Übersicht: Zertifikate und Standards für Unternehmen und Branchen
Lisa

Lisa Figas | Marketing Manager

@meet_lisa

Cloud-Speicher: Auf diese Zertifikate und Normen sollten Sie achten

IT-Services sind oft schwer einzuschätzen. Wer kann schon mit Sicherheit sagen, ob ein Anbieter wirklich alle Sicherheitsanforderungen erfüllt? Prüfstellen können das. Sie stellen Nachweise über die Einhaltung festgelegter Normen aus. In diesem Artikel finden Sie die relevanten Links und erfahren, welche Cloud-Zertifikate für Ihr Unternehmen und Ihre Branche relevant sind.

Allgemeine Informationen zur Zertifizierung

Die Zertifizierung läuft in der Regel so ab, dass das Unternehmen mithilfe von vorgegebenen Fragebögen zunächst ein internes Audit durchführt, um sich einen Überblick zu verschaffen. Sind die internen Maßnahmen identifiziert, wird das eigentliche Audit von den Expertinnen und Experten der Zertifizierungsstelle durchgeführt. Diese erstellen dann einen Prüfbericht und händigen das Zertifikat aus. Abhängig von der Art des Zertifikates ist es dann für einen gewissen Zeitraum gültig. Die Gültigkeit ist bei manchen Zertifikaten an zusätzliche Bedingungen geknüpft, wie etwa ein jährlich durchgeführtes Überwachungsaudit.

Wer braucht ein Cloud-Zertifikat?

Erworben werden Cloud-Zertifikate in der Regel von Anbietern von Cloud-Diensten. Mit einem Zertifikat zeigen diese Anbieter ihren Kundinnen und Kunden, dass bestimmte Vorgaben eingehalten werden, die für einen sicheren Betrieb relevant sind. Je nach Zertifikat stehen dabei unterschiedliche Themen im Vordergrund. Im Grunde geht es jedoch immer darum, dass die gespeicherten Daten beim Anbieter sicher sind und die Verarbeitung der Informationen zuverlässig funktioniert. In der Regel stellen die Cloud-Anbieter ihre Zertifikate online zur Verfügung, sodass Kundinnen und Kunden diese jederzeit prüfen können.

Zertifiziert werden neben den Cloud-Anbieter selbst auch Unternehmen, welche die Cloud für ihre sensiblen Firmendaten nutzen. Sie können (bzw. müssen) sich ihre Cloud-Infrastruktur zertifizieren lassen.

Welche Cloud-Zertifikate gibt es?

Die ISO/IEC 2700-Reihe

Die wichtigste Norm für digitale Sicherheit ist die ISO 27000-Reihe. Sie wird von der Internationalen Organisation für Normung festgelegt und stellt den internationalen Standard dar.

ISO-Zertifikate werden von staatlich akkreditierten Auditoren vergeben. In der Regel führt das Unternehmen (bzw. die Organisation) zunächst eine Selbstbewertung durch. Gemeinsam mit dem Auditor wird diese Bewertung überprüft und die kritischen Punkte identifiziert. ISO 27001 ist drei Jahre lang gültig, sofern eine jährliche Überprüfung stattfindet.

Hinweis: Die Internationale Organisation für Normung (ISO) hat ihren Sitz in der Schweiz. Sie erarbeitet seit 1947 internationale Normen in fast allen Bereichen. In ihrer Selbstbeschreibung formuliert die ISO ihre Arbeit so: „ISO-Normen werden international von Experten vereinbart. Betrachten Sie sie als eine Formel, die den besten Weg beschreibt, etwas zu tun.“

ISO/IEC 27001

ISO/IEC 27001 ist die international führende Norm für Informations-Managementsysteme, und dadurch die wichtigste Cyber-Security-Zertifizierung. Sie definiert Anforderungen an das Information Security Management System (ISMS). Diese Norm ist sehr allgemein gehalten und befasst sich mit der Planung, Umsetzung, Überwachung und Verbesserung von Informationssicherheit.

