✅ SEEBURGER erneut ISAE 3402-attestiert
Cloud

ISAE 3402 – Erneute Attestierung 2022

| | Corporate Information Security Officer (Co-CISO), SEEBURGER
Update ISAE 3402 – Erneute Attestierung 2022

Die Sicherheitsforderungen in der IT gewinnen immer mehr an Bedeutung. Unternehmen, die geschäftskritische Prozesse an Cloud-Dienstleister auslagern, benötigen die Gewissheit, dass ihre ausgelagerten Prozesse sicher abgewickelt werden. Unabhängige Auditberichte und Prüfungszertifikate sind als objektive Bewertungsmöglichkeit für Cloud-Anbieter mittlerweile Standard. Ergänzend zu der seit 2012 kontinuierlich umgesetzten ISO 27001 Zertifizierung unterzieht sich SEEBURGER seit 2016 einer ISAE 3402 SOC1 Typ2 Auditierung. Die Effektivität der Kontrollziele des SEEBURGER Cloud Betriebs wurden 2022 wieder gemäß ISAE 3402 SOC 1 Typ 2 geprüft und erneut ohne Findings re-attestiert.

ISAE 3402 SOC 1 Typ 2 bestätigt Wirksamkeit des internen Kontrollsystems der SEEBURGER AG

Die ISAE 3402 SOC 1 konzentriert sich auf die für unsere Cloud-Kunden relevanten Prozesse zur Leistungserbringung.

Beim Typ 2 der ISAE reicht es nicht aus, den ordnungsgemäßen Betrieb nur zum Zeitpunkt der Prüfung als Stichtagsbeobachtung bzw. Momentaufnahme nachzuweisen. ISAE Typ 2 verlangt von einem Cloud-Anbieter, dass er die Kontrollziele jederzeit erfüllt und vollständige Nachweise für die Einhaltung der Vorschriften vorlegt.

Im Rahmen der Attestierung „International Standard on Assurance Engagements“ (ISAE) 3402 SOC 1 Typ 2 werden rückwirkend Nachweise für die Erfüllung der Kontrollziele aus den letzten 12 Monaten überprüft.

ISAE 3402 Attestierung – mit SEEBURGER sicherer in die Cloud

Das erneuerte SEEBURGER ISAE 3402 (SOC 1 Typ 2) Testat ist für unsere Kunden ein wertvolles Dokument zum Nachweis der Wirksamkeit des internen Kontrollsystems (IKS) der SEEBURGER Cloud-Dienstleistungen.

Broschüre

Erfahren Sie, wie Sie mit dem iPaaS Integration Service von SEEBURGER maximale Flexibilität für Ihre Cloudintegration erzielen.

Jetzt herunterladen

ISAE 3402 Attestierung SOC 1 – SEEBURGER hat die Prüfung erneut erfolgreich bestanden. Somit wird es für unsere Kunden deutlich einfacher, die für Wirtschaftsprüfer relevanten Sicherheits- und Datenschutznachweise zu erbringen. Alle weiteren Vorteile für die SEEBURGER Cloud-Kunden finden Sie hier übersichtlich zusammengefasst.

ISAE 34202 – Vertrauen ist gut, Kontrolle ist besser!

Moderne Unternehmen beziehen heute ihre IT aus der Cloud. Unternehmen setzen alles daran, die zur Erreichung ihrer Geschäftsziele benötigten Ressourcen kontinuierlich zu optimieren. Dies ist nicht nur verständlich, sondern auch Teil ihrer Pflicht. Eine andere Pflicht ist es aber auch, für die Sicherheit und die Einhaltung von internen und externen Regeln und Gesetzen zu sorgen. Unternehmen müssen deshalb ein internes Kontrollsystem (IKS) einrichten, das wirksame Kontrollen in ihren Prozessen verankert und hinreichende Gewähr dafür bietet, dass die Ordnungsmäßigkeit der Prozesse gewährleistet ist.

Wenn ein Unternehmen nun geschäftsrelevante Funktionen in die Cloud auslagert, werden die Verantwortlichkeiten für die ordnungsgemäße Abwicklung nicht automatisch mit ausgelagert. Sie verbleiben beim Unternehmen und stellen es vor eine schwierige Herausforderung: Wie kann das Unternehmen sicherstellen, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt?

