Zum Hauptinhalt springen
Logo der KAMP Netzwerkdienste GmbHLogo der KAMP Netzwerkdienste GmbH

24/7/365 Magazin

Die Kunden- und Informationszeitung der KAMP Netzwerkdienste GmbH // November 2012

Artikel 1: ISO-Zertifizierung 27001 Maximale IT-Sicherheit – KAMP ist nach ISO/IEC 27001 zertifiziert
Artikel 2: Vertraulichkeit, Verfügbarkeit, Integrität – Drei gute Gründe für KAMP
Artikel 3: Assetmanagement – Inventarisierung des Rechenzentrums
Artikel 4: Im Dschungel der Zertifikate – Warum ISO/IEC 27001?
Artikel 5: Mit Sicherheit in die Cloud
Artikel 6: Teamarbeit: Gemeinsam für mehr Sicherheit sorgen​​​​​​​

ISO-Zertifizierung 27001 Maximale IT-Sicherheit – KAMP ist nach ISO/IEC 27001 zertifiziert

KAMP hat im September 2012 die international anerkannte Zertifizierung ISO/IEC 27001 für die Einführung und Umsetzung ihres Informationssicherheits-Managementsystems (ISMS) erhalten.

Die ISO/IEC 27001 ist eine weltweite Norm, die Standards für die IT-Sicherheit in Unternehmen und Institutionen festlegt. Sie spezifiziert die Sicherheitsanforderungen, die sowohl an das Management als auch an Unternehmensprozesse gestellt werden. Mit der Zertifizierung weist KAMP zudem nach, dass gesetzliche Bestimmungen, interne Kontrollen und Vorschriften zum Datenschutz gemäß der Unternehmensrichtlinie umgesetzt werden. 

Zertifiziert wurde das KAMP-Rechenzentrum in Oberhausen und die damit erbrachten Services. Dazu zählen Dienstleistungen wie Colocation, Server-Housing und -Hosting, Virtualisierung, Cloud-Dienste zusammen mit den dazugehörigen Anbindungen an das Internet und die Kunden-Lokation sowie Managed Services (Web-Services, E-Mail, Storage, Verzeichnisdienste, Datenbankanwendungen, Netzwerkonfigurationen), Sicherheitsservices (Firewall, VPN-Tunnel, Virus- und Spam-Schutz) und die benötigte Hardware wie Router und Switche.

„Wir freuen uns, dass wir mit dem ISO/IEC 27001-Zertifikat unseren Geschäftspartnern und Kunden dokumentieren, dass IT-Sicherheit bei KAMP einen hohen Stellenwert besitzt“, erläutert Dina Knorr. Die IT-Sicherheitsbeauftragte hat gemeinsam mit der KAMP-Geschäftsführung den Zertifizierungsprozess bei KAMP begleitet und verantwortet. Von der Einführung des Informationssicherheits-Managementsystems über die Umsetzung technischer und organisatorischer Maßnahmen bis hin zur Schulung der Mitarbeiter wurden alle notwendigen Prozesse zunächst definiert, dann implementiert und – für eine nachvollziehbare Transparenz – umfangreich dokumentiert. Zur Aufrechterhaltung und kontinuierlichen Verbesserung werden regelmäßige Bewertungen des Managementsystems vorgenommen. Alle Mitarbeiter sind dabei aufgefordert, sich aktiv an dem Verbesserungsprozess zu beteiligen. 

Um zu prüfen, ob alle Anforderungen an die IT-Sicherheit von KAMP ordnungsgemäß realisiert sind, wurde ein unabhängiger Auditor berufen. Der bestellte Auditor hat hierfür vor Ort die relevanten Dokumente gesichtet, getroffene Maßnahmen kontrolliert, Mitarbeiter befragt und einen Audit-Report erstellt, auf dessen Grundlage das ISO/IEC 27001-Zertifikat für KAMP ausgestellt wurde. Das Zertifikat ist drei Jahre lang – bis August 2015 – gültig. Um die Leistungen und Prozesse kontinuierlich zu überwachen, finden außerdem jährlich sogenannte Überwachungsaudits statt. Diese regelmäßigen Audits belegen, dass KAMP den ständigen Veränderungen der Branche in puncto IT-Sicherheit gewachsen ist.

