Wer Firmendaten und Prozesse wirklich absichern will, sollte wissen, wie sicher die eigene Cloud ist und wie Partner es mit der SICHERHEIT halten.
Mitte Mai wurde zum zehnten Mal der KPMG-Cybersecurity-Report für Österreich veröffentlicht. Mit der Befragung von 1.391 Unternehmen in allen Branchen und Firmengrößen gibt er validen Einblick in eine Lage, die nach wie vor angespannt bleibt. Angreifer passen Strategien permanent an und haben mit der generativen KI ein neues Arsenal an die Hand bekommen. Obwohl viele – vor allem große Unternehmen – durchaus bewusst mit den Bedrohungen umgehen, bleibt der Handlungsdruck hoch.
Eine Schlüsselerkenntnis aus dem jüngsten Report ist das systemische Risiko, das sich aus der zunehmenden Vernetzung von Prozessen über das eigene Unternehmen hinaus ergibt. Abgefragt wurde von KPMG etwa auch der Wissensstand über die Sicherheitsmaßnahmen bei Partnern: Immerhin 34 Prozent fragen bei ihren Dienstleistern konkret nach, wie und womit diese ihre Sicherheit garantieren. Aber ganze 38 Prozent der Befragten gab an, überhaupt nicht zu wissen, welche technischen oder organisatorischen Sicherheitsgarantien ihre Lieferanten oder Dienstleister haben.
Über die Abwehrfähigkeit von Geschäftspartnern nicht Bescheid zu wissen, ist problematisch. In der Umfrage hatte bereits jedes dritte Unternehmen in Österreich einen Cyberangriff „mitzutragen“, der Lieferanten oder Dienstleistern gegolten hatte, aber auf das eigene Geschäft Auswirkungen hatte.
SENSIBLE CLOUD.
Eine besonders heikle IT-Ressource ist die Cloud, die in Österreich von 93 Prozent der Unternehmen mit mehr als 20 Mitarbeitenden genutzt wird. Wem die eigenen Firmendaten zur Speicherung und Verwaltung tatsächlich anvertraut werden, wird in geopolitisch schwierigen Zeiten stärker hinterfragt – und digitale Souveränität als Handlungsoption gesehen. Beim Cloudcomputing sind Standardzertifikate wie ISO 27001 nur bedingt aussagekräftig.
Für die Cloud gibt es spezialisierte Prüfverfahren wie den Cloud of Conduct der EU (Kasten oben) oder das Siegel des deutschen Bundesamt für Sicherheit in der Informationstechnik. Mehr Selbstbestimmung in Sachen Sicherheit setzt allerdings Wissen voraus, wie Robin Schmeisser, Geschäftsführer der Fabasoft Contracts, weiß
Besonders im Cloud-Zeitalter geht es nicht mehr nur um Funktionalität, sondern auch um Transparenz, sichere Datenverarbeitung und Rechtskonformität, also Compliance.
GLOSSAR
ISO 27001.
Ein Sicherheitsklassiker, der Anforderungen an Informationssicherheitsmanagementsysteme in Unternehmen stellt und u. a. die organisatorische Planung von Sicherheitsprozessen in Unternehmen umfasst.BSI C5.
Das deutsche BSI ergänzt etablierte Standards wie ISO 27001 um spezifi che Kriterien für Cloudsicherheit, etwa Verschlüsselung, Zutrittskontrollen, Exit-Strategien etc.EU CLOUD CODE OF CONDUCT.
Dieses europäische Sicherheitszertifikat ist auf Cloudserviceanbieter zugeschnitten. Relevant ist die Prüfung des Codes nach Level 3, der die DSGVO-Konformität testiert.ISAE.
Der sogenannte International Standard on Assurance Engagements legt fest, wie die Prüfberichte zu erstellen sind.
„ZERTIFIKATE ERÖFFNEN KLARE WETTBEWERBSVORTEILE“
Fabasoft-Contracts-Geschäftsführer ROBIN SCHMEISSER erklärt, warum die Wahl der richtigen Zertifikate gerade heute so entscheidend ist.
© Fabasoft
Seit die USA von Donald Trump regiert werden, strebt Europa verstärkt nach digitaler Souveränität. Warum ist das Thema aus Ihrer Sicht so präsent?
Digitale Souveränität bedeutet, dass Unternehmen, die öffentliche Verwaltung und Privatpersonen jederzeit die Kontrolle über ihre Daten und Systeme haben, ohne versteckte Abhängigkeiten, unklare Datenflüsse oder unbefugte Zugriffe durch Dritte. Besonders im Cloud-Zeitalter geht es nicht mehr nur um Funktionalität, sondern auch um Transparenz, sichere Datenverarbeitung und Rechtskonformität, also Compliance. Wichtig ist: In Europa gelten strenge Vorschriften rund um Datenschutz und IT-Sicherheit sowohl für Cloud-Anbieter als auch für -User.
Diese strengen Vorschriften und Sicherheitsmaßnahmen in Europa kommen Unternehmen gerade jetzt zugute, könnte man sagen. Die Frage ist, wie erkennen Verantwortliche, welches das richtige „Pickerl“ für ihre Cloud ist?
Zu Ersterem sage ich ganz klar: Ja, denn Sicherheit ist der entscheidende Faktor für selbstbestimmtes, souveränes Handeln und Entscheiden. Heute mehr denn je, da Digitalisierung und Automatisierung unverzichtbar für den Geschäftserfolg geworden sind. Ein guter, verlässlicher Cloudanbieter weist die Compliance mit entsprechenden Testaten und Zertifikaten nach. Im Rahmen von Audits prüfen und bestätigen unabhängige externe Fachleute die Erfüllung bestimmter Anforderungen, etwa zu Daten- und Informationssicherheit. Die Kriterien sind in internationalen Normen und Standards wie ISO* oder ISAE definiert.
Diese Standards sorgen für den technischen Rahmen. Reicht das, oder müssen Unternehmen bei Cloud-Dienstleistungen noch auf Spezielles Augenmerk legen?
Diese sogenannten Konformitätsbewertungen betreffen Systeme, Prozesse, Produkte, Services oder ganze Organisationen. Bei der Auswahl eines Clouddienstleisters bzw. einer Cloudsoftware ist es essenziell, den Scope, also den exakten Geltungs- bzw. Anwendungsbereich sorgfältig zu prüfen. Denn beispielsweise gilt zertifizierte Rechenzentrumssicherheit nicht automatisch auch für die Softwareprodukte oder Cloudservices eines Anbieters.
Mit einem ISO-Zertifikat bin ich nicht automatisch „safe“ und muss mir einzelne Komponenten meiner Cloud separat anschauen. Gibt es keine Testate, die hier Sicherheit geben?
Bei ISOAudits stehen Managementsysteme im Fokus, während bei ISAE interne Kontrollsysteme beurteilt werden. Als relevante Nachweise höchster Sicherheits- und Datenschutzstandards beim Cloudcomputing gelten vor allem folgende Kontrollaudits: etwa das C5-Testat des BSI und der EU Cloud Code of Conduct Level 3.
Auf die Kriterien des deutschen Bundesamts für Sicherheit zu vertrauen, klingt naheliegend. Was macht das BSI anders oder besser?
Das BSI definiert Mindestanforderungen für Cloudanbieter in Bezug auf IT-Sicherheit und Transparenz, etwa Zugangs- und Zugriffskontrollen sowie Notfallmanagement. Der Scope des Testats umfasst genau die geprüften Clouddienste.
Und was setzt die EU mit dem Cloud Code of Conduct da noch oben drauf?
Dieser EU-weite Verhaltenskodex für Clouddienstleister dient der einheitlichen Durchsetzung europäischer Datenschutzstandards. Für Level 3, die höchste erreichbare Stufe, stützt sich SCOPE Europe als Prüfungsinstanz ausschließlich auf international anerkannte Testate. Das macht dieses Zertifikat zu einem echten Nachweis für DSGVO-Konformität. Der EU Cloud CoC deckt das gesamte Spektrum der Cloud-Services ab einschließlich Software, Plattform und Infrastruktur.
Warum zahlt sich das aus? Zertifikate sind ja auch mit Arbeit und Kosten verbunden.
Auditierte Unternehmen sowie deren Kunden und Partner profitieren in vielerlei Hinsicht davon: Sie stellen nicht nur die Konformität sicher, sondern reduzieren auch rechtliche Risiken und erhöhen die Effizienz. Zertifizierungen eröffnen klare Wettbewerbsvorteile und neue Geschäftsmöglichkeiten. Vor allem das BSI-C5-Testat oder der EU Cloud Code of Conduct nach Level 3 schaffen eine solide Vertrauensbasis, die heute geschäftsentscheidend ist, sowohl für Cloud-Anbieter als auch für -User.
ZUR PERSON.
ROBIN SCHMEISSER beschäftigt sich seit 2004 intensiv mit der Digitalisierung von Geschäftsprozessen. Nach langjähriger Gesch.ftsführertätigkeit bei einem Softwarehersteller ist er seit 2021 für Fabasoft Contracts verantwortlich.
