Inhaltsverzeichnis
Seit jeher nehmen wir die Daten unserer Kunden ernst. Daher legen wir höchsten Wert auf Sicherheit. Mit der bestandenen ISO 27001 Zertifizierung sowie den erfolgreichen Testierungen nach BSI C5 und SOC 2 weisen wir die Wirksamkeit unserer Sicherheitsprozesse und -maßnahmen sowie Transparenz und Integrität objektiv und glaubwürdig nach.
Warum zertifizierte Sicherheit wichtig ist
Als Entwickler der webbasierten Alarmierungsplattform GroupAlarm sind wir täglich mit einer Vielzahl an vertraulichen Informationen und Daten unserer Kunden konfrontiert. Diese umfassen Inhalte wie Alarmtexte, Messenger-Nachrichten, Einsatztagebücher und personenbezogene Daten mit besonders sensiblen Eigenschaften. Gerade bei solchen kritischen Informationen müssen Datenschutz und IT-Sicherheit höchsten Anforderungen entsprechen, weil die Aspekte Vertraulichkeit, Verfügbarkeit und Integrität nicht nur nach unserem Selbstverständnis als zuverlässiger Anbieter, sondern auch für viele Kunden oberste Priorität haben.
Um einen objektiven Nachweis für den verantwortungsbewussten Umgang mit Kundendaten zu erhalten, haben wir uns letztes Jahr dazu entschieden, die Zertifizierung nach ISO 27001 sowie die Testierungen nach BSI C5 und SOC 2 anzustreben. Mit Erfolg. Erst kürzlich hat uns die unabhängige Wirtschaftsprüfungsgesellschaft HKKG aus Köln zum 31. Januar dieses Jahres sowohl die Einhaltung der Mindestanforderungen des BSI aus dem Cloud Computing Compliance Criteria Catalogue (C5) sowie die Einhaltung der Service Organization Control 2 (SOC 2 Controls) testiert. Einen weiteren Meilenstein - die Zertifizierung nach der internationalen Norm ISO/IEC 27001:2013 durch den TÜV Rheinland - hat GroupAlarm am 24. April 2023 erreicht.
Was bedeutet die BSI C5 Testierung?
Der Kriterienkatalog C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) spezifiziert Mindestanforderungen, die in erster Linie an professionelle Cloud-Anbieter, ihre Prüfer und Kunden gerichtet sind. Das Hauptziel dieses 125 Kriterien umfassenden Katalogs besteht darin, mehr Transparenz in Bezug auf Informationssicherheit und Datenschutz im Cloud-Computing zu schaffen. Durch die BSI C5 Testierung haben wir bewiesen, dass GroupAlarm die Mindestanforderungen des Katalogs erfüllt. Dies stellt unter anderem sicher, dass operative Abläufe geprüft und überwacht werden, Transaktionen nachverfolgbar sind, angemessene Sicherheitsvorkehrungen gegen Cyberangriffe vorhanden und Daten zuverlässig verfügbar und nutzbar sind. Der Nachweis wurde durch einen Bericht der unabhängigen Wirtschaftsprüfungsgesellschaft HKKG aus Köln erbracht. Besonders stolz sind wir darauf, dass GroupAlarm als erster SaaS-Anbieter für Alarmierung die BSI C5 Testierung erhalten hat.
Was bringt die Einhaltung der SOC 2?
Die SOC 2 Konformität ist ein bedeutender Standard des American Institute of CPAs (AICPA), der ethische Standards und US-Prüfungsstandards festlegt. Obwohl die Einhaltung des SOC 2 Standards freiwillig ist, hat er sich zu einem wichtigen Rahmenwerk für die Bewertung von Datensicherheit, Belastbarkeit und Datenschutz entwickelt. Klare Richtlinien und strenge Prüfungen durch qualifizierte Auditoren sorgen dafür, dass Unternehmen auf die speziellen Bedrohungen in ihrem Sektor - unter Berücksichtigung ihrer bestehenden Sicherheitspraktiken und Geschäftsziele - eingehen können.
