Die Pflichten der Datensammler

Die Lösungen stehen zur Verfügung

Das ungeordnete Sammeln von Kundeninfos nämlich findet in jedem Unternehmen statt, welches Rechnungen abheftet, Verträge hortet und E-Mails nicht sofort löscht. Skeptiker, die CRM-Lösungen mit Misstrauen begegnen, verlieren einen datenschutzrechtlich und sicherheitstechnisch relevanten Aspekt häufig aus den Augen: Gerade im Rahmen scheinbar altmodisch-sympathischer Geschäftsbeziehungen, bei denen sich die Repräsentanten der Firmen noch gegenseitig kennen, sammeln einzelne Kundenbetreuer aus eigener Initiative oft eine Menge von Notizen - auf Papier, in Word-Dokumenten, als Anmerkungen zu Bestellungen und so weiter. Da diese Informationen im Netzwerk der Unternehmen normalerweise nicht als sensible Kundendaten gekennzeichnet sind, werden sie nur durch ihre mangelnde Systematik vor unerwünschten Einblicken geschützt. IT-Sicherheitslösungen müssen im CRM-Umfeld also dafür sorgen, dass die Betreiber der Lösungen Datenschutzvorschriften einhalten können. Hinzu kommt der Wert der Daten für das Unternehmen selbst, das seine mühsam zusammengestellten Kundeninfos nicht an die Konkurrenz verlieren will - eine CRM-Datenbank ist sicherlich ein lohnendes Ziel für Industriespionage. Sicherheitslösungen müssen deshalb für CRM folgende Leistungen erbringen:

- Die Lösungen und ihre Datenbanken müssen gegen unberechtigten Zugriff aus dem Internet geschützt werden. Hierzu ist das übliche Arsenal der Unternehmens-Security-Produkte nötig - von der Firewall über den Virenschutz bis hin zu Intrusion Detection. Hinzu kommt als Standard-Anforderung ein ausgereiftes Authentifizierungs- und Autorisierungssystem für die CRM-Anwendung selbst. Authentifizierung stellt fest, welcher Anwender mit dem System arbeiten will, und Autorisierung verwaltet seine Rechte.

- Im Unternehmen dürfen die Kundeninformationen nur denjenigen Mitarbeitern zugänglich sein, die tatsächlich damit arbeiten. Auch diese Anforderung muss im Authentifizierungs- und Autorisierungssystem berücksichtigt sein.

- Neben dem reinen Zugangsschutz für die CRM-Datenbanken ist es eventuell sinnvoll, die Informationen auf den Datenträgern selbst zu verschlüsseln.

CRM verlangt also nicht nach spezifischen Sicherheitslösungen, sondern nach einer speziellen Kombination von Maßnahmen. Für Peter Knapp, Managing Director Deutschland, Spanien und Portugal beim CRM-Anbieter Kana, ist deshalb die Integration eines CRM-Systems in die bestehende IT-Sicherheitsinfrastruktur des jeweiligen Kunden ein wichtiger Aspekt: "Wir müssen zum Beispiel die bestehenden Firewalls unterstützen. Außerdem muss geklärt werden, welche Komponenten jeweils vor oder hinter einer Unternehmensfirewall implementiert sein müssen - bei Banken zum Beispiel, die sich durch mehrstufige Firewallsysteme absichern und darüber hinaus noch Abteilungsfirewalls haben, ist diese Aufgabe recht anspruchsvoll. Wir arbeiten mit einer Web-Architektur und Web-Frontends." Laut Kana erledigen die meisten Anwender die Integration der CRM-Software in die Sicherheitsumgebungen ihrer Netzwerke selbst.

Die Kunden im CRM-Bereich nähern sich laut Kana dem Thema Sicherheit und Datenschutz auf unterschiedliche Weise: "Wir werden mit jeglicher nur denkbaren Haltung zu diesem Thema konfrontiert", erklärt der Manager, "Kunden aus dem Finanzbereich sind oft bestens informiert, planen Sicherheit und Datenschutz gezielt ein und fragen ebenso gezielt nach den Voraussetzungen, die sie für unsere Produkte schaffen müssen. Bei kleinen und mittleren Unternehmen dagegen muss man das Thema oft selbst ansprechen."

Authentifizierung und Autorisierung müssen nach Peter Knapp dem Stand der Technik entsprechen: "Es sollte sich um eine rollengestützte Lösung handeln, damit intern und extern genau und auf einfache Weise festgelegt werden kann, wer mit welchen Kundendaten arbeiten darf."