Durch Zertifizierung zu mehr IT-Sicherheit

Der Trend zur Cloudnutzung ist ungebrochen: Cloud- und Multi-Cloud-Umgebungen haben in den vergangenen Jahren rapide an Bedeutung für Unternehmen gewonnen. Die Pandemie und der damit einhergehende Trend zu Remote Work haben dies noch weiter beschleunigt. Einer Umfrage des Marktforschungsunternehmens Gartner zufolge setzen nicht nur mehr Unternehmen auf Cloud-Lösungen, 75 Prozent der Unternehmen, die diese bereits verwenden, geben sogar an, in Zukunft einen Cloud-First-Ansatz zu verfolgen.

Viele Arbeitgeber wollen auch künftig großen Teilen der Belegschaft das Arbeiten im Homeoffice ermöglichen. Dazu bedarf es allerdings einer entsprechenden Infrastruktur und eines dafür optimierten technologischen Ökosystems. Der Grad der Digitalisierung, besonders in kleinen und mittleren Unternehmen (KMU), muss entsprechend angehoben werden, um in der neuen Arbeitswelt wettbewerbsfähig zu bleiben. Dabei spielt die Cloud eine zunehmend wichtige Rolle.

Studio: Jedes dritte Unternehmen erleidet wirtschaftliche Schäden

Cloud-Anwendungen bieten nicht nur schnelleren Zugriff auf Unternehmensdaten und flexibleres Arbeiten, sie bergen auch diverse Stolpersteine, besonders in Sachen Sicherheit und Datenschutz. Eine aktuelle Cloud-Security-Studie von IDG Research mit TÜV SÜD zeigt: Jedes dritte Unternehmen hat in den vergangenen zwölf Monaten einen wirtschaftlichen Schaden durch Angriffe auf die von ihnen genutzten Cloud-Dienste erlitten – wiederum ein Drittel der betroffenen Unternehmen hatte aufgrund der Angriffe sogar mit einem kompletten Stillstand zu kämpfen. Besonders häufig genannt wurde bei der Art der wirtschaftlichen Schäden eine Unterbrechung des Arbeits- und Produktionsprozesses (43,1 Prozent), kompletter Stillstand des Unternehmens (33,8 Prozent) und der Verlust geschäftskritischer Daten (30,8 Prozent).

Im Zuge der Pandemie mussten viele KMU schnell handeln, um die Geschäftskontinuität zu gewährleisten. Während IT-Sicherheitsabteilungen oftmals die Ressourcen fehlen, um dabei entstandene Fehlkonfigurationen nachträglich zu bereinigen, haben Cyberkriminelle bereits reagiert: Mehr Malware und Ransomware wird über Sicherheitslücken in der Cloud in Unternehmen eingeschleust.

Unternehmen erwarten Cloudzertifizierung

Die Ergebnisse der IDG-Studie zeigen auch, dass Unternehmen bei der Nutzung von Cloud Services zunehmend darauf achten, ob die Anbieter auch eine Zertifizierung vorweisen können. So sagen 83,3 Prozent der befragten IT-Entscheider, dass die Zertifizierung der geplanten Cloud ein wichtiges Auswahlkriterium ist. Jeder Dritte er wartet dabei eine Zertifizierung der Cloud nach ISO/IEC 27701, jeder Vierte eine Zertifizierung nach ISO/IEC 27001.

Einer der effektivsten Wege zur sicheren Nutzung der Cloud ist die anschließende Prüfung durch unabhängige Experten. Diese können dabei helfen, die IT-Sicherheitsabteilungen zu
entlasten und die Daten und Anwendungen innerhalb der Cloud-Umgebung zu sichern. Dabei helfen ihnen unter anderem die Normen ISO/IEC 27001 und deren Erweiterung 27701. Die Normenreihe fordert beispielsweise die Implementierung eines Informationssicherheits-Managementsystems (Information Security Management System, ISMS) zur Sicherung des technologischen Ökosystems von Unternehmen. Dabei handelt sich um eine Aufstellung von Regelungen, Maßnahmen und Programmen, die innerhalb eines Unternehmens angewendet werden sollten.

Wichtig ist, dass dabei aber mehr als nur die verwendete Technologie und die digitale Infrastruktur eines Unternehmens betrachtet wird. Dabei setzt ein ISMS schon auf der Prozessebene an, um sein Ziel der Informationssicherheit im gesamten Unternehmen zu erreichen. Durch diesen ganzheitlichen Ansatz helfen die Normen dabei, jeden Aspekt der Arbeit mit Cloud-Lösungen sicherer zu gestalten: von der Migration über die Datenspeicherung bis hin zu den Zugriffen der Nutzer auf Anwendungen und Informationen.

Wer also dafür sorgt, dass die eigenen Lösungen nach den entsprechenden Normen zertifiziert sind, der kann wirklich von einer sicheren Cloud sprechen. Zudem hilft die Zertifizierung im Schadens- oder Haftungsfall: Die Normenreihe ISO/IEC 2700x bietet Unternehmen im Fall eines Rechtsstreits ein solides Fundament für die Argumentation. Eine Zertifizierung der verwendeten Cloud-Lösungen und -Dienste nach den Normen ISO/IEC 27001 und 27701 hilft dabei, das entsprechende Vertrauen in die Technologie und eine sichere, neue Arbeitswelt zu schaffen.

Autor: Alexander Häußler, Product Compliance Manager ISO/IEC 27001, TÜV SÜD Management Service

Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 1/2022.