v.r.n.l.: Dina Knorr, Michael Lante, Heiner Lante und Erol Pektas bei der Zertifikatsübergabe im KAMP-Rechenzentrum

Vertraulichkeit, Verfügbarkeit, Integrität – Drei gute Gründe für KAMP

Vertraulichkeit, Verfügbarkeit und Integrität sind die drei Grundwerte eines Informationssicherheits-Managementsystems (ISMS). KAMP hat zum Schutz dieser wichtigen Grundwerte und im Zuge der Implementierung des ISMS einen umfangreichen Maßnahmenkatalog auf Grundlage der ISO/IEC 27001 umgesetzt, damit IT-Systeme und Daten optimal geschützt sind.

Zutritts-, Zugriffs- und Zugangskontrolle sind oft die ersten Begriffe, die genannt werden, wenn über das Thema IT-Sicherheit diskutiert wird. Um Vertraulichkeit, Verfügbarkeit und Integrität von Daten, Informationen und IT-Systemen optimal zu schützen und IT-Sicherheit im Sinne der ISO/IEC 27001 zu gewährleisten, sind jedoch eine Vielzahl von Maßnahmen erforderlich. Grundlage jeder effizienten Sicherheitsstrategie ist die Analyse aller organisationseigenen Werte. Dazu zählen wichtige Geschäftsinformationen, selbstentwickelte Softwareprodukte, sämtliche physischen Komponenten, Dienstleistungen, Mitarbeiter sowie immaterielle Werte – beispielsweise das Image – des Unternehmens. Auf Basis der ermittelten Werte werden die hierauf wirkenden Risiken untersucht. Aus dieser Risikoanalyse lassen sich technische und organisatorische Schutzmaßnahmen ableiten, die im Unternehmen implementiert und in verbindlichen Richtlinien dokumentiert werden. Ziel ist es, durch ein verlässliches Informationssicherheits-Managementsystem einheitliche Prozesse zu etablieren, Verantwortlichkeiten und Handlungsanweisungen klar zu definieren, um hohe Standards für die IT-Sicherheit zu setzten.

Hintergrundinformation

Die drei Grundwerte eines Informationssicherheits-Managementsystems sind anerkannte Schutzbedarfskategorien der „IT-Grundschutz-Kataloge“ des Bundesamtes für Sicherheit in der Informa-tionstechnologie (BSI).

  • Verfügbarkeit: Dienstleistungen, Funktionen eines IT-Systems und Informationen stehen zur geforderten Zeit zur Verfügung
  • Vertraulichkeit: Daten können nur durch Befugte genutzt werden, Schutz vor unbefugter Preisgabe
  • Integrität: Daten sind vollständig und unverändert. Schutz vor unerlaubter Veränderung, Verfälschung und Manipulation

Komponenten, Dienstleistungen, Mitarbeiter sowie immaterielle Werte – beispielsweise das Image – des Unternehmens. Auf Basis der ermittelten Werte werden die hierauf wirkenden Risiken untersucht. Aus dieser Risikoanalyse lassen sich technische und organisatorische Schutzmaßnahmen ableiten, die im Unternehmen implementiert und in verbindlichen Richtlinien dokumentiert werden. Ziel ist es, durch ein verlässliches Informationssicherheits-Managementsystem einheitliche Prozesse zu etablieren, Verantwortlichkeiten und Handlungsanweisungen klar zu definieren, um hohe Standards für die IT-Sicherheit zu setzten.

Für den Betrieb des KAMP Rechenzentrums und der darin erbrachten Dienstleistungen wurden neben umfangreichen technischen Maßnahmen zur physikalischen Sicherheit der Systemlandschaft insbesondere auch organisatorische Strukturen neu implementiert. Dabei wurden sowohl die internationalen Anforderungen der ISO/IEC 27001 als auch die nationalen Vorgaben der ISO/IEC 27001 IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umgesetzt.

Richtlinien für Managed Services 

Für die Managed Services (Webserver, E-Mail, Storage, Verzeichnisdienste, Datenbankanwendungen und Netzwerkkonfigurationen) definieren im Rahmen der ISO/IEC 27001 Richtlinien den gesamten Lebenszyklus eines Produkts von der Anschaffung benötigter Hardware, über die Erstins-tallation bis hin zur Außerbetriebnahme. Sicherheits-services wie Firewall, VPN-Tunnel, Virus- und Spamschutz werden in eigens hierzu dokumentierten Konzepten beschrieben, damit jederzeit unterbrechungsfreie Geschäftsprozesse garantiert werden können. 

Richtlinie zum Umgang mit Medien

Die Richtlinie zum Umgang mit Medien sensibilisiert alle Mitarbeiter dafür, Daten und Medien permanent und eigenständig vor unbefugter Nutzung und Verlust zu schützen.

Kryptokonzept

Das Kryptokonzept enthält alle angewandten kryptografischen Verfahren und beschreibt Verschlüsselungsmethoden, die beim Speichern oder beim Versand von Daten, beispielsweise per E-Mail, zu nutzen sind. 

Entsorgungsrichtlinie

Die Entsorgungsrichtlinie klärt, welche Verfahren zur Entsorgung von Papierdokumenten, aber auch von Datenträgern (wie Festplatten, Magnetspeicherbänder, USB-Sticks, CDs, DVDs) zu nutzen sind.

Notfallmanagement

Zur Behandlung von Sicherheitsvorfällen besitzt jeder technische Mitarbeiter ein persönliches Notfallmanagementhandbuch. Es enthält Verhaltensanweisungen für Notfall- und Sicherheitsvorfälle und listet die einzuhaltenden Meldewege, Rufnummern, Eskalationsstufen, Sofortmaßnahmen, pläne und Analysemethoden für die Untersuchung und Nachbereitung der vorgefallenen Ereignisse auf.

Mitarbeitersensibilisierung von Anfang an

Sicherheitsvorfälle können nicht nur technische Ursachen haben, sondern auch durch menschliches Verschulden ausgelöst werden. Daher hat KAMP das besondere Anliegen, alle Mitarbeiter kontinuierlich in den Entwicklungsprozess des ISMS miteinzubeziehen. Regelmäßige Schulungen zur Sensibilisierung sind dabei ein wesentlicher Bestandteil. „Zu Beginn der Entwicklung des ISMS hat unsere IT-Sicherheitsbeauftragte eine Mitarbeiterbefragung durchgeführt“, erläutert Maik Ernemann, IT-Sicherheitsbeauftragter für den Bereich Technik. „Dadurch konnten die individuellen Informationsbedürfnisse der einzelnen Kollegen ermittelt werden und jeder hat sich in den Prozess integriert gefühlt“, so Maik Ernemann. 

Ein Schulungsplan für alle Mitarbeiter sieht regelmäßige Schulungen zur IT-Sicherheit und standarisierte Einweisungen für neue Mitarbeiter vor. Dazu zählen auch Schulungen bezüglich des Daten- und Fernmeldegeheimnisses und der Verpflichtung auf deren Einhaltung. Um das KAMP-Team zeitnah über den Entwicklungsfortschritt und Neuigkeiten im ISMS zu informieren – zum Beispiel bei der Herausgabe neuer Prozesse, Richtlinien, Merkblätter oder Arbeitshilfsmittel – erhalten alle Mitarbeiter regelmäßig einen internen Report per E-Mail von den IT-Sicherheitsbeauftragten. Damit hat KAMP eine gute Ausgangsbasis geschaffen, alle Mitarbeiter für den Schutz der drei Grundwerte zu sensibilisieren, Daten vertraulich zu behandeln sowie Verpflichtungen und Regelungen konsequent einzuhalten.

Vorteile im Überblick

Mit einer ganzheitlichen Basis für die IT-Sicherheit und zum Schutz der Vertraulichkeit, Verfügbarkeit und Integrität sind für unsere Kunden folgende Vorteile verbunden:

  • Die ISO/IEC 27001 ist weltweit anerkannt. 
  • Ihnen stehen feste Ansprechpartner mit eindeutigen Verantwortungsbereichen zur Verfügung.
  • Strukturierte Wartungen und Prozesse für das Change-Management sind genau definiert. So werden Systeme frei von Sicherheitslücken gehalten und Ausfälle auf ein Minimum reduziert. 
  • Das etablierte Störungsmanagement garantiert die hohe Verfügbarkeit der IT-Systeme und Dienste. 
  • Wartungspläne der unterstützenden Infrastruktur, wie der -Klimaanlagen, der Stromversorgung, der Brandschutzsysteme oder Alarmanlagen, optimieren den IT-Schutz. 
  • Notfallpläne für Katastrophenfälle mit festgelegten Meldewegen, Sofortmaßnahmen und Wiederanlaufplänen gewährleisten auch im Extremfall geregelte Abläufe.
  • Geschulte Mitarbeiter sorgen für ein funktionierendes Sicherheitsmanagement.
  • Sicherstellung der Einhaltung aller gesetzlichen und vertrag-lichen Verpflichtungen (Compliance).

