Kategorie: Cyber-Sicherheit

Cybersecurity-Bedrohungen: Angriff auf die Lieferkette zu Ostern

Cybersecurity-Bedrohungen abgewehrt: der Angriff auf die Lieferkette zu Ostern

Die IT-Sicherheitsgemeinschaft hatte ein interessantes Osterwochenende. Jemand sehr Schlaues hätte beinahe 20 Millionen Internetserver gehackt, aber er wurde von einem Mann aus San Francisco namens Andres Freund in letzter Sekunde entdeckt. Wäre es eine Filmhandlung, würden Sie es weit hergeholt nennen.

Der Vorfall entfaltet sich

Die Situation begann am Karfreitag mit einem besorgniserregenden Beitrag auf Mastodon von Andres Freund, einem Microsoft-Ingenieur, der sich auf die Open-Source-Datenbank PostgreSQL spezialisiert hat. Freund hatte auf einem seiner Testserver ein ungewöhnliches Zeitverhalten festgestellt: Der SSH-Dienst, der für die Fernanmeldung bei Linux verwendet wird, verbrauchte weit mehr Ressourcen als normal.

https://mastodon.social/@AndresFreundTec/112180083704606941

Als Experte für Systemleistung wollte er wissen, warum, und er wusste, wie man solche Probleme aufspürt. Er fand heraus, dass der Übeltäter eine gängige Software-Bibliothek namens XZ war. Es wird von vielen Programmen zur Datenkomprimierung verwendet.

Der Grund für die Verlangsamung war, dass XZ eine Hintertür hinzugefügt worden war, die speziell auf SSH abzielte und es einem Angreifer ermöglichte, mit seinem eigenen privaten Anmeldeschlüssel auf Systeme zuzugreifen, ohne dass der Besitzer des Systems davon wusste.

Die möglichen Auswirkungen

Scans des Internets zeigen 20 Millionen IP-Adressen, bei denen der SSH-Dienst nach Verbindungen sucht. Webserver, E-Mail-Server, Infrastruktur-Server, Datenbank-Server, alle Arten von Servern. Wenn sich diese Software auf allen Servern verbreitet hätte, wären die Angreifer in der Lage gewesen, diese Server aus der Ferne dazu zu bringen, zu tun, was sie wollen. Löschen Sie sie, stehlen Sie heimlich Informationen, die sie bearbeiten, ändern Sie Daten, … alles. Es wäre keine Übertreibung zu sagen, dass sie in der Lage gewesen wären, einen großen Teil des Internets zu kontrollieren und eine Menge vertraulicher Kommunikation abzuhören.

Glücklicherweise arbeitet Andres mit Systemen, die mit viel aktuellerer Software ausgestattet sind als 99% von uns. Dies war also gerade erst geschehen und war noch nicht in einer der Mainstream-Linux-Versionen enthalten. Ein großer Seufzer der Erleichterung auf allen Seiten. Sehr glückliches Entkommen.

Wie konnte das passieren?

Die Hintertür war sehr raffiniert versteckt. Sie kann nicht gefunden werden, wenn Sie sich den Quellcode von XZ ansehen. Jemand hat es zu einem Release-Skript hinzugefügt, einem kleinen Programm, das die Software erstellt, zusammenpackt und „downstream“ an die Linux-Betriebssysteme schickt. Erst nachdem XZ aus dem Quellcode erstellt wurde, wird der Backdoor-Code in die Dateien injiziert, die zur Ausführung auf anderen Systemen gesendet werden.

Außerdem ist die Hintertür so konstruiert, dass sie vom Netzwerk aus nicht entdeckt werden kann. Wenn XZ in SSH enthalten ist, wird es nur dann aktiv, wenn eine Anmeldeanforderung von jemandem empfangen wird, der einen bestimmten, geheimen Schlüssel besitzt. Dann, und nur dann, führt die Hintertür einen Befehl für ihren Besitzer aus. Wenn Sie diesen geheimen Schlüssel nicht haben, gibt es keine Möglichkeit zu erkennen, dass ein Server verwundbar ist. Nur der Besitzer des Servers kann es finden, vorausgesetzt natürlich, er kennt das Problem und weiß, wo er suchen muss.

