European Media Partner

Mit Zertifikaten für Sicherheit sorgen

IT-Security Made in Germany steht bei Unternehmen hoch im Kurs. Sie schaffen Vertrauen und sichern störungsfreie Geschäftsprozesse.

Mit Blick auf den IT-Grundschutz gilt die Sicherheitszertifizierung ISO 27001 als die weltweit am stärksten verbreitete Zertifizierung.

Ursprünglich wurde es 1887 als Warnung der Engländer vor minderwertiger deutscher Ware erfunden, doch das Siegel „Made in Germany“ gilt längst als Qualitätsmerkmal, mit dem seine Träger gut werben können. Und das gilt nicht nur für Branchen wie die Autoindustrie, sondern auch für viele andere Unternehmen, die digital arbeiten oder sich im Transformationsprozess be-finden. So bevorzugen beispielsweise viele Cloud-Anbieter deutsche Zertifizierungen und Sicherheitsvorkehrungen, weil deren Niveau als hoch gilt. Gerade für kleinere und mittlere Unternehmen ist es sehr schwierig bis unmöglich, die Einhaltung wichtiger Sicherheitsstandards oder auch des Datenschutzes gemäß der DSGVO zu überprüfen. Daher greifen sie gerne auf solche Cloud-Anbieter zurück, die ein Zertifizierungsverfahren vorweisen können, das ihnen die Erfüllung aller Anforderungen attestiert. 

Werden die Befolgung des Datenschutzes und der Datenschutzgrundverordnung mit einem Zertifikat bestätigt, können sich sowohl der Cloud-Anbieter als auch der Anwender absichern. Beispielsweise bietet das Bundeswirtschaftsministerium das Trusted Cloud-Datenschutzprofil (TCDP) an, das zusätzlich nach den Maßgaben des Bundesdatenschutzgesetzes auch Qualitäts- und Transparenzkriterien um-fasst. Der Anforderungskatalog C 5 des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) ermöglicht den Unternehmen, die Informationssicherheit von Cloud-Diensten zu beurteilen.

Mit Blick auf den IT-Grundschutz gilt die Sicherheitszertifizierung ISO 27001 als die weltweit am stärksten verbreitete Zertifizierung. Im IT-Grundschutzdialog wird detailliert beschrieben, wie Unternehmen auf bestimmte Bedrohungslagen reagieren sollen. Dabei werden Vorgehensweisen, interne Prozesse und Entwicklungs- und Operationsteams, zertifiziert. Das BSI prüft für angenommene Risiken und Bedrohungslagen, ob seine Vorgaben erfüllt sind. Die Zertifizierung ISO 27001 muss regelmäßig wiederholt werden.

Das BSI betreibt weitere Zertifizierungsprogramme, in denen jeweils die Regeln beschrieben sind. Dazu gehören Geltungsbereiche, bedarfsgerechte Prüfkriterien, Anforderungen sowie Nachweise. Ebenso werden das Verfahren sowie das Management zur Durchführung der Zertifizierung festgelegt und beschrieben. Das BSI prüft die Möglichkeit der Zertifizierung eines Produktes auf Anfrage. Voraussetzung für eine Zertifizierung ist eine technische Evaluierung nach den im Zertifizierungsprogramm veröffentlichten Sicherheitskriterien beziehungsweise technischen Richtlinien. Im Rahmen der Prüfung des Produkts bestätigt das BSI im Erfolgsfall, dass eine Produktversion bestimmte funktionale und Sicherheitseigenschaften erfüllt, die in Schutzprofilen, Sicherheitsvorgaben oder in den technischen Richtlinien spezifiziert sind. Dabei wird allerdings die Vertrauenswürdigkeit des Personals des Produktentwicklers und -herstellers vorausgesetzt, also durch das BSI nicht überprüft.

Unter anderem bietet auch der TÜV Süd eine Bandbreite verschiedener Cyber-Security-Zertifizierungen an. Sie sind in der Lage, einzeln oder in Kombination zu überprüfen, wie standhaft das IT-System eines Unternehmens bei Cyber-Angriffen wirklich ist und bestätigen die Sicherheit ebenfalls mit Siegel. 

Teile diesen Artikel

Journalist

Armin Fuhrer

Weitere Artikel