ISO 27001: Vertrauen ist gut, Zertifizierung ist besser

Datum: 02.10.2020

gridscale ZertifizierungenIT-Sicherheit und Datenschutz sind grundlegende Eckpfeiler für jeden Cloud-Provider. Doch woher wissen Unternehmen, dass auch stimmt, was auf der Website versprochen wird? Hier helfen Zertifizierungsstellen, die die Faktenlage prüfen und bezeugen. Beispiele für besonders relevante Zertifizierungen in der Branche sind ISO 27001, eine der wichtigsten internationalen IT-Sicherheits-Zertifizierungen, ISO 27018, der Datenschutz-Standard für Cloud-Dienste, und das Label Trusted Cloud, das Transparenz und Vertrauen in Cloud-Technologien schaffen will.

Die Verantwortung von Cloud-Anbietern

IT Security sollte in jedem Unternehmen eine hohe Priorität haben. Für Cloud-Anbieter gilt das aber ganz besonders. Hier betreffen Sicherheitsprobleme nicht nur das eigene Business, sondern auch das Business der Unternehmen, die die Cloud-Dienstleistung in Anspruch nehmen. Auch deren Kunden und Partner können in Folge betroffen sein.

Zudem kann man sich bei einer schlechten Aufstellung von IT-Systemen und IT-Prozessen auch auf die Verfügbarkeit der angebotenen Cloud-Dienste nicht richtig verlassen. Und jede Beeinträchtigung der Cloud-Dienste hat natürlich Auswirkungen auf deren Nutzer. Eine durchdachte und konsistente IT-Infrastruktur hingegen senkt Ausfallrisiken und potenzielle Folgekosten.

Cloud-Anbieter tragen somit beim Umgang mit den eigenen Prozessen und den Daten ihrer Kunden eine hohe Verantwortung. Sie müssen Prozesse konsistent aufbauen, Daten sicher speichern und die IT-Infrastruktur vor Angriffen schützen. Für Unternehmen gibt es also viele gute Gründe bei Anbietern genau hinzuschauen.

Aber wie können Unternehmen sich sicher sein, dass der Anbieter auch hält, was er verspricht? Sie können sich zum Beispiel die Kundenreferenzen anschauen. Sie können recherchieren, ob es schon einmal Probleme gab und wenn ja, wie diese gelöst wurden. Sie können auf die Reputation vertrauen, und fundiertes Vertrauen ist auch gut, eine Zertifizierung aber ist besser.

Um diese Zertifizierung zu erhalten, lassen Cloud-Anbieter ihrem Information Security Management durch externe Experten auf den Zahn fühlen. Diese Bezeugung durch unabhängige Dritte gibt Unternehmen Sicherheit bei ihrer Entscheidung für einen Anbieter.

Die Bedeutung von ISO 27001

ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). 2005 wurde sie zum ersten Mal international und 2007 als DIN-Norm in deutschsprachiger Übersetzung veröffentlicht, und seitdem immer wieder aktualisiert. Die weltweite Anerkennung ist wichtig, da auch Cloud-Provider ihre Services meist länderübergreifend anbieten.

Diese Norm stellt Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Diese Anforderungen fallen je nach Aufbau und Ziel einer Organisation unterschiedlich aus und ermöglichen so eine flexible Anpassung an konkrete Business-Realitäten.

Ein Risikomanagement auf der Höhe der Zeit

Es wird eine Balance aus optimaler Nutzung und optimalem Schutz von Daten angestrebt. Die Integrität des Gesamtsystems soll sichergestellt, Geschäftsgeheimnisse geschützt und Arbeitsabläufe vor Störungen bewahrt werden. Der Ansatz ist, Probleme zu erkennen und zu lösen, bevor Sicherheitslücken entstehen.

Der Bestand an Daten, Prozessen und Hardware wird festgestellt, Prioritäten ermittelt und transparent gemacht, und die Frage beantwortet, welche Daten oder Prozesse besonders sensibel und business-relevant sind und daher auch besonders geschützt werden müssen.

Zentral für den Erfolg ist, dass sich nicht nur die IT-Abteilung mit Informationssicherheit beschäftigt, sondern das ganze Unternehmen, dass also alle Hierarchieebenen und alle Abteilungen Teil des Prozesses sind. Alle müssen mitgenommen werden, vor allem auch alle Bereiche des Managements.

Wichtig sind auch die Schulung der Mitarbeiter sowie die Erstellung von Notfallplänen und deren Einübung. Die Zuständigkeiten sollten klar sein und jeder wissen, was er zu tun hat.

ISO 27001 verlangt auch wiederkehrende Checks durch interne Auditoren, bei denen Risiken erkannt und Überwachungs- und Schutzmaßnahmen optimiert werden. Damit ist die so zertifizierte IT-Infrastruktur auch auf bis dato unbekannte Bedrohungen vorbereitet.

Sollte es doch einmal ein Hacker schaffen, die Sicherheitsmaßnahmen zu überwinden, dann ist das zertifizierte Unternehmen so gut vorbereitet, dass es durch eingeübte Abläufe schnell reagieren und den Schaden rasch eindämmen kann.

Was die Zertifizierung nach ISO 27001 garantiert

Das Unternehmen …

  • wird den Anforderungen und Zielsetzungen der Informationssicherheit gerecht.
  • hat ein kosteneffizientes Sicherheitsrisiko-Management entwickelt.
  • hat eine klare Leitlinie für Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit.
  • geht mit Gesetzen und Regularien konform.
  • verfügt über die nötigen Kompetenzen im Bereich der IT-Sicherheit.

Zertifiziert zu sein, bedeutet, dass die IT-Infrastruktur geprüft und für belastbar befunden wurde, so dass Risiken wie Datenverlust, Informationsmissbrauch, Ausfall der Cloud-Dienstleistung oder Störung von Business-Aktivitäten minimiert sind. Die Sicherheit von Daten und Systemen wird ernst genommen. Nicht nur auf der Website, sondern im ganzen Unternehmen.

Weitere wichtige Zertifizierungen

ISO/IEC 27018

Diese Norm definiert einen Datenschutz-Standard für Cloud-Dienste, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud Computing auseinandersetzt. Es wird geprüft, welche Schutzmaßnahmen der Cloud-Provider für personenbezogene Daten ergriffen hat.

Die Zertifizierung bedeutet, dass gesetzliche Vorschriften erfüllt und Sicherheitsrisiken minimiert wurden und dass ein hohes Niveau an Datensicherheit und Datenschutz besteht.

Trusted Cloud
Trusted Cloud ist ein Label für Cloud Services auf dem deutschen Markt, das vom „Kompetenznetzwerk Trusted Cloud e.V.“ vergeben wird. Dieses wird aktiv vom Bundesministerium für Wirtschaft und Energie unterstützt. Mitglieder sind u. A. der Bundesverband IT-Mittelstand, der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) und die Fraunhofer-Gesellschaft.

Über Fragen von IT-Sicherheit und Datenschutz hinaus, schaut Trusted Cloud auch auf andere für Cloud-Nutzer relevante Kriterien wie Vertragsbedingungen oder den Standort des Rechenzentrums. Es soll Anwendern Sicherheit geben, dass die zertifizierten Cloud-Angebote den Ansprüchen an Transparenz, Sicherheit, Qualität und Rechtskonformität genügen.

Zurück zur Übersicht