Wenn Andres das kleine Zeitproblem nicht bemerkt hätte, hätte es vielleicht sehr, sehr lange gedauert, bis es entdeckt worden wäre.

Whodunnit

Die XZ-Version mit der Hintertür wurde von jemandem veröffentlicht, der sich Jia Tan nennt. Es wird nun angenommen, dass es sich nicht um eine echte Person handelt.

Lasse Collin ist der Eigentümer und Erfinder von XZ. Er hat die Software über viele Jahre hinweg kostenlos gepflegt. Nachdem er unter Druck gesetzt wurde, härter an seinem Projekt zu arbeiten[1], und er krank wurde, gab er einem sehr freundlichen neuen Freiwilligen namens Jia Tan Zugang zur Bearbeitung der Software und zur Erstellung von Veröffentlichungen und nahm seinen wohlverdienten Urlaub. Wir glauben nun, dass die Druckkampagne, die im Jahr 2022 begann, so inszeniert wurde, dass „Jia Tan“ zum Verwalter von XZ werden konnte und somit in der Lage war, bösartige Software in das größere Internet-Ökosystem zu veröffentlichen.

Sich die Kontrolle über ein weit verbreitetes Projekt zu verschaffen, eine komplizierte Hintertür zu entwickeln und diese zu verstecken, muss erhebliche Investitionen erfordert haben. Einige Leute sagen, dass einige der großen kriminellen Hackergruppen es sich leisten können, so etwas zu bauen, aber der Hauptverdächtige wäre ein nationaler Geheimdienst. Wir können natürlich nicht sicher sein, aber wer sonst würde Jahre damit verbringen, so etwas zu bauen und es in einen wichtigen Teil der Internet-Infrastruktur zu integrieren, indem er ein weit verbreitetes Projekt findet, das von nur einer überarbeiteten Person gepflegt wird?

[1 ] Sehen Sie sich zum Beispiel diesen E-Mail-Austausch aus dem Jahr 2022 an: https://www.mail-archive.com/[email protected]/msg00566.html – „Jigar Kumar“ und „Dennis Ens“ fordern, dass Lasse die Kontrolle über sein Projekt an andere abgibt; praktischerweise meldet sich „Jia Tan“ dann freiwillig

Was muss ich tun?

Wir haben großes Glück, dass dies noch rechtzeitig bemerkt wurde. „Jia Tan“ war erst letzte Woche damit beschäftigt, die Linux-Maintainer zu drängen, die neueste Version von XZ schnell in ihre Hauptversionen zu übernehmen, aber das war noch nicht geschehen. Wenn Sie also keine instabilen Testversionen von Linux verwenden, ist das höchstwahrscheinlich kein Problem. Aber aktualisieren Sie trotzdem, um ganz sicher zu gehen: Es wurden jetzt Updates veröffentlicht, die die letzten, infizierten Versionen von XZ (5.6.0 und 5.6.1) zurücksetzen.

Eine weitere Empfehlung, die wir bei Securance unseren Kunden immer geben, ist, Dienste wie SSH, die nur von wenigen IT-Mitarbeitern genutzt werden sollen, nicht dem offenen Internet auszusetzen. Beschränken Sie den Zugriff in der Firewall immer auf interne IP-Adressen und vielleicht ein paar Privatadressen von vertrauenswürdigen Mitarbeitern. Auf diese Weise können Angreifer, wenn eine neue Sicherheitslücke in dem Dienst entdeckt wird, einfach keine Verbindung zu Ihren Servern herstellen, um sie auszunutzen.

Lektionen für die Zukunft

Angriffe auf die Lieferkette werden bleiben, denn komplizierte Lieferketten wird es auch weiterhin geben. Ein bekannter Cartoon drückt es so aus:

Wir (Internetnutzer) müssen diese „zufälligen Personen“ ein wenig mehr unterstützen und uns ihrer Bedeutung für unsere Sicherheit bewusst sein. Lasse Collins hat diese wichtige Software für uns in seiner Freizeit entwickelt und gewartet, und zwar umsonst. Und es gibt noch viel mehr Lasses da draußen.