Assetmanagement – Inventarisierung des Rechenzentrums

Das KAMP-Rechenzentrum ist ein hoch komplexes System und besteht aus einer Vielzahl von IT-Systemen. Dieses sensible Gebilde vom Server bis zum Kabel in allen Einzelheiten zu verwalten, ist eine große Herausforderung und wird von KAMP mit einem eigenen Assetmanagement realisiert.

Grundlegender Bestandteil in einem Informationssicherheits-Managementsystem (ISMS) ist es, alle im Rechenzentrum befindlichen Systeme zu erfassen. Hierzu wurde eine speziell auf die Bedürfnisse von KAMP angepasste Software von Maik Ernemann entwickelt – das KAMP-Assetmanagement. Diese datenbankgestützte Software ermöglicht es, zu jedem verwendeten System im KAMP-Rechenzentrum sowohl die kaufmännischen als auch die technischen Daten zu erfassen. Als zusätzliches Feature sind in das KAMP-Assetmanagement Funktionen integriert, die es gestatten, zu jedem System auch entsprechende Systemdokumentationen und Wartungspläne zu hinterlegen. Diese moderne Form der Inventarisierung dient nicht nur dem Überblick über die komplexe Systemlandschaft, sie bietet vielmehr eine vollumfassende Dokumentation für jedes einzelne System, die im Bedarfsfall schnell zur Verfügung steht. So sind die wichtigsten Konfigurationsdaten, Systemverantwortliche oder durchgeführte Systemwartungen sofort im Zugriff, ohne eine große Anzahl von elektronisch oder in Papierform geführten Dokumenten durchsuchen zu müssen. 

Jedes Label besteht aus der eindeutigen Asset-ID, einem ­Barcode sowie einem QR-Code.

Ein weiteres Highlight im KAMP-Assetmanagement ist der selbstentwickelte und eingeführte Ablauf zur Beschriftung der einzelnen IT-Systeme. Mit der ausführlichen Bestandsaufnahme im Zertifizierungsprozess ist jedes IT-System mit einem Label gekennzeichnet. Das Label wird von der Software automatisch bei der Erfassung neuer Systeme generiert und durch einen speziellen Labeldrucker erstellt. 

Abläufe werden dadurch beschleunigt und der Zugriff auf relevante Daten erleichtert. Aus Sicht der Mitarbeiter wurde die Einführung des neuen Assetmanagements sehr begrüßt. „Ich sehe auf einen Blick, um welche Maschine es sich handelt, wo sie untergebracht ist und wie ich Zugriff auf das System bekomme“, erläutert Gunnar Schulte, Systemadministrator bei KAMP. „Wichtige Informationen und Daten stehen sofort und übersichtlich zur Verfügung.

Wissen, wo es lang geht

Neben der IT-Systemlandschaft befinden sich im Rechenzentrum unterschiedlichste Kabeltypen, die zum einen die Systeme untereinander vernetzen und zum anderen die Anbindung an das Internet oder an Kundenstandorte -sicherstellen. Um die vorhandenen Kupfer- und Glasfaserkabelwege schnell und unkompliziert nachvollziehen zu können, hat KAMP ergänzend zum Assetmanagement ein Kabelmanagementsystem entwickelt. Analog zum Assetmanagement sind alle Kabel mit einem Label versehen, so dass die Kabel-ID hinterlegt werden kann und alle Informationen zur Verkabelung umgehend verfügbar sind.

