Wenn es um Datensicherheit und Compliance geht, setzt Syncron neue Maßstäbe in der SaaS-Branche. Mit einer beeindruckenden Erfolgsbilanz – darunter null Beanstandungen bei den jüngsten SoC-Audits – und fortschrittlichen Automatisierungsprozessen zeigt Syncron, dass Innovation und Engagement Hand in Hand gehen. Im Interview spricht Alex Korotkov, Chief Information Security Officer des Unternehmens, über den Weg zu diesen Erfolgen, die Rolle von KI und Syncrons Zukunftsplänen.
Alex, wie stellt Syncron sicher, dass höchste Datensicherheitsstandards eingehalten werden?
Alex Korotkov: Bei Syncron hat Datensicherheit oberste Priorität, was sich auch in unseren Zertifizierungen zeigt. Dabei orientieren wir uns an Branchenstandards wie SoC, ISO, Skyhigh und G-Cloud. Unsere Produkte und Prozesse werden regelmäßig geprüft, um diese Benchmarks zu erfüllen oder sogar zu übertreffen. Vor kurzem haben wir einige bedeutende Meilensteine erreicht: Alle unsere Produkte sind nach SoC1 zertifiziert, zusätzlich haben wir die vollständige Rezertifizierung nach der neuesten Norm ISO 27001:2022 abgeschlossen. Außerdem haben wir die ISO 27017-Zertifizierung erhalten, die bestätigt, dass wir die ISO 27001-Prinzipien speziell für Cloud-Umgebungen umsetzen. Erfolge, die unser Engagement für fortschrittliche und sichere Produkte unterstreichen.
Was bedeutet es, bei den SoC 1- und SoC 2-Audits keine Beanstandungen zu haben?
Keine Beanstandungen zu erhalten, ist ein außergewöhnlicher Erfolg. Bei solchen Audits ist es üblich, dass Unternehmen mehrere Abweichungen beheben müssen. Keine Beanstandungen zu bekommen, verdeutlicht nicht nur unser starkes Engagement für Sicherheit, sondern auch die Effizienz unserer neuen, automatisierten Auditprozesse. Für unsere Kunden ein wichtiges Signal: Sie können sich auf unsere Compliance-Qualität, die sie sehr schätzen und bewusst einfordern, verlassen.
Der Schlüssel zur Effizienz: die zentrale Kontrollbibliothek
Wie hat Syncron die Compliance-Prozesse effizienter gestaltet?
Der Schlüssel zur Effizienz war die Einführung einer zentralen Kontrollbibliothek. Damit konnten wir Compliance-Anforderungen bündeln, Auditprozesse optimieren und Nachweise automatisieren. Mithilfe der Automatisierungsplattform Drata haben wir manuelle Eingriffe zudem deutlich reduzieren können, den Prozess beschleunigt und gleichzeitig die Genauigkeit verbessert.
Sie haben mit einem externen Partner zusammengearbeitet. Wie kam es dazu?
Wir haben uns mit einer führenden Wirtschaftsprüfungsgesellschaft zusammengetan, um unseren Compliance-Prozess zu vereinfachen. Anstatt mehrere regionale Audits durchzuführen, setzen wir nun auf ein jährliches, umfassendes Audit. Das reduziert nicht nur die Komplexität, sondern schafft auch für unsere Kunden Klarheit und Vertrauen in unsere Prozesse.
Wie stellen Sie sicher, dass Compliance-Audits künftig stets pünktlich abgeschlossen werden?
Um die Verzögerungen aus der Vergangenheit zu beheben, haben wir uns mit einer zentralen Wirtschaftsprüfungsgesellschaft zusammengetan und die meisten unserer Audit- und Compliance-Tracking-Prozesse automatisiert. Dadurch konnten wir erstmals Audits sogar vorzeitig abschließen.
Strebt Syncron die FedRAMP-Zertifizierung an?
Aktuell haben wir keine Pläne, die FedRAMP-Zertifizierung zu erlangen, da wir derzeit keine Regierungskunden bedienen. Unsere automatisierten Auditsysteme zeigen jedoch, dass wir bereits teilweise konform damit sind. Sollte der Bedarf entstehen, können wir uns deshalb schnellstmöglich darauf einstellen.
Und wie steht es um die TISAX-Zertifizierung?
Die TISAX-Zertifizierung wird in der Automobilindustrie zunehmend wichtiger, insbesondere in Deutschland. Wir haben kürzlich eine Selbstbewertung durchgeführt und dabei vielversprechende Ergebnisse erzielt. Auf dieser Basis planen wir, bald die vollständige TISAX-Zertifizierung zu erlangen.
Welche Rolle spielt KI in den Sicherheits- und Compliance-Prozessen von Syncron?
KI ist ein zentraler Bestandteil unserer Prozesse. Sie automatisiert die Sammlung und Überprüfung von Audit-Nachweisen. Beispielsweise erkennt die KI Diskrepanzen zwischen Systemen wie Active Directory und Workday, um sicherzustellen, dass wir über mehrere Datenquellen hinweg die Vorschriften einhalten. Das reduziert die Arbeitsbelastung für unser Team und erhöht zugleich die Genauigkeit und Konsistenz.
Wie funktioniert der KI-gesteuerte Auditprozess konkret?
Unser KI-System überprüft automatisch Stichproben aus verschiedenen Systemen, erkennt Unstimmigkeiten und reduziert so deutlich den manuellen Aufwand. Das wiederum führt zu zuverlässigeren Daten, schnelleren Audits und stets aktuellen Compliance-Informationen für unsere Prüfer.
Welche Vorteile hat die zentrale Kontrollbibliothek den Kunden?
Die zentrale Kontrollbibliothek bündelt alle Compliance-Kontrollen und bildet Überschneidungen zwischen verschiedenen Standards ab. Das spart Zeit, reduziert Doppelarbeit und sorgt für eine effizientere Berichterstattung. Für Kunden bedeutet das weniger Unterbrechungen im Betriebsablauf und insgesamt mehr Zuverlässigkeit.
Das klingt fantastisch! Syncron plant außerdem die Einführung eines „Trust Centers“ für 2025. Was steckt dahinter?
Das Trust Center wird ein zentrales Online-Portal sein, über das Kunden Zugriff auf alle relevanten Compliance-Informationen erhalten. Es orientiert sich an Tools von Branchenführern wie Microsoft und Amazon und fördert Transparenz sowie Vertrauen.
Vielen Dank, Alex!