Sicherheitszertifizierungen: Mehr als nur Siegel – Warum unabhängige Prüfungen im Backup-Geschäft unverzichtbar sind

Im Markt für Cloud-Backups gehören Zertifizierungen längst zum Pflichtprogramm. Doch was unterscheidet eine ISO-Zertifizierung von einem SOC-2-Bericht? Und warum verlangen Unternehmen zunehmend dokumentierte Nachweise statt allgemeiner Zusagen? Kim Larsen, Chief Information Security Officer bei Keepit, erläutert in seinem Blogbeitrag, welche Standards relevant sind und wie sie konkret zur Risikominimierung beitragen.

Unterschiedliche Standards, unterschiedliche Aussagekraft

In der Praxis werden Begriffe wie Zertifizierung, Attest oder Assessment häufig synonym verwendet. Dabei handelt es sich um verschiedene Prüfformate mit unterschiedlichem Fokus.

Eine Zertifizierung erfolgt durch akkreditierte Organisationen nach festgelegten Normen. ISO/IEC 27001 definiert die Anforderungen, Institutionen wie die British Standards Institution führen die Prüfung durch.

Attestierungsberichte werden von unabhängigen Prüfern erstellt und bewerten Kontrollmechanismen nach definierten Kriterien. Typ-1-Berichte analysieren die Konzeption zu einem bestimmten Stichtag, Typ-2-Berichte prüfen die tatsächliche Wirksamkeit über mehrere Monate. SOC 2 und ISAE 3402 folgen diesem Prinzip.

Branchenlabels wie TISAX kombinieren standardisierte Bewertungen mit sektorspezifischen Anforderungen. Ursprünglich für die Automobilindustrie entwickelt, basiert TISAX auf ISO/IEC 27001 und erweitert die Kriterien um Schutzanforderungen für Kundendaten und geistiges Eigentum.

Weshalb Backups besondere Aufmerksamkeit erfordern

Backup-Systeme bilden die finale Absicherungsebene. Fehlt hier die Verfügbarkeit oder Integrität, scheitert die Wiederherstellung im Ernstfall. Zertifizierungen validieren Prozesse, die Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen – die drei Säulen der Informationssicherheit.

Für Risiko- und Compliance-Verantwortliche bieten sie überprüfbare Belege dafür, dass Business-Continuity- und Disaster-Recovery-Maßnahmen nicht nur konzipiert, sondern auch umgesetzt und regelmäßig getestet werden.

Zudem unterstützen sie die Erfüllung regulatorischer Vorgaben. Die EU-Richtlinien NIS2 und DORA sowie die Datenschutz-Grundverordnung fordern nachweisbare Prozesse für Incident Response und Kontinuitätsmanagement. In den USA verlangen SEC und FINRA ähnliche Dokumentationen zur operativen Resilienz.

Keepits Zertifizierungsportfolio

ISO/IEC 27001: Unternehmensweite Zertifizierung

Die ISO-27001-Zertifizierung von Keepit umfasst alle Unternehmensbereiche und Standorte – von der Technologieentwicklung über den Betrieb bis zu Vertrieb und Rechtsabteilung. Die British Standards Institution prüft dabei 150 Kontrollpunkte und legt Wert auf regelmäßige interne Audits sowie kontinuierliche Verbesserungsprozesse.

ISAE 3402 Typ II: Jährliche Wirksamkeitsprüfung

Die jährliche ISAE-3402-Typ-II-Prüfung liefert einen Assurance-Bericht, der die operative Wirksamkeit definierter Kontrollen über den gesamten Berichtszeitraum dokumentiert. Anders als bei einer Zertifizierung handelt es sich um eine zeitraumbezogene Bestätigung der Kontrollfunktionen.

