Der Aachener IT-Anbieter für die Energie- und Wasserwirtschaft KISTERS hat im Oktober 2024 in einem kombinierten Audit erfolgreich die Einhaltung der Prüfkriterien SOC 2 Typ 2 und BSI C5 Typ 2 für seine KISTERScloud-Services nachgewiesen. Der Zusatz „Typ 2“ bedeutet, dass KISTERS die Kriterien nicht nur zu einem bestimmten Zeitpunkt erfüllt hat (Typ 1), sondern dass das Unternehmen die implementierten Maßnahmen für Informationssicherheit und Datenschutz ein gesamtes Jahr lang konsequent umgesetzt hat und dies entsprechend belegen konnte. „Die unabhängige Testierung der Kriterienkataloge nach SOC 2 und C5 ergänzt unsere bereits seit 2017 bestehende Zertifizierung nach der internationalen Norm ISO 27001 und stellt einen weiteren wichtigen Schritt in der kontinuierlichen Verbesserung unserer Informationssicherheit dar“, erklärt Dr. Heinz-Josef Schlebusch, CISO der KISTERS Gruppe. „Die neuen Typ-2-Testate bestätigen die Effektivität unserer Maßnahmen.“
„IT-Sicherheit und Datenschutz haben für uns höchste Priorität“, ergänzt Klaus Kisters, Vorstand der KISTERS Gruppe. „Unabhängige Testate und Zertifizierungen nach international anerkannten Regelwerken machen unsere kostenintensiven Sicherheitsmaßnahmen für unsere Kunden greifbar. Sie stärken das Vertrauen in KISTERS als ihren IT-Dienstleister und helfen gleichzeitig bei der Erfüllung ihrer eigenen regulatorischen Anforderungen im Bereich der Informationssicherheit."
Strenge Kriterien erfüllt.
Das SOC-2-Testat weist nach, dass die KISTERScloud-Services die Anforderungen den fünf Trust Services Criteria (TSC) Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz entsprechen. Das bedeutet u.a., dass umfangreiche und angemessene Maßnahmen getroffen wurden, um die Datensicherheit zu kontrollieren, um Kundendaten vor unberechtigtem Zugriff zu schützen, um Anomalien und Sicherheitsereignisse erkennen zu können, und um die Verfügbarkeit der IT-Systeme im geforderten Maß sicherstellen zu können. Die Erfüllung der Mindestanforderungen des BSI für Cloud-Dienstleister (C5) belegt, dass operative Abläufe geprüft und überwacht werden, dass angemessene Sicherheitsvorkehrungen für die IT-Infrastruktur vorhanden sind und Kundendaten zuverlässig verfügbar und nutzbar sind.