ISO 27001: Vertrauen ist gut, Zertifizierung ist besser

IT-Sicherheit und Datenschutz sind grundlegende Eckpfeiler für jeden Cloud-Provider. Doch woher wissen Unternehmen, dass auch stimmt, was auf der Website versprochen wird? Hier helfen Zertifizierungsstellen, die die Faktenlage prüfen und bezeugen. Beispiele für besonders relevante Zertifizierungen in der Branche sind:

ISO 27001: eine der wichtigsten internationalen IT-Sicherheits-Zertifizierungen
ISO 27018: der Datenschutz-Standard für Cloud-Dienste, und das Label Trusted Cloud, das Transparenz und Vertrauen in Cloud-Technologien schaffen will.

Die Verantwortung von Cloud-Anbietern

IT Security sollte in jedem Unternehmen eine hohe Priorität haben. Für Cloud-Anbieter gilt das aber ganz besonders. Hier betreffen Sicherheitsprobleme nicht nur das eigene Business, sondern auch das Business der Unternehmen, die die Cloud-Dienstleistung in Anspruch nehmen. Auch deren Kunden und Partner können in Folge betroffen sein.

Zudem kann man sich bei einer schlechten Aufstellung von IT-Systemen und IT-Prozessen auch auf die Verfügbarkeit der angebotenen Cloud-Dienste nicht richtig verlassen. Und jede Beeinträchtigung der Cloud-Dienste hat natürlich Auswirkungen auf deren Nutzer. Eine durchdachte und konsistente IT-Infrastruktur hingegen senkt Ausfallrisiken und potenzielle Folgekosten.

Cloud-Anbieter tragen somit beim Umgang mit den eigenen Prozessen und den Daten ihrer Kunden eine hohe Verantwortung. Sie müssen Prozesse konsistent aufbauen, Daten sicher speichern und die IT-Infrastruktur vor Angriffen schützen. Für Unternehmen gibt es also viele gute Gründe bei Anbietern genau hinzuschauen.

Aber wie können Unternehmen sich sicher sein, dass der Anbieter auch hält, was er verspricht? Hier drei Möglichkeiten, um ein detaillierteres Bild des Anbieters zu gewinnen:

Kundenreferenzen anschauen
In Erfahrung bringen, ob in der Vergangenheit bereits Probleme aufgetreten sind und wie diese gelöst wurden.
Zertifizierten Anbietern den Vorzug geben.

Um diese Zertifizierung zu erhalten, lassen Cloud-Anbieter ihrem Information Security Management durch externe Experten auf den Zahn fühlen. Diese Bezeugung durch unabhängige Dritte gibt Unternehmen Sicherheit bei ihrer Entscheidung für einen Anbieter.

Die Bedeutung von ISO 27001

ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). 2005 wurde sie zum ersten Mal international und 2007 als DIN-Norm in deutschsprachiger Übersetzung veröffentlicht, und seitdem immer wieder aktualisiert. Die weltweite Anerkennung ist wichtig, da auch Cloud-Provider ihre Services meist länderübergreifend anbieten.

Diese Norm stellt Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Je nach Aufbau und Ziel einer Organisation fallen die Anforderungen unterschiedlich aus und sind so flexibel an das Unternehmen angepasst.

Ein Risikomanagement auf der Höhe der Zeit

Erstrebenswert ist eine Balance aus optimaler Nutzung und optimalem Schutz von Daten. Die Integrität des Systems soll sichergestellt, Geschäftsgeheimnisse geschützt und Arbeitsabläufe vor Störungen bewahrt werden. Der Ansatz ist, Probleme zu erkennen und zu lösen, bevor Sicherheitslücken entstehen.

Der Bestand an Daten, Prozessen und Hardware wird festgestellt, Prioritäten ermittelt und transparent gemacht, und die Frage beantwortet, welche Daten oder Prozesse besonders sensibel und geschäftsrelevant sind und daher auch besonders geschützt werden müssen.

Zentral für den Erfolg ist, dass sich nicht nur die IT-Abteilung mit Informationssicherheit beschäftigt, sondern das ganze Unternehmen. Alle müssen mitgenommen werden, vor allem auch alle Bereiche des Managements.

Wichtig sind auch die Schulung der Mitarbeiter, sowie die Erstellung von Notfallplänen und deren Einübung. Die Zuständigkeiten sollten klar sein und jeder wissen, was er zu tun hat.

