​Unternehmen müssen heute ihren Kunden gegenüber beweisen, dass sie sensible Daten angemessen schützen. Neben Zertifizierungen wie der ISO/IEC 27001 ist vor allem im amerikanischen Markt ein weiterer Nachweis von Bedeutung: SOC 2. Kunden verlangen besonders von SaaS-Anbietern oder Cloud-Dienstleistern häufig einen SOC-2-Report. Aber was genau ist SOC 2, was braucht es für die Umsetzung und wie können Unternehmen sich sinnvoll darauf vorbereiten?

Dieser Artikel behandelt die wichtigsten Anforderungen und welche Zusammenhänge zur ISO 27001 bestehen.

© Storyblocks, Registriert auf Andreas Wisler

Was ist SOC 2?

SOC 2, die Abkürzung steht für „System and Organization Controls 2“, ist ein Sicherheitsframework, das das American Institute of Certified Public Accountants (AICPA) entwickelt hat. Ziel ist die Beurteilung, ob ein Unternehmen angemessene Kontrollen eingerichtet hat, um Daten sicher zu verarbeiten und zu schützen.

SOC 2 ist vor allem für Unternehmen gedacht, die Dienstleistungen im Bereich der Datenverarbeitung anbieten, wie zum Beispiel Cloud-Anbieter, SaaS-Dienste oder Plattformbetreiber. Es ist entscheidend, dass Kunden darauf vertrauen können, dass ihre Daten vor unbefugtem Zugriff, Sicherheitsvorfällen und anderen Schwachstellen geschützt sind. Wichtig ist aber festzuhalten, dass SOC 2 ein freiwilliger Standard ist.

SOC 2 unterscheidet sich von einer herkömmlichen Zertifizierung, da es sich um einen Auditbericht handelt, der von einem unabhängigen Prüfer erstellt wird. In diesem Bericht sind die bestehenden Kontrollen aufgeführt und deren Effektivität wird bewertet. Im Unterschied zu ISO 27001 sind Kontrollen und Auditberichte für jedes Unternehmen individuell.

Die fünf Trust-Service-Kriterien

Die Bewertung im SOC-2-Audit basiert auf den sogenannten Trust-Service-Criteria. Diese definieren, welche Aspekte der Informationssicherheit geprüft werden.

• Security (Sicherheit)
  Dies ist das zentrale und verpflichtende Kriterium. Es bewertet, ob Systeme gegen unbefugten Zugriff geschützt sind, etwa durch Zugriffskontrollen, Monitoring oder Netzwerksicherheit (z. B. mittels Firewalls).

• Availability (Verfügbarkeit)
  Hier wird geprüft, ob Systeme zuverlässig betrieben und vereinbarte Servicelevels eingehalten werden. Dazu gehören auch das Backup und Disaster-Recovery-Pläne.

• Processing Integrity (Verarbeitungsintegrität)
  Dieses Kriterium stellt sicher, dass Daten korrekt und vollständig verarbeitet werden. Auch die Systemüberwachung auf Verarbeitungsfehler wird hier geprüft.

• Confidentiality (Vertraulichkeit)
  Dabei geht es um den Schutz vertraulicher Informationen vor unbefugtem Zugriff. Dazu gehören die Klassifikation von Informationen, NDAs und sichere Löschverfahren.

• Privacy (Datenschutz)
  Dieses Kriterium betrifft den Umgang mit personenbezogenen Daten und deren Schutz gemäss geltenden Datenschutzanforderungen.

Unternehmen können neben dem verpflichtenden Sicherheitskriterium entscheiden, welche weiteren Kriterien für ihr Geschäftsmodell relevant sind.

Als Ergebnis können folgende Resultate ausgewiesen werden:

• Uneingeschränkt: Das Unternehmen hat das Audit bestanden.

• Eingeschränkt: Das Unternehmen hat das Audit bestanden, aber einige Bereiche erfordern Aufmerksamkeit.

• Negativ: Das Unternehmen hat das Audit nicht bestanden.

• Verzicht auf eine Stellungnahme: Der Auditor verfügt nicht über genügend Informationen, um zu einer fairen Schlussfolgerung zu gelangen.

SOC 2 Typ I vs. Typ II

SOC-2-Berichte gibt es in zwei Varianten:

• SOC 2 Typ I bewertet, ob die definierten Kontrollen zu einem bestimmten Zeitpunkt vorhanden und angemessen gestaltet sind. Der Bericht beschreibt also primär das Kontrollkonzept.

