✅ Passt Ihr Cloudanbieter zu Ihren ISMS-Standards?
Cloud Trends & Innovationen

Information Security Management System (ISMS): 4 Kriterien, die Ihr Cloudanbieter unbedingt erfüllen sollte

| | Corporate Information Security Officer (CISO), SEEBURGER AG
Information Security Management System (ISMS) für Cloud-Dienste

Die Covid-19 Pandemie hat in Wirtschaft und Unternehmen so einige Trends befeuert. Gerade in der IT-Industrie erfuhren die Digitalisierung, das Ermöglichen der Arbeit aus dem Home-Office und die Nutzung von Cloud-Diensten einen enormen Auftrieb. Unternehmen sind dadurch vermehrt gefordert, ihre sensiblen Daten noch besser zu schützen und müssen hierfür eine ganze Reihe von Datenschutzgesetzen einhalten. Ein Information Security Management System hilft, alle Risiken und Maßnahmen im Auge zu behalten.

Was ist ein Information Security Management System (ISMS)?

Ein Information Security Management System dient dazu, sensible Unternehmensdaten vor jeglichen Sicherheitsrisiken zu schützen. Hierfür werden entsprechende Richtlinien und Verfahren implementiert. Ist das ISMS gut aufgesetzt, kann es als Basis einer unternehmensweiten Risikomanagementstrategie sowohl das Bedrohungspotenzial auf ein Minimum reduzieren als auch die Auswirkungen dennoch auftretender Sicherheitsverstöße so gering wie möglich halten. Durch technische Sicherheitsvorkehrungen sorgt ein ISMS dafür, dass weder Geschäftsabläufe noch Mitarbeiterverhalten sensible Daten gefährden können.

Wie stellt ein ISMS die Einhaltung von Richtlinien wie der DSGVO oder CCPA sicher?

Ein ISMS unterstützt Unternehmen und Organisationen dabei, die verschiedenen Datenschutzrichtlinien wie beispielsweise die DSGVO (Datenschutzgrundverordnung) in Europa oder die California Consumer Privacy Act (CCPA) in den USA einzuhalten. Hierzu werden durch das ISMS folgende Punkte sichergestellt:

  1. Vertraulichkeit: Die Daten sind nur für autorisierte Personen, Einheiten oder Prozesse zugänglich.
  2. Integrität: Die Daten sind vollständig, korrekt und können nicht verändert oder verfälscht werden.
  3. Verfügbarkeit: Die Daten können nur von autorisierten Benutzern abgerufen und verwendet werden.

Was hat ein ISMS mit ISO 27001, Tisax® und ISAE 3402 zu tun?

Durch eine Zertifizierung wird bestätigt, dass Ihr ISMS einem gewissen Standard entspricht. Das Durchlaufen eines Zertifizierungsprozesses verbessert die IT-Sicherheitsmaßnahmen eines Unternehmens erheblich.

ISO 27001 liefert den Rahmen für die Erstellung eines ISMS in Form von Empfehlungen, internen Audits, Dokumentationen, ständigen Verbesserungsprozessen sowie korrigierenden wie vorbeugenden Maßnahmen.

TISAX® certification  (Trusted Information Security Assessment Exchange) stellt sicher, dass Ihr Information Security Management System den in der Automobilindustrie geltenden Anforderungen entspricht. Im Wesentlichen geht es darum sicherzustellen, dass die im Rahmen von ISO 27001 getroffenen Maßnahmen auch im Umfeld der Automobilindustrie greifen.

ISAE 3402 SOC 1 certification (International Standard on Assurance Engagements) bestätigt externen Dienstleistern und Cloudanbietern die langfristige Wirksamkeit und den kontinuierlichen Verbesserungsprozess Ihres internen Kontrollsystems (IKS). Durch das IKS wird sichergestellt, dass Empfang, Erstellung, Verbreitung, Archivierung und Vernichtung von Informationen im Zuge von Geschäftsabläufen im Einklang mit gesetzlichen Anforderungen, nationalen und internationalen Standards, internen Unternehmensrichtlinien und vertraglichen Verpflichtungen erfolgt.

ISMS und Cloud-Dienste

Es ist kein leichts Unterfangen, ein unternehmensweites ISMS aufzusetzen und zu betreiben. Man könnte meinen, dass es ganz einfach sein sollte, interne Abläufe und Richtlinien aufeinander abzustimmen. Weit gefehlt. Nicht wenige Unternehmen blähen ihre eigene IT-Infrastruktur mit externen Cloud-Diensten unnötig auf. Dies führt dazu, dass sie ein verwaltungsintensives Netzwerk aus internen und externen Diensten erhalten, das ständig überwacht werden muss um sicherzustellen, dass die externen IT-Dienstleister auch alle implementierten IT-Sicherheitsrichtlinien einhalten.