Wirtschaftsprüfer, die die Wirksamkeit des IKS im Unternehmen beurteilen müssen, wollen auch die ausgelagerten IT-Funktionen genauer untersuchen. Das Vorhandensein eines Service Level Agreements (SLA) und regelmäßige Berichte über die Dienstleistungen reichen hier nicht aus. Vielmehr bestehen die Wirtschaftsprüfer auf der Existenz eines ISAE 3402-Prüfberichts. ISAE ist die Abkürzung von „International Standard on Assurance Engagements“ und zertifiziert das Kontrollsystem des Service Providers als Ganzes. Der ISAE-Prüfbericht hat sich in diesem Zusammenhang mittlerweile quasi zum Standard für Outsourcing-Dienstleister entwickelt. Die Grafik anbei verdeutlicht den Zusammenhang.

Der ISAE 3402 Prüfbericht stellt sicher, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt
Abbildung 1: Der ISAE 3402 Prüfbericht stellt sicher, dass der Dienstleister Kontrollen einhält, die Funktionstrennung aufrechterhält und den Zugriff auf Daten schützt

ISAE 3402 SOC 1 bestätigt Wirksamkeit des internen Kontrollsystems der SEEBURGER AG

Die jährliche Prüfung des International Standard on Assurance Engagements (ISAE) 3402 SOC 1 konzentrierte sich auf die folgenden Prozesse zur Leistungserbringung der Outsourcing-Dienstleistungen für unsere Kunden

  • Risk Management
  • User & Access Management
  • Physical Security
  • Backup & Recovery
  • Business Continuity Management

sowie die Cloud Service Betriebsprozesse

  • Go Live Process
  • Event Management
  • Incident Management
  • Change Management

Die Prüfer eines führenden Wirtschaftsprüfungs- und Beratungsunternehmens verbrachten drei Wochen damit, eine große Anzahl von Stichproben aus einem ganzen Jahr rückwirkend auszuwerten.  Die Stichproben wurden anhand der definierten Prozesse und Kontrollziele der oben genannten Themenbereiche ausgewählt. Wurden Abweichungen festgestellt, wurde die mögliche Abweichung durch zusätzliche Stichproben verifiziert.

Das Vorgehen macht deutlich, dass es bei ISAE nicht ausreicht, den ordnungsgemäßen Betrieb nur zum Zeitpunkt der Prüfung zu gewährleisten, wie es bei vielen anderen Zertifizierungen der Fall ist, bei denen nur Stichtagsbeobachtungen (Momentaufnahmen) gemacht werden. ISAE verlangt von einem Dienstleistungsanbieter, dass er die Kontrollziele jederzeit erfüllt und vollständige Nachweise für die Einhaltung der Vorschriften vorlegt.

Die SEEBURGER AG hat die Prüfung des International Standard on Assurance Engagements (ISAE) 3402 SOC 1 erneut bestanden und damit die Wirksamkeit ihres internen Kontrollsystems (IKS) erfolgreich nachgewiesen.

ISAE 3402 Attestierung – die Vorteile für unsere Kunden

  • Der Kunde erhält den Nachweis eines unabhängigen Prüfinstitutes, dass seine sensiblen Geschäftsprozesse bei SEEBURGER sicher sind.
  • Das erfolgreiche Audit bestätigt bestmögliche Sicherheit und Datenschutz mit SEEBURGER als vertrauenswürdigem Anbieter.
  • Dies vereinfacht die Nachweispflicht der Kunden gegenüber ihren eigenen Kunden und Wirtschaftsprüfern erheblich, weil
    • für die ausgelagerten Prozesse keine Zuverlässigkeitsprüfung mehr notwendig ist (da durch die Zertifizierung nachgewiesen).
    • die Wirksamkeit dieser Prozesse auch künftig nicht mehr einzeln nachgewiesen werden muss.
  • Die ISAE-Zertifizierung stellt sicher, dass dieses interne Kontrollsystem funktioniert, dass es also (a) methodisch geeignet ist, sicherzustellen, dass alle Mitarbeiter im Betrieb sich ordnungsgemäß verhalten und dass dies (b) in vielen Stichproben bewiesen wurde.

Die erneute Attestierung nach ISAE 3402 bietet für unsere Kunden die beruhigende Gewissheit, dass ihre Daten bei uns in besten Händen sind.

ISAE 3402 Attestierung – mehr Sicherheit mit SEEBURGER

Das SEEBURGER ISAE 3402 (SOC 1) Testat ist für unsere Kunden ein wertvolles Dokument zum Nachweis der Wirksamkeit des internen Kontrollsystems der SEEBURGER Cloud-Dienstleistungen. Auch wird letztendlich durch die Audits und Prozesse, die im Vorfeld für eine Attestierung erforderlich sind, die Betriebssicherheit signifikant erhöht. Um also angemessen auf ständig steigende Sicherheitsanforderungen sowie sich schnell ändernde und immer komplexer werdende Bedrohungssituationen reagieren zu können, hat SEEBURGER ein internes Kontrollsystem (IKS) nach COSO (Committee of Sponsoring Organizations of the Treadway Commission) als zentralen Managementprozess entwickelt. Auf diese Weise ist sichergestellt, dass das System in die Geschäftsprozesse im Anwendungsbereich integriert ist und die Verantwortlichkeiten festgelegt sind.

Der Zweck des internen Kontrollsystems besteht darin, alle Informationen zu schützen, die im Rahmen der Geschäftstätigkeit im Einklang mit gesetzlichen Bestimmungen, nationalen und internationalen Standards, internen Unternehmensstandards sowie vertraglichen Verpflichtungen empfangen, generiert, verteilt, archiviert und vernichtet werden.

ISAE 3402 Attestierung – Automatisierte Prozesse vereinfachen zukünftige Überwachung der Kontrollziele

Schon vor der Einführung der ISAE-Attestierung stellte sich das SEEBURGER Betriebsteam folgende Frage: Wie kann ein internes Kontrollsystem eingerichtet werden, ohne einen enormen manuellen Kontrollaufwand zu verursachen? Die Antwort klingt so banal wie einfach: Durch weitgehende Automatisierung! SEEBURGER hat daher die Überwachung seiner Kontrollziele von Anfang an direkt in seine Geschäftsprozesse und Cloud-Organisation integriert.

Mit selbst entwickelten Anwendungen werden zum Beispiel alle Zugriffe auf die Cloud-Systeme zentral gesteuert, überwacht und lückenlos dokumentiert. Ein automatisiertes Monitoring- und Berichtssystem überwacht die Einhaltung jeder einzelnen Kontrolle – viele tausend Mal am Tag. Durch diesen hohen Automatisierungsgrad konnte SEEBURGER den manuellen Aufwand so weit reduzieren, dass der Mehraufwand für die Kontrollen, deren Implementierung und das Testen mehr als kompensiert werden konnte.

Dr. Martin Kuntz, Chief Cloud Officer: „Bei SEEBURGER verfolgen wir die weitgehende Automatisierung komplexer Kontrollziele weniger um der Zertifizierung willen, sondern primär zur Optimierung von Geschäftsprozessen und Organisationsstrukturen. Daraus ergeben sich fast automatisch wirtschaftlich sinnvolle Synergien und qualitative Verbesserungen für unsere Kunden“.

Martin Kuntz weiter: „Ein weiterer, eher unerwarteter positiver Nebeneffekt ist, dass der hohe Automatisierungsgrad, die zunehmende Effektivität der internen Prozesse und der gelebte interne kontinuierliche Verbesserungsprozess die Motivation des Betriebspersonals erhöht haben. Die Mitarbeiter können sich mehr auf ihre Kernaufgaben konzentrieren und werden von lästigen Dokumentationsaufgaben entlastet“.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Twitter
Uwe Heber - Vice President Operation, Cloud & Managed Services, SEEBURGER AG.

Ein Beitrag von:

Uwe Heber ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2000 im Unternehmen. Er verfügt über 22 Jahre Erfahrung im Consulting, Support, Vertragsmanagement, Cloud Betrieb und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.