  • Geeignet für: Private und öffentliche Unternehmen, gemeinnützige Organisationen
  • Anwendungsbereich: Abwehr von Angriffen; Vermeidung von Unterbrechungen

Die Zertifizierung können Sie von verschiedenen staatlich akkreditierten Anbietern wie beispielsweise dem BSI, der DEKRA oder dem TÜV vornehmen lassen. Eine sehr ausführliche Beschreibung des Zertifizierungsprozesses bietet der TÜV Süd: ISO/IEC 27001

ISO/IEC 27002, 27003, 27004, 27005

Die Details zur Umsetzung von ISO 27001 werden in den folgenden Normen beschrieben:

  • ISO 27002: Empfehlungen zur Erfüllung der Anforderungen in technischer Sicht
  • ISO 27003: Empfehlungen zur Erfüllung der Anforderungen in organisatorischer Sicht
  • ISO 27004: Analyse der Umsetzung des Information Security Management System (ISMS)
  • ISO 27005: Risikoanalyse

ISO/IEC 27011 und ITU X.1051 für die Telekommunikationsbranche

Die ISO/ IEC 27011 dient als Leitfaden für das Informationssicherheits-Management für Telekommunikationsunternehmen. Die Norm ist auch bekannt als ITU X.1051. Sie basiert auf ISO 27002 und ergänzt diesen Standard um spezifische Aspekte der Telekommunikation.

Die zusätzlichen Anforderungen sind notwendig, weil die Risiken im Bereich der Telekommunikation im Vergleich zu anderen Branchen höher sind. So werden besonders häufig große Mengen an Accounts verwaltet und quasi ständig Authentifizierungsdaten übermittelt, was die Wahrscheinlichkeit für Hackerangriffe erhöht. Eine weitere Besonderheit der Telekommunikation ist die starke Vernetzung von unterschiedlichen Systemen. Auftretende Störungen wirken sich deshalb oft auf große Bereiche aus, was einerseits Kosten verursacht und andererseits zu einem PR-Desaster führen kann.

ISO 27799 und B3S für die medizinische Versorgung im Krankenhaus

Auch für Krankenhäuser gibt es einen branchenspezifischen, digitalen Sicherheitsstandard. In Deutschland basiert er auf der ISO 27001-Norm und den branchenspezifischen Anforderungen von ISO 27799. Diese liegen vor allem im Bereich der Vertraulichkeit, Verfügbarkeit und Integrität der Daten behandelter Personen.

Die Bedrohungslage im Gesundheitssystem:

  • Physische Schäden an den Systemen sind im Krankenhaus wahrscheinlicher als in anderen Bereichen, da sich sehr viele Personen in diesen (mehr oder weniger) frei zugänglichen Gebäuden aufhalten: Angestellte, Patientinnen und Patienten, Besucherinnen und Besucher.
  • Sensible Daten in (elektronischen) Patientenakten erfordern ein besonders hohes Schutzniveau.

Weitere branchenspezifische Sicherheitsstandards (B3S) gibt es für die Bereiche Wasser/Abwasser, Ernährungsindustrie, Lebensmittelhandel, Aggregatoren, Fernwärmenetze, Pharma, Laboratoriumsdiagnostik und Verkehrssteuerungssysteme. Die gesammelten Informationen zu den B3S finden Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI): Übersicht der Branchenspezifischen Sicherheitsstandards (B3S).

ISO/IEC 27701 Datenschutz und DSGVO

ISO 27701 erweitert seit August 2019 die ISO 27002 um Datenschutz-Kriterien. Hier geht es um den Schutz der Privatsphäre und den Umgang mit personenbezogenen Daten. Unternehmen können diese Norm für den Nachweis der Einhaltung von Datenschutzbestimmungen weltweit nutzen. Anders gesagt: ISO 27701 macht die DSGVO zertifizierbar und bringt damit Rechtssicherheit für alle Organisationen, die in den Wirkbereich der europäischen Verordnung fallen.

Die wichtigsten Inhalte von ISO 27701:

  • Erweiterung der Leitlinie und der Richtlinien um Aspekte des Datenschutzes
  • Ernennung einer Verantwortlichen bzw. eines Verantwortlichen für das „Privacy Information Management System“ (PIMS)
  • Datenschutzschulung der Mitarbeiterinnen und Mitarbeiter
  • Protokollierung von Zugriffen und Veränderungen
  • Verschlüsselung von personenbezogenen Daten die in besondere Kategorien fallen (bspw. Gesundheitsdaten)
  • Berücksichtigung des „Privacy by Design“ Grundsatzes
  • Überprüfung von Sicherheitsvorfällen auf Datenschutzverletzungen

Einen ausführlichen Artikel zu ISO 27701 finden Sie bei der DQS: ISO 27701 – Ist Datenschutz jetzt zertifizierbar?.

ISO/IEC 27017 Cloud-Sicherheit

Die Anforderungen der ISO/IEC 27017 sind speziell auf die Anbieter von Cloud-Dienstleistungen zugeschnitten. Für jeden Bereich der übergeordneten Norm ISO/IEC 27001 werden mögliche Besonderheiten der Cloud-Sicherheit explizit dargelegt.

Einen wesentlichen Schwerpunkt stellt dabei die Beziehung zwischen den Cloud-Nutzerinnen und -Nutzern und dem Cloud-Anbieter dar. So geht es beispielsweise darum, was man von seinem Cloud-Anbieter erwarten kann und welche Informationen dieser bereitstellen muss.

ISO/IEC 27017 sorgt durch ein Analyseraster und den gezielten Austausch von Informationen für eine Standardisierung der Beziehungen zwischen Kunden und Cloud-Anbietern und erleichtert so die Geschäftsbeziehung.

Cloud-Anbieter sollten sich um eine ISO 27017-Zertifizierung bemühen. Wer Cloud-Dienste in Anspruch nimmt, sollte prüfen, ob beim Anbieter der Wahl ein gültiges Zertifikat vorliegt.

Cloud Security Alliance Star-Nachweis

Die Cloud Security Alliance ist eine Non-Profit-Organisation. Ihr Ziel ist es, die Sicherheit von Cloud-Technologien, Cloud-Umgebungen und Cloud-Services zu fördern. Dazu stellt sie Whitepaper, Richtlinien und Tools zur Verfügung. Das wichtigste Werkzeug ist jedoch das CSA-Programm „Security, Trust & Assurance Registry“ (CSA STAR). Es bescheinigt die Einhaltung der von der CSA aufgestellten Richtlinien und orientiert sich stark an der ISO 27001-Norm.

Organisationen und Unternehmen werden bei der Auswahl des passenden Cloud-Anbieters durch das CSA STAR unterstützt.
Das Programm besteht aus drei Levels:

  1. Selbstzertifizierung
  2. Audits durch Dritte
  3. fortlaufendes Monitoring
    Auf der Webseite von CSA sind die Selbstzertifizierungen und die Audits von jedem gelisteten Mitglied öffentlich einsehbar. Die sehr umfangreichen Dokumente sollen die Transparenz innerhalb der Branche fördern und Kundinnen und Kunden eine möglichst umfangreiche Entscheidungsgrundlage für die Wahl des passenden Cloud-Anbieters zu geben.

Die Anforderungen an die Cloud-Anbieter sowie eine Liste aller Unternehmen, die ihre Unterlagen eingereicht haben, finden Sie auf der Webseite der Cloud Security Alliance.

EuroCloud SaaS StarAudit

EuroCloud Europe ist eine Non-Profit-Organisation, deren Mitglieder hauptsächlich europäische Cloud-Anbieter sind. Software-as-a-Service-Anbieter können sich nach dem Standard „Euro Cloud SaaS StarAudit“ zertifizieren lassen. StarAudit ist ein Programm, das europäische Standards global überprüfbar machen möchte. Das Ziel: Das Wachstum von Cloud-basierten Diensten und Innovationen weltweit fördern. Dabei hilft der transparente Zertifizierungsprozess, der das Vertrauen in Cloud-Dienste stärken und eine nachvollziehbare Bewertung von Cloud-Diensten ermöglichen soll.

