erscheinen, aber es kommt erstaunlich häufig vor, dass Unternehmen Aktualisierungen und Patches auslassen, vor allem wenn sie befürchten, dass die Arbeitsabläufe im Kundenservice gestört werden. Diese Verzögerung kann sehr kostspielig sein.

Denken Sie schließlich immer daran, Ihren Incident-Response-Plan zu dokumentieren. Wenn Ihre Chat-Software – oder eine verbundene Plattform – kompromittiert wird, müssen Sie genau wissen, wen Sie kontaktieren, wie Sie betroffene Kunden informieren und welchen gesetzlichen Verpflichtungen Sie unterliegen.

Website-Chat-Software ist ein hervorragendes Instrument zur Verbesserung der Kundenzufriedenheit – aber sie ist nicht ohne Risiken. Angefangen bei der Art und Weise, wie Sie Daten erfassen und speichern, bis hin zu den Personen, die Zugriff darauf haben, und der Art und Weise, wie sie überwacht werden – jede Entscheidung, die Sie treffen, wirkt sich auf die Sicherheitslage Ihres Unternehmens aus. Unabhängig davon, ob Sie eine robuste Plattform wie Zendesk oder ein einfaches, auf Startups zugeschnittenes Tool verwenden, gelten die gleichen Grundsätze: Schützen Sie Ihre Daten, kontrollieren Sie den Zugriff, und – ganz wichtig – bleiben Sie wachsam.