ISO 27001 verlangt auch wiederkehrende Checks durch interne Auditoren, bei denen sich Risiken erkennen lassen und die im Anschluss eine Verbesserung der Überwachungs- und Schutzmaßnahmen ermöglichen. Damit ist die so zertifizierte IT-Infrastruktur auch auf bis dato unbekannte Bedrohungen vorbereitet.

Sollte es doch einmal ein Hacker schaffen, die Sicherheitsmaßnahmen zu überwinden, dann ist das zertifizierte Unternehmen so gut vorbereitet, dass es durch eingeübte Abläufe schnell reagieren und den Schaden rasch eindämmen kann.

Was die Zertifizierung nach ISO 27001 garantiert

Das Unternehmen …

wird den Anforderungen und Zielsetzungen der Informationssicherheit gerecht.
hat ein kosteneffizientes Sicherheitsrisiko-Management entwickelt.
hat eine klare Leitlinie für Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit.
geht mit Gesetzen und Regularien konform.
verfügt über die nötigen Kompetenzen im Bereich der IT-Sicherheit.

Zertifiziert zu sein, bedeutet, dass die IT-Infrastruktur geprüft und für belastbar befunden wurde. Risiken wie Datenverlust, Informationsmissbrauch, Ausfall der Cloud-Dienstleistung oder Störung von Business-Aktivitäten sind minimiert. Damit hat die Sicherheit von Daten und Systemen oberste Priorität – nicht nur auf der Website, sondern im ganzen Unternehmen.

Weitere wichtige Zertifizierungen

ISO/IEC 27018

Diese Norm definiert einen Datenschutz-Standard für Cloud-Dienste, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud Computing auseinandersetzt. Es wird geprüft, welche Schutzmaßnahmen der Cloud-Provider für personenbezogene Daten ergriffen hat.

Die Zertifizierung bedeutet, dass gesetzliche Vorschriften erfüllt und Sicherheitsrisiken minimiert wurden und ein hohes Niveau an Datensicherheit und Datenschutz besteht.

Trusted Cloud
Trusted Cloud ist ein Label für Cloud Services auf dem deutschen Markt, das vom „Kompetenznetzwerk Trusted Cloud e.V.“ vergeben wird. Dieses wird aktiv vom Bundesministerium für Wirtschaft und Energie unterstützt. Mitglieder sind u. A. der Bundesverband IT-Mittelstand, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) und die Fraunhofer-Gesellschaft.

Über Fragen von IT-Sicherheit und Datenschutz hinaus, schaut Trusted Cloud auch auf andere für Cloud-Nutzer relevante Kriterien wie Vertragsbedingungen oder den Standort des Rechenzentrums. Es soll Anwendern Sicherheit geben, dass die zertifizierten Cloud-Angebote den Ansprüchen an Transparenz, Sicherheit, Qualität und Rechtskonformität genügen.

Cookie	Dauer	Beschreibung
_ga	2 years	Das _ga-Cookie, das von Google Analytics installiert wird, berechnet Besucher-, Sitzungs- und Kampagnendaten und verfolgt auch die Nutzung der Website für den Analysebericht der Website. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um eindeutige Besucher zu erkennen.
_ga_YXMZ98M2VB	2 years	Dieses Cookie wird von uns zu Analysezwecken installiert.
_gid	1 day	Das von uns installierte _gid-Cookie speichert Informationen darüber, wie Besucher eine Website nutzen, und erstellt einen Analysebericht über die Leistung der Website. Zu den gesammelten Daten gehören die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen.
cookielawinfo-checkbox-advertisement	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und dient dazu, die Zustimmung des Nutzers für die Cookies der Kategorie "Werbung" zu erfassen.
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Functional" zu speichern.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Notwendig" zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Zustimmung des Nutzers für die Cookies in der Kategorie "Andere" zu speichern.
CookieLawInfoConsent	1 year	Speichert den Standard-Schaltflächenstatus der entsprechenden Kategorie & den Status von CCPA/DSGVO. Es funktioniert nur in Koordination mit dem primären Cookie.
mautic_device_id	1 year	Dieser Cookie wird von dem Anbieter Mautic gesetzt und dient der Identifizierung von Besuchern über Besuche und Geräte hinweg. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mautic_referer_id	30 minutes	Dieses Cookie wird von dem Anbieter Mautic gesetzt. Dieses Cookie wird für Marketingzwecke verwendet. Es hilft bei der Verfolgung von Personen, die Formulare einreichen.
mtc_id	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
mtc_sid	session	Dieses Cookie wird von dem Anbieter Mautic gesetzt und dient dazu, eine eindeutige ID für den Besucher zu setzen, um ihn über mehrere Websites hinweg zu verfolgen und ihm relevante Werbung zu zeigen. Mautic-Cookies werden zur Unterstützung von Marketingaktivitäten verwendet.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Nutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine persönlichen Daten.