Das Euro Cloud SaaS StarAudit umfasst eine umfangreiche Liste an Fragen zur Einhaltung von Sicherheitsrichtlinien, die der Cloud-Anbieter beantworten muss. Dabei können maximal fünf Sterne erlangt werden. Die Anzahl der Sterne im Siegel zeigt dann, wie vertrauenswürdig ein Cloud-Anbieter ist.
StarAudit engagiert sich nach eigenen Angaben auch über die Vergabe von Zertifikaten hinaus für das Vertrauen in die Cloud-Branche. So werden auch Sensibilisierungsprogramme durchgeführt und Wissenstransfer gefördert. Außerdem versuchen Sie die Interoperabilität voranzubringen und den Rechtsrahmen zu harmonisieren. Ein weiterer Schwerpunkt des StarAudit ist der Wissenstransfer an IT-, Rechts- und Beschaffungs-Fachleute. Wer sich beruflich in diesem Bereich weiterentwickeln möchte, findet hier Akkreditierungsverfahren und Schulungsangebote.

Alle Informationen finden Sie auf der Webseite von StarAudit.

ISAE 3402 und SSAE 18 als Nachfolger von SAS 70

Der Standard SAS 70 war zwei Jahrzehnte lang der wichtigste Prüfbericht über Kontrollsysteme von Dienstleistungsunternehmen. Er wurde vom American Institute of Certified Public Consultants ausgegeben. Obwohl es sich um eine US-Institution handelt, war SAS 70 weltweit anerkannt und wurde auch außerhalb der USA angewandt.

Trotzdem wurde vom International Auditing and Assurance Standards Board (IAASB) ein internationaler Standard für diesen Wirtschaftsbereich festgelegt: ISAE 3402. Im Rahmen eines Angleichungsprozesses von US-Standards an die Standards des IAASB gab das AICPA als Ersatz für SAS 70 ein neues Statement on Standards for Attestation Engagements heraus: SSAE 16, welches die Bestimmungen von ISAE 3402 weitgehend widergespiegelt hat. Wegen Bedenken hinsichtlich der Klarheit, Länge und Komplexität seiner Standards wurde SSAE 16 im Rahmen einer Klarstellung und Umkodierung im April 2016 zu SSAE No. 18.

ISAE 3402 (weltweit)

ISAE 3402 prüft seit 2011 die Kontrollmechanismen innerhalb von Unternehmen, die ihre Dienstleistung an andere Firmen verkaufen – was bei Cloud-Anbietern ganz klar der Fall ist. Mit dem Testat und dem dazugehörigen Prüfbericht bestätigen die Dienstleistungsunternehmen ihren Kunden, dass hinsichtlich der ausgelagerten Geschäftsprozesse ein Kontrollsystem etabliert wurde und funktioniert. ISAE 3402 wird deshalb auch als Outsourcing-Standard bezeichnet.

ISAE 3402 teilt sich wie folgt auf:

  • Typ 1 umfasst die Eignung und Gestaltung der Kontrollen, das Kontrolldesign und die Implementierung des internen Kontrollsystems.
  • Typ 2 erweitert Typ 1 um die Wirksamkeit des Kontrollsystems in einer vordefinierten Zeitperiode.

Ein großer Vorteil der Prüfung nach ISAE 3402 ist die Kostenersparnis bei der Jahresabschlussprüfung durch die Wirtschaftsprüferin oder den Wirtschaftsprüfer. Wegen der Vereinheitlichung der Nachweispflicht entfallen bei zertifizierten Dienstleistern notwendige Einzelprüfungen, was bares Geld spart.

SSAE No. 18 (USA)

Während ISAE 3402 weltweit angewendet wird, ist SSAE No. 18 der Standard für Unternehmen mit Sitz in den USA. Aufgrund ihrer inhaltlichen Ähnlichkeit werden die Standards ISAE 3402 und SSAE 18 oft in einer Prüfung und mit einem Bericht abgedeckt.

Cloud Computing Compliance Criteria Catalogue (C5)

C5 ist das Cloud-Testat des Bundesamtes für Sicherheit in der Informationstechnik. Der Anforderungskatalog wird vom Cloud-Dienstleister erfüllt und anschließend nach Wirtschaftsprüferstandard ISAE 3402 bzw. IDW PS 951 kontrolliert. Dieser bescheinigt dann, dass der Cloud-Anbieter die Anforderungen des Katalogs einhält und dass die Aussagen zur Transparenz korrekt sind.

