Sicherheits- und Compliance-Zertifikate

Warum es notwendig ist

Zertifikate und Zertifizierungen bestätigen ausgereifte Sicherheitspraktiken und verkürzen den Verkaufszyklus (Due Diligence), indem sie den Zugang zu geregelten Märkten und Partnern ermöglichen. Der Schlüssel sei nicht, „einmal auditiert zu werden“, sondern ein durchgängiges Leitsystem mit messbaren Kontrollpunkten aufzubauen.

Landscape Map (was und wann zu wählen)

ISO/IEC 27001 ist ein Informationssicherheitsmanagementsystem (ISMS). Universelles „Skelett“ von Prozessen.

Ergänzungen: ISO 27017 (Cloud), 27018 (Datenschutz in der Cloud), 27701 (PIMS, Datenschutz), 22301 (BCMS, Nachhaltigkeit).
SOC 2 (AICPA): Typ I (Design am Datum) und Typ II (Design + Betriebseffizienz über einen Zeitraum von in der Regel 3-12 Monaten). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (für Kartenverarbeitung): Ebenen nach Transaktionsvolumen, ROC/AOC mit QSA, vierteljährliche ASV-Scans, Pentests und CHD-Zonensegmentierung.
CSA STAR (Level 1-3): Deklaration/Audit für Cloud-Anbieter und -Dienste.
Zusätzlich nach Bereichen: ISO 20000 (ITSM), ISO 31000 (Risikomanagement), ISO 37001 (Anti-Bribery), TISAX/ISAE 3402 (Industrie/Finanzen).
DSGVO/Datenschutz: Es gibt kein „DSGVO-Zertifikat“ als solches; Anwendung von ISO 27701 und unabhängigen Bewertungen/Verhaltenskodizes.

💡 Auswahlregel: B2B SaaS/Fintech → ISO 27001 + SOC 2 Typ II; Zahlungsströme/Karten → PCI DSS; Dichte Arbeit mit PII → 27701; Cloud-Fokus → 27017/27018/CSA STAR.

Zertifizierung vs Zertifizierung

Zertifizierung (ISO): Eine akkreditierte Stelle stellt ein Zertifikat für 3 Jahre mit jährlichen Überwachungsaudits aus.
Zertifizierung (SOC 2): Der unabhängige Prüfer erstellt einen Bericht (opinion) für den Zeitraum; Dokument, das Sie Kunden unter NDA zur Verfügung stellen.
PCI DSS: Bestätigt durch ROC (Report on Compliance) und AOC (Attestation of Compliance) oder SAQ für kleinere Volumina.

Scope: Wie man Grenzen umreißt

1. Assets und Prozesse: Produkte, Umgebungen (prod/stage), Regionen, Datenklassen (PII/Finanzen/Karten).
2. Technische Architektur: Cloud, VPC/VNet, Kubernetes, CI/CD, Secret Management, DWH/Analytics.
3. Organisationsbereiche: Büros/Remote, Auftragnehmer, Außenseiterunterstützung.
4. Anbieter (dritte Parteien): PSPs, Content Provider, KYC/AML, Clouds - ein Modell der Mitverantwortung.
5. Ausnahmen: Notieren Sie, warum aus Scope, und Ausgleichsmaßnahmen.

Fahrplan zum „First Badge“

1. Gap-Analyse gegen Ziele (27001/SOC 2/PCI).
2. Risikomanagement: Methodik, Risikoregister, Behandlungsplan, Statement of Applicability (ISO).
3. Richtlinien und Rollen: Informationssicherheit/Datenschutz, Datenklassifizierung, Zugriffe (IAM), Protokollierung, Reaktion, BCM/DR.
4. Technische Kontrollen: Verschlüsselung, Netzwerke (WAF/WAAP, DDoS), Schwachstellen/Patches, sicheres SDLC, Backups, Überwachung.
5. Beweisgrundlage: Regularien, Zeitschriften, Screenshots, Uploads, Tickets - wir speichern versioniert.
6. Internes Audit/Readiness-Assessment.
7. Externes Audit: Stufe 1 (Dock-Review) → Stufe 2 (Effizienz/Samples). Für SOC 2 ist Typ II der „Beobachtungszeitraum“.
8. Überwachung/Wartung: vierteljährliche Kontrollen, jährliche Überwachungsaudits (ISO), jährliche Aktualisierung von SOC 2.