Übersicht behalten in komplexen Systemen

Mit der entwickelten Software hat KAMP wichtige Maßnahmen zur Erfassung der komplexen IT-Systeme im Rahmen der ISO/IEC 27001 effizient umgesetzt. Das KAMP-Asset- und Kabelmanagement bietet einen kompletten Überblick über die Infrastruktur des Unternehmens, liefert im Bedarfsfall in kürzester Zeit alle wesentlichen Informationen, leistet damit einen wertvollen Beitrag zur Optimierung der Ver-fügbarkeit und kann auch an zukünftige Bedürfnisse angepasst werden. 

Im Dschungel der Zertifikate – Warum ISO/IEC 27001?

Datacenter Star Audit, Trusted Site Infrastructure, Trusted Site Security,- Trusted Product Security, Trusted Site ETSI, DIN EN 50133-1, ISO/IEC 27001, DIN EN ISO 9001 – die Liste der Zertifizierungsmöglichkeiten ist lang. Entscheidet sich ein Unternehmen für eine Zertifizierung, muss es sich genau überlegen, welchen Unternehmensbereich oder Geltungsbereich es damit abdecken und welchen Kundenkreis es ansprechen möchte. 

Googelt man die verschiedenen Möglichkeiten für Zertifizierungen von Rechenzentren, findet man unter anderem auch die sogenannte DIN EN 50133-1. Manche Anbieter werben auf ihren Websites mit Sätzen, wie „Das Rechenzentrum entspricht den höchsten zivilen Sicherheitsstandards gemäß EU-Norm EN 50133-1“. Dies suggeriert dem Leser ein immens hohes Sicherheitsniveau. Dina Knorr, -Sicherheitsbeauftragte bei KAMP erklärt, was sich hinter der Norm verbirgt und warum sich KAMP für die Zertifizierung
ISO/IEC 27001 entschieden hat.

Welche Bedeutung hat die DIN EN 50133-1?

Dina Knorr: Die DIN EN 50133-1 definiert die Anforderungen an automatische Zutrittskontrollanlagen und deren Anlagenteile in und an baulichen Einrichtungen. Das ist sicherlich ein relevanter und wichtiger Aspekt für die Sicherheit eines Rechenzentrums, jedoch nur ein Teilbereich. Die komplexe Struktur eines „Hochsicherheitsrechenzentrums“ ist allein mit den Maßnahmen, die eine Norm für eine Zutrittskontrollanlage fordert, jedenfalls nicht zu schützen. Dieses Beispiel zeigt, dass es entscheidend ist, für welchen Geltungsbereich eine Zertifizierung oder Norm gilt.

Für welchen Geltungsbereich hat KAMPeine Zertifizierung gesucht?

Dina Knorr: Vor Beginn der Umsetzung von IT-sicherheitstechnischen Maßnahmen muss sich ein Unternehmen bewusst sein, welche Unternehmenswerte es damit schützen möchte. Das Unternehmen muss den Geltungsbereich definieren, der besagt, ob das gesamte Unternehmen, nur bestimmte Standorte oder Abteilungen, alle oder nur einzelne IT-Systeme zertifiziert bzw. welche Dienstleistungen betrachtet werden sollen. Dementsprechend können geeignete Maßnahmen zur IT-Sicherheit definiert werden. KAMP hat entschieden, das Rechenzentrum in Oberhausen und die damit erbrachten Services zertifizieren zu lassen. Eine Vielzahl an möglichen Zertifizierungen von diversen Anbietern wurde hierfür in Betracht gezogen.

Welche Zertifizierungen standen zur näheren Auswahl?

Dina Knorr: Beim TÜViT trifft man auf verschiedene Zertifizierungsangebote zur Rechenzentrumssicherheit wie z. B. das Trusted Site Infrastructure (TSI) Zertifikat. Laut Angaben der TÜViT Website beruht TSI auf anerkannten Normen und Bewertungsmaßstäben. Das Prüfverfahren beschränkt sich auf die Verfügbarkeit der Infrastruktur des Rechenzentrums, aber nicht auf die Vertraulichkeit und Integrität von Daten. Hierfür wären wiederum weitere TÜV-spezifische Zertifizierungen notwendig gewesen. So wird mit diesem Zertifikat lediglich nur ein Teilbereich des Gesamtsystems abgedeckt, der zur Darstellung des gewünschten Geltungsbereichs von KAMP nicht ausreichend gewesen wäre. Zudem ist davon auszugehen, dass es sich hier nur um eine in Deutschland anerkannte Zertifizierung handelt, wohingegen KAMP ein weltweit anerkanntes Zertifikat erlangen wollte.

