ISO 27001 und SOC 2: Wichtige Cybersecurity-Standards verstehen

MANAGING IT-RISIKEN UND CYBERSECURITY-STANDARDS

Das Management von IT-Risiken gewinnt im Tagesgeschäft vieler Unternehmen zunehmend an Bedeutung. Cybersecurity-Standards helfen dabei, diese Risiken mit anerkannten Rahmenwerken und bewährten Vorgehensweisen besser zu steuern. Während sie in bestimmten Sektoren mit sensiblen Daten Pflicht sind, wird die Einhaltung von Cybersecurity-Standards auch für Unternehmen jeder Größe dringend empfohlen, die sich vor Cyberangriffen schützen möchten.

Sie fragen sich, welche Cybersecurity-Standards für Ihr Unternehmen relevant sind? Ob Großunternehmen, KMU oder Startup – Standards wie ISO 27001 und SOC 2 helfen Ihnen, Ihre Informationswerte besser zu schützen.

Werfen wir einen genaueren Blick auf zwei international anerkannte Cybersecurity-Standards: ISO 27001 und SOC 2 Compliance. Was deckt jeder Standard ab? Und worin bestehen die wichtigsten Unterschiede zwischen ISO 27001 und SOC 2?

WAS IST ISO 27001?

ISO 27001: DEFINITION

ISO 27001 ist ein internationaler Standard, der sich auf Informationssicherheits-Managementsysteme (ISMS) konzentriert. Die Zertifizierung nach ISO 27001 ist freiwillig, wird aber angesichts zunehmender Cyberbedrohungen und immer strikterer regulatorischer Anforderungen im Bereich Cybersecurity immer häufiger verlangt – und ist somit ein Standard, den man nicht ignorieren sollte.

Die aktuellste Version von ISO 27001 (aktualisiert 2022) definiert Anforderungen zur Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Der Nachweis der ISO-27001-Zertifizierung belegt die Fähigkeit eines Unternehmens:

• Ein wirksames ISMS gemäß dem ISO 27001-Framework einzurichten
• Daten angemessen zu verwalten (Vertraulichkeit, Integrität, Verfügbarkeit)

WAS SIND DIE ANFORDERUNGEN VON ISO 27001?

ISO 27001 legt den Schwerpunkt darauf, Ihre Organisation so zu strukturieren, dass Informationssicherheit sichergestellt wird. Die Anforderungen betreffen IT-Infrastruktur, Organisationsaufbau, Sicherheitspraktiken, verwendete Software und mehr.

Die Zertifizierung soll sicherstellen, dass das Unternehmen folgende Aspekte des Informationsschutzes steuern kann:

• Governance und Strategie
• Prozesse für das Management der IT-Sicherheit
• Methoden zur Risikoanalyse und Berichterstattung
• Verfahren zur Messung, Überwachung und Verbesserung der Sicherheit
• Zuständigkeiten im Bereich IT-Sicherheit

FÜR WEN IST EINE ISO 27001-ZERTIFIZIERUNG RELEVANT?

Jede Organisation, die Wert auf Informationssicherheit legt (und wer tut das heutzutage nicht?), kann eine ISO-27001-Zertifizierung anstreben, unabhängig von Größe oder Branche. Die Zertifizierung ist besonders relevant für Unternehmen, die sensible und/oder personenbezogene Daten verarbeiten oder sammeln und die Wirksamkeit ihrer Sicherheitsmaßnahmen nachweisen möchten.

Während die ISO-27001-Zertifizierung in vielen Branchen freiwillig ist, ist sie in bestimmten Sektoren Pflicht – darunter der Finanzsektor (inkl. Fintechs), das Gesundheitswesen und der Bereich Cybersecurity. Auch neue gesetzliche Vorgaben erhöhen die Anforderungen an Unternehmen – etwa die europäische DORA-Verordnung (“Digital Operational Resilience Act“), die ab Januar 2025 Finanzunternehmen zu verbesserter Steuerung digitaler Risiken verpflichtet.

WIE ERHÄLT MAN EINE ISO 27001-ZERTIFIZIERUNG?