SOC 2 Typ 1: Stichtagsbezogene Bestätigung

Der von Deloitte geprüfte SOC-2-Typ-1-Bericht bestätigt Design und Implementierung von 108 Kontrollen gemäß den Trust Services Criteria des American Institute of Certified Public Accountants. Die Prüfung erfolgt zu einem definierten Zeitpunkt.

TISAX: Dreijahres-Label für die Automobilbranche

Das TISAX-Assessment prüft das Informationssicherheits-Managementsystem in Bereichen wie Zugriffskontrolle, Datenschutz, Verschlüsselung, physische Sicherheit, Incident Response sowie Geschäftskontinuität. Keepit hat die Bewertung ohne wesentliche Beanstandungen abgeschlossen.

TISAX etabliert sich zunehmend als Standard in der DACH-Region – nicht nur bei Automobilherstellern, sondern auch bei Software- und IT-Dienstleistern, die mit dieser Branche zusammenarbeiten. Zudem setzen angrenzende Sektoren wie Fertigung und Mobilität vermehrt auf dieses Label bei Lieferantenbewertungen.

Vorteile für Kunden

Effizientere Prüfprozesse: Unabhängige Audits reduzieren den Aufwand bei Vendor-Assessments. Beschaffungs- und Sicherheitsteams erhalten objektive Nachweise, die den Fragebogen-Zyklus verkürzen.

Regulatorische Nachweisführung: ISO/IEC-27001- und SOC/ISAE-Berichte decken Anforderungen ab, die Aufsichtsbehörden an Tests, Kontinuität und Zugriffskontrolle stellen. Sie erleichtern den Nachweis, wie Anbieterkontrollen zur Erfüllung eigener Compliance-Verpflichtungen beitragen.

Praktische Umsetzung statt Dokumentation: Die Prüfung umfasst operative Abläufe wie Backup-Management, Incident Response und Recovery-Tests. Maßnahmen zur Geschäftskontinuität und Wiederherstellung werden nicht nur dokumentiert, sondern auf Funktionsfähigkeit geprüft.

Strukturiertes Lieferantenrisiko-Management: Zertifizierungen schaffen eine Grundlage für datenbasierte Risikobewertungen und ersetzen subjektive Einschätzungen durch verifizierte Nachweise.

Klare Kommunikation: Definierte Prüfungsumfänge, benannte Auditoren und dokumentierte Berichtszeiträume ermöglichen schnellere Entscheidungen bei der Anbieterwahl.

Nutzen für Anbieter

Höhere operative Anforderungen: Formelle Audits fördern Disziplin in allen Unternehmensbereichen – von Sicherheitsoperationen über Technik bis zu Personal und Lieferung.

Marktzugang: Viele Ausschreibungen setzen ISO/IEC 27001 oder SOC/ISAE-Berichte voraus. Audit-Readiness verkürzt Vertriebszyklen und reduziert Aufwände bei der Angebotserstellung.

Kontinuierliche Optimierung: Das Managementsystem-Modell von ISO/IEC 27001 mit internen Audits, Management-Reviews und Korrekturmaßnahmen sorgt für aktuelle und wirksame Praktiken.

Nachweisbare Reife: Periodische Berichte wie SOC 2 Typ 2 oder ISAE 3402 Typ II dokumentieren nicht nur Konzepte, sondern die nachhaltige Wirksamkeit über definierte Zeiträume.

Verhältnis zu gesetzlichen Anforderungen

Zertifizierungen ersetzen keine Compliance-Maßnahmen, unterstützen sie aber durch Dokumentation von Kontrollen, Tests und Kontinuitätsprozessen, die Aufsichtsbehörden erwarten. Sie verbinden produktbezogene Sicherheit mit organisatorischen Ergebnissen – von Incident Reporting und Resilience Testing gemäß NIS2 und DORA bis zu Aufbewahrungspflichten nach SEC und FINRA. Das reduziert Gap-Analysen und ermöglicht die Wiederverwendung geprüfter Nachweise bei Audits.

Bild/Quelle: https://depositphotos.com/de/home.html