ECO – der Verband der deutschen Internetwirtschaft bietet das Datacenter Star Audit an und vergibt Zertifikate für unterschiedliche Sicherheitsstufen in Rechenzentren. Der Fokus der Zertifizierung liegt in den Bereichen RZ-Sicherheit, Verfügbarkeit und Redundanz der Gebäudeinfrastruktur (Facility-Management). Aber auch diese DataCenter Star Audit Zertifizierung hätte eine Einschränkung des vielseitigen Geltungsbereichs von KAMP bedeutet.

Was bietet die DIN EN 9001?

Dina Knorr: Die wohl bekannteste Norm für Zertifizierungen ist die DIN EN 9001 für die Einführung eines Qualitätsmanagementsystems. Sie ist eine sehr relevante und auch bekannte Zertifizierung, die sich aber nicht gezielt mit dem Thema IT-Sicherheit und den drei zu schützenden Grundwerten Verfügbarkeit, Vertraulichkeit und Integrität auseinandersetzt. Dies ist aber für KAMP eine wesentliche Voraussetzung gewesen. Diese Zertifizierung deckt ebenfalls nur Teile des zuvor festgelegten Geltungsbereiches ab. 

Warum hat sich KAMP für die Zertifizierung nach ISO/IEC 27001 entschieden?

Dina Knorr: Aufgrund des enormen Umfangs des Geltungsbereichs kam für uns nur die Norm ISO/IEC 27001 in Betracht. Mit dieser Zertifizierung haben wir ein Management-system implementiert, das einerseits technische und andererseits organisatorische sicherheitstechnische Maßnahmen nach dem Standard ISO/IEC 27001 und nach IT-Grundschutz des BSI für den gesamten Geltungsbereich schafft und nicht nur einzelne Unternehmensbestandteile oder Dienstleistungen abdeckt. Damit sind alle definierten Ziele im Bereich der Informationssicherheit erreicht.

ISO/IEC 27001 Zertifizierung

  • Weltweite Anerkennung
  • Zertifizierung des kompletten Geltungsbereichs und nicht nur einzelner Fragmente
  • Umsetzung und Zertifizierung von sowohl technischen als auch organisatorischen IT-Sicherheitsmaßnahmen
  • Schutz der Verfügbarkeit, Vertraulichkeit und Integrität des Rechenzentrums und der verarbeiteten Daten im Rahmen der angebotenen Services
  • Integration wesentlicher Forderungen, die sich an der DIN EN 9001 orientieren.

Mit Sicherheit in die Cloud

Zertifizierte Sicherheit ist ein zentraler Faktor, wenn es um die Entscheidung geht, ob Dienste und Anwendungen in die Cloud verlagert werden sollen. Neben den zahlreichen Vorteilen, die das Cloud Computing bietet – vor allem Kostenersparnis und Flexibilität – sind die Vorbehalte vieler Firmen, unternehmenskritische Anwendungen auszulagern, noch immer groß.

Dienstleistungen aus der Cloud müssen zuverlässig genutzt werden können. Daten- und Informationssicherheit sind die entscheidenden Faktoren, wenn es darum geht, Services und Anwendungen in die Cloud auszulagern. „Wir wollen das Vertrauen unserer Kunden stärken, die bereits unsere Cloud Services nutzen oder dies zukünftig planen – und neue Kunden dazugewinnen, die der Cloud bisher kein Vertrauen entgegenbringen konnten“, begründet Heiner Lante die Zertifizierung der KAMP Cloud Services. 

Sicherheitsempfehlungen des BSI

KAMP hat bei der Umsetzung der Maßnahmen nach ISO/IEC 27001 zusätzlich auch das Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu Grunde gelegt. Dieser Leitfaden gibt einen Überblick über die Maßnahmen, die ein Anbieter von Cloud-Dienstleistungen umsetzen sollte und stellt die Mindestanforderungen für sicheres Cloud Computing zusammen. Zu den Maßnahmen zählt unter anderem der Aufbau einer Sicherheitsarchitektur zum Schutz der Ressourcen. Die Sicherheitsanforderungen beziehen sich dabei auf das Rechenzentrum, Server, Netzwerke, Anwendungen, Verschlüsselungen, die Rechtevergabe, das Notfallmanagement, die Vertragsgestaltung und – last but not least – auf den Datenschutz.

