Adacor - Hosting

Sicheres Cloud Hosting durch zertifizierte Compliance

14. Februar 2018 von Andreas Bachmann

Wie andere kompetente Partner für Cloud- und Hosting-Projekte ist Adacor in der Lage, alle Anforderungen an Compliance und IT-Sicherheit durch verschiedene allgemein anerkannte Zertifizierungen zu erfüllen. Das dokumentiert einen professionellen Umgang mit aktuellen Sicherheitsanforderungen und bietet auch den Kunden Vorteile.

Viele große Konzerne können es sich leisten, aber nur wenige Mittelständler und vor allem kaum kleinere Unternehmen verfügen über die Ressourcen und Kompetenzen, ihre IT-Infrastruktur permanent und lückenlos den aktuellen Sicherheitsanforderungen anzupassen und dies per Zertifizierung oder Audit nachzuweisen. Denn die Einhaltung dieser Normen zu belegen, erfordert Zeit, kompetente Unterstützung und Manpower. Und ein Zertifizierungsprozess kostet Geld: Für eine Auditierung nach IDW PS 951 müssen Unternehmen je nach Größe oder Reifegrad ihres internen Kontrollsystems mit 10.000 bis 100.000 Euro an internen und externen Kosten rechnen.
Aus diesem Grund ist es von Vorteil, beim IT-Outsourcing Aufträge an Unternehmen zu vergeben, die diese Anforderungen bereits erfüllen. Sie bieten die Möglichkeit, IT-Infrastruktur und Prozesse so zu implementieren, dass ihre Auftraggeber unter den Schirm der von ihnen erlangten Testate und Zertifizierungen gelangen können.

ISO 27001 Zertifizierung: Umsetzung des IT-Grundschutzes

Es ist kein vom Gesetzgeber gefordertes Muss. Aber die ISO 27001 erfüllt gesetzliche Auflagen und bietet so den Vorteil, dass nachgewiesen werden kann, dass zum Beispiel grundlegende Sicherheitsmaßnahmen nach §11 Bundesdatenschutzgesetz (BDSG) und damit einhergehend nach der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) erfüllt sind. Das betrifft die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag – ein für Hoster, Rechenzentren und Telekommunikationsanbieter wesentlicher Schwerpunkt des Geschäftsmodells.
Adacor betreibt Infrastrukturen in den beiden Hochsicherheitsrechenzentren NTT (ehemals e-shelter) Frankfurt und Interxion FRA 7. Beide Standorte verfügen über das zertifizierte Sicherheitsmanagement ISO 27001. Dabei geht es aber nicht nur darum, sich rechtlich abzusichern. Diese Zertifizierungen sind allgemein ein gutes Indiz für mehr Sicherheit, denn die Zertifizierung belegt, dass diese Rechenzentren ein System aus Maßnahmen und Prozessen zur Sicherstellung der IT-Sicherheit implementiert haben. Kunden, die personenbezogene Daten über Adacor verarbeiten lassen, und gemäß der Verordnungen verpflichtet sind, sich regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen, können dies anhand des Dienstleister-Zertifikats nachweisen. In der Regel können sie damit den Prüfungsaufwand bei ihren Dienstleistern stark reduzieren.

