Sicherheit ist ein hohes Gut. Darum möchten Unternehmen sich und ihre Vermögenswerte auch schützen. Bei der Umsetzung in die Praxis stellt das aber viele Verantwortliche vor Herausforderungen. Anforderungen an Datensicherheit und Datenschutz sowie die Komplexität der Risikosituation und mangelnde Kenntnisse im Bereich IT-Sicherheit führen dazu, dass Entscheider bei Investitionen in Produkte und Dienstleistungen oft zurückhaltend sind. Um Vertrauenswürdigkeit zu stärken, greifen Dienstleister und Produkthersteller zunehmend auf verschiedene Siegel und Zertifikate zurück. Ihre Kunden und Geschäftspartner sollen vermittelt bekommen, dass gewünschte (Sicherheits-)Anforderungen eingehalten werden. Im Angebots-Dschungel der verschiedenen Siegel und Zertifikate verliert man allerdings leicht den Überblick. Im Folgenden geben wir eine Hilfestellung, was unter solchen Siegeln und Zertifikaten verstanden wird und wie sie jeder selbst auf Vertrauenswürdigkeit prüfen kann.

Was sind Siegel und Zertifikate?

Zertifikate beschreiben Kennzeichnungen, die die Einhaltung festgelegter Kriterien beglaubigen. Anerkannte Institutionen vergeben Zertifikate nur an die Dienstleister und Hersteller, die von ihnen geprüft wurden und die die Einhaltung von Prüfbestimmungen zu einheitlich festgelegten Kriterien erfüllen. Die Kriterien werden meistens aus (inter-)nationalen Normen oder Standards, wie z. B. der ISO 27001, abgeleitet. Häufig werden die Begriffe „Siegel“ und „Zertifikat“ synonym verwendet. Im engeren Sinne ist unter einem Siegel aber eine zusätzliche grafische Kennzeichnung zu verstehen, mit der eine Zertifizierung nach Außen kommuniziert wird.

Warum lassen Unternehmen sich zertifizieren?

Mit einem Zertifikat sind Unternehmen in der Lage, das Vertrauen von Kunden zu gewinnen. Die zugrundeliegende Prüfung bestätigt, dass die Organisation ein angemessenes Sicherheitsniveau erreicht hat, aufrecht erhält und somit Zuverlässigkeit beweist. Dies kann sowohl für Endkunden ein Kaufkriterium sein, aber auch innerhalb von Lieferketten vom Auftraggeber gefordert werden um überhaupt in diese eingebunden zu werden.

Auch interne Beweggründe können dazu führen, dass Zertifizierungsprozesse durchlaufen werden. Durch die Einführung von Prozessen und Anwendungen, die den zur Zertifizierung geforderten Ansprüchen genügen, können Schwachstellen frühzeitig erkannt und somit Kosten durch IT-Sicherheitsvorfälle vorgebeugt werden. Der Aufbau eines Qualitätsmanagements mit Zertifizierung erleichtert zudem den Nachweis der Erfüllung entsprechender Sorgfaltspflichten. Dies kann beispielsweise durch ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) ermöglicht werden. Ein Leitfaden zur Einführung eines ISMS in kleinen und mittleren Unternehmen gibt es hier: https://www.mittelstand-digital.de/MD/Redaktion/DE/Publikationen/it-sicherheit-leitfaden-Informationssicherheitsmanagememt.html

Was kann eine Zertifizierung nicht bewirken?

Siegel und Zertifikate können keine vollkommene Sicherheit gewährleisten. Sie garantieren nur, dass zum Prüfungszeitpunkt die ihnen zugrunde liegenden Prüfkriterien erfüllt wurden. Zudem sind im Bereich Informationssicherheit weder Eigenschaften noch Vergabemechanismen gesetzlich geregelt. Siegel, die mit aufwendigen, vertrauensvollen Zertifizierungsprozessen erlangt werden, können neben Siegeln mit geringerer oder ohne relevante Aussagekraft stehen. Unternehmen sollten sich also stets über Siegel bzw. Zertifikate informieren, bevor sie ihnen blind vertrauen.

Woran erkenne ich vertrauenswürdige Siegel und Zertifikate?
Aufgrund der Vielzahl an verwendeten Siegeln und Zertifikaten sind Bedeutung und Inhalt nicht immer sofort verständlich. Darum sollte stets individuell geprüft werden, ob das Siegel bzw. Zertifikat für die jeweiligen eigenen Zwecke geeignet erscheint. Fragen, die jeder sich insbesondere bei unbekannten Siegeln und Zertifikaten selber stellen sollte sind:

• Vermittelt das Siegel / Zertifikat das, was mir vom Anbieter oder Dienstleister signalisiert wird?
• Finde ich öffentliche Informationen zum Siegel / Zertifikat?
• Ist die Zertifizierungsstelle akkreditiert?
• Ist die Prüfstelle (Auditor) von der Zertifizierungsstelle unabhängig?
• Erfolgt die Zertifizierung auf Basis von anerkannten Normen und Standards?
• Sind die Prüfkriterien offen einsehbar?
• Hat das Siegel / die Zertifizierung eine begrenzte Gültigkeit?
• Sind bei einer längerfristigen Gültigkeitsdauer zwischenzeitliche Check-ups notwendig?

Siegel und Zertifikate können also dabei helfen vertrauenswürdige Dienstleister und Produkthersteller (einfacher) zu finden. Wenn Unsicherheiten bestehen sollte dennoch, im Rahmen der eigenen Möglichkeiten, eine Plausibilitätsprüfung der Versprechen durchgeführt werden.