Jump to content

Sicherheits Zertifizierungen - was bedeuten diese?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hier kennt man sich anscheinend mit Zertifizierungen aus! Meine Frage geht zwar etwas in eine andere Richtung, aber ich versuche es trotzdem. Was bedeuten eigentlich diese Zertifizierungen: ISO27001, MoReq2, SAS 70 Typ II; Ich bin auf der Suche nach einer sicheren Business Cloud. Sagen diese nun etwas aus, oder sind diese Zertifizierungen nichtssagende Standards?

Link zu diesem Kommentar
  • 1 Jahr später...

Oh mei, der Platz hier würde für eine qualifizierte Antwort kaum reichen.

 

Grundsätzlich: Ein Unternehmen, welches eine Zertifizierung im Informationssicherheitsbereich durchgeführt hat, musste sich zumindest mal sehr intensiv mit seinen Risiken und deren Behandlung auseinandergesetzt haben. Außerdem muß ein IS-Management aufgesetzt sein.

 

Über das tatsächliche Sicherheitsniveau sagen die meisten Zertifikate aber nichts aus. Speziell bei der ISO 27001 in der native Ausprägung kommt es nicht auf das Sicherheitsniveau an, sondern auf die Verwaltung der Risiken. Besser ist hier die Ausprägung nach ISO 27001 auf Basis IT-Grundschutz, weil hier zumindest die grundsätzlichen Sicherheitsmaßnahmen flächendeckend umgesetzt sein müssen und darauf die Verwaltung der "Restrisiken" aufbaut.

 

Das wichtigste überhaupt, auf was bezieht sich das Zertifikat? Viele Blender zertifizieren ihre interne IT und lassen den Kundenbereich außen vor. Dann besagt so ein Zertifikat gleich null.

 

Dann gibt es natürlich noch Zertifikate von Verbänden der Cloud-Industrie. Die Richtlinienwerke dahinter sind gut, ob diese wirklich umgesetzt sind würde ich bei einem Zertifikat eines Interessenverbands nicht beschwören wollen.

 

Die SAS70-Zertifizierung macht nur bei der Auslagerung des Rechnungswesens in die Cloud einen Sinn. Und dann auch nur bei Verwendung der internationalen Rechnungswesen-Standards.

 

Dreh den Spieß doch erst mal um. Was möchtet ihr eigentlich in die Cloud verlagern? Welche Sicherheitsanforderungen habt ihr an die Informationen welche ausgelagert werden sollen? Welche gesetzlichen Vorgaben sind zu berücksichtigen? Hilfreich hierfür wäre auch: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02251.html

 

Aufgrund der vorherigen ermittelten Anforderungen lasst ihr euch von den Anbietern erläutern, wie diese Anforderungen denn von den Cloud-lern im Detail umgesetzt werden. Und nicht abspeisen lassen mit dem Hinweis "wir sind doch zertifiziert, da ist alle in Ordnung". Nicht vergessen, wenn ihr personenbezogene Daten in die Cloud auslagert, müsst ihr laut Gesetz auch regelmäßig vor Ort die Einhaltung der Sicherheitsbestimmungen prüfen. Cloud-Anbieter die sich hier zieren, könnt ihr schon mal aussortieren.

 

Eine Zertifizierung, so sie sich auf die Cloud-Dienstleistung bezieht, ist nach jedem System hilfreich für eine Vorauswahl. Sie kann aber die Erstellung eines eigenen Sicherheitskonzeptes mit darauf folgendem Abgleich mit dem Cloud-Anbieter nicht ersetzen. Die Verantwortung für die Sicherheit (Haftung) eurer Informationen bleibt bei euch. Wenn der Cloud-Anbieter schlampt, ist das in erster Linie euer Problem.

 

Genug für Heute, hth

  Pitti (der Audits für solche Zertifizierungen durchführt)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...