Audit: Aryza lässt Qualität seiner Dienstleistungen nachweisen
Zum Job von Tim Deipenbrock gehört es, Fraud-Mails an seine Kollegen zu verschicken. Doch natürlich möchte Aryzas Group Security and Quality Officer niemanden auf dubiose Betrugsseiten locken. Im Gegenteil: Es geht vielmehr darum, die Kollegen zu sensibilisieren, nicht auf gefährliche Links innerhalb von externen E-Mails zu klicken.
Die Vorsichtsmaßnahme ist ein kleiner Teil der Aryza-Qualitätsoffensive. Derzeit lässt sich unser Unternehmen nach ISAE 3402 zertifizieren. Der Prüfungsstandard attestiert ein ganzheitliches Kontrollsystem für verschiedene Bereiche innerhalb eines Unternehmens. Betrachtet werden bei Aryza die Software-Suite Open Credit 4.0, das Berichtswesen, Incident und Change Management, Logical Access Management (Rollenberechtigungen und interne Prozesse) sowie General IT Controls. „Wir haben gemeinsam mit einem externen Dienstleister so genannte Controls definiert, die überprüft werden“, sagt Tim Deipenbrock, der für alle Standorte der Aryza in Deutschland und den Niederlanden zuständig ist.
Zwei Stufen der Zertifizierung
Damit setzt Aryza deutlich mehr um, als nur die Pflichtaufgabe. Es gibt zwei Stufen im Rahmen der ISAE 3402-Zertifizierung: Typ I beurteilt die festgelegten Controls und macht eine Bestandsaufnahme; Typ II prüft zudem die Wirksamkeit über eine definierte Zeitperiode. „Wir werden nach Typ II zertifiziert. Im April werden unsere Controls rückwirkend durch einen Auditor überprüft“, erklärt Tim Deipenbrock.
Nach dem Audit wird einmal jährlich gecheckt, ob alle Regeln eingehalten werden. Aryza legt zudem großen Wert auf die Sicherheit ihrer IT-Infrastruktur. Um die zu gewährleisten, wird z.B. mittels eines sogenannten Pentests (Penetrationstests) geprüft, ob es möglich ist, in die Systeme von Aryza unberechtigt einzudringen. Eine externe Firma wird beauftragt, die Aryza-Server mit Spam zu fluten oder sich in unsere Systeme zu hacken.
Seit jeher investiert Aryza umfangreich in ihre Sicherheitsarchitektur und hat bisher allen Attacken standgehalten. Der Sicherheitsfokus hat einen guten Grund: Cyberattacken durch Ransom- oder Malware, Identitätsdiebstahl oder so genannte DDoS-Angriffe nehmen laut Bundeskriminalamt immer mehr zu. DAX-Unternehmen waren zuletzt genauso betroffen, wie Finanzämter oder Industriekonzerne.
Die Cloud als sichere Daten-Festung
Sicherheitsaspekte sind auch ein Grund, warum sich Aryza zunehmend als Cloud-Company ausrichtet. Mit dieser Haltung ist Aryza nicht allein. „61 Prozent der Sicherheitsexperten glauben, dass das Risiko eines Sicherheitsverstoßes in Cloud-Umgebungen gleich hoch oder sogar geringer ist, als in On-Premises-Umgebungen“ – das ist das Ergebnis einer Studie des weltweit führenden Domain-Name-Registrars Nominet aus dem Jahr 2019. Rund 300 britische und amerikanische C-Level-Sicherheitsexperten wurden im Rahmen der Studie befragt. Sicherheitsabteilungen könnten in der Cloud schneller auf Bedrohungen reagieren, anstelle nach Cyber-Gefahren und Fehlern in der eigenen Infrastruktur suchen zu müssen. „Es ist für uns selbstverständlich, dass wir die bestmögliche Sicherheit für Kundendaten in der Cloud gewährleisten.”
Dass auch Aryzas Cloud-Service-Provider alle Kontrollen einhält, ist ebenfalls Teil des Zertifizierungsprozesses. Tim Deipenbrock erklärt: „Wir haben darauf geachtet, dass unser Cloud-Anbieter nach ISO 27001 und ISAE 3402 zertifiziert ist und können verbindlich sagen, dass alle Sicherheitsvorschriften optimal eingehalten werden.“ Natürlich spielt die Einhaltung aller Datenschutzregelungen ebenfalls eine wichtige Rolle. Insofern ist es selbstverständlich, dass die Aryza-Cloud in einem Rechenzentrum in Deutschland betrieben wird.