Der ISO-27001-Zertifizierungsprozess besteht aus mehreren Schritten, in denen ein Informationssicherheits-Managementsystem nach den Anforderungen der Norm aufgebaut wird:

1. ISMS-Projekt planen

   • Kontextanalyse zur Definition der Sicherheitsbedürfnisse
   • Bildung eines Projektteams; ggf. Hinzuziehen eines Cybersecurity-Experten
   • Festlegung von Umfang und Zielsetzung für das ISMS
   • Entwicklung eines Maßnahmenplans

2. Erforderliche Kontrollmechanismen entwickeln und umsetzen

   • Festlegung der Themen in der Informationssicherheitsrichtlinie, basierend auf dem Maßnahmenplan
   • Erstellung einer “Statement of Applicability” (SoA), die vorhandene und geplante Maßnahmen samt Begründung festhält

3. Das ISMS bewerten

   • Definition von KPIs für die operative Überwachung und Bewertung
   • Durchführung interner Audits, um die Zielerreichung des ISMS zu prüfen
   • Gegebenenfalls Durchführung interner Reviews

4. Kontinuierliche Verbesserung

   • Beauftragung einer unabhängigen Zertifizierungsstelle für ein externes Audit (Erstzertifizierung)
   • Die ISO-27001-Zertifizierung ist maximal 3 Jahre gültig
   • Jährliche Überwachungsaudits zur Sicherstellung von fortlaufender Compliance und Verbesserung

Nach drei Jahren kann ein Rezertifizierungsaudit durchgeführt werden, das seit dem letzten Audit erzielte Verbesserungen bewertet.

Mehr zum Thema ISMS:

WAS BEDEUTET SOC 2 COMPLIANCE?

SOC 2: DEFINITION

SOC 2 steht für „Systems and Organization Controls 2“. SOC 2 bezieht sich auf eine Sammlung von Informations- und Sicherheitskontrollen, deren Einhaltung Unternehmen freiwillig nachweisen können – definiert vom amerikanischen Verband der Wirtschaftsprüfer (AICPA).

SOC 2 ist keine Zertifizierung, sondern ein Bestätigungsvermerk (Audit-Report), erstellt durch ein unabhängiges Prüfungsunternehmen. Ziel ist es, die Wirksamkeit der Datenschutz- und Sicherheitsmaßnahmen eines Unternehmens zur Sicherung von Kundendaten zu bewerten. Unter den diversen SOC-Berichtsformen ist insbesondere der SOC 2 Typ II (der mindestens sechs Monate abdeckt) am meisten gefragt.

WEN BETRIFFT DIE SOC 2 COMPLIANCE?

SOC 2 Compliance ist nicht gesetzlich verpflichtend, aber viele Kunden (vor allem deren IT-Abteilungen) fordern den Nachweis bei der Auswahl von Dienstleistern zum Vertrauensaufbau. Ein SOC-2-Bericht zeigt, dass effektive Kontrollmechanismen im Einsatz sind.

Für Unternehmen belegt SOC 2 eine verantwortungsvolle Verwaltung überlassener Kundendaten. Besonders relevant ist sie für Anbieter von Cloud-Hosting oder SaaS-Lösungen, die sensible Kundendaten verarbeiten bzw. speichern.

WAS SIND DIE ANFORDERUNGEN VON SOC 2?

SOC 2 basiert auf fünf zentralen Trust Service Criteria (TSC) für das Datenmanagement:

• Sicherheit: Schutz von Systemen und Daten vor unbefugtem Zugriff
• Verfügbarkeit: Sicherstellung, dass Daten und Systeme wie benötigt verfügbar sind
• Integrität der Verarbeitung: Datenverarbeitung erfolgt korrekt und ohne Manipulation
• Vertraulichkeit: Zugriff auf Daten bleibt auf befugte Parteien beschränkt
• Datenschutz: Einhaltung von Datenschutzgesetzen und vereinbarten Verarbeitungsvorgaben

Nur die Sicherheits-Anforderung ist für ein SOC-2-Audit verpflichtend; die weiteren Kriterien können je nach Bedarf ergänzt werden.

WIE WIRD SOC 2 COMPLIANCE ERREICHT?

Die SOC-2-Compliance erfolgt freiwillig und meist in drei Hauptschritten:

1. Informationssicherheitsrichtlinien und -prozesse entwerfen sowie eine Gap-Analyse durchführen
2. Einen Maßnahmenplan zur Behebung erkannter Lücken erstellen und umsetzen
3. Audit Ihrer Kontrollen und Prozesse zur Datenspeicherung und -übertragung durch ein unabhängiges, AICPA-akkreditiertes Prüfungsunternehmen. Der resultierende SOC-2-Bericht bestätigt die Wirksamkeit Ihrer Sicherheitsvorkehrungen.

Die Einführung dieser Cybersecurity-Standards ist mit Aufwand verbunden. Die Einhaltung von ISO 27001 oder SOC 2 steigert jedoch die Sicherheit und bietet einen klaren Wettbewerbsvorteil.

Wie kann Ihr Unternehmen die Compliance umsetzen? Dieser Beitrag erläutert die Umsetzung von MDM (Mobile Device Management) zur zentralen Steuerung wichtiger Sicherheitsmaßnahmen.

Mehr zu MDM