Oberste Priorität: Datenschutz

Der Datenschutz hat in Deutschland besonders hohe Priorität. Das deutsche Bundesdatenschutzgesetz (BDSG) liefert strenge Vorgaben, die auch für das Cloud Computing gelten. Als Rechenzentrumsbetreiber mit Sitz in Deutschland ist KAMP diesen gesetzlichen Regelungen verpflichtet. Mit der Zertifizierung der Cloud-Dienstleistungen garantiert KAMP seinen Kunden eine datenschutzkonforme Datenverarbeitung nach geltendem deutschen Recht. Dass effizientes Cloud Computing und die Einhaltung des Datenschutzes kein Widerspruch sein muss, beweist auch die Virtual-Core® Customer Cloud: Eine klassische Auslagerung von Daten in die Cloud findet nicht statt, denn die Daten verbleiben auf der Infrastruktur des Kunden. Lediglich die Steuerung der einzelnen Server wird aus der Cloud bezogen. „Wir freuen uns, dass wir mit unserem ISO/IEC 27001 Zertifikat die Sicherheit unseres innovativen Cloud Services bekräftigen können“, bestätigt Michael Lante. „IT-Sicherheit und Datenschutz sind für uns eine selbstverständliche Verpflichtung unseren Kunden gegenüber.“

 

Zertifizierte Cloud-Produkte von KAMP

  • Die Virtual-Core® Hosted Cloud stellt Unternehmen eine komplett konfigurierte IT-Infrastruktur als Hosted-Dienst im KAMP-Rechenzentrum zur Verfügung.
  • Die Virtual-Core® Enterprise Cloud ist die vorkonfigurierte Komplettlösung für Virtualisierung und Cloud Computing und lässt sich nahtlos in die bestehende Infrastruktur eines Unternehmens integrieren.
  • Die Virtual-Core® Customer Cloud wird auf eigener Hardware im Unternehmen betrieben, aber über eine zentrale Managementplattform aus der Cloud gesteuert.

Teamarbeit: Gemeinsam für mehr Sicherheit sorgen

KAMP hat im Zuge der Zertifizierung ein Informationssicherheits-Management-Team etabliert, damit Informationssicherheit erfolgreich geplant, umgesetzt und konstant aufrechterhalten werden kann.

IT-Sicherheit ist das vorrangige Unternehmensziel der KAMP-Geschäftsführung. Sie verantwortet die Aufrechterhaltung des Sicherheitsprozesses im Informationssicherheits-Managementsystem (ISMS). Um alle gesetzten Sicherheitsziele erreichen zu können, sind vielfältige Aufgaben wahrzunehmen. Die Geschäftsführung wird dabei sowohl durch die IT-Sicherheitsbeauftragte Dina Knorr als auch durch Maik Ernemann, den IT-Sicherheitsbeauftragten für den Bereich Technik, und ihre Stellvertreter unterstützt.

Dina Knorr, IT-Sicherheitsbeauftragte (CSO) und Maik Ernemann, IT-Sicherheitsbeauftragter Technik (IT-SO) sind die Köpfe des KAMP Informations-sicherheits-Management-Teams.

Dina Knorr verantwortet als IT-Sicherheitsbeauftragte (Chief Security Officer) den Aufbau, Betrieb und die Weiterentwicklung des ISMS. Sie sorgt für den notwendigen Informationsfluss zur Informationssicherheit innerhalb des Unternehmens und initiiert und kontrolliert die Umsetzung der zahlreichen Informationssicherheitsmaßnahmen. 

Maik Ernemann (IT-Security Officer) ist auf technischer Seite für die Kontrolle der administrativen Umsetzung der Sicherheitskonfigurationen verantwortlich und überwacht die Netzwerk- und Systemsicherheit. Nach der erfolgreichen ISO-Zertifizierung ist die Aufrechterhaltung und Weiterentwicklung des Informationssicherheits-Managementsystems und die- kontinuierliche Mitarbeitersensibilisierung die zentrale Aufgabe beider IT-Sicherheitsbeauftragen. ß