Das (falsche) Spiel mit den Zertifikaten
TÜV- DIN- ISO- GS- Zertifikate sind beliebt und sollen dem Besucher einer Webseite Sicherheit vermitteln. Das ist besonders bei Datensafes wichtig, da man dort seine Kennwörter ablegt und man höchste Sicherheit erwartet.
Doch nicht alles was dargestellt wird, entspricht auch der Wahrheit. Man könnte sogar eine Besenkammer zertifizieren lassen.
Die Datensafes und Ihre Zertifikate
Wenn wir so durch die Anbieter für digitale Vorsorge oder digitalen Nachlass surfen, so stoßen wir immer wieder auf Unternehmen, die sich mit diversen bekannten Zertifikaten schmücken.
Beispielhaft finden wir häufig das (scheinbar) erworbene Zertifikat bei Datensafe-Anbietern, dass Sie ISO 27001 durch den TÜV zertifiziert seien.
Achtung liebe Leser, lassen Sie sich nicht blenden!
Unsere Feststellungen bei den Datensafes
Hinterfrägt man das Zertifikat beim Betreiber oder frägt bei der Zertifizierungsstelle nach, so hat das Unternehmen keine Prüfung nach ISO, DIN usw. oder etwas Ähnliches vollständig durchlaufen. Geschweige denn es hat überhaupt einen Prüfantrag gestellt.
Wir haben uns die Mühe gemacht, dass wir genau hinsehen. Über die grundsätzlicher Sicherheit von Datensafe haben wir bereits berichtet.
1: Häufig steht und unter dem Zertifikat, dass nur das Rechenzentrum geprüft sei.
Überwiegend mieten die Dienstanbieter ihre Server bei einem bekannten Provider.
Dieser Provider hat seine internen Prozesse und z.B. den Zutrittsschutz zertifiziert.
Das heißt aber nicht, dass die Dienstanbieter ihre Software, Verfahren, Schnittstellen usw. prüfen ließen. Was dann bedeutet, der Server per se ist „sicher“, die Software und Prozesse müssen es nicht sein.
2: In manchen Fällen wir ein Testsiegel ohne weitere Angaben auf der Webseite verwendet. Testweise haben wir bei der Zertifizierungsstelle angerufen, um herauszufinden, ob das Unternehmen tatsächlich TÜV Zertifiziert ist.
Die Firma hatte kein eigenes ISO Zertifikat, so die offizielle Auskunftsstelle.
Es drängt sich hier der Verdacht auf, dass die Qualitätssiegel fehlerhaft benutzt werden.
Vielleicht ist auch die Motivation, dass man den Kunden hier hinters Licht führen will.
3: In wenigen Fällen hat das Unternehmen, das mit dem Qualitätssiegel wirbt, auch die Prüfung mit aus reichemden Umfang (Scope) bestanden. Sowohl die Softwareentwicklung, Risikoprozesse, Notfallprozesse, Datenklassifizierung, Folgeabschätzung, Schnittstellen usw. waren Bestandteil der Prüfung.
Unsere Erkenntnis
Wenn Sie einen Dienstleister auswählen, so achten Sie bitte genau darauf, was dieser auf seiner Webseite anpreist.
Fragen Sie nach der Prüfnummer und nach dem Umfang (Scope) der Prüfung nach.
Jeder Unternehmer, der die Prüfung erfolgreich durchlaufen hat, wird mit Stolz ihnen diese Fragen beantworten. Ist der Scope zu begrenzt (z.B. Nur Serverraum), so ist der Betrieb der Dienstleistung nicht unbedingt sicher.
Achten Sie bitte darauf, bevor Sie eine Leistung bestellen. Nicht alles was glänzt ist Gold.
Es ist ihr gutes Recht, da es um Ihre Daten geht.
Sind Sie sich nicht sicher, so fragen Sie gerne auch bei uns nach.
Im nächsten Beitrag berichten wir über SSL – Zertifikate. Auch da schlampen die Dienstleister.