Die Zertifizierungslücke in der Anbieterbeschaffung
Unternehmenssicherheitsteams prüfen jedes Jahr Dutzende von Anbietern. Sie brauchen einen schnellen Filter. Die ISO 27001-Zertifizierung gibt ihnen einen. Ein Prüfer hat die Kontrollen des Anbieters bereits überprüft. Das spart dem internen Team die gleiche Arbeit.
Anbieter ohne dieses Zertifikat müssen ihren Fall in jedem Auftrag neu aufbauen. Das kostet auf beiden Seiten Zeit. Es verlangsamt die Prüfung und erhöht das Risiko eines fehlgeschlagenen Checks.
Was die 2022-Norm abdeckt
Anhang A der aktuellen Version enthält 93 Kontrollen in vier Gruppen: organisatorisch, personell, physisch und technologisch. Teams konzentrieren sich auf einige wichtige Bereiche.
Kryptografische Kontrollen (Anhang A 8.24): Der Anbieter muss Regeln für den Schlüsseleinsatz festlegen. Diese decken ab, wie Schlüssel erstellt, gespeichert, abgerufen und entfernt werden. Die Zertifizierung zeigt, dass ein Prüfer diese Richtlinie bestätigt hat.
Zugriffskontrolle (Anhang A 8.2–8.5): Der Zugriff der Mitarbeiter auf Kundendaten muss den Least-Privilege-Regeln folgen. Die Zertifizierung zeigt, dass diese Grenzen dokumentiert und durchgesetzt werden.
Lieferantenbeziehungen (Anhang A 5.19–5.22): Anbieter müssen Sicherheitsregeln für ihre eigenen Lieferanten dokumentieren. Das ist wichtig, wenn Käufer nachweisen müssen, dass ihre Lieferanten sicher sind.
Das Zertifikat bestätigt, dass Prozess- und Organisationskontrollen vorhanden sind. Es reduziert die individuelle Prüfung auf eine kleinere Reihe von Architekturfragen, die die Norm nicht behandelt.
Die Frage, die die Zertifizierung nicht beantwortet
Die Norm beantwortet Prozessfragen. Sie beantwortet nicht, was regulierte Unternehmen am meisten beschäftigt: Kann der Anbieter unsere Daten lesen?
Ein zertifizierter Anbieter kann immer noch serverseitige Schlüssel besitzen. Die Zertifizierung bestätigt, dass die Schlüsselverwaltung einer Richtlinie folgt. Sie bestätigt nicht, dass diese Richtlinie den Anbieterzugang zu Klartext verhindert.
Zero-Knowledge-Design beantwortet, was die Norm offen lässt. Schlüssel werden auf der Client-Seite erstellt. Keine Schlüssel liegen auf dem Server. Daten werden mit AES-256-GCM verschlüsselt, bevor sie den Client verlassen. Der Anbieter kann keine Kundendaten lesen. Das ist eine strukturelle Tatsache, keine Richtlinienentscheidung.
Dies deckt zwei verschiedene Anliegen ab. Das Zertifikat erfüllt Prozess- und Organisationsprüfungen in Beschaffungsformularen. Zero-Knowledge-Design erfüllt die Datenzugangsfrage, die regulierte Unternehmen am höchsten einordnen. Zusammen schaffen sie die beiden Hauptzulassungshürden für Cloud-Anbieter in den Bereichen Gesundheitswesen, Finanzen und Rechtsmarkt.
Erfahren Sie, wie Zero-Knowledge-Design Sicherheitsfragebögen beantwortet und lesen Sie den Sicherheits- und Compliance-Überblick.
Wie sich das auf die Prüfungszeit auswirkt
Anbieterbewertungen in regulierten Märkten kosten Zeit. Sie umfassen Fragebogenarbeit, Dokumentenprüfung, Architekturüberprüfung und oft ein Gespräch mit dem Sicherheitsteam.
Die Zertifizierung verkürzt die Dokumentenprüfung. Das Zertifikat und die Anwendbarkeitserklärung dienen als Nachweis. Ein Prüfer hat die Kontrollen bereits überprüft. Das Beschaffungsteam muss diese Arbeit nicht wiederholen.
Zero-Knowledge-Design verkürzt die Architekturüberprüfung. Die Datenzugangsfrage hat eine klare strukturelle Antwort. Es gibt nichts zu verhandeln, außer dem Design selbst.
Beide Faktoren reduzieren das Hin und Her, das Anbieterbewertungen verlängert. Teams arbeiten schneller, wenn schwierige Fragen bei der ersten Einreichung direkte Antworten erhalten. Weniger Runden bedeuten weniger Verzögerungen.
Für Anbieter in regulierten Märkten ist das bei jedem Auftrag wichtig. Kürzere Prüfungen bedeuten kürzere Verkaufszyklen. Bei Enterprise-Auftragsgrößen summiert sich dieser Unterschied schnell. Anbieter, die die schwierigsten Fragen von Anfang an beantworten können, haben weniger Reibung.
Für Unternehmenskäufer bedeutet die Kombination eine stärkere Risikoposition. Ein Anbieter, der keine Kundendaten lesen kann und über geprüfte Organisationskontrollen verfügt, liefert klaren Beweis für seine Sicherheitsverpflichtung. Mehr erfahren im FAQ-Hub.