Kontrollzuordnungsmatrix (Beispiel-Snippet)

Domänen	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	Prüfart/Artefakt
Zugriffsverwaltung	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCIM-Protokolle, Revue-Rechte
Chiffrierung	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, Schlüsselpolitik
Schwachstellen/Patches	A.12, A.14	CC7. x	6, 11. 3	Scans, MTTP, Pentest Reports, ASV
Protokolle/Überwachung	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, Retention, Alerts und RCA
BCM/DR	A.5, A.17	A1. x	12	22301-Pläne, DR-Testergebnisse

Was der Prüfer zeigt (Standardanfragen)

Zugriffe: Berichte aus IdP/IAM, JML-Protokolle, Revue-Privilegien.
Geheimnisse: KMS/Vault-Richtlinien, Geschichte der Rotation.
Schwachstellenscan: Aktuelle Berichte, Remediation Tickets, MTTP Timing.
Zeitschriften/Alerts: Incident Cases, MTTD/MTTR, Post-Morts.
Lieferanten: Register, DPIA/DTIA (falls PII), vertragliche Maßnahmen, Risikobewertungen.
Schulungen und Tests: Phishing-Simulationen, IB-Schulungen, Bestätigungen.
BC/DR: Ergebnisse der letzten Übung, RTO/RPO-Fakten.

Kontinuierliche Compliance

Policy-as-Code: OPA/Gatekeeper/Kyverno für Deploys; „Enforce“ auf kritische Regeln.
Continuous Control Monitoring (CCM): Prüfungen alle N Minuten/Stunden (Tankverschlüsselung, offene Ports, MFA-Abdeckung).
GRC-System: Register der Kontrollen, Eigentümer, Aufgaben und Fristen, Verknüpfung von Metriken.
Ein einziges Hub-Artefakt: „evidence“ (evidence) wird versioniert und mit einem Checkpoint markiert.
Autogenerierung von Berichten: SoA, Risk Register, Control Effectiveness, KPI/SLO durch Kontrollen.

Metriken und SLOs für Compliance

Deckung:% der Kontrollen mit automatischer Überprüfung;% der Vermögenswerte in der Gemeinschaft.
Reaktionszeit: p95 Abschlussprüfungsanfragen ≤ 5 Werktage.
Zuverlässigkeit: „Kontrolle nicht im grünen Bereich“ ≤ 1% der Zeit pro Monat.
Sicherheitslücken: MTTP P1 ≤ 48 Stunden, P2 ≤ 7 Tage; Pentest-Remediation ≤ 30 Tage.
IB-Training: Personalabdeckung ≥ 98%, Periodizität 12 Monate.

Besonderheiten für Cloud und Kubernetes

Cloud: Inventarisierung von Ressourcen (IaC), Verschlüsselung „auf Festplatte “/“ im Kanal“, Protokollierung (CloudTrail/Activity Logs), minimale Rollen. Verwenden Sie die Zertifizierungsberichte der Anbieter (SOC 2, ISO, PCI) als Teil des „Legacy“ -Schutzes.
Kubernetes: RBAC nach Namespace, Admission-Richtlinien (Image Signaturen/SBOM, Verbot': neueste'), Netzwerkrichtlinien, Secrets Out-of-Etcd (KMS), API Server Audit, Scan-Profile für Images/Cluster.
Netzwerke und Perimeter: WAF/WAAP, DDoS, Segmentierung, ZTNA statt „Wide“ VPN.

PCI DSS (Verfeinerungen für Zahlungsumgebungen)

Segmentierung der CHD-Zone: Minimum der Systeme in der Gruppe; mTLS zu PSP; Webhooks - mit HMAC.
Vierteljährliche ASV-Scans und jährliche Pentests (einschließlich Segmentierung).
Protokolle und Integrität: FIM, unveränderliche Protokolle, „time under print“ (NTP).
Dokumente: Richtlinien, Karten-Daten-Flussdiagramme, AOC/ROC, Incident Procedures.

Datenschutz (ISO 27701 + DSGVO-Ansatz)

Rollen: Controller/Prozessor, Behandlungsregister, Rechtsgrundlage.
DPIA/DTIA: Bewertung von Datenschutzrisiken und grenzüberschreitenden Übertragungen.
Rechte der Probanden: SLA auf Antworten, technische Mittel zum Suchen/Löschen.
Minimierung/Pseudonymisierung: Architekturmuster und DLP.