Wir bei Securance unterstützen einige Open-Source-Projekte, deren hervorragende Software wir kostenlos nutzen. Wir werden prüfen, ob wir mehr von ihnen mit einer monatlichen Spende unterstützen können. Ganz gleich, wie klein sie sind – sie können wirklich einen Unterschied machen.

NIST-Rahmenwerk für Cybersicherheit 2.0

NIST-Rahmenwerk für Cybersicherheit 2.0

In einem bedeutenden Schritt zur Stärkung der Cybersicherheit in allen Organisationen hat das National Institute of Standards and Technology (NIST ) kürzlich sein Cybersecurity Framework auf Version 2.0 aktualisiert. Diese Aktualisierung ist die erste größere Überarbeitung seit der Einführung des Rahmens im Jahr 2014. Sie spiegelt einen breiteren Anwendungsbereich und verbesserte Ressourcen für Organisationen wider, die ihre digitale Widerstandsfähigkeit stärken wollen.

Das NIST-Rahmenwerk ist ein amerikanischer Standard, der mit den Richtlinien der Europäischen Union harmonisiert wurde, und zwar durch gemeinsame Anstrengungen zur Schaffung einheitlicher Bewertungsregeln. Diese Angleichung macht das NIST-Rahmenwerk für Cybersicherheit in Europa besonders relevant und anwendbar.

Die sich ständig verändernde Cybersicherheitslandschaft

Das digitale Zeitalter bietet unvergleichliche Möglichkeiten für Wachstum und Innovation. Diese Fortschritte bringen jedoch auch eine Reihe von Bedrohungen für die Cybersicherheit mit sich, die sich in alarmierendem Tempo weiterentwickeln. Von ausgeklügelten Phishing-Angriffen bis hin zu komplexen Ransomware-Bedrohungen. Unternehmen müssen heute ständig darum kämpfen, ihre digitalen Werte zu schützen und das Vertrauen ihrer Kunden zu erhalten.

Infolgedessen ist die Umsetzung eines umfassenden Rahmens für die Cybersicherheit unerlässlich geworden. Das NIST CSF 2.0 dient als strategischer Leitfaden für Organisationen zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung nach Cybersicherheitsvorfällen. Durch die Einführung dieses Rahmens können Unternehmen nicht nur das Risiko von Cyberangriffen mindern, sondern auch eine widerstandsfähige Infrastruktur aufbauen. Diese Grundlage unterstützt langfristiges Wachstum und Stabilität und gewährleistet eine sichere und erfolgreiche Zukunft. Wachstum und Stabilität.

Wichtige Aktualisierungen des NIST-Rahmenwerks für Cybersicherheit

Universelle Anwendbarkeit: Im Gegensatz zu seinem Vorgänger geht der Anwendungsbereich des CSF 2.0 über die kritischen Infrastrukturen hinaus. Von nun an bietet sie Orientierungshilfen für Organisationen aller Größen und Branchen. Mit diesem umfassenden Ansatz wird der universellen Bedrohung durch Cyberangriffe und der Notwendigkeit eines einheitlichen Abwehrmechanismus Rechnung getragen.

Stärkerer Fokus auf Governance: Der überarbeitete Rahmen, in dessen Mittelpunkt die Governance steht, unterstreicht die Bedeutung strategischer Entscheidungen im Bereich der Cybersicherheit. Sie unterstreicht die Rolle der Führungskräfte bei der Integration von Überlegungen zur Cybersicherheit mit anderen kritischen Aspekten des Geschäftsbetriebs, wie Finanzen und Reputationsmanagement.

Umfangreichere Ressourcen für die Umsetzung: Das NIST hat eine Reihe von Ressourcen eingeführt, darunter Kurzanleitungen, Erfolgsgeschichten und einen durchsuchbaren Katalog mit informativen Referenzen. Diese Instrumente sollen die Übernahme des Rahmens erleichtern und den Organisationen maßgeschneiderte Wege zur Verbesserung ihrer Cybersicherheitspraktiken aufzeigen.

