Wenn Ihr Unternehmen IT- oder Finanzdienstleistungen im Business-to-Business-Bereich anbietet, ist es wahrscheinlich, dass Ihre Kunden eine SOC 2- oder ISO 27001-Zertifizierung oder -Bescheinigung verlangen. Dieser Prozess kann Ihrem Unternehmen erhebliche Ressourcen und Zeit abverlangen. Dieser Artikel erklärt die Gemeinsamkeiten und Unterschiede zwischen diesen beiden Zertifizierungen.

Die Bedeutung der SMB-Signierung

Beim Testen von Windows-Umgebungen stellen wir regelmäßig fest, dass das verschlüsselte Kennwort eines Benutzers mit hohen Berechtigungen über das Netzwerk gesendet wird. In Kombination mit Systemen, bei denen die SMB-Signierung deaktiviert ist, kann ein Angreifer oder eine böswillige Person durch einen NTLM-Relay-Angriff die Privilegien innerhalb des Netzwerks erhöhen. Je nach Netzwerkumgebung kann ein Angreifer in der Lage sein, seine Privilegien auf die höchste Stufe zu erhöhen.

Aufgrund der aktuellen Entwicklungen im Outsourcing und dem damit verbundenen Risikomanagement hat SASconsult ein Implementierungsmodell entwickelt, das eine kosteneffiziente ISAE 3402 Implementierung ermöglicht. Dieses Modell (der SAS | Modeller) wird in einem Webtool geliefert, das die Prozessabläufe enthält. Das Ergebnis ist, dass die gemäß ISAE 3402 geforderten Prozesse und Kontrollen für alle sichtbar sind (z.B. über das Intranet).

Das weit verbreitete COSO-Risikorahmenwerk (Committee of Sponsoring Organizations of the Treadway Commission), das häufig bei der Umsetzung und Prüfung von Standards wie ISAE 3402 oder ISO 27001 verwendet wird, steht vor einer umfassenden Aktualisierung.

Allgemein

Seit Anfang 2012 laufen die Verhandlungen, um den Inhalt der Omnibus II-Richtlinie und der Stufe 2-Durchführungsmaßnahmen abzuschließen. Die endgültige Einigung über die Omnibus II-Richtlinie wird in Kürze erwartet. Die endgültige Einigung über die Durchführungsmaßnahmen der Stufe 2 wird für den Herbst erwartet. Der Schwerpunkt liegt auf der risikofreien Kurve, den Kapitalanforderungen und den Eigenmitteln sowie den Übergangsmaßnahmen.

PSäulen-Entwicklungen Außerdem gibt es Entwicklungen pro Säule:

ISAE 3402 ist der Standard für Outsourcing-Prozesse und Sicherheit. Sie wird zunehmend in verschiedenen Branchen und von staatlichen Stellen für die Teilnahme an Ausschreibungen verlangt.

TelecityGroup ist Europas führender Carrier-neutraler Anbieter von Rechenzentren. Die Rechenzentren der TelecityGroup bieten hohe Konnektivität und sichere Umgebungen für IT- und Telekommunikationsgeräte, die die treibende Kraft der digitalen Wirtschaft sind. Telecity verfügt über Rechenzentrums-Cluster in 12 europäischen Großstädten. In den Rechenzentren von Telecity laufen die Netzwerke, aus denen das Internet besteht, zusammen, und bandbreitenintensive Anwendungen, Inhalte und Informationen werden sicher gehostet.

Amsterdam, 19. Mai 2015 – Alle Standorte der TelecityGroup in Amsterdam sind nach dem internationalen Outsourcing-Standard ISAE 3402 zertifiziert worden. Mit dieser Zertifizierung zeigt die TelecityGroup Netherlands, dass ihre Rechenzentren international anerkannte Qualitäts- und Sicherheitsstandards erfüllen. Für die Kunden ist diese Zertifizierung der Beweis, dass ihre ausgelagerten Prozesse innerhalb des Rechenzentrums effektiv kontrolliert werden.

Der Präsident der niederländischen Zentralbank (DNB), Klaas Knot, hat deutliche Bedenken hinsichtlich der von den sieben Zentralbanken der Eurozone akzeptierten Sicherheiten geäußert. Mir wäre es lieber gewesen, wir hätten das gar nicht gemacht. Als Zentralbanker bin ich davon natürlich nicht begeistert“, erklärte er.

Im Dezember und Februar gewährte die EZB den Banken dreijährige Kredite in Höhe von insgesamt 1000 Milliarden Euro. Während dieser Operation wurden die Anforderungen an die Sicherheiten gelockert, was das Risiko erhöhte.

Gabriel Bernardino, Präsident der EIOPA, hat Anfang des Monats in einer Rede seinen Wunsch nach einer internationalen Aufsichts- und Gesetzgebungsbehörde für den Versicherungsmarkt geäußert.