Die gesetzlichen Regelungen nehmen in allen Branchen stetig zu, deren Einhaltung wird zunehmend herausfordernder und gelingt nur mithilfe von Digitalisierung bzw. Automatisierung. Dementsprechend steigt auch das Angebot spezifischer Softwareprodukte, was wiederum die Entscheidung für das passende Tool erschwert.
Die Vorteile einer Cloud-Software liegen mittlerweile klar auf der Hand – Stichwort Single Source of Truth mit jederzeitigem, endgeräteunabhängigem Zugriff für berechtigte User. In Europa gelten hierfür umfangreiche regulatorische Vorgaben, insbesondere in Bezug auf Datenschutz und IT-Sicherheit – sowohl für Cloud-Dienstleister (Cloud Service Provider, CSP), als auch deren Kunden (Cloud-User). Die Compliance mit diesen Vorschriften weisen international anerkannte Testate und Zertifikate nach.
Doch was sind Zertifizierungen eigentlich und worauf ist bei der Fülle vorhandener „Konformitätsbewertungen“[1] zu achten? Welche Normen bzw. Anforderungen decken sie ab, wofür gelten sie (Systeme, Prozesse, Produkte und Dienstleistungen, Compliance usw.[2]) und wie laufen Audits ab?
Bedeutung und Vorteile von Zertifizierungen
Unter dem Begriff „Zertifizierung“[3] ist ein Auditverfahren zu verstehen, bei dem eine unabhängige externe Stelle prüft und am Ende bestätigt, dass eine Person oder Organisation, ein Produkt, Service oder Prozess bestimmte Anforderungen erfüllt. Diese Kriterien sind in international gültigen Normen und Standards – darunter ISO (Internationale Organisation für Normung / International Organization for Standardization)[4] oder ISAE (International Standard on Assurance Engagements)[5] – festgelegt. Um deren Einhaltung kontinuierlich nachzuweisen, finden regelmäßige Überprüfungen in Form von Überwachungsaudits und Rezertifizierungen statt.
Testate und Zertifikate haben eine Vielzahl von Vorteilen für die auditierten Unternehmen und ihre Kunden bzw. Partner[6]: Dazu gehören neben der Sicherstellung von Compliance auch die Steigerung der Effizienz oder die Minderung von Rechts- und Haftungsansprüchen usw. Zudem eröffnen sie entscheidende Wettbewerbsvorteile sowie neue Geschäftsmöglichkeiten, tragen zu einem positiven Image bei und schaffen eine solide Vertrauensbasis.
Securityaudits nach ISO und ISAE: Ein Überblick
Bezüglich Daten- und Informationssicherheit bescheinigen einerseits ISO-Zertifikate, andererseits ISAE-Auditreports die Konformität, sprich Compliance eines Cloud-Anbieters bzw. seiner Produkte und Dienstleistungen für den definierten Geltungs- bzw. Anwendungsbereich (Scope)[7]. Diesen sorgfältig zu prüfen, spielt bei der Auswahl des CSP und der Cloud-Software eine bedeutende Rolle. Denn zertifizierte Rechenzentrumssicherheit gilt beispielsweise nicht automatisch auch für die Softwareprodukte oder Cloud-Services.
Grundsätzlich bewerten unabhängige Zertifizierungsstellen – etwa die CIS (Certification & Information Security Services GmbH), die Quality Austria Certification GmbH, der TÜV Austria (Technischer Überwachungsverein) oder die DQS (Deutsche Gesellschaft zur Zertifizierung von Qualitätssicherungssystemen) – im Rahmen von ISO-Audits Managementsysteme. Wirtschaftsprüfungsgesellschaften – z. B. die KPMG (KPMG Alpen-Treuhand GmbH Wirtschaftsprüfungs- und Steuerberatungsgesellschaft) oder die PwC (PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft) – beurteilen nach ISAE die Implementierung und Wirksamkeit Interner Kontrollsysteme (IKS).
Als relevante Nachweise höchster Sicherheits- und Datenschutzstandards beim Cloud-Computing gelten vor allem folgende Managementsystem- und Kontrollaudits: Das ISO 27001-Zertifikat, das C5-Testat des Bundesamts für Sicherheit in der Informationstechnologie (BSI) und der EU Cloud Code of Conduct, Level 3.
ISO 27001 für Informationssicherheits-Managementsysteme (ISMS)
ISO 27001 ist der international führende Standard für die Planung, Implementierung, Überprüfung und fortlaufende Verbesserung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS)[8] in Organisationen aller Größen und Branchen. ISO-Zertifikate gelten demnach für das gesamte Unternehmen inklusive des Produkt- und Dienstleistungsportfolios.