Gemeinsame Entwicklung: Die Aktualisierung ist das Ergebnis umfangreicher Konsultationen und des Feedbacks einer Vielzahl von Interessengruppen. Sie stellt sicher, dass der Rahmen die aktuellen Herausforderungen aufgreift und die besten Praktiken im Bereich des Cybersicherheitsmanagements übernimmt.

Die Bedeutung eines robusten (NIST-)Rahmens für die Cybersicherheit

Die Umsetzung eines umfassenden Rahmens für die Cybersicherheit ist nicht mehr optional, sondern eine Notwendigkeit geworden. Das NIST CSF 2.0 dient als strategischer Leitfaden für Organisationen zur Identifizierung, zum Schutz, zur Erkennung, zur Reaktion und zur Wiederherstellung nach Cybersicherheitsvorfällen. Durch die Einführung dieses Rahmens können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch eine widerstandsfähige Infrastruktur aufbauen. Dies fördert langfristiges Wachstum und Stabilität.

Umsetzung des NIST CSF 2.0 in Ihrer Organisation

Die Einführung des NIST Cybersecurity Framework erfordert einen maßgeschneiderten Ansatz, der auf die spezifischen Bedürfnisse und Herausforderungen Ihres Unternehmens abgestimmt ist. Es beginnt mit einer Analyse des aktuellen Status quo, gefolgt von der Ermittlung von Verbesserungen und der Entwicklung eines Plans zur Umsetzung dieser Verbesserungen. Die Einbeziehung aller Ebenen der Organisation in diesen Prozess ist entscheidend für die Förderung einer Kultur des Bewusstseins für Cybersicherheit und der Widerstandsfähigkeit.

Schlussfolgerung

Das NIST Cybersecurity Framework 2.0 ist ein Beweis für die sich entwickelnde Landschaft von Cybersecurity-Bedrohungen und die Notwendigkeit von anpassungsfähigen, umfassenden Strategien zu deren Bekämpfung. Durch die Einführung dieses aktualisierten Rahmens können sich Organisationen gegen aktuelle und neu auftretende Bedrohungen schützen. Darüber hinaus können sie eine Kultur der Cybersicherheit fördern, die alle Ebenen des Betriebs durchdringt.

Für CEOs und Manager, die ihr Unternehmen vor digitalen Bedrohungen schützen wollen, bietet das CSF 2.0 einen strategischen Fahrplan zur Erreichung einer robusten Cybersicherheitsstruktur. Die Reise in eine sichere digitale Zukunft beginnt mit dem Verständnis und der Umsetzung der in diesem bahnbrechenden Rahmenwerk dargelegten Grundsätze.

Erfahren Sie, wie das NIST CSF 2.0 den Ansatz Ihrer Organisation im Bereich der Cybersicherheit verändern kann.

Erfahren Sie, wie das NIST-Rahmenwerk für Cybersicherheit 2.0 den Ansatz Ihrer Organisation für Cybersicherheit verändern kann

Nehmen Sie Kontakt mit uns auf, um herauszufinden, wie Ihre Organisation von NIST Cybersicherheit profitieren kann. Unsere Beratungs- und Cybersicherheitsexperten stehen Ihnen gerne zur Verfügung.

It shows some details for cyber security, the importance for red teaming vs penetration testing vs culnerability scanning

Red Teaming vs. Penetrationstests vs. Scannen auf Sicherheitslücken.

Red Teaming vs. Penetrationstests vs. Schwachstellen-Scans

Ein Schwachstellenscan, ein Penetrationstest (Pentest) und Red Teaming sind verschiedene Möglichkeiten, die Cybersicherheit zu testen. Die Begriffe werden oft verwechselt oder falsch verwendet. Wissen Sie, welcher Test Ihren Bedürfnissen am besten entspricht? In diesem Blogbeitrag werden wir den Unterschied zwischen Red Teaming und Penetrationstests und Schwachstellen-Scans behandeln.

Red Teaming vs. Penetrationstests vs. Schwachstellen-Scanning in Kürze

Scannen auf Schwachstellen

Bei einem Schwachstellen-Scan untersuchen wir ein IT-System oder Netzwerk auf Schwachstellen. Auf diese Weise machen wir mögliche Angriffspunkte sichtbar, zum Beispiel Software, die nicht rechtzeitig aktualisiert wurde, oder Einstellungen, die nicht sicher sind. Die Ergebnisse eines Schwachstellenscans geben einen Überblick über die Schwachstellen im IT-System Ihres Unternehmens.

Bei Securance scannen wir mit Nessus, dem Schwachstellenscanner von Tenable. Sie können wählen, ob Sie Ihr externes oder internes Netzwerk scannen lassen wollen. Nach dem Scan überprüft einer unserer ethischen Hacker, ob es sich bei den gefundenen Schwachstellen um Fehlalarme handelt. Bei einem False Positive gibt der Scan an, dass eine Sicherheitslücke gefunden wurde, obwohl dies nicht der Fall ist. Am Ende erhalten Sie einen Scan-Bericht oder Sie können die Ergebnisse in einem Dashboard sehen. Wir helfen Ihnen bei der Interpretation und Lösung der Scanergebnisse. Für unsere Kunden, die ein Pentest-Abonnement abgeschlossen haben, ist das Scannen kostenlos.

Penetrationstests (Pentest)

Bei einem Pentest untersuchen wir auch Ihr IT-System oder Netzwerk auf Schwachstellen. Ein Pentest geht jedoch noch einen Schritt weiter als ein Schwachstellenscan, indem er die gefundenen Schwachstellen testet. Wir dringen in Ihre IT-Umgebung ein und verschaffen Ihnen einen besseren Überblick über die Schwachstellen und Risiken in Ihren Anwendungen, Systemen und Netzwerken.

Bevor wir mit einem Pentest beginnen, vereinbaren wir, was getestet werden soll, z. B. die direkt mit dem Internet verbundenen Systeme, die interne Infrastruktur, die Windows-Domäne, eine Website oder eine Webanwendung. Wir besprechen auch, wie lange der Test dauern wird und welchen Zugang wir haben werden.

Bei einem umfassenden Pentest (Ransomware-Schwachstellenanalyse) führen wir mindestens die folgenden Tests durch:

  • Phishing-Test
  • Externer Test der Infrastruktur
  • Interner Netzwerktest
  • Windows-Domänen-Test
  • Überprüfung der Cloud-Konfiguration
  • Prüfung des Arbeitsplatzes
  • Wi-Fi-Test

Nach Abschluss des Pentests werden wir einen Bericht über die Ergebnisse verfassen und die Ergebnisse diskutieren. So können Sie gezielt Maßnahmen ergreifen, um Ihre Risiken zu verringern und Ihre Sicherheit zu verbessern.

Red Teaming

Beim Red Teaming verhalten sich unsere Hacker so weit wie möglich wie echte Angreifer. Der Zweck von Red Teaming ist es, die Abwehrkräfte einer Organisation gegen einen gezielten Angriff zu testen und zu sehen, wie die Organisation darauf reagiert. Während der Durchführung des Tests versucht das rote Team, unentdeckt zu bleiben. Die Verteidigungsgruppe Ihrer Organisation wird als blaues Team bezeichnet. Dieses Team überwacht alle Systeme und reagiert auf Zwischenfälle.

Ein rotes Team testet nicht nur die technische Sicherheit Ihres Systems, sondern auch die Reaktion der Mitarbeiter der Organisation und wehrt einen Angriff ab. Das Team versucht, Sicherheitsmaßnahmen zu umgehen, indem es Schwachstellen in den Systemen, Verfahren und beim Personal des Unternehmens ausnutzt.