Da sich unser Augenmerk auch auf den internationalen Markt richtet, haben wir GroupAlarm einem SOC 2 Audit unterzogen. Hierbei wurden die Kriterien Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz geprüft. Die verlässliche Umsetzung von SOC 2 bietet sowohl Geschäftspartnern als auch Kunden auf internationaler Ebene den Nachweis dafür, dass GroupAlarm über ein solides Cybersicherheits- und Datenschutzprogramm verfügt und wir somit in der Lage sind, größere Sicherheitsvorfälle zu verhindern.
Meilenstein: ISO 27001 Zertifizierung
Die ISO/IEC 27001 ist eine international anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS) und gilt als wichtigste Zertifizierung im Bereich der Cyber-Sicherheit. Die Norm definiert Anforderungen für die Implementierung, Weiterentwicklung und fortlaufende Kontrolle eines ISMS, um die übergeordneten Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität von Informationen zu gewährleisten. Mit der ISO 27001 Zertifizierung bestätigt die Zertifizierungsstelle TÜV Rheinland AG, dass GroupAlarm für die Entwicklung, den Betrieb und den Support ein Informationssicherheits-Managementsystem eingeführt hat und anwendet. Im Rahmen der Zertifizierung haben wir zunächst unsere internen Prozesse überprüft und ein umfassendes Handbuch für das Informationssicherheits-Managementsystem (ISMS) gemäß DIN EN ISO 27001:2013 erstellt. Während des Zertifizierungsprozesses wurden zusätzliche technische und organisatorische Maßnahmen umgesetzt, wobei der interne Umgang mit Informationen und personenbezogenen Daten im Fokus stand. Zum Schluss erfolgte das externe Audit durch den TÜV Rheinland. Mit der Zertifizierung nach ISO 27001, dem das Plan-Do-Check-Act-Modell zugrunde liegt, gewährleisten wir eine kontinuierliche Verbesserung unserer Prozesse. Es handelt sich hier also nicht nur um eine einmalige Bestandsaufnahme, sondern um ein Niveau, das kontinuierlich überarbeitet und von externen Auditoren geprüft wird.
Was wir beim Zertifizierungs- bzw. Testierungsprozess gelernt haben
Die erfolgreiche Testierung der BSI C5 und SOC 2 Kriterien sowie der Erhalt der ISO 27001 Zertifizierung sind wichtige Meilensteine für uns, um den hohen Anforderungen unserer Kunden, Partner und an uns selbst professionell und sicher gerecht zu werden. So sorgen wir durch die Einhaltung des C5 Anforderungskatalogs des BSI für mehr Transparenz. Die Berücksichtigung der SOC 2 Kriterien hilft uns dabei, Risiken zu minimieren und das Vertrauen von Kunden und Partnern zu stärken. Mit der ISO 27001 Zertifizierung signalisieren wir Verlässlichkeit und haben damit ein effektives Instrument zur Steuerung der Informationssicherheit.
Der erfolgreiche Abschluss des Zertifizierungs- und Testierungsprozesses hat uns als Organisation, aber auch als Team einiges gelehrt. Die wohl wichtigste Erkenntnis ist die, dass Sicherheit kein Zustand ist, sondern ein fortlaufender Prozess. Gerade im Bereich der Cybersecurity, wo sich die technischen Rahmenbedingungen permanent ändern, gibt es immer etwas zu optimieren. Genau deshalb verstehen wir Sicherheit und Datenschutz als permanenten Verbesserungsprozess. Mit dem Erhalt der Testierungen nach BSI C5 und SOC 2 sowie der ISO 27001 Zertifizierung sehen wir uns darin bestätigt, unseren Kunden ein Höchstmaß an Sicherheit und Vertrauen bieten zu können.