Die Anforderungen umfassen die Bereiche Risikoanalyse und -bewertung von Informationsprozessen, Implementierung von Sicherheitskontrollen und laufende Verbesserung des ISMS. Ziel ist der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sensibler und personenbezogener Daten sowie die Minimierung der Risiken von Sicherheitsvorfällen[9].
Befugte externe Fachleute überprüfen die Einhaltung der Anforderungen in Form von Voraudits, Zertifizierungs- und jährlichen Überwachungsaudits. Dabei stehen die Analyse und Bewertung des Managementsystems (Stufe 1) und im nächsten Schritt die Wirksamkeit der Managementprozesse (Stufe 2) im Fokus. Nach dem Audit bewertet eine akkreditierte Zertifizierungsstelle die Ergebnisse und vergibt das Zertifikat. Rezertifizierungen alle drei Jahre weisen die Erfüllung der Anforderungen kontinuierlich nach.
Fabasoft ist seit Juni 2008 nach ISO 27001 und seit 2015 auch nach ISO 27018 zertifiziert und hat im November 2024 das von der CIS durchgeführte Überwachungsaudit gemäß ISO 27001:2022 inklusive 27018:2019 erfolgreich absolviert. ISO 27018 verpflichtet Cloud-Dienstleister, umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten hinsichtlich der Verarbeitung personenbezogener Daten zu erbringen. Der Geltungsbereich erstreckt sich über die Entwicklung und den Vertrieb eigener Softwareprodukte, Cloud-Services, SaaS-Anwendungen und Appliances sowie die Erbringung damit in Zusammenhang stehender Dienstleistungen an allen Standorten der gesamten Fabasoft Gruppe.
BSI C5-Testat (Cloud Computing Compliance Criteria Catalogue)
Beim BSI C5, einem Standard des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI), handelt es sich um einen Kriterienkatalog[10] mit Mindestanforderungen für Cloud-Anbieter hinsichtlich der IT-Sicherheit und Transparenz ihrer Cloud-Dienste. Ein C5-Testat gilt nicht pauschal für einen CSP bzw. dessen gesamte Infrastruktur, sondern für die geprüften Cloud-Dienste in den festgelegten, geographischen Regionen[11].
Der 2016 erstmals veröffentlichte und 2020 überarbeitete Katalog umfasst aktuell 121 Kriterien aus 17 Themengebieten, darunter physische Sicherheit (Zutrittsregelung, Schutz vor Feuer etc.), Kommunikations- bzw. Netzsicherheit, Zugangs- und Zugriffskontrollen sowie Notfallmanagement.
Das Audit erfolgt nach dem internationalen Standard ISAE 3000 durch unabhängige Wirtschaftsprüfungsgesellschaften und konzentriert sich auf das Interne Kontrollsystem des Cloud-Dienstleisters zur Wahrung der Informationssicherheit. Typ 1-Prüfungen evaluieren die Angemessenheit und Implementierung von Kontrollen, Typ 2-Audits beurteilen auch deren Wirksamkeit. C5-Testate beziehen sich auf einen vergangenen, abgeschlossenen Zeitraum, die Prüfungen finden in der Regel jährlich statt.
Fabasoft erhielt bereits 2017 als erster europäischer Anbieter von Cloud-Dienstleistungen das BSI C5-Testat und weist seither in den vorgeschriebenen Intervallen die Einhaltung hoher Sicherheitsstandards im Cloud-Computing nach. 2025 bestätigte die PwC Deutschland erneut die Compliance und das Engagement von Fabasoft für Datenschutz und IT-Sicherheit. Die finalen Prüfergebnisse liegen als ISAE-Auditreport vor, das Testat gilt für die Fabasoft Cloud und für sämtliche darauf basierenden aktuell verfügbaren Solutions sowie Mindbreeze InSpire SaaS.
EU Cloud Code of Conduct, Level 3
Der „EU Data Protection Code of Conduct for Cloud Service Providers“, kurz EU Cloud Code of Conduct (EU Cloud CoC), ist ein länderübergreifender, umfassender Verhaltenskodex für Cloud-Anbieter zur einheitlichen Durchsetzung europäischer Datenschutzstandards auf Basis der DSGVO (Datenschutzgrundverordnung – Artikel 28 und 40)[12]. Er lädt CSP aller Größen und Sektoren zum Beitritt ein und bietet dazu unterschiedliche Mitgliedschaftsoptionen[13]. Von SCOPE Europe in Zusammenarbeit mit Cloud-Anbietern und EU-Behörden entwickelt, deckt er das gesamte Spektrum der Cloud-Services ab, einschließlich Software (SaaS), Plattform (PaaS) und Infrastruktur (IaaS).
