Cloud-Dienste und ISAE 3402 | SOC 1
Die Nachfrage nach ISAE 3402 hat im Bereich IT-Outsourcing und Cloud Services deutlich zugenommen. Das ISAE 3402-Register enthält eine beeindruckende Liste von SaaS- und Hosting-Anbietern, die nach ISAE 3402 zertifiziert sind. Was ist der Grund für diese gestiegene Nachfrage im IT-Sektor und insbesondere in der Branche der Cloud-Services, einschließlich SaaS, IaaS, PaaS und Rechenzentrumsdienstleistungen? ISO 27001 ist ein wichtiger internationaler Zertifizierungsstandard für die Informationssicherheit. Warum also ist die Nachfrage nach der ISAE 3402-Zertifizierung im IT-Sektor gestiegen? Ein wichtiger Grund dafür ist, dass immer mehr kritische Systeme von Unternehmen in der Cloud angeboten werden. Aber warum ist ISAE 3402 so wichtig, und warum ist ISO 27001 nicht ausreichend? Die Antwort beginnt im Finanzsektor.
Finanzinstitute
Finanzinstitute sind aufgrund von Gesetzen und Vorschriften wie dem Rentengesetz oder dem Gesetz über die Finanzaufsicht (Wft) verpflichtet, die mit dem Outsourcing verbundenen Risiken nachweislich zu verwalten. Die niederländische Zentralbank und die niederländische Behörde für die Finanzmärkte (AFM) betrachten eine ISO 27001-Zertifizierung nicht als ausreichende Garantie. Die niederländische Zentralbank erkennt ISAE 3402 als ausreichende Garantie an und fordert einen solchen Bericht sogar in Gesetzen und Verordnungen.
Wirtschaftsprüfer und Unternehmen
Neben den Finanzinstituten spielen auch die Wirtschaftsprüfer eine entscheidende Rolle. Unternehmen, die gesetzlichen Prüfungen unterliegen, nutzen zunehmend Cloud-Dienste. Infolgedessen müssen Wirtschaftsprüfer Prozesse in Cloud-Systemen in ihre Prüfungen der Jahresabschlüsse einbeziehen. Für diese Prüfungen stützen sich die Prüfer häufig auf die ISAE 3402 Assurance-Berichte von spezialisierten Dienstleistungsprüfern. Außerdem ist der normative Rahmen von wesentlicher Bedeutung.
Normativer Rahmen von ISAE 3402 und ISO 27001
Im Gegensatz zu ISO 27001 hat ISAE 3402 einen normativen Rahmen: den Jahresabschluss oder, genauer gesagt, alle Prozesse, die für die interne Organisation der Nutzerorganisation relevant sind, mit besonderem Fokus auf den Jahresabschluss. Mit anderen Worten, alle Prozesse, die zu einer finanziellen Verarbeitung in den Jahresabschlüssen führen. In vielen Unternehmen werden Daten aus betrieblichen Prozessen in der Cloud gespeichert oder betriebliche Prozesse werden an einen SaaS-Anbieter ausgelagert oder von einem Hosting-Partner gehostet. Diese operativen Prozesse wirken sich fast immer direkt oder indirekt auf die Jahresabschlüsse aus. Wie bereits erwähnt, werden die Prüfer diese Prozesse bei der Prüfung der Jahresabschlüsse als wichtig erachten.
Ein Auditor kann aus einer ISO 27001-Zertifizierung keinen Wert ableiten. In einem solchen Fall ist eine ISAE 3402-Zertifizierung für einen externen Prüfer erkennbar und auch (technisch) für die Abschlussprüfung der Nutzerorganisation nützlich. Im Gegensatz zu ISO 27001 enthält ISAE 3402 keine detaillierten Standards für die Informationssicherheit. In der Praxis wird häufig das COBIT 5-Rahmenwerk verwendet, da dieses normative Rahmenwerk ausreicht, um die Informationssicherheit für die Finanzberichterstattung zu gewährleisten. Aus diesen Gründen bietet ein ISAE 3402-Bericht oft einen größeren Mehrwert sowohl für die Anwenderorganisationen als auch für ihre Prüfer, da er nicht nur die Sicherheitskomponenten von ISO 27001, sondern auch alle Prozesse umfasst, die sich auf die Finanzberichte auswirken.
Cloud-Sicherheit
Eine wichtige Frage für die Zukunft ist, wie die Sicherheit in der Cloud gewährleistet werden soll. In vielen Fällen ist unklar, wo die Informationen in der Cloud gespeichert werden und ob die Länder, in denen diese Daten gespeichert werden, auch Vorschriften wie die General Data Protection Regulation (GDPR) einhalten. Inwieweit verfügt ein Cloud-Service-Anbieter über geordnete Prozesse, welche Sicherheitsrichtlinien werden verwendet und wie werden die betrieblichen IT-Risiken verwaltet?
In den Vereinigten Staaten verlangt die Regierung von allen Anbietern von Cloud-Diensten für die Regierung die Einhaltung der FedRAMP-Richtlinien. Ähnliche Anforderungen sind für private Parteien noch nicht formuliert worden, auch nicht im Rahmen der amerikanischen Sarbanes-Oxley (SOx404) Anforderungen. Vor allem im Falle des Outsourcings durch börsennotierte Unternehmen müssen die SSAE 18-Anforderungen erfüllt werden. Diese stimmen weitgehend mit den Anforderungen von ISAE 3402 überein. Auch in diesem Fall bietet die ISAE 3402-Zertifizierung eine Lösung. Wenn SSAE 18 erfüllt ist, kann die SSAE 18-Zertifizierung mit relativ geringem Aufwand erreicht werden.
Auf der Grundlage der obigen Ausführungen kann man zu dem Schluss kommen, dass ISAE 3402 für mehrere Zwecke verwendet werden kann, sowohl um einem Kunden zu zeigen, dass ausgelagerte Prozesse gut kontrolliert werden, als auch um nützliche Informationen für den externen Prüfer zu liefern.
Lesen Sie mehr über Securance und ISAE 3402.