SOC 2.

SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS-Anbieter; ISO/IEC 27001 ist das europäische Äquivalent. Typ I = Stichtagsbetrachtung; Typ II = Wirksamkeit über 6–12 Monate. Wird häufig im Enterprise-Einkaufsprozess gefordert.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

Die Einschätzung der Cyber Academy

SOC 2 ist der AICPA-Prüfbericht über die Kontrollen einer Serviceorganisation, der fünf Trust-Kriterien abdeckt (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). In Nordamerika der Standardnachweis für SaaS-Anbieter; ISO/IEC 27001 ist das europäische Äquivalent. Typ I = Stichtagsbetrachtung; Typ II = Wirksamkeit über 6–12 Monate. Wird häufig im Enterprise-Einkaufsprozess gefordert.

Was SOC 2 tatsächlich bescheinigt

SOC 2 ist keine Zertifizierung, die man besteht oder nicht besteht. Es ist ein Attestierungsbericht, der von einer lizenzierten CPA-Firma nach den Attestierungsstandards der AICPA erstellt wird und in dem ein unabhängiger Prüfer ein Urteil darüber abgibt, ob die Kontrollen einer Dienstleistungsorganisation angemessen ausgestaltet sind und, beim Typ II, über einen Zeitraum hinweg wirksam funktionieren. Der Geltungsbereich ist um die Trust Services Criteria herum aufgebaut: Sicherheit (die einzige verpflichtende Kategorie, auch common criteria genannt), Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sie wählen, welche der fünf auf den von Ihnen angebotenen Dienst zutreffen, und der Bericht wird auf diese Wahl zugeschnitten.

Da es sich um ein Urteil über eine vom Management verfasste Beschreibung handelt, sind zwei SOC-2-Berichte selten identisch. Ein Anbieter deckt möglicherweise nur die Sicherheit ab; ein anderer ergänzt Verfügbarkeit und Vertraulichkeit. Den Bericht zu lesen bedeutet, die Systembeschreibung, die im Geltungsbereich enthaltenen Kriterien, die durchgeführten Tests und vor allem alle vom Prüfer angemerkten Ausnahmen zu lesen. Ein einwandfreier Bericht mit engem Geltungsbereich kann ein schwächerer Nachweis sein als ein Bericht mit geringfügigen Ausnahmen über einen breiten Geltungsbereich.

Typ I gegenüber Typ II

Die Unterscheidung, die Praktikern am wichtigsten ist, ist die zwischen Typ I und Typ II. Typ I ist eine Momentaufnahme: Der Prüfer urteilt, dass die Kontrollen zu einem einzigen Stichtag angemessen ausgestaltet sind. Er belegt, dass die Kontrollen auf dem Papier existieren und an diesem Tag vorhanden waren. Typ II ist derjenige, den Enterprise-Käufer tatsächlich wollen, weil der Prüfer testet, ob diese Kontrollen über einen Prüfzeitraum hinweg wirksam funktioniert haben, der sich typischerweise über sechs bis zwölf Monate erstreckt, und dabei durchgehend Nachweise stichprobenartig erhebt. Ein Typ II beantwortet die eigentliche Beschaffungsfrage: Hat der Anbieter dies durchgängig getan und nicht nur am Tag der Prüfung?

SOC 2 Typ I vs Typ II
DimensionTyp ITyp II
Was geprüft wirdAusgestaltung der KontrollenAusgestaltung und Wirksamkeit im Betrieb
ZeitrahmenEin einzelner ZeitpunktEin Prüfzeitraum (üblicherweise 6 bis 12 Monate)
NachweisKontrollen zum Stichtag vorhandenStichprobenartig erhobene Nachweise über den Zeitraum
Typische VerwendungErster Bericht, Anbieter in der FrühphaseWas die Enterprise-Beschaffung erwartet

SOC 2 neben ISO 27001

SOC 2 und ISO 27001 beantworten dasselbe Anliegen des Käufers aus zwei Traditionen heraus. SOC 2 ist das nordamerikanische kanonische Signal, eine Attestierung des Prüfers, die an die Trust Services Criteria gebunden ist und in einem wiederkehrenden Zeitraum erneuert wird. ISO 27001 ist der internationale, zertifizierbare Standard, der um ein Managementsystem (das ISMS) herum aufgebaut ist, mit einer Zertifizierung, die von einer akkreditierten Stelle ausgestellt und durch Überwachungsaudits aufrechterhalten wird.

SOC 2 berichtet über Kontrollen anhand von Kriterien; ISO 27001 bescheinigt, dass Sie ein funktionierendes System mit einer Erklärung zur Anwendbarkeit und kontinuierlicher Verbesserung betreiben. Viele Anbieter, die auf beiden Seiten des Atlantiks verkaufen, halten am Ende beide, und die Kontrollnachweise überschneiden sich stark, auch wenn die Lieferergebnisse sich unterscheiden.

In der Praxis behandeln GRC-Teams die beiden als komplementär statt als konkurrierend. Dieselben Zugriffskontrollen, das Änderungsmanagement, die Schwachstellenbehