Kinsta hat schon immer daran gearbeitet, die Sicherheit unserer Hosting-Plattform und der Websites unserer Kunden zu gewährleisten. Ob es um den Schutz von Kontodaten, die Bereitstellung von Tools zur Verhinderung externer DDoS-Angriffe, die Erkennung und Beseitigung von Malware oder die Warnung von Website-Betreibern vor Schwachstellen in WordPress-Plugins geht: Informationssicherheit ist eine unserer Stärken.

Aber Hosting-Unternehmen können diese Behauptung leicht aufstellen. Sie zu beweisen, ist eine Herausforderung.

Der beste Weg, solche Behauptungen zu beweisen, ist die Entwicklung von Informationssicherheitspraktiken und -richtlinien, die weithin anerkannten Standards entsprechen, und dann die Bestätigung der Einhaltung dieser Standards durch unabhängige Experten.

Auf diese Weise hat Kinsta im Jahr 2023 zum ersten Mal die von der Association of International Certified Professional Accountants (AICPA) entwickelten System and Organization Controls 2 (SOC 2) Trust Services-Kriterien erfüllt.

Im August 2024, nach einem Jahr SOC 2-Überwachung, erhielten wir die Zertifizierung für die Datensicherheits- und Datenschutzkontrollen, die von der International Standards Organization (ISO) und der International Electrotechnical Commission (IEC) festgelegt wurden.

Dieser Artikel befasst sich mit der ISO/IEC-Zertifizierung von Kinsta nach der Norm ISO 27001 und zwei ihrer Erweiterungen, ISO 27017 und ISO 27018.

Was ist ISO 27001?

Erik Van Dijk, Leiter der IT-Abteilung bei Kinsta, hat die Zertifizierung nach ISO 27001 geleitet und sagt, dass das Regelwerk „der Goldstandard“ für die Einhaltung von Sicherheitsvorschriften ist.

ISO 27001 legt fest, welche Kontrollen erforderlich sind, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in einer Organisation zu schützen. Das bedeutet Folgendes:

  • Vertraulichkeit – Sicherstellen, dass nur autorisierte Personen auf Informationen zugreifen können.
  • Integrität – Sicherstellen, dass nur befugte Personen Informationen ändern können.
  • Verfügbarkeit – Sicherstellen, dass befugte Personen bei Bedarf auf die Informationen zugreifen können.

Van Dijk sagte, dass ISO 27001 die Anforderungen für die verschiedenen Komponenten eines Informationssicherheitsmanagementsystems (ISMS) definiert. Aber dieses System besteht nicht nur aus Hardware und Software. Zusätzlich zu diesen technischen Kontrollen umfasst das ISMS auch organisatorische, personenbezogene und physische Kontrollen:

  • Organisatorische Kontrollen – Festlegung der zu befolgenden Regeln und des erwarteten Verhaltens von Benutzern, Geräten, Software und Systemen.
  • Personalbezogene Kontrollen – Bereitstellung von Wissen, Ausbildung, Fähigkeiten oder Erfahrung für die Mitarbeiter der Organisation, damit sie ihre Aufgaben sicher ausführen können.
  • Physische Kontrollen – Merkmale wie Zugangskarten für Rechenzentren, Überwachungskameras und Sensoren zur Erkennung von Einbrüchen.

Was sind ISO 27017 und 27018?

Van Dijk sagte, dass ISO 27017 und 27018 zertifizierbare Erweiterungen der ISO 27001 sind und für Kinsta besonders relevant sind, da sie beide für Cloud-Computing-Umgebungen gelten.

ISO 27017 schreibt Sicherheitskontrollen und Implementierungsrichtlinien für Cloud-Computing-Umgebungen vor. Diese Kontrollen gelten unter anderem für folgende Aufgaben:

  • Umgang mit Kundenvermögen nach Vertragsbeendigung.
  • Trennung der virtuellen Umgebungen des Kunden.
  • Überwachung der Aktivitäten des Kunden in einer Cloud Computing-Umgebung.

ISO 27018 konzentriert sich auf den Schutz personenbezogener Daten in Cloud-Umgebungen. Diese Kontrollen befassen sich mit Themen wie:

  • Transparenz bei der Angabe des geografischen Standorts der Kundendaten.
  • Beschränkung der Nutzung von Kundendaten ohne Zustimmung.
  • Sichere Methoden für die Rückgabe, Übertragung und sichere Entsorgung von personenbezogenen Daten.

Der Zeitplan für die ISO-Zertifizierung von Kinsta

Das Jahr seit der SOC-2-Zertifizierung war für das Sicherheitsteam sehr arbeitsreich, vor allem für Van Dijk, der sich gleichzeitig zum Certified Information Systems Security Professional (CISSP) ausbilden ließ und diesen Titel erlangte.

Die erste SOC 2-Zertifizierung im Jahr 2023 erfolgte nach einem dreimonatigen Audit und bezog sich auf den Treuhanddienst Fundamental Security. Dieses Projekt wurde in eine kontinuierliche Überwachung mit jährlicher Berichterstattung umgewandelt und um die SOC 2-Kriterien Verfügbarkeit und Vertraulichkeit erweitert.

In der Zwischenzeit war unsere Arbeit an der ISO 27001 bereits im Gange. Van Dijk sagte, dass seine umfangreichen Recherchen zu den Anforderungen der ISO 27001 etwa im November 2023 begannen.

„ISO 27001 ist sehr dokumentations- und prozesslastig“, sagte er. „Sie enthält immer noch eine Reihe von technischen Kontrollen, aber die gesamte Prämisse des Rahmenwerks ist die Implementierung eines Informationssicherheitsmanagementsystems und der damit verbundenen Richtlinien und Verfahren.“

Laut Van Dijk ergab eine Lückenanalyse, dass im Rahmen des SOC 2-Projekts bereits etwa 40% der für die ISO-Zertifizierung erforderlichen Arbeit geleistet worden waren. Als im Dezember 2023 ein unternehmensübergreifendes Team zusammenkam, konnte es schnell damit beginnen, Statusinformationen auf die Plattform Vanta hochzuladen, die für die Sammlung von Nachweisen ausgewählt wurde.

Das Team erstellte 13 neue ISMS-Richtlinien und verfeinerte einige bestehende, für SOC 2 entwickelte Richtlinien. Im März 2024 beauftragte das Team das Cloud-Sicherheitsunternehmen Rhymetec mit einem internen Audit, um festzustellen, welche Arbeiten noch erforderlich waren.

Später führte BARR Advisory ein unabhängiges Audit durch, das Kinstas Eignung für die ISO-Zertifizierung bestätigte.

„Unsere Prüfer haben uns immer wieder dafür gelobt, wie gut wir organisiert und vorbereitet waren“, so Van Dijk.

Die Vorteile der ISO 27001-Zertifizierung

Die ISO 27001-Zertifizierung (und die SOC 2-Konformität) von Kinsta unterstreicht unser Engagement für die Informationssicherheit. Wir werden auch weiterhin das Vertrauen unserer Kunden gewinnen, indem wir uns regelmäßigen Audits unterziehen, um die Einhaltung und Wirksamkeit unseres ISMS zu bestätigen und unseren Zertifizierungsstatus aufrechtzuerhalten.

Viele potenzielle Kunden sagen uns, dass ihr Hosting-Anbieter nach ISO 27001 zertifiziert sein muss. Wir sind stolz darauf, diesen Wunsch erfüllen zu können und heißen sie bei Kinsta willkommen.

Unsere ISO-Zertifizierungen zeigen, dass wir über die Sicherheitsvorkehrungen verfügen, um die Vermögenswerte unserer Kunden zu schützen und die Risiken mithilfe von Best Practices zu minimieren.

Zusammenfassung

Kinsta hat eine lange Tradition beim Schutz von Kundendaten. Die neuen ISO-Zertifizierungen bestätigen und erweitern die Sicherheitsvorkehrungen, die wir im Rahmen unserer SOC-2-Zertifizierung unter Beweis gestellt haben.

Wir haben uns dem Schutz der Kundenwebsites verschrieben. Unsere ISO-zertifizierten Verfahren zur Informationssicherheit spiegeln unsere Investition in das Vertrauen unserer Kunden wider.

Im Trust Center von Kinsta findest du Informationen zu den laufenden Compliance-Bemühungen des Unternehmens.

Bist du noch kein Kunde? Starte richtig durch – sicher und gesund – indem du dich für unsere sichere Infrastruktur entscheiden. Finde jetzt die beste Webhosting-Lösung für dein Unternehmen!

Steve Bonisteel Kinsta

Steve Bonisteel is Technical Editor bij Kinsta. Hij begon zijn schrijverscarrière als verslaggever en achtervolgde ambulances en brandweerwagens. Sinds eind jaren negentig schrijft hij over internetgerelateerde technologie.