Nicht zuletzt durch bestehende EU-Verordnungen wie den Digital Operational Resilience Act (DORA) werden viele Unternehmen schon per Gesetz verpflichtet, ein adäquates Dienstleistermanagement zu betreiben. Bei der Auslagerung von Tätigkeiten müssen Unternehmen strikt darauf achten, dass das eigene Sicherheitsniveau nicht durch einen eingesetzten Dienstleister gefährdet oder unterschritten wird. Dementsprechend ist eine regelmäßige Überprüfung aller eingesetzten Dienstleister unumgänglich.

Viele Dienstleister verweisen dabei auf bestehende Zertifizierungen und bieten den Auftraggebern gerne ihre entsprechenden Zertifikate als Nachweis an. Doch Zertifikat ist nicht gleich Zertifikat. Vielmehr kommt es, wie so oft, auf den konkreten Einzelfall an.

Soll beispielsweise der Nachweis eines wirksamen Informationssicherheitsmanagementsystems (ISMS) durch ein ISO 27001-Zertifikat belegt werden, so ist bei der Begutachtung neben der aktuellen Gültigkeit auch vor allem darauf zu achten, dass neben dem Logo der Zertifizierungsstelle auch das Logo einer nationalen Akkreditierungsbehörde vorhanden ist. Nur so kann sichergestellt werden, dass die Zertifizierungsstelle ein geprüftes Verfahren zur Feststellung der Konformität angewendet hat. Zertifizierungsstellen werden im Vorfeld durch nationale Behörden für bestimmte Normen akkreditiert und dürfen im Anschluss dann eigenständig Auditierungen durchführen. Fehlt es im genannten Beispiel etwas an einem Hinweis auf eine Akkreditierungsbehörde, so ist das hinter der Prüfung liegende Verfahren unklar und die Aussagekraft des Zertifikates sinkt.

Es steht Unternehmen grundsätzlich frei, sich beliebigen Standards zu unterwerfen und von Zertifizierungsstellen daraufhin überprüfen zu lassen. Fehlt es an einer Akkreditierung, kann jedoch jede Zertifizierungsstelle ein eigenes, nicht staatlich geprüftes, Verfahren einsetzen und im Anschluss die Konformität der Norm per Zertifikat bestätigen.

Dies kommt besonders dann zum Tragen, wenn Zertifikate für Normen vorgelegt werden, für die grundsätzlich keine Akkreditierung vorliegt. Ein häufiges Beispiel ist hierbei der Standard ISO 27017, welcher einen Standard für Cloud Security darstellt und dementsprechend auf häufig von Cloud-Anbietern vorgebracht wird.

Ohnehin bieten Zertifikate immer nur eine Indizwirkung und lassen nicht den Schluss zu, dass auf eine weitere Prüfung verzichtet werden kann. Ist jedoch bereits das Prüfverfahren, welches zur Erteilung eines Zertifikates führt, nicht objektiv nachvollziehbar, so darf ein solches Zertifikat erst recht nicht überbewertet werden und qualifiziert sich somit nicht als tauglichen Nachweis eines Dienstleisters.

Die International Standard Organization (ISO) bietet ihrer Website einen Überblick über die Mitgliedsstaaten und die angeschlossenen nationalen Stellen. Auch einzelne Akkreditierungsstellen, z. B. die Deutsche Akkreditierungsstelle (DAkkS), können im Zweifel Auskunft darüber geben, ob eine Zertifizierungsstelle tatsächlich für eine bestimmte Norm akkreditiert ist.