Die Zertifizierungslücke im Unternehmensbeschaffung
Die Beschaffung von Unternehmens-SaaS hat einen konsistenten Qualifikationsfilter entwickelt: die ISO 27001-Zertifizierung. Eine Umfrage von 2025 unter Unternehmens-CISOs ergab, dass "fehlende anerkannte Sicherheitszertifizierung" der #2 Grund für die Disqualifizierung von SaaS-Anbietern war, nur übertroffen von "unzureichender Verschlüsselungsarchitektur."
Der Grund ist strukturell. Die Sicherheitsteams in Unternehmen sind dafür verantwortlich, jährlich Dutzende bis Hunderte von Anbietern zu prüfen. Eine vollständige individuelle Sicherheitsbewertung für jeden Anbieter durchzuführen — Richtlinien zu überprüfen, Kontrollen zu testen, die Architektur zu bewerten — erfordert erhebliche Kapazitäten des Sicherheitsteams. Die ISO 27001-Zertifizierung bietet eine Abkürzung: Ein unabhängiger Prüfer hat bereits das Informationssicherheitsmanagementsystem des Anbieters anhand eines anerkannten Standards mit 93 Kontrollen in 11 Bereichen bewertet.
Für Anbieter ohne ISO 27001 erfordert jeder Unternehmensdeal, dass der Beweisfall von Grund auf neu aufgebaut wird. Für Anbieter mit ISO 27001 existiert das Beweis-Paket bereits und wurde unabhängig validiert.
Was ISO 27001:2022 Anhang A tatsächlich abdeckt
ISO 27001:2022 Anhang A umfasst 93 Kontrollen in vier Themen: organisatorisch, personell, physisch und technologisch. Für Datenschutz-Tools in der Cloud konzentrieren sich die Beschaffungsteams der Unternehmen am stärksten auf folgende Kontrollen:
Kryptografische Kontrollen (Anhang A 8.24): Erfordert, dass die Organisation Regeln für die Verwendung von kryptografischen Kontrollen, einschließlich Schlüsselmanagement, definiert. Die Zertifizierung zeigt, dass der Anbieter eine dokumentierte, geprüfte Richtlinie hat, wie Verschlüsselungsschlüssel generiert, gespeichert, zugegriffen und zerstört werden.
Zugriffskontrolle (Anhang A 8.2-8.5): Erfordert, dass der Zugriff auf Informationen basierend auf dem Prinzip der geringsten Privilegien eingeschränkt wird. Die Zertifizierung zeigt, dass der Zugriff des Anbieterpersonals auf Kundendaten kontrolliert und dokumentiert wird.
Lieferantenbeziehungen (Anhang A 5.19-5.22): Erfordert, dass Sicherheitsanforderungen für Lieferantenbeziehungen dokumentiert und überwacht werden. Relevant für Unternehmen, deren eigene Kunden von ihnen verlangen, die Sicherheit ihrer Anbieter zu dokumentieren.
Das Zertifizierungsdokument ISO 27001 beantwortet nicht jede Beschaffungsfrage — es stellt fest, dass die organisatorischen und prozessualen Kontrollen existieren. Die Zertifizierung reduziert den Umfang der individuellen Bewertung auf architekturspezifische Fragen, die der Standard nicht behandelt.
Die Architekturfrage, die der Standard nicht beantwortet
Die ISO 27001-Zertifizierung beantwortet Fragen zu Prozess- und Organisationskontrollen. Sie beantwortet nicht die grundlegende architektonische Frage, die regulierte Unternehmen am meisten interessiert: "Kann der Anbieter auf unsere Daten zugreifen?"
Ein Anbieter mit ISO 27001-Zertifizierung kann dennoch mit serverseitigen Verschlüsselungsschlüsseln arbeiten. Die Zertifizierung bestätigt, dass das Schlüsselmanagement einer dokumentierten Richtlinie folgt — nicht, dass die Richtlinie den Zugriff des Anbieters verhindert.
Die Zero-Knowledge-Architektur beantwortet die Frage, die ISO 27001 offen lässt. Die Architektur — clientseitige Schlüsselableitung, keine serverseitige Schlüsselablage, AES-256-GCM-Verschlüsselung vor der Übertragung — macht die Antwort auf "Kann der Anbieter auf unsere Daten zugreifen?" definitiv negativ.
Die Auswirkungen auf die Beschaffung, die sich aus der Kombination von ISO 27001 mit Zero-Knowledge-Architektur ergeben: ISO 27001 erfüllt die organisatorischen und prozessualen Kontrollanforderungen, die Beschaffungsfragebögen überprüfen. Zero-Knowledge-Architektur erfüllt die Anforderungen an den Datenzugriff, die die höchste Priorität für regulierte Branchen haben. Zusammen adressieren sie die beiden primären Qualifikationskriterien für die Genehmigung von Cloud-Anbietern im Gesundheitswesen, im Finanzdienstleistungssektor und im Rechtsmarkt.
Die Zeitreduktion in der Praxis
Die Zeitrahmen für die Sicherheitsbewertung von Anbietern in regulierten Branchen liegen typischerweise zwischen 3 und 6 Monaten ohne anerkannte Zertifizierung. Die Bewertung umfasst das Ausfüllen von Sicherheitsfragebögen, die Überprüfung von Dokumentationen, die Überprüfung der technischen Architektur und oft einen Anruf mit dem Sicherheitsteam.
Mit ISO 27001-Zertifizierung können Unternehmen die Dokumentationsüberprüfungsphase abkürzen — das Zertifikat und die zugehörige Anwendbarkeitserklärung liefern den Beweis. Mit der Dokumentation der Zero-Knowledge-Architektur wird die Überprüfungsphase der Architektur schnell gelöst. Der Bewertungszeitraum verkürzt sich auf 3 bis 6 Wochen für die effizientesten Beschaffungsprozesse von Unternehmen.
Für Anbieter, die auf Deals mit regulierten Unternehmen abzielen, ist die Kosten-Nutzen-Rechnung der ISO 27001-Zertifizierung einfach: Die Zertifizierung verkürzt die Verkaufszyklen von Monaten auf Wochen bei jedem regulierten Unternehmensdeal. Bei Unternehmensdeal-Größen summiert sich die Zeitersparnis zu einer erheblichen Umsatzbeschleunigung.
Für Unternehmen, die Datenschutz-Tools kaufen, bietet die Kombination der Zertifizierungen eine qualitativ andere Risikoposition: Ein Anbieter, der nicht auf Kundendaten zugreifen kann (Zero-Knowledge) und der unabhängig verifizierte organisatorische Kontrollen hat (ISO 27001), stellt den stärksten verfügbaren Beweis für das Sicherheitsengagement eines Cloud-Anbieters dar.
Quellen: