Vokabular im Umfeld der Informationssicherheit – Grundvoraussetzung für das gemeinsame Verständnis!

In der Praxis und im Marketing begegnet man häufig irreführenden Begrifflichkeiten im Zusammenhang mit Informationssicherheitsstandards wie ISO 27001 und SOC 2. Diese ungenaue Verwendung führt nicht nur zu Missverständnissen, sondern kann auch das Vertrauen von Kunden und Partnern beeinträchtigen. Im Folgenden beleuchte ich die typischen Fehlinterpretationen und ergänze um weitere Beispiele aus dem Bereich Zertifizierungen und Berichte.

ISO 27001: Zertifiziert wird die Organisation, nicht ein Produkt oder Service

Oft liest man in Marketingunterlagen beispielsweise von „ISO 27001 zertifizierten Rechenzentren“. Das ist jedoch falsch, denn ISO 27001 zertifiziert nicht das Rechenzentrum als physische Einrichtung oder ein Produkt bzw. einen Service, sondern die betreibende Organisation bzw. Firma, die ein Informationssicherheits-Managementsystem (ISMS) implementiert und aufrechterhält.

ISO 27001 ist ein internationaler Standard, der Anforderungen an ein ISMS definiert. Die Zertifizierung erfolgt durch eine unabhängige, akkreditierte Zertifizierungsstelle, die die Organisation auditieren und bestätigen muss, dass sie die Anforderungen des Standards erfüllt. Dabei wird geprüft, ob die Organisation Prozesse, Richtlinien und Kontrollen etabliert hat, um Informationssicherheit systematisch zu managen. Ein Rechenzentrum als Gebäude oder Infrastruktur wird dabei nicht isoliert zertifiziert.

Eine korrekte Formulierung wäre daher: „Die Organisation ist ISO 27001 zertifiziert und betreibt ein Rechenzentrum, das im Geltungsbereich des ISMS enthalten ist.“ Eine solche Präzisierung vermeidet falsche Erwartungen und Missverständnisse.

SOC 2: Kein Zertifikat, sondern ein unabhängiger Prüfbericht

Ähnlich ungenau ist die häufige Rede von „SOC 2 Zertifizierungen“. SOC 2 ist keine Zertifizierung im klassischen Sinne, sondern ein sogenannter Independent Service Auditor’s Report, der von einem unabhängigen Wirtschaftsprüfer (CPA) nach Prüfung der implementierten Kontrollen ausgestellt wird.

SOC 2 basiert auf den Trust Services Criteria (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). Der Prüfbericht dokumentiert, ob die Kontrollen der Organisation diese Kriterien erfüllen. Es gibt zwei Typen von SOC 2 Berichten: Type 1 (Stichtagsprüfung) und Type 2 (Prüfung über einen Zeitraum). Am Ende steht ein Prüfungsurteil („Opinion Letter“) des Auditors, kein Zertifikat.

Die korrekte Kommunikation lautet daher: „Die Organisation hat einen SOC 2 Prüfbericht erhalten, der die Wirksamkeit ihrer Kontrollen bestätigt.“ Dies unterstreicht den Unterschied zu einer Zertifizierung und vermeidet irreführende Aussagen.

Weitere Beispiele für ungenaue Begriffsnutzung

• ISO 9001 „Zertifizierte Produkte“: ISO 9001 zertifiziert ein Qualitätsmanagementsystem einer Organisation, nicht einzelne Produkte. Die Aussage „ISO 9001 zertifizierte Produkte“ ist daher irreführend. Besser: „Die Organisation ist nach ISO 9001 zertifiziert und stellt Produkte her, die unter diesem Qualitätsmanagementsystem produziert werden.“
• PCI DSS „Zertifizierte Payment-Lösungen“: PCI DSS ist ein Sicherheitsstandard im Umfeld der Zahlungsabwicklung. Es gibt keine Zertifizierung von Produkten, sondern von Organisationen, die den Standard einhalten. Die Aussage „PCI DSS zertifizierte Payment-Lösung“ ist daher missverständlich.

Warum ist die korrekte Begriffsnutzung wichtig?

Die präzise Verwendung von Begriffen schützt vor rechtlichen Risiken und bewahrt die Glaubwürdigkeit. Falsche oder übertriebene Aussagen können als irreführende Werbung gewertet werden und das Vertrauen von Kunden und Partnern schwächen. Zudem fördert eine klare Kommunikation das Verständnis für die tatsächliche Bedeutung von Standards und Prüfungen.