Informationssicherheit in der Finanzwirtschaft: Cloud-Dienstleister mit ISO/IEC 27001-Zertifikat sind die sichere Wahl Teil 2

Informationssicherheit in der Finanzwirtschaft: Cloud-Dienstleister mit ISO/IEC 27001-Zertifikat sind die sichere Wahl Teil 2

Auswahl eines Cloud-Dienstleisters: ISO 27001-Zertifikat als zentrales Kriterium

Die Zertifizierung gemäß der Norm ISO/IEC 27001 bildet ein zentrales Kriterium für die Auswahl eines Cloud-Dienstleisters. Firmen aus der Finanzwirtschaft, die ihre Daten nach außen geben, müssen ihrem Cloud-Anbieter vertrauen und sich darauf verlassen, dass der Provider alle technischen, rechtlichen und vertraglichen Anforderungen einhält. Die Zertifizierung durch eine externe Stelle belegt, dass in einem Unternehmen IT-Security und Informationssicherheit gelebt werden und diese durch jährliche Re-Audits durch externe Prüfer nachgewiesen wird.

Ein ISO/IEC 27001-Zertifikat bürgt für Sicherheit, da damit Punkte wie durchdachte Sicherheitskonzepte, konsequente Ende-zu-Ende-Verschlüsselung oder auch das Hosting der Daten in Deutschland auf gesicherten und redundant gespiegelten Servern erfüllt sind. Das Speichern in Deutschland ist insbesondere mit Blick auf die DSGVO wichtig. Unternehmen aus der Finanzwirtschaft sollten daher in den SLAs festlegen, dass die Daten Deutschland bzw. die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden. Damit erfüllen sie auch die strengeren Anforderungen der BaFin.

ISO/IEC 27001 als Basis

Die ISO/IEC 27001 beschreibt, mit welchen Prozessen und Maßnahmen Unternehmen eine höhere Informationssicherheit erreichen. Sie formuliert Grundsätze zu Implementierung, Betrieb, Überwachung und Verbesserung eines Information Security Management Systems, kurz ISMS. Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Maßnahmen Informationssicherheit umfasst drei wesentliche Schutzziele den Rahmen für eine höhere Informationssicherheit.

  • Verfügbarkeit: Alle Werte des Unternehmens stehen innerhalb eines vereinbarten Zeitrahmens zur Verfügung.
  • Vertraulichkeit: Schutz von Informationen vor unbefugtem Zugriff.
  • Integrität: Schutz von Information vor unbefugter Modifikation (inkl. Erzeugung und Löschung). Erkennen von Modifikationen.

Ein ISMS gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Im normativen Anhang A beschreibt die ISO/IEC 27001 Maßnahmenziele (control objectives) und konkrete Maßnahmen (controls), mit denen Firmen die Informationssicherheit verbessern können. Insgesamt sind es 114 Maßnahmen in 14 Bereichen wie Kryptografie, Incident Management, Personalsicherheit (u.a. Security Awareness Training) oder Zugriffskontrolle (z.B. Einschränkung von Zugriffsrechten). Die Norm fordert zudem, dass Firmen die Qualität des ISMS kontinuierlich verbessern sowie durch regelmäßige interne und externe Audits überprüfen. Letztere bilden die Basis für die Zertifizierung des ISMS.

ISMS erhöht Informationssicherheit

Ein ISMS ist grundsätzlich für jedes Unternehmen sinnvoll, das sensible und schützenswerte Daten verarbeitet, deren Verlust hohe Schäden mit sich bringt – unabhängig von gesetzlichen Vorgaben und Kundenanforderungen. Denn Betreiber kritischer Infrastrukturen (KRITIS) etwa in der Energieversorgung oder Telekommunikation sind durch das IT-Sicherheitsgesetz verpflichtet, ein ISMS aufzubauen. Ein weiterer wichtiger Treiber sind Vorgaben von Firmen, die eine Auftragsvergabe an eine ISO 27001-Zertifizierung knüpfen.

Ziel des ISMS ist es, alle Prozesse auf ein möglichst einheitliches Niveau zu bringen sowie eine Sicherheitskultur im Unternehmen zu verankern. Je höher der Reifegrad der IT- und Informationssicherheit, desto geringer ist das Risiko erfolgreich angegriffen zu werden.

Ein ISMS liefert grundsätzlich einen großen Mehrwert, da es die sicherheitsbezogenen Prozesse optimiert. Es reduziert die Risiken und bildet mit Richtlinien, Prozessen und Maßnahmen den Rahmen für eine höhere Informationssicherheit. Hier die wichtigsten Vorteile eines ISMS auf einen Blick:

  • Erfüllung von Nachweispflichten zur Informationssicherheit gegenüber Kunden
  • Absicherung von Geschäftsbeziehungen durch eine geprüfte Sicherheit
  • Risikominimierung wirtschaftlicher Schäden
  • Mehr Schutz vor Cyber-Angriffen
  • Strukturierte IT-Prozesse im Unternehmen
  • Informationssicherheit als strategisches Ziel des Unternehmens
  • Klare Verantwortung für die Informationssicherheit durch die Bestellung eines Informationssicherheitsbeauftragten
  • Business Continuity Management sichert zeitkritische Geschäftsprozesse eines Unternehmens, um bei einem Notfall mittels definierter Notfallpläne und deren Maßnahmen die Schadensfolgen zu minimieren

Auswahl eines Cloud-Dienstleisters: ISO 27001-Zertifikat als zentrales Kriterium

Die Zertifizierung gemäß der Norm ISO/IEC 27001 bildet daher ein zentrales Kriterium für die Auswahl eines Cloud-Dienstleisters. Firmen aus der Finanzwirtschaft, die ihre Daten nach außen geben, müssen ihrem Cloud-Anbieter vertrauen und sich darauf verlassen, dass der Provider alle technischen, rechtlichen und vertraglichen Anforderungen einhält. Die Zertifizierung durch eine externe Stelle belegt, dass in einem Unternehmen IT-Security und Informationssicherheit gelebt werden und diese durch jährliche Re-Audits durch externe Prüfer nachgewiesen wird.

Ein ISO/IEC 27001-Zertifikat bürgt für Sicherheit, da damit Punkte wie durchdachte Sicherheitskonzepte, konsequente Ende-zu-Ende-Verschlüsselung oder auch das Hosting der Daten in Deutschland auf gesicherten und redundant gespiegelten Servern erfüllt sind. Das Speichern in Deutschland ist insbesondere mit Blick auf die DSGVO wichtig. Unternehmen aus der Finanzwirtschaft sollten daher in den SLAs festlegen, dass die Daten Deutschland bzw. die EU nicht verlassen und in eine andere Region mit weniger strengen datenschutzrechtlichen Vorgaben verschoben werden. Damit erfüllen sie auch die strengeren Anforderungen der BaFin.

Hier gelangen Sie zum ersten Teil der Blogartikelreihe.

Bei Fragen rund um Informationssicherheit oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem sind wir für Sie telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.

This post is also available in: Englisch