ISO 27001 & C5 erklärt – IT-Sicherheit für Onlineberatung | assisto

Sichere Cloud-Infrastruktur gemäß ISO 27001 und C5 – Hosting in Deutschland

Wir betreiben unsere Software in einer professionellen Cloud-Umgebung mit Standort Deutschland, die nach den Standards ISO/IEC 27001 und dem C5-Katalog (Cloud Computing Compliance Criteria Catalogue) des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert ist.

Diese Zertifizierungen belegen, dass sowohl der technische Betrieb als auch die organisatorischen Prozesse der Cloud-Anbieter strengen Anforderungen an Informationssicherheit und Datenschutz entsprechen. Für unsere Kundinnen und Kunden bedeutet das: Die Verarbeitung sensibler Daten erfolgt in einer kontrollierten, auditierbaren und rechtskonformen Umgebung.

ISO/IEC 27001 – International anerkannter Standard für Informationssicherheit

Die ISO/IEC 27001 ist ein weltweit gültiger Standard für den Aufbau, den Betrieb und die laufende Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Ziel ist es, alle Prozesse rund um den Schutz von Daten – insbesondere vertraulicher oder personenbezogener Informationen – systematisch zu steuern und abzusichern.

Eine zertifizierte ISO-27001-Umgebung gewährleistet unter anderem:

Risikobasierter Ansatz: Sicherheitsrisiken werden systematisch identifiziert, bewertet und durch geeignete Maßnahmen kontrolliert.
Technische Schutzmaßnahmen: Daten werden durch moderne Verschlüsselungsverfahren, Zugangsbeschränkungen, Netzwerksegmentierung und andere Sicherheitsmechanismen geschützt.
Organisatorische Verfahren: Zuständigkeiten, Prozesse und Reaktionen auf Sicherheitsvorfälle sind klar definiert und dokumentiert.
Regelmäßige Prüfungen: Die Umsetzung der Maßnahmen wird intern und extern regelmäßig überprüft, auditiert und weiterentwickelt.

Damit wird sichergestellt, dass vertrauliche Daten, wie z. B. personenbezogene Angaben oder interne Informationen, nicht nur technisch abgesichert, sondern auch in einem strukturierten Rahmen verantwortungsvoll verarbeitet werden.

C5 (Cloud Computing Compliance Criteria Catalogue) – BSI-Prüfstandard für Cloud-Dienste

Neben der ISO 27001 erfüllt unsere Cloud-Umgebung auch die Anforderungen des C5-Katalogs des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der C5 wurde speziell entwickelt, um Cloud-Anbieter auf ihre Eignung für sicherheitskritische oder datenschutzrelevante Anwendungen zu prüfen.

Die C5-Anforderungen umfassen über 100 Einzelkriterien aus Bereichen wie:

Transparenz: Der Cloud-Dienstleister muss offenlegen, wo Daten gespeichert werden, welche Subunternehmer eingebunden sind und welche Schutzmaßnahmen bestehen.
Zugriffsmanagement: Es müssen klare Richtlinien zur Identitäts- und Berechtigungsverwaltung vorliegen. Nur autorisierte Personen dürfen Zugriff auf Systeme und Daten erhalten.
Sicherheitsvorkehrungen: Die Infrastruktur muss gegen physische und digitale Angriffe geschützt sein. Dazu gehören unter anderem Firewalls, Intrusion Detection, Schutz vor DDoS-Angriffen sowie Backup- und Wiederherstellungsverfahren.
Rechtssicherheit und Dokumentation: Der Betrieb muss jederzeit nachvollziehbar und prüfbar sein, auch im Hinblick auf gesetzliche Anforderungen und interne Vorgaben.
Notfallmanagement: Es sind Maßnahmen für den Umgang mit Systemausfällen, Sicherheitsvorfällen und anderen Betriebsstörungen dokumentiert und getestet.

Die Einhaltung der C5-Kriterien wird durch unabhängige Prüfstellen kontrolliert und durch ein Testat dokumentiert, das regelmäßig erneuert werden muss.

Rechenzentrumsstandort Deutschland – klare rechtliche Rahmenbedingungen

Ein zentrales Kriterium für viele Organisationen ist der physische Speicherort der Daten. Unsere Cloud-Infrastruktur wird ausschließlich in Rechenzentren mit Standort in Deutschland betrieben. Daraus ergeben sich folgende Vorteile:

Anwendbarkeit der DSGVO und des BDSG: Die Datenverarbeitung unterliegt vollständig der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG). Es gelten hohe rechtliche Schutzstandards und umfangreiche Betroffenenrechte.
Keine Übertragung in Drittländer: Es erfolgt keine Speicherung oder Verarbeitung personenbezogener Daten außerhalb der EU. Auch eine Übermittlung in Länder mit niedrigeren Datenschutzstandards – wie etwa in die USA – findet nicht statt.
Rechtssicherheit: Die Kontrolle über Datenzugriffe, Speicherorte und Auftragsverarbeiter bleibt nachvollziehbar und unterliegt einem stabilen europäischen Rechtsrahmen.

Diese Standortwahl ist insbesondere für datenschutzsensible Branchen wie Bildung, Gesundheit, Beratung oder öffentliche Verwaltung von Bedeutung.

Fazit: Technisch, organisatorisch und rechtlich auf hohem Niveau

Mit dem Betrieb unserer Software in einer zertifizierten Cloud-Umgebung nach ISO 27001 und C5 gewährleisten wir ein hohes Maß an Informationssicherheit, Transparenz und Datenschutz. Die Entscheidung für einen deutschen Rechenzentrumsstandort bietet darüber hinaus rechtliche Klarheit und schützt vor Zugriffen durch ausländische Behörden oder gesetzliche Unsicherheiten.

So schaffen wir eine verlässliche Grundlage für den verantwortungsvollen Umgang mit sensiblen Daten – im Einklang mit aktuellen Sicherheitsstandards und gesetzlichen Vorgaben.