Hierauf sollten Sie bei der Suche nach einem externen Cloudanbieter achten, um Ihre eigenen ISMS Standards zu wahren:

  1. Achten Sie bereits während des Auswahlverfahrens darauf, dass Ihre potenziellen Anbieter über die branchenspezifischen Zertifizierungen verfügen.
  2. Stellen Sie folgende Fragen während der Verhandlungen mit potenziellen Anbietern:
    1. Wie genau sieht Ihre Disaster-Recovery-Strategie aus?
    2. Wie prüfen Sie die Redundanz von Rechenzentren?
    3. Aufgrund welcher Kriterien wurden die physischen Standorte der Rechenzentren gewählt? Folgt dies einer bestimmten Strategie oder ist die Entscheidung für diese Standorte lediglich historisch bedingt oder gar zufällig getroffen worden?
    4. Wo werden die Daten genau gespeichert? Entsprechen diese Standorte sowohl Ihren unternehmenseigenen Datenschutzrichtlinien sowie der regierungsseitigen Gesetzgebung wie beispielsweise der DSGVO oder der CCPA? Nicht zu vergessen, dass Rechenzentrumsstandorte in Großbritannien aufgrund der DSGVO-Richtlinen nicht länger für den Betrieb durch EU-ansässige Unternehmen in Frage kommen.
  3. Stellen Sie sicher, dass die IT-Sicherheitsmaßnahmen des Anbieters auf dem neuesten Stand sind. Achten Sie dabei besonders auf folgende Punkte:
    1. Den Prozess, der einem neu implementierten Dienst, der “live” geht, zugrunde liegt.
    2. Ständige Überwachung der produktiven Systeme und entsprechendes Ereignismanagement
    3. Incident-Management
    4. Release-Management
    5. Change-Management
  4. Welche zusätzlichen Cybersicherheitsmaßnahmen ergreift der Anbieter, um das Risiko von Ransomware und Hackerangriffen oder ähnlichem zu minimieren?

So können SEEBURGER Cloud Services Ihr ISMS unterstützen

Mit unseren Migrationtools und Cloud Services können Sie Ihren Digitalisierungsprozess schnell und sicher voranzutreiben und Ihr Business beschleunigen. SEEBURGER verfügt über langjährige Expertise in der Datenintegration und im internationalen Datenaustausch. Wir unterstützen Sie bei jeglichen Integrationsvorhaben und dem Onboarding Ihrer Kunden, damit sich Ihre Abläufe schnell und nahtlos einfügen und zukünftige Anpassungen ganz einfach vorgenommen werden können.

Wir stellen diese Dienste sowohl On-Premises, in der Cloud oder auch als Hybridlösung bereit. Selbstverständlich verfügen wir für unsere Cloudlösungen über die erforderlichen Zertifizierungen, die die Qualität und Sicherheit unseres ISMS belegen.

Keiner weiß, welche langfristigen Auswirkungen die aktuelle Pandemie auf unser Arbeitsleben haben wird. Eines ist jedoch bereits klar: Die Veränderungen, von denen nahezu allen Branchen bereits betroffen sind, werden auch weiterhin zunehmend strikte IT-Sicherheitsmaßnhamen erfordern. Je mehr Cloud-Dienste Sie in Ihrem IT-Betrieb einsetzen, desto wichtiger ist es, Maßnahmen einzuführen, um sicherzustellen, dass Ihre Cloudanbieter die gängigen Sicherheitsrichtlinien erfüllen. Prüfen Sie in jedem Fall, über welche ISMS-relevanten Zertifizierungen Ihr Cloudanbieter verfügt, um zumindest Ihre eigenen Standards zu wahren.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!
Christoph Staeb

Ein Beitrag von:

Christoph Stäb ist Corporate Information Security Officer (CISO) bei SEEBURGER. Er hat 14 Jahre Erfahrung mit dem Qualitätsmanagement und Sicherheitsthemen von SEEBURGER Produkten und Diensten. Er hat federführend ISO/IEC 27001 und ISAE 3402 (SOC 1) Typ 2 Zertifizierungen für SEEBURGER Cloud Services erreicht und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.