Bevor wir beginnen, besprechen wir den Umfang, die Dauer und den Zweck des Auftrags. Nach Abschluss des Tests besprechen wir, ob und wie das Ziel erreicht wurde und welche Angriffe wir dafür eingesetzt haben. Wir vergleichen diese Aktionen mit den vom blauen Team festgestellten Angriffen. In einem umfassenden Bericht teilen wir unsere Erkenntnisse und Empfehlungen zur Verbesserung der Sicherheit mit.

Was soll ich wählen?

Sie haben nun ein umfassendes Verständnis von Red Teaming, Penetrationstests und Schwachstellen-Scans, aber wofür entscheiden Sie sich in Ihrem Unternehmen?

Welcher Test am besten geeignet ist, hängt von den Zielen und der Situation Ihrer Organisation ab. Möchten Sie ein umfassendes Verständnis für die Schwachstellen in Ihrem IT-System haben? Dann ist ein Schwachstellen-Scan eine gute Wahl. Sie vermittelt einen ersten Eindruck und kann Ihnen helfen, die auffälligsten Schwachstellen sofort zu beheben.

Wo ein Schwachstellen-Scan endet, geht ein Pentest weiter. Beim Pentesting prüft ein ethischer Hacker, ob Schwachstellen angreifbar sind. Ein Pentest ist besonders geeignet, wenn Sie ein bestimmtes System oder Netzwerk ausführlich testen lassen wollen. So wissen Sie genau, wo die größten Risiken liegen.

Wenn Sie wissen wollen, wie gut Ihr Unternehmen auf einen Cyberangriff reagiert (identifizieren, erkennen, schützen, wiederherstellen), dann sollten Sie sich für Red Teaming entscheiden. Dies ist der nächste Schritt, wenn Sie bereits mehrere Pentests durchgeführt haben und dabei keine hohen Risiken oder Schwachstellen festgestellt wurden.

Möchten Sie Ihre Organisation testen lassen?

Möchten Sie einen Schwachstellen-Scan, einen Pentest oder einen Red-Team-Einsatz durchführen lassen? Oder haben Sie irgendwelche Fragen? Rufen Sie die Experten von Securance HackDefense unter der Telefonnummer (+31) 71 204 0101 oder senden Sie eine E-Mail an [email protected]. Wir helfen Ihnen gerne weiter!

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

SOC 2 oder ISO 27001: Was ist besser für mein Unternehmen geeignet?

Wenn Ihr Unternehmen IT- oder Finanzdienstleistungen im Business-to-Business-Bereich anbietet, ist es wahrscheinlich, dass Ihre Kunden eine SOC 2- oder ISO 27001-Zertifizierung oder -Bescheinigung verlangen. Dieser Prozess kann Ihrem Unternehmen erhebliche Ressourcen und Zeit abverlangen. Dieser Artikel erklärt die Gemeinsamkeiten und Unterschiede zwischen diesen beiden Zertifizierungen. Ein SOC 2-Bericht und ein ISO 27001-Zertifikat können mit nahen Verwandten verglichen werden, und es gibt Möglichkeiten zur Effizienzsteigerung, da die Erlangung der einen Zertifizierung den Zeitaufwand für die Erlangung der anderen erheblich reduzieren kann.

1. Umfang

Sowohl SOC 2 als auch ISO 27001 sind in ähnlicher Weise darauf ausgerichtet, den Kunden das Vertrauen zu geben, dass ihre Daten geschützt sind. Die Kunden haben Gemeinsamkeiten, da beide Rahmenwerke kritische Aspekte der Informationssicherheit, wie Vertraulichkeit, Integrität und Verfügbarkeit, behandeln. Beides sind weithin anerkannte Zertifizierungen, die den Kunden zeigen, wie sehr sich Ihr Unternehmen der Sicherheit verpflichtet fühlt.

Ein wesentlicher Unterschied besteht darin, dass sich die SOC 2-Zertifizierung in erster Linie auf den Nachweis der effektiven Umsetzung von Sicherheitsmaßnahmen zum Schutz von Kundendaten konzentriert. ISO 27001 hingegen verlangt lediglich, dass eine Organisation über ein Informationssicherheits-Managementsystem (ISMS) verfügt, eine vorgeschriebene Reihe von Sicherheitsmaßnahmen.