IDW PS 951 / ISAE 3402 – Audits eines internen Kontrollsystems

Seit 2013 lässt Adacor das dienstleistungsbezogene Interne Kontrollsystem (IKS) jährlich von einem unabhängigen Wirtschaftsprüfer nach IDW (PS) 951 Typ 2 und dem internationalen Pendant ISAE 3402 Typ 2 auditieren. Ein dienstleistungsbezogenes internes Kontrollsystem soll die Korrektheit von bilanzrelevanten Daten der Kunden sicherstellen, soweit diese durch die erbrachten Dienstleistungen beeinflusst werden können. Das IKS von Adacor enthält mehr als 70 Maßnahmen in den Bereichen IT-Sicherheit, Compliance, Servicequalität und Risikomanagement.
Der IDW Prüfungsstandard (PS) 951 wurde speziell für die Analyse eines internen Kontrollsystems bei Dienstleistungsunternehmen beziehungsweise Outsourcing-Unternehmen konzipiert. Gegenstand der Prüfung sind Existenz und Wirksamkeit der internen Kontrollsysteme sowie deren Organisation vor allem bezogen auf die Serviceprozesse, IT-Sicherheit und das Risiko- und Notfallmanagement.
Managed Service Provider wie Adacor, die unter anderem rechnungslegungsrelevante Geschäftsprozesse oder IT-Services zur Verfügung stellen, bestätigen mit den Prüfberichten nach PS 951 beziehungsweise ISAE 3402, dass sie ein funktionierendes dienstleistungsbezogenes internes Kontrollsystem (IKS) betreiben. In der Branche spricht man auch von einem „Third-Party-Report“. Mit dem Dokument kann Adacor Bestands- und Neukunden ebenso wie Aufsichtsbehörden nachweisen, dass alle notwendigen Qualitäts- und Sicherheitsvorkehrungen getroffen wurden und diese kontinuierlich kontrolliert und verbessert werden. Innerhalb eines Konzerns wird ebenfalls häufig ein ISAE-3402-Bericht als Nachweis zur ordnungsgemäßen Überwachung angefertigt – und zwar in der Regel dann, wenn die Verarbeitung rechnungslegungsrelevanter Prozesse in eine eigenständige Unternehmenseinheit ausgelagert wurde.

Adacor Private Cloud für Unternehmen

Adacor Private Cloud so sicher wie im eigenen Rechenzentrum.

Jetzt über Business Cloud informieren!

Moderne Cloud Lösung für eine sichere IT.
Betrieben in Deutschland.

VDA ISA-Audit Fragenkatalog für TISAX

Anfang 2017 hat Adacor das Information Security Audit (ISA) des Verbands der deutschen Automobilindustrie (VDA),  sowie die Volkswagen-Prüfung der Stufe 3 (geheime Informationen) bestanden. Damit gehören wir als Hosting-Spezialist zu den ersten offiziellen Mitgliedern des TISAX-Netzwerks. TISAX steht für „Trusted Information Security Assessment Exchange“ und bezeichnet einen gemeinsamen Prüf- und Austauschmechanismus aller Unternehmen im VDA-Kontext. Der VDA gibt seit 2005 eine Empfehlung zu Anforderungen der Informationssicherheit für Unternehmen der Automobilindustrie – kurz ISA – heraus. Dahinter steht ein Fragenkatalog, der als Leitfaden für den Einstieg in die Normen ISO 27001 und ISO 27002 dient, und regelmäßig aktualisiert wird. Den Ergebniskatalog verwenden die VDA-Mitglieder sowohl für interne Zwecke als auch zur Prüfungen von Lieferanten und Dienstleistern, die sensible Informationen aus den jeweiligen Unternehmen verarbeiten.

Zertifizierungen und Kompetenzen einzelner Mitarbeiter

Ein Unternehmen ist immer nur so gut, wie die Summe seiner einzelnen Mitarbeiter. Kompetenz und gute Teamorganisation machen es letztendlich erst möglich, dass die Voraussetzungen für unternehmensweite Zertifizierungen – wie zuvor beschrieben – erfüllt werden. Aber auch regelmäßige Schulungen und Zertifizierungen einzelner Mitarbeiter oder Teams gewährleisten, dass immer alle Experten auf ihrem Gebiet auf dem neuesten Stand sind. Nur so gelingt es, Kunden beste Servicequalität, hohe IT-Sicherheit und die Einhaltung aller Compliance-Vorgaben zu garantieren.