Den Anforderungskatalog können Sie hier online einsehen.

In Arbeit: Das EUCS – Cloud Services Scheme

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) wurde 2004 gegründet und hat ihren Sitz in Griechenland. Ende 2020 hat die ENISA einen Entwurf für ein eigenes Cloud-Zertifizierungssystem für Cloud-Dienste veröffentlicht, das EUCS – Cloud Services Scheme. Der Vorschlag basiert auf der Verordnung (EU) 2019/881 und beschreibt die Grundlagen für die Zertifizierung von cloudbasierten Produkten und Dienstleistungen.

„Das Programm zielt darauf ab, die Binnenmarktbedingungen der Union für Cloud-Dienste weiter zu verbessern, indem die Cybersicherheitsgarantien der Dienste verbessert und gestrafft werden“ heißt es in einem Bericht des Cloudcomputing Insider. Demnach ist es das erklärte Ziel, die Sicherheit von Cloud-Diensten mit EU-Vorschriften, internationalen Standards und Best Practices der Branche mit bestehenden Zertifizierungen in EU-Mitgliedstaaten in Einklang zu bringen.

Den vollständigen Entwurf können Sie direkt bei der ENISA einsehen: EUCS – Cloud Services Scheme.

Informationssicherheit in der Automobilindustrie: TISAX

2017 hat die deutsche Automobilindustrie TISAX (Trusted Information Security Assessment Exchange) definiert, ein Zertifizierungsverfahren für Datenschutz in der Automobilbranche und ihre Zulieferer. TISAX basiert auf der DAV ISA und dient als branchenweiter Sicherheitsstandard und einheitliche Prüfungsgrundlage.

Lesen Sie unseren ausführlichen Artikel zu TISAX hier in unserem Blog.

FINRA, SOX, FIPS – Compliance und Datenschutz für die US-Finanzbranche

FINRA ist die Abkürzung für die Financial Regulatory Authority. Dabei handelt es sich um eine unabhängige Genehmigungsbehörde, die ihre Verantwortlichkeiten von der Security and Exchange Commission (SEC), der US-amerikanischen Börsenaufsichtsbehörde, übertragen bekommt. Im Verantwortungsbereich der FINRA liegt die Beaufsichtigung von Personen und Firmen, die Wertpapiere an den US-Börsen handeln. Alle Unternehmen, die nicht bereits durch eine andere, sich selbst regulierende Organisation kontrolliert werden, müssen FINRA-Mitglied werden.

Lesen Sie unseren ausführlichen Artikel zu FINRA, SOX und FIPS hier in unserem Blog.

Unsere Empfehlung: Zertifikate beachten und zusätzlich selbst verschlüsseln

Wie in jeder geschäftlichen Beziehung ist es auch bei der Nutzung von Cloud-Diensten ratsam, sich über den Anbieter zu informieren. Zertifikate sind aufgrund der Standardisierung dafür sehr hilfreich. Unternehmen sollten jedoch zusätzlich ein hohes Maß an Autonomie wahren. Sensible Daten vor dem Upload in die Cloud zusätzlich mit Ende-zu-Ende-Verschlüsselung zu schützen ist deshalb unerlässlich, wenn Sie die volle Kontrolle über Unternehmensdaten behalten möchten.

Verschlüsselte Informationen kann immer die Partei einsehen, die den Schlüssel hält. Wenn die Verschlüsselung vom Cloud-Anbieter durchgeführt wird, sind die Schlüssel zur Entschlüsselung auch beim Cloud-Anbieter – und könnten in falsche Hände geraten oder durch Behörden abgefragt werden (siehe CLOUD Act). Mit einer Zero-Knowledge-Verschlüsselung wie Boxcryptor sie anbietet, erhalten Sie den höchstmöglichen Schutz für Ihre Daten in der Cloud.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Dummies Buchook Cover

Datensicherheit und Cloud-Verschlüsselung für Dummies

Mit unserem Buch "Datensicherheit und Cloud-Verschlüsselung für Dummies" helfen wir Unternehmen und Organisationen dabei, sensible Daten und persönliche Informationen sicher zu speichern.