Artefakte (vorgefertigte Vorlagen - was „griffbereit“ zu halten ist)

Statement of Applicability (SoA) mit der Motivation zum Ein-/Ausschluß von Anhang A.
Control Matrix (ISO↔SOC2↔PCI) mit Besitzern und Beweisen.
Risikoregister mit Methodik (Impact/Likelihood) und Behandlungsplan.
BC/DR-Pläne + Protokolle der letzten Übungen.
Secure SDLC Paket: Revue Checklisten, SAST/DAST Berichte, Deploy Politik.
Supplier Due Diligence: Fragebögen (SIG Lite/CAIQ), Risikobewertungen, vertragliche Maßnahmen.

Häufige Fehler

„Audit for Audit“: Keine Live-Prozesse, nur Ordner mit Richtlinien.
Zu breit scope: wird teurer und erschwert Wartung; Beginnen Sie mit dem „Kern des Wertes“.
Manuelle Beweisaufnahme: hohe operative Verschuldung; Automatisieren Sie CCM und Uploads.
Kontrollen ohne Metriken: nicht kontrollierbar (keine SLOs/Eigentümer).
Vergessenes Post-Zertifizierungsregime: Keine vierteljährlichen Inspektionen → Überraschungen bei der Aufsicht.
Auftragnehmer aus dem Loop: Dritte werden zur Quelle von Vorfällen und zur „roten Karte“ beim Audit.

Checkliste Bereitschaft (abgekürzt)

Definiert scope, Vermögenswerte, Eigentümer; Daten- und Flusskarte.
Das Risikoregister, SoA (für ISO), Trust Services Criteria (für SOC 2) sind nach Kontrollen gegliedert.
Richtlinien, Verfahren, Schulung des Personals sind erfüllt und aktuell.
Die Kontrollen sind automatisiert (CCM), Dashboards und Alerts sind verbunden.
Evidenz für jede Kontrolle wird gesammelt/versioniert.
Internes Audit/Readiness durchgeführt; Kritische Lücken werden geschlossen.
Benennung eines Auditors/einer Stelle, Vereinbarung eines Beobachtungszeitraums (SOC 2) oder eines Stage 1/2 Plans (ISO).
Vor Ort Pentest/ASV (PCI), Remediationsplan und Bestätigung der Fixes.

Minivorlagen

Metrikrichtlinie für Kontrollen (Beispiel)

Kontrolle: „Alle Baquets mit PII sind KMS-verschlüsselt“.
SLI:% Baquets mit aktivierter Verschlüsselung.
Ziel: ≥ 99. 9%.
Ahlert: bei einem Sturz <99. 9% mehr als 15 Minuten → P2, Besitzer ist Head of Platform.

Beweisverlauf (Fragment)

Kontrolle	Der Beweis	Die Frequenz	Der Aufbewahrungsort	Der Verantwortliche
Protokollierung des PII-Zugriffs	SIEM-Export in 90 Tagen	Monatlich	GRC/Evidence Hub	SOC Lead
Rotation der Geheimnisse	Vault audit log + change ticket	Wöchentlich	GRC	DevOps Lead

Spezifität für iGaming/Fintech

Hochrisikodomänen: Zahlungen/Auszahlungen, Betrugsbekämpfung, Backophis, Affiliate-Integrationen - Priorität bei Scopes und Kontrollen.
Geschäftsmetriken: Time-to-Wallet, reg→depozit-Conversion - Berücksichtigen Sie die Auswirkungen von Schutzmaßnahmen und Audits.
Regionalität: EU/LATAM/Asien-Anforderungen - Berücksichtigung grenzüberschreitender Übertragungen, lokale Regulierungsbehörden.
Content Provider/PSP: obligatorische Due Diligence, mTLS/HMAC, rechtliche Zusatzvereinbarungen zu den Daten.

Summe

Zertifikate sind eine Folge von Disziplin und Automatisierung: Risikomanagement, lebendige Politik, messbare Kontrollen und ständige Bereitschaft. Wählen Sie das richtige Set (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), skizzieren Sie Scope, automatisieren Sie Inspektionen (CCM/Policy-as-Code), halten Sie Artefakte in Ordnung und messen Sie SLO - so wird Compliance vorhersehbar und unterstützt das Wachstum des Produkts, nicht die Bremse dafür.