Adacor Mitarbeiter besitzen folgende Zertifizierungen

  • ITIL Foundation:
    ITIL steht für IT Infrastructure Library. Damit sind alle Prozesse und Funktionen, die üblicherweise die IT-Infrastruktur mittlerer und großer Unternehmen bestimmen, gemeint. 2005 entstand das erste ITIL-orientierte Zertifizierungsmodell, das seitdem kontinuierlich aktualisiert wird. Es ist möglich, die Mitarbeiter eines Unternehmens zu zertifizieren, nicht jedoch komplette Unternehmen oder Management-Systeme.
  • VMware Certified Professional (VCP):
    Ein VMware-Certified-Professional-Programm vermittelt IT-Mitarbeitern Kenntnisse und Fertigkeiten zur erfolgreichen Installation, Bereitstellung und Wartung von VMware-Virtualisierungstechnologien. Die Zertifizierung als VMware Certified Professional (VCP) ist der Nachweis aller erforderlichen Kenntnisse über Implementierung, Administration und Fehlerbehebung bei diesen Infrastrukturen.
  • Linux Professional (LPIC):
    Das Betriebssystem Linux wird häufig auf Servern aber auch im mobilen Bereich eingesetzt. Seit 1999 entwickelt das Linux Professional Institute (LPI) professionelle Zertifizierungen für das Betriebssystem, die unabhängig von Software- oder Schulungsanbietern sind. Das Zertifizierungsprogramm „Linux Professional Institute Certification“ (LPIC) prüft in einer ersten Stufe allgemeines Linux-Wissen, wie es für „ambitionierte Anwender“, Systemadministratoren, Entwickler oder Berater wichtig ist. Weitere höhere Stufen wenden sich an Systemadministratoren.
  • ISO 27001 Foundation & Lead Implementer (TÜV):
    Das Zertifikat „Information Security Foundation auf Basis der ISO/IEC 27001“ bescheinigt seinen Absolventen umfassendes Basiswissen auf dem Gebiet der Informationssicherheit. Sie kennen die Anforderungen der internationalen Norm ISO/IEC 27001 in ihrer aktuellen Ausgabe und sind so in der Lage, ein effektives Informationssicherheitsmanagementsystem mitaufzubauen und entsprechende Audits zu betreuen.
  • Datenschutzbeauftragter (TÜV):
    Für Hoster ist die Benennung eines Datenschutzbeauftragten eigentlich selbstverständlich. Die TÜV-Unternehmen vermitteln in ihren Lehrgängen den rechtssicheren Umgang mit personenbezogenen Daten und Wissen über alle Aspekte der technischen und organisatorischen Maßnahmen zum Datenschutz.
  • Scrum Master:
    Die Softwareentwicklung und das IT-Management sind von agilen Prozessen und somit von einer hohen Dynamik geprägt. Eine Management-Methode, sie dafür sorgt, dass diese Prozesse strukturiert und zielgerichtet verlaufen, ist Scrum. Der Scrum Master ist sozusagen die Seele eines solchen Prozesses. Scrum.org bietet umfassende Schulungen, Assessments und Zertifizierungen an, um Scrum Master für ihre Aufgaben zu befähigen.
  • Product Owner:
    Im Scrum-Prozess spielt der sogenannte Product Owner (PO) eine zentrale Rolle. Er ist für die Wertmaximierung eines Produkts und die Arbeit des Entwicklungsteams verantwortlich. Auch für diese Funktion im Scrum-Team werden dezidierte Schulungen angeboten.

Adacor Cloud Adoption Framework

Mit dem Cloud Adoption Framework brechen wir IT-Projekte in überschaubare Arbeitspakete auf.

Mehr als 50 Tools, Vorlagen und geführte Workshops

In 5 Min verschafft Ihnen Adacor CEO Andreas Bachmann mit seinem Video einen Überblick

Jetzt informieren

Fazit

Ist ein Managed-Hosting-Partner zertifiziert, profitieren auch seine Auftraggeber – sie können unter den Schirm der von ihm erlangten Testate und Zertifizierungen schlüpfen. Die ISO 27001 ist zwar kein gesetzliches Muss, dokumentiert jedoch dass alle grundlegenden Sicherheitsmaßnahmen nach §11 BDSG und damit einhergehend nach der neuen EU-Datenschutzgrundverordnung EU-DSGVO erfüllt sind – Kriterien, die zunehmend an Bedeutung gewinnen. Unternehmen, die rechnungslegungsrelevante Geschäftsprozesse oder IT-Services in Auftrag geben, sollten sich bestätigen lassen, dass ihr Provider ein funktionierendes dienstleistungsbezogenes internes Kontrollsystem (IKS) betreibt. Das testieren die IDW (PS) 951 Typ 2 und das internationale Pendant ISAE 3402 Typ 2. In einigen Branchen – zum Beispiel in der Automobil-Industrie – sind spezielle Audits von Bedeutung. Adacor beispielsweise hat das Information Security Audit (ISA) des Verbands der deutschen Automobilindustrie sowie die Volkswagen-Prüfung der Stufe 3 absolviert. Und nicht zu vergessen: Jedes Unternehmen ist immer nur so gut, wie die Summe seiner einzelnen Mitarbeiter. Deshalb lohnt sich ein Blick auf die Qualifikationen der Mitarbeiter in Schlüsselpositionen.

Verwandte Artikel