IT-Sicherheit

ISO 27001

Zertifizierung auf Basis von IT-Grundschutz

von 02.07.2020
ISO 27001
Ein Zertifikat nach ISO 27001 bescheinigt ein hohes Sicherheitsniveau. Bild: mohamed_hassan/Pixabay

Bei der ISO 27001 handelt es sich um eine internationale Norm, die Anforderungen für die Einrichtung, Umsetzung, den laufenden Betrieb und kontinuierliche Verbesserung eines dokumentierten Informationssicherheitsmanagementsystems unter Berücksichtigung des Kontexts einer Organisation spezifiziert.
Klingt kompliziert, ist es aber eigentlich gar nicht. Welche Vorteile Unternehmen davon haben, entsprechend zertifizierte Produkte einzusetzen, verraten wir jetzt.

ISO 27001

Ein Zertifikat nach ISO 27001 bescheinigt ein hohes Sicherheitsniveau.
Bild: mohamed_hassan/Pixabay

Was ist die ISO 27001?

Wie bei jeder ISO handelt es sich auch bei der ISO 27001 (auch als ISO/IEC 27001 bezeichnet) um eine Zertifizierung auf Basis eines weltweiten Standards. Ob ein Produkt die strengen Anforderungen an eine ISO-Zertifizierung erfüllt, wird von unabhängigen Prüfinstitutionen wie beispielsweise dem TÜV eruiert. Im IT-Kontext geht es bei Zertifizierungen wie der ISO 27001 vornehmlich um den sicheren Zugriff auf Daten und die sichere Speicherung selbiger.
Konkret bescheinigt die ISO 27001 die Erfüllung von internationalen Anforderungen für die Erstellung, Pflege und (Weiter-)Entwicklung von IT-Management-Systemen. Als Grundlage dafür dienen Best Practices für verschiedene Sicherheitsmaßnahmen, die speziell für den (langfristigen) Schutz von Daten aller Art entwickelt wurden und etabliert sind.

Zertifizierung nach ISO-Norm

Eine Zertifizierung nach ISO (oder auch DIN) ist mit hohen Aufwänden und strengen Auflagen verbunden. Die zur Prüfung jeweils unabhängig entsendete Stelle stellt eigene Gutachter, die sämtliche Kriterien und Anforderungen bis ins letzte Detail untersuchen. Im Prinzip führen sie eine Art Audit durch und bewerten dabei die Qualität der Prozesse über alle Ebenen und in allen Einzelfällen. Der anschließend erstellte, umfassende Bericht geht dann zur Überprüfung und Analyse an andere, unabhängige Experten.
Sozusagen ein Vier-Augen-Prinzip ähnlich denen an Schulen und Universitäten bei Abschlussprüfungen, um Schummelei zu verhindern und eine Unparteilichkeit aller Prüfinstanzen zu garantieren. Passt dann endlich soweit alles und sind sich alle Gutachter einig, erfolgt die Ausstellung des entsprechenden ISO-Zertifikats. Unangekündigte Stichproben in unregelmäßigen Abständen gibt es dann trotzdem noch.

kaspersky endpoint security

Anbieter wie Kaspersky bieten vielfältige B2B-Lösungen.
Bild: Kaspersky

Für wen gilt die ISO 27001 Zertifizierung?

Die ISO 27001 ist eine Zertifizierung für IT-Management-Systeme und Infrastrukturen. Besonders wichtig ist die Zertifizierung für die Anbieter von Sicherheitssoftware wie beispielsweise Kaspersky. Besonders für deren Unternehmenskunden ist es von hoher Relevanz, dass Informationen und Dateien automatisiert auf ihre Sicherheit analysiert werden und – sollte das der Fall sein – auch einer zuverlässigen Speicherung unterliegen. Und damit diese Kunden auch von einer unabhängigen Stelle bestätigt bekommen, dass diese Anforderungen erfüllt werden, hat sich Kaspersky der Zertifizierung jetzt gestellt und sie auch erhalten.
Im Kern wurden sowohl die Bereitstellungsmechanismen für verdächtige Dateien mit Hilfe der Kaspersky-Security-Network-Infrastruktur sowie auch deren Speicherung im verteilten Kaspersky Lab-Dateisystem untersucht. Ein Prozess, dem sich Kaspersky alle drei Jahre stellt.

Vorteile für Unternehmen, die ISO-zertifizierte Produkte einsetzen

Viele Aspekte innerhalb der IT-Landschaft haben einen Einfluss auf die Sicherheit der Prozesse. Information-Security-Management-Systeme (kurz ISMS) können dabei helfen, die einzelnen Aspekte zu definieren. Zahlreiche Fragen des Cybersicherheitsmanagements gelten dabei als grundlegend. Beispielsweise:

  • Wer hat Zugang zu IT-Systemen und kritischen, personenbezogenen Daten?
  • Wie verläuft der Bewerbungsprozess?
  • Kümmert sich jemand um die Einhaltung von Löschfristen?
  • Auf welche Weise arbeiten die Angestellten mit IT-Systemen und Dokumenten?
  • Zugriffsmanagement – wie ist das geregelt (beispielsweise wenn Mitarbeiter das Unternehmen verlassen)?
  • Wie gut sind die Angestellten über aktuelle und allgemeine Bedrohungen informiert?
  • Wie gut sind die Angestellten über Schutzmaßnahmen informiert?

Vor diesen Hintergründen untersuchen die Prüfer die Dokumentation, sprechen mit Mitarbeitern aus verschiedenen Abteilungen, besuchen das Rechenzentrum und analysieren die TOMs beim Datenschutz. Und: Sie marschieren auch durch die Büros und schauen beispielsweise, ob Mitarbeiter sensible Dokumente offen auf ihrem Schreibtisch liegen lassen. Erst wenn es an keiner Stelle Mängel gibt, geht der Bericht zur zweiten Prüfinstanz.
Für Kunden von Unternehmen wie Kaspersky bedeutet die Zertifizierung, dass sie den Produkten des Anbieters maximal vertrauen können. Und das wiederum kann auch nicht ganz unwichtig sein, wenn es beispielsweise zum Abschluss einer Cyber-Versicherung kommt. Sollten Sie Fragen zu den Produkten von Kaspersky oder zur Zertifizierung haben, nehmen Sie gern Kontakt zu einem unserer Experten aus dem IT-SERVICE.NETWORK auf. Wir beraten Sie ebenfalls unabhängig und setzen uns für die Erhöhung der IT-Sicherheit in Ihrem Unternehmen ein. Wir freuen uns auf Ihre Anfrage!

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen