IT-Sicherheitsstandards und -gesetze werden in der zunehmend digitalisierten Welt immer bedeutsamer. Sie geben klare Richtlinien für den Schutz sensibler (personenbezogener) Daten vor. Die Einhaltung der Gesetze ist für viele Bereiche essentiell – beispielsweise Pflegeeinrichtungen oder Behörden. Sie kommen regelmäßig mit konkreten Anforderungen in Kontakt.

Aber weshalb sind Sicherheitsstandards so wichtig? Und welchen Einfluss haben Standards und Richtlinien auf die Auswahl der passenden IT-Sicherheitslösung?

Diese und weitere Fragen werden im Folgenden geklärt.

Welche wichtigen IT-Sicherheitsstandards und -gesetze gibt es?

DSGVO

Die DSGVO (Datenschutz-Grundverordnung) ist ein EU-weit geltendes Gesetz. Darin ist genau festgelegt, wie Organisationen mit personenbezogenen Daten umgehen müssen. Es gilt für alle Unternehmen, die solche Informationen in der Europäischen Union verarbeiten. Und sieht bei Verstoß unter Anderem Bußgelder in Millionenhöhe vor.

ISO 27001

Normen sind keine offiziellen Gesetze, sondern legen „bewährte Vorgehensweisen“ fest, die in einem bestimmten Bereich als akzeptiert gelten. So planen und implementieren immer mehr Organisationen ihr Informationssicherheits-Managementsystem (ISMS) nach den Vorgaben der international akzeptierten Norm ISO 27001.

Damit ist garantiert, dass die IT-Sicherheit in Ihrem Unternehmen effektiv organisiert ist. Auch in der Praxis wird die Erfüllung dieser genormten Vorgaben häufig verlangt. So wird beispielsweise die Vergabe von Aufträgen oftmals an die Voraussetzung geknüpft, dass mögliche Partner über ein Sicherheitsmanagementsystem nach ISO 27001 verfügen müssen. Andernfalls wird ihr Angebot nicht berücksichtigt.

BSI-KRITIS-Verordnung „fordert“ IAM

Das BSI definiert in ihrer KRITIS-Verordnung Risikobereiche – wie ein möglicher Datenmissbrauch von Innentätern, menschliche Fehlhandlungen oder fehlende Rollen- oder Funktionstrennungen. Damit benennt das BSI explizit Bedrohungskriterien, die die Einführung eines professionellen Identity- und Access-Managements (IAM) geradezu fordern.

Viele vom BSI genannte Risiken können minimiert werden. So bietet IAM der Organisation Kontrolle, Sicherheit und Effizienz beim Zugriff auf IT-Systeme und Daten – beispielsweise durch ein Access Governance im IAM-Komplettsystem. Auf der Basis klarer Rollen- und Funktionstrennungen wird gewährleistet, dass Benutzer nur Zugriff auf Anwendungen und Ressourcen erhalten, die sie für ihre Arbeit benötigen.

Gleichzeitig liefert IAM eine schnelle Übersicht über die Rechtevergabe: Welcher Nutzer Zugang zu welchen Systemen beziehungsweise Daten hat, ist klar ersichtlich und dokumentiert. Diese Informationen können wiederum genutzt werden, um Ex-Mitarbeiten den Zugriff mit dem Ausscheiden aus der Organisation zu entziehen. Auf diese Weise wird das Risiko, durch Insiderwissen Opfer von Datendiebstahl oder -manipulation zu werden, reduziert.

Sicherheitsrisiken durch generische, zu einfache oder Gruppen-Passwörter können durch IAM ausgeschlossen werden. Die Organisationsregeln für die Erstellung sicherer Passwörter werden eingehalten, Anmeldeinformationen bleiben geheim. Mit einem integrierten Self-Service-Tool haben Nutzer die Kontrolle über Passwörter. IAM hilft auch beim geforderten Reporting an die zuständigen Behörden wie dem BSI. Jede Abweichung und Anomalie wird vom System überprüft und gemeldet. Diese Informationen helfen den Verantwortlichen unter anderem ihrer Pflicht zur Meldung von IT-Störungen nachzukommen.

Qualität, Kundenzufriedenheit und Effizienz

Die Zertifizierung nach ISO 9001 zeigt die Qualitätssicherung der Unternehmen auf. Es ist eine freiwillige Norm für Qualitätsmanagementsysteme und wurde von der Internationalen Organisation für Standardisierung herausgegeben. Die ISO 9001 hilft Unternehmen bei der Sicherstellung der Kundenzufriedenheit und der beständigen Verbesserung der Qualität.

Unsere IDaaS-Lösung HelloID ist OpenID zertifiziert – einfach mehr Sicherheit

Tools4ever ist für seine innovative Identity as a Service (IDaaS) Lösung namens HelloID OpenID-zertifiziert.

Somit haben Sie als Anwender eine Garantie für die Sicherheit, die Qualität und die Interoperabilität der HelloID OpenID Connect-Implementierung.

HelloID ist eine sichere Cloud Identity- und Access Management (IAM)-Lösung. Mit diesem Programm müssen Unternehmen nicht in ihre eigene Hardware, Speicher und Software investieren. So sparen sie bares Geld.

Sollte sich eine Organisation für HelloID entscheiden, ist die Installation und Konfiguration buchstäblich eine Frage von Stunden. Zudem kümmert sich Tools4ever um die Verwaltung und Pflege des Programmes.

Der HelloID-Service unterstützt alle Single-Sign-On-Protokolle einschließlich OpenID Connect. Dies ist ein dezentralisierter Authentifizierungsmechanismus, der auf der OAuth 2.0-Spezifikation basiert. OpenID Connect ermöglicht den Benutzern, sich an verschiedenen Orten mit dieser Identität anzumelden. Marktführer wie Google und Microsoft nutzen und vertrauen bereits auf diesen Mechanismus.

Unsere Software-Lösung HelloID ist seitens der OpenID Foundation zertifiziert. Hierfür hat Tools4ever ein Programm abgeschlossen, das die Qualität und Interoperabilität der OpenID Connect-Implementierung garantiert. Da die Implementierung auch zertifiziert ist, erhalten Kunden eine zusätzliche Sicherheit für unsere Dienstleistung.

Vertrauen in IT-Lösungen dank Zertifizierung

Im Alltag ist es schwer nachzuvollziehen, ob ein Partner oder ein Lieferant alle erforderlichen Normen erfüllt. Immerhin kann man nicht bei jeder Ausschreibung zahlreiche Dokumente austauschen. Zum Glück ist das auch nicht erforderlich, denn die Einhaltung der Normen wird regelmäßig von einer unabhängigen Zertifizierungsstelle überprüft. Die offizielle Bescheinigung bestätigt die Erfüllung.

Wie kann ich mich als Organisation darauf vorbereiten?

Bei einem Audit müssen Organisationen zahlreiche Unterlagen vorlegen, zum Beispiel zu aktiven und inaktiven Benutzerkonten, Zugriffsrechten und Änderungen im System. Dabei muss nachgewiesen werden, dass sensible und personenbezogene Daten wie etwa finanzielle Übersichten, Mitarbeiter-, Patienten- oder Kundendaten sicher gespeichert werden. Mit den Werkzeugen eines Identity- und Access Management (IAM) werden sämtliche relevanten Prozesse protokolliert. So sind bei einem (unangekündigten) Audit alle Informationen direkt verfügbar.

Mit Tools4ever als Partner erhalten Sie einen Provider, der auch in Sicherheitsfragen auf dem Stand ist. Wir kennen entsprechende Gesetze wie auch Normen. Und unterstützen bei deren Erfüllung – nicht nur technisch, sondern auch in der Beratung. Sie sparen zusätzlich Geld, da Hardware oder Speicher nicht gekauft werden müssen.

Tools4ever: Zertifizierungen

Ob Zertifizierungen und jährliche Audits dienen zur stetigen Verbesserung der Organisationen. Bei Tools4ever sind Geschäftsführer, Management und Mitarbeiter eng miteinander verbunden. Dadurch können wir schnell umschalten und mögliche Risiken schnell diskutieren, sodass die Maßnahmen ständig umgesetzt werden.

Der kritische Blick einer Zertifizierungsstelle oder eines externen Auditors liefert immer wieder neue Erkenntnisse zur Verbesserung der eigenen Leistung. Darüber hinaus bietet sie eine größere Sicherheit, dass Risiken richtig erkannt und kontrolliert werden. Dies gilt auch für die Einhaltung von Gesetzen und Vorschriften.

Geschrieben von:

Jan Pieter Giele

Managing Director DACH, Nord- & Osteuropa

Jan Pieter Giele ist seit 2004 als Managing Director verantwortlich für die Aktivitäten der Tools4ever Informatik GmbH. Von Bergisch Gladbach aus kümmert er sich um die Weiterentwicklung und den Verkauf unserer IAM-Tools in Deutschland, Schweiz, Österreich und Nord- & Osteuropa und überwacht Beratung, Implementierung und Support.