2. Markttauglichkeit

Eine wichtige Gemeinsamkeit ist, dass es sich bei beiden Zertifizierungen um bekannte Informationssicherheitsstandards handelt, die weithin als Beweis dafür akzeptiert werden, dass eine Organisation über angemessene Sicherheitsmaßnahmen verfügt. Vor allem in den Vereinigten Staaten werden diese Zertifizierungen von Organisationen aller Größenordnungen akzeptiert, von kleinen Unternehmen bis hin zu Großkonzernen. Beide sind in den meisten Branchen voll akzeptiert und positionieren ein Unternehmen als zuverlässigen Anbieter mit soliden Verfahren zur Informationssicherheit.

3. Externe Partei

Beide Zertifizierungen werden von Dritten bewertet, entweder von ISO 27001-Auditoren oder (registrierten) Wirtschaftsprüfern. Der Hauptunterschied besteht darin, dass ein vom Niederländischen Institut der Wirtschaftsprüfer (NBA) anerkanntes Unternehmen einen SOC 2-Bericht ausstellt, während ein akkreditierter ISO 27001-Auditor die Einhaltung der ISO 27001 zertifiziert. Risklane beschäftigt sowohl anerkannte Wirtschaftsprüfer als auch akkreditierte ISO 27001-Auditoren, die Sie bei der Durchführung des Audits beraten können.

4. Kosten

Beide Zertifizierungen haben vergleichbare Betriebskosten, zu denen auch die internen Kosten für das Team gehören, das die Kontrollmaßnahmen umsetzt und die Nachweise sammelt, die für den Nachweis der Einhaltung von SOC 2 oder ISO 27001 erforderlich sind.

Die Preise für die beiden Arten von Zertifizierungen können erheblich variieren. Im Allgemeinen sind die Kosten für eine SOC 2-Zertifizierung höher als für eine ISO 27001-Zertifizierung. Dies ist in erster Linie auf die umfangreichen Dokumentationsanforderungen für Prüfer zurückzuführen, die ein SOC 2-Audit durchführen.

5. Zeitrahmen

Der Projektansatz für beide Zertifizierungen ist ähnlich und besteht aus ungefähr gleichen Phasen. Da SOC 2 und ISO 27001 viele der Kontrollmaßnahmen gemeinsam haben, haben auch die Implementierungsphasen einen vergleichbaren Zeitrahmen. Ein SOC 2-Audit kann jedoch aufgrund der oben erwähnten Dokumentationsanforderungen mehr interne und externe (Auditoren) Zeit erfordern.

Nach dem Audit-Zeitraum müssen sowohl die SOC 2- als auch die ISO 27001-Zertifizierung regelmäßig erneuert werden, um für die Benutzerorganisationen gültig zu bleiben. ISO 27001 umfasst in der Regel einen dreijährigen Zyklus, mit einem Audit im ersten Jahr und jährlichen Erneuerungen danach.

Über Securance

Unser Ziel ist, das Wachstum und den Erfolg unserer Kunden zu fördern und darüber hinauszugehen. Wir sind bestrebt, die Möglichkeiten zu erweitern, Spitzenleistungen zu ermöglichen, das Wachstum zu fördern, neue Kunden zu gewinnen und die internen Prozesse zu verbessern. Um diesen Auftrag zu erfüllen, müssen wir Pionierarbeit beim Risikomanagement leisten, die Effizienz durch Automatisierung optimieren, ein vielfältiges globales Team aufbauen und einen positiven Beitrag zu den Gemeinden leisten, in denen wir tätig sind. Darüber hinaus sind wir fest entschlossen, Unternehmen dabei zu helfen, nachhaltiger und transparenter zu werden, um somit einen eindeutigen und wertvollen Beitrag für die Gesellschaft zu leisten. Unser unermüdliches Streben nach höchster Qualität gewährleistet, dass wir erfolgreich sind, wenn alle Kundenziele erreicht und unsere Kunden zu 100 % zufrieden sind.