Cookie	Dauer	Beschreibung
_gat_UA-64546682-1	1 minute	Eine Variante des _gat-Cookies, das von Google Analytics und Google Tag Manager gesetzt wird, um Website-Besitzern zu ermöglichen, das Besucherverhalten zu verfolgen und die Leistung der Website zu messen. Das Musterelement im Namen enthält die eindeutige Identitätsnummer des Kontos oder der Website, auf die es sich bezieht.
_gcl_au	3 months	Wird von Google Tag Manager zur Verfügung gestellt, um die Werbeeffizienz von Websites zu testen, die deren Dienste nutzen.
AnalyticsSyncHistory	1 month	Mit diesem Cookie speichert LinkedIn, wann eine Synchronisierung mit dem Cookie „lms_analytics cookie“ stattgefunden hat.

Cookie	Dauer	Beschreibung
_fbp	3 months	Dieses Cookie wird von Facebook gesetzt, um nach dem Besuch der Website entweder auf Facebook oder auf einer digitalen Plattform, die von Facebook-Werbung unterstützt wird, Werbung anzuzeigen.
_uetsid	1 day	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
_uetvid	1 year 24 days	Bing Ads setzt dieses Cookie, um mit einem Nutzer in Kontakt zu treten, der zuvor die Website besucht hat.
bcookie	1 year	LinkedIn setzt dieses Cookie aufgrund LinkedIn-Share-Buttons und Anzeigen-Tags, um die Browser-ID zu erkennen.
bscookie	1 year	LinkedIn setzt dieses Cookie, um auf der Website durchgeführte Aktionen zu speichern.
fr	3 months	Facebook setzt dieses Cookie, um Nutzern relevante Werbung zu zeigen, indem es das Nutzerverhalten im gesamten Web auf Websites verfolgt, die mit dem Facebook-Pixel oder dem Facebook Social Plugin ausgestattet sind.
lang	session	LinkedIn setzt dieses Cookie, um sich die Spracheinstellung eines Nutzers zu merken.
li_gc	5 months 27 days	Mit diesem Cookie wird von LinkedIn die Einwilligung von Gästen zur Verwendung von nicht zwingend erforderlichen Cookies gespeichert.
lidc	1 day	LinkedIn setzt das lidc-Cookie, um die Auswahl des Rechenzentrums zu erleichtern.
MUID	1 year 24 days	Bing setzt dieses Cookie, um einzelne Webbrowser zu erkennen, die Microsoft-Seiten besuchen. Dieses Cookie wird für Werbung, Website-Analysen und andere Vorgänge verwendet.
test_cookie	15 minutes	Der test_cookie wird von doubleclick.net gesetzt und dient dazu, festzustellen, ob der Browser des Benutzers Cookies unterstützt.
UserMatchHistory	1 month	LinkedIn setzt dieses Cookie für die Synchronisierung der LinkedIn Ads ID.

Cookie	Dauer	Beschreibung
_chatwoot_session	session	Wird von Chatwoot verwendet, um die Benutzersitzung zu erhalten.
cw_conversation	1 year	Dieses Cookie ermöglicht es Chatwoot, die Konversation aufrechtzuerhalten, wenn der Kontakt durch die Webseiten navigiert / die Website später erneut besucht.

Cookie	Dauer	Beschreibung
csrf_token	10 years	No description available.
new_session	session	Keine Beschreibung verfügbar.
session_data	10 years	Keine Beschreibung verfügbar.
show_cookie_banner	session	Zeigt das Cookie als Banner.

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

On Demand Cloud

Private Cloud

Compute

Storage

Netzwerk

Database

Marketplace

ISO 27001: Vertrauen ist gut, Zertifizierung ist besser

Die Verantwortung von Cloud-Anbietern

Die Bedeutung von ISO 27001

Ein Risikomanagement auf der Höhe der Zeit

Was die Zertifizierung nach ISO 27001 garantiert

Weitere wichtige Zertifizierungen

Lösungen

Compute

Dev Tools

Storage

Netzwerk

Community