ISO Zertifizierung benötigt? schaut genau hin!

kruemeltee

Super-Moderator
Hallöchen Gemeinde,

endlich kann ich etwas aus meinem Erfahrungskreis berichten. Aber eins Vorweg: es ist eigentlich keine Abzocke, sondern eher eine Augenwischerei (wie bei so vielen Gesetzen).

Es geht hier um die ISO Zertifizierung 27001 (Informations- und Sicherheitsmanagement-System).
http://de.wikipedia.org/wiki/ISO/IEC_27001
Im Grunde eine Art Nachweis, dass ein Unternehmen sich tatsächlich um die Abläufe im Unternehmen kümmert, für die Sicherheit der Daten sorgt und selbstständig Schwachstellen entdeckt und diese behandelt (so ganz grob).

Manche Institute benötigen in Zusammenarbeit mit anderen Unternehmen oder Dienstleistern dringend diese Zertifizierung (etwa analog zur PCI Zertifizierung, die zwingend benötigt wird, wenn man in Datenverarbeitenden Systemen mit Kreditkarten und deren Daten arbeiten will; einfaches Beispiel: ein Shop der es Euch ermöglicht, mit Kreditkarte zu zahlen). Die ISO 27001 ist etwas vergleichbares, leider nur nicht so zwingend benötigt.

Die ISO 27001 ist leider (wie vermutlich viele Gesetze) sehr allgemein veranschlagt und lässt nicht nur Spielraum für Interpretationen sondern auch in der Argumentation. Sie beginnt mit dem sogenannten Scope, eine Art "worauf im Unternehmen beziehe ich mich". Der Erfahrung nach fragen die meisten Unternehmen nur "seid Ihr ISO zertifiziert?", hat das Unternehmen eine solche, dann sagen sie "ja", und das wars. Die Frage "was habt Ihr denn zertifiziert?" stellt kaum einer, sie sehen das Zertifikat und dann nur noch das "ok".

Das Problem? Machen wir es an einem Beispiel (etwas extrem, aber durchaus möglich). Nehmen wir ein Kreditkarten-Institut: die Zertifzierung bedeutet für mich als Kunde: die Daten sich sicher, können nicht entwendet werden. Und falls eine Schwachstelle auftritt, welches durch regelmäßige ernsthafte interne Kontrollen ermittelt wird, dann behebt man diese. Was aber wenn der "Scope" sich nur auf die Herstellung der Karten selbst bezieht, nicht aber auf die Datenverarbeitung dahinter? Dann ist das Unternehmen immer noch "ISO 27001 zertifziert" und lässt uns damit im Glauben, es sei alles halbwegs sicher. Wenn die aber nur eine Gütekontrolle bei der Herstellung der Kreditkarten im Scope haben, dann nützt mir das herzlich wenig wenn es um meine Daten auf der Karte geht.

Daher der gut gemeinte Rat: achtet auf den Scope (den müssen die Euch zur Verfügung stellen). Lest diesen genau durch und nehmt nicht einfach ein solches Zertifikat hin.

Grüße
kruemeltee
 
Zuletzt bearbeitet:
Oben