Der Kodex enthält Bestimmungen zur DSGVO-konformen Verarbeitung personenbezogener Daten (Datenschutz) und zur Implementierung angemessener technischer und organisatorischer Maßnahmen zum Datenschutz (Sicherheitsanforderungen). Zudem beschreibt er Mechanismen zur Überprüfung der Einhaltung (Monitoring und Compliance) sowie zu den internen Strukturen und Prozessen zur Umsetzung (Interne Governance)[14]. Die Anforderungen des EU Cloud CoC sind in einem Kontrollkatalog definiert.
SCOPE Europe bewertet und bestätigt jährlich als unabhängiger „Monitoring Body“ die Compliance mit dem Kodex. Cloud-Anbieter können in drei Compliance-Levels dokumentieren, dass sie die Vorgaben erfüllen: Level 1 sieht die interne Bestätigung durch den CSP vor, welche die externe Überwachungsstelle validiert. Level 2 erfordert zusätzlich zu internen teilweise auch offizielle Konformitätsbewertungen aus Sicherheitsaudits, während Level 3 als höchste erreichbare Stufe zur Gänze auf international anerkannten Testaten und Zertifikaten beruht[15].
Fabasoft erreichte 2021 mit der Fabasoft Cloud und den darauf basierenden Solutions als weltweit erstes Unternehmen den Level 3 des EU Cloud Code of Conduct, den höchsten Cloud-Datenschutzstandard der EU.
Cloud-Compliance eröffnet neue Geschäftsmöglichkeiten
Datenschutz und IT-Sicherheit sind untrennbar mit der fortschreitenden Digitalisierung und Automatisierung verbunden, welche die zunehmende Regulierung in allen Branchen erfordert. Cloud-Computing hat sich dahingehend als hilfreich erwiesen – und etabliert.
In Europa gelten strenge Sicherheitsstandards für Cloud-Anbieter und -User. Deren Einhaltung ist eine gesetzliche Notwendigkeit, dementsprechend bedeutend sind auch international anerkannte Testate und Zertifikate als Konformitätsnachweise. Diese zeigen nicht nur das besondere Engagement von Cloud-Dienstleistungsunternehmen im ausgewiesenen Geltungs- bzw. Anwendungsbereich, sondern bieten auch eine verlässliche Orientierungshilfe bei der Auswahl von Cloud-Software bzw. -Services für Privatunternehmen und Verwaltungsorganisationen. Vor allem das ISO 27001-Zertifikat, das BSI C5-Testat und der EU Cloud Code of Conduct, Level 3 weisen Cloud-Compliance nach – und führen zu entscheidenden Wettbewerbsvorteilen und neuen Geschäftsmöglichkeiten.
P.S.: Die Fabasoft Softwareprodukte und Cloud-Services sind in Bezug auf Zuverlässigkeit, Daten- und Rechenzentrumssicherheit sowie Barrierefreiheit vielfach international zertifiziert und ausgezeichnet. Details dazu finden Sie hier.
[1] https://www.austrian-standards.at/de/shop/din-en-iso-iec-17000-2020-09~p2547111
https://de.wikipedia.org/wiki/Konformit%C3%A4tsbewertung
[2] https://www.dgq.de/fachbeitraege/das-audit-kurz-und-kompakt-erklaert/
[3] https://de.wikipedia.org/wiki/Zertifizierung
[4] https://www.iso.org/home.html
[5] https://de.wikipedia.org/wiki/International_Standards_for_Assurance_Engagements
[6] https://www.din-iso-zertifizierung-qms-handbuch.de/zertifizierung/
[7] https://pwc-cert.com/wp-content/uploads/2017/07/PwC-Certification-Services-GmbH-Infoblatt-Auditierung-und-Zertifizierung-2.0.pdf
[8] https://www.dqsglobal.com/de-de/zertifizieren/iso-27001-zertifizierung
[9] https://www.secjur.com/blog/isms-zertifizierung
[10] https://www.bsi.bund.de/dok/13368652
[11] https://www.bsi.bund.de/dok/C5-FAQ
[12] https://eucoc.cloud/en/home
[13] https://eucoc.cloud/en/participate/membership-options/
[14] https://www.edpb.europa.eu/system/files/2024-02/eucloudcoc.pdf
[15] https://eucoc.cloud/en/public-register/levels-of-compliance
