Sicherheitszertifikate einfach erklärt
DEMO
Kontakt

Sicherheitszertifikate einfach erklärt

Technology

Sicherheitszertifikate einfach erklärt

December 05, 2016 Andreas Eppler

Bereits in einem unserer älteren Beiträge im Herbst beschäftigten wir uns mit den Trends, denen die HR ausgesetzt ist. Angefacht durch die digitale Transformation beschleunigt sich nicht nur der Anpassungsprozess, sondern auch die Methoden in einer immer komplexeren Welt. Coachingbegriffe und Akronyme verklären häufig statt zu erklären. Besonders brenzlig wird es jedoch im Bereich der Cloud, wo Daten verschlüsselt übertragen und ausgelagert werden. Diese Informationen können entscheidend für das Fortbestehen eines Unternehmens sein. Dabei gibt es viele Anbieter von Cloud-basierten Lösungen – nicht nur in der HR. Ähnlich wie in der DIN-Norm gibt es dabei eine Vielzahl von Kontroll- und Messsystemen, die den Anbietern Zertifikate ausstellen. Aber welches Siegel bedeutet was? Und ist zertifiziert und konform direkt dasselbe? Dies soll hier nun leicht verständlich erklärt werden:

ISO

ISO/IEC 27001:2013 ist ein Zertifikat der non-government Organisation ISO, welche als internationale Vereinigung die globalen Normorganisationen vertritt, die auch Sicherheitsstandards definiert. Für viele Unternehmen stellt das ISO-Zertifikat daher eine Grundvoraussetzung in der Informationstechnologie dar. Ein neuer Standard, der ebenfalls häufig genutzt wird ist ISO/IEC 27018:2014.

Die als Beispiel angegebene Norm dient als Kontrollsystem, welche die optimalen Richtlinien vorgibt, wie Unternehmen mit ihren internen Informationen und der Datensicherheit umgehen sollten. Jedoch sollte beachtet werden, dass es einen Unterschied macht, ob entsprechende Produkte eines Unternehmens ISO-zertifiziert oder ISO-konform sind. ISO-zertifizierte Unternehmen haben demnach alle Voraussetzungen an die Norm erfüllt und werden in regelmäßigen Abständen durch ein Audit lückenlos geprüft. Entsprechende Cloudanbieter sollten daher immer in der Lage sein, ein SOA (Statement of Applicability) vorzuweisen. ISO-konform bedeutet, dass ein Unternehmen sich lediglich an den ISO-Normen orientiert, aber niemals offiziell zertifiziert wurde. Dies ist zwar eine häufig praktizierte und tolerierte Vorgehensweise, dennoch sollten Anbieter von Cloudlösungen und Informationstechnologien aufgrund ihrer sensiblen Dienstleistungen sich um ein ISO-Zertifikat bemühen.

SOC

Die SOC (Service Organisation Controls), auch bekannt als SSAE 16 (Statement on Standards für Attestation Engagements No. 16) wurden 2010 ins Leben gerufen. Die Vorgaben beschreiben dabei eine Serie von messbar nachvollziehbaren Standards, die einschlägige Informationen über Serviceunternehmen gewähren. SOC-Reports durchlaufen dabei einen ähnliches Prüfungsverfahren wie bei der ISO-Norm.

Unterschieden wird hier jedoch zwischen SOC 1 und SOC 2. Der SOC 1-Report überprüft daher ein Unternehmen auf die Sicherheit und vor allem Effektivität seines Kontrollsystems zu einem bestimmten Datum. Der SOC 2-Report ist besser, aber langwieriger und findet daher seltener Anwendung. Denn hier werden die eingesetzten Systeme über einen Zeitraum hinweg von mindestens einem halben Jahr geprüft, um eine bessere Evaluation zu generieren. Es ist nicht notwendig beide Reports nachzuweisen, da anders als bei der ISO-Unterscheidung hier auch SOC 1 als eine gute Maßeinheit betrachtet werden kann. Allerdings verspricht ein Nachweis über beide Reports besondere Sicherheit.

FedRAMP

Das FedRAMP (Federal Risk and Authorization Management Program) ist ein Prozess, der von US-Agenturen entwickelt wurde, um Sicherheit bei der Auskunft und den Vergleich geeigneter Anbieter von Cloud-Computing-Systemen zu generieren. Es basiert dabei auf Grundlage eines Programms der US-Regierung, dessen Prüfung und anschließende Zertifizierung Jahre in Anspruch nimmt. Wer dann aber über ein FedRAMP-Siegel verfügt, erfüllt sehr hohe Sicherheitskriterien, das Nonplusultra sozusagen. Da dieses Verfahren aber sehr auf die USA zugeschnitten ist, findet man es auch vornehmlich bei Anbietern aus Nordamerika. Eine Liste zeigt auf, welche Anbieter den Prozess durchlaufen und überstanden haben.

CSA CCM

Die CSA CCM (Cloud Security Alliance Cloud Controls Matrix) ist ebenfalls ein angesehenes Prüfungsverfahren. Die angebotene Matrix ist ein Grundgerüst, welches ebenfalls vom CSA konstruiert wurde und ist mit vielen anderen Sicherheitsstandards – die hier bereits erläutert wurden – vernetzt. Cloudanbieter müssen nicht über diesen Rahmen verfügen, aber wenn sie es tun, zeigt es, dass Ihnen Sicherheit am Herzen liegt und sie jeden Schritt einleiten, um dies nach außen hin zu kommunizieren.

PCI

PCI DSS (Payment Card Industry Data Security Standard) ist ein Regelwerk im Zahlungsverkehr, das sich hauptsächlich auf die Abwicklung von Kreditkartentransaktionen fokussiert. Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern oder abwickeln, müssen die vorgegebenen Regelungen erfüllen. Erfüllen sie diese Anforderungen nicht, können Strafgebühren verhängt werden oder ihnen wird letztlich die Akzeptanz von Kreditkarten untersagt.

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen. PCI basiert auf dem Visa-Account-Information-Security-Programm, dem SDP, der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

Comments

Keinen Artikel mehr verpassen?

Our RSS Feeds

Cornerstone Blog Feed

Lernen Sie, wie unser integriertes Talent Management Sie bei Ihren Herausforderungen unterstützt.
Erfahren Sie mehr über unsere Produkte

Tags

Archiv