• SOC 2 Typ II geht deutlich weiter. Hier prüft der Auditor zusätzlich, ob die Kontrollen über einen längeren Zeitraum wirksam funktionieren, in der Regel über drei bis zwölf Monate.

Für viele Kunden ist ein Typ-II-Report wesentlich aussagekräftiger, da er die praktische Umsetzung der Kontrollen bestätigt.

Hinweis: Nebst dem SOC 2 gibt es auch SOC 1 und SOC 3:

• SOC 1 konzentriert sich auf die finanzielle Berichterstattung.

• SOC 3 ist eine abgespeckte Version von SOC 2 und ist, anders als SOC 1 und SOC 2, für die Öffentlichkeit bestimmt.

Umsetzung von SOC 2

Bis ein SOC-2-Bericht vorliegt, sind einige Schritte umzusetzen:

• Geltungsbereich
  Festlegung der relevanten Systeme, Prozesse und Trust-Service-Kriterien.

• Kontrolldesign
  Definition der Kontrollen, mit denen die Anforderungen erfüllt werden sollen.

• Risikobewertung
  Bevor mit der Umsetzung gestartet werden kann, wird eine interne Risikobewertung durchgeführt. Ziel ist es, potenzielle Schwachstellen in den Bereichen Sicherheit, Verfügbarkeit oder Datenschutz zu identifizieren.

• Implementierung
  Anhand der Risikobewertung werden technische und organisatorische Massnahmen geplant und umgesetzt. Diese müssen dokumentiert und regelmässig überprüft werden.

• Auditphase
  Nach der erfolgreichen Umsetzung erfolgt die Prüfung durch einen zugelassenen und unabhängigen Auditor. Ein typisches SOC-2-Audit erfordert dabei eine Mindestbeobachtungszeit von drei Monaten.

• Berichtserstellung
  Zum Schluss erstellt der Auditor einen SOC-2-Report mit Bewertung der Kontrollen.

Der gesamte Prozess kann je nach Reifegrad des Unternehmens mehrere Monate dauern.

Hinweis: SOC-2-Audits dürfen ausschliesslich von zugelassenen Wirtschaftsprüfern durchgeführt werden. Diese müssen nach den Standards der AICPA arbeiten und benötigen tiefgehendes Fachwissen im Bereich IT-Sicherheit.

Unterschiede zu ISO 27001

SOC 2 und ISO 27001 haben Gemeinsamkeiten, aber auch entscheidende Unterschiede.

ISO 27001 ist ein Managementsystem-Standard. Unternehmen bauen ein vollständiges Informationssicherheits-Managementsystem (ISMS) auf, das kontinuierlich verbessert wird. Die Zertifizierung bestätigt, dass dieses Managementsystem den Anforderungen der Norm entspricht.

SOC 2 hingegen bewertet konkrete Kontrollen innerhalb eines bestimmten Systems oder Services. Es gibt kein formales Managementsystem, sondern einen Auditbericht über definierte Sicherheitskontrollen.

Zentrale Unterschiede sind:

• ISO 27001 ist eine Zertifizierung, SOC 2 ein Auditbericht.

• ISO 27001 ist international verbreitet, SOC 2 vor allem im US-Markt relevant.

• SOC 2 ist stärker auf Service-Organisationen und SaaS-Anbieter ausgerichtet.

In der Praxis ergänzen sich beide Ansätze. Unternehmen mit einem etablierten ISMS haben meist eine solide Ausgangsbasis für ein SOC-2-Audit.

Typische Herausforderungen

Der Aufwand für Dokumentation und Nachweise wird oft unterschätzt. Auch wenn zahlreiche Sicherheitsmassnahmen bereits bestehen, müssen sie für das Audit strukturiert beschrieben und nachvollziehbar belegt werden.

Eine weitere Schwierigkeit besteht darin, die Kontrollen über den gesamten Auditzeitraum hinweg kontinuierlich zu erfüllen – vor allem bei SOC 2 Typ II.

Fazit

Besonders im Bereich der Cloud und SaaS ist SOC 2 zu einem bedeutenden Vertrauensnachweis geworden. Für Firmen, die mit US-amerikanischen Kunden zusammenarbeiten oder sensible Daten verarbeiten, ist ein SOC-2-Report eine wichtige Voraussetzung.

Es ist für CISOs und Security-Verantwortliche ratsam, sich frühzeitig mit den Anforderungen zu beschäftigen. Wer ein strukturiertes Sicherheitsprogramm, beispielsweise im Rahmen von ISO 27001, implementiert hat, besitzt bereits eine gute Grundlage für ein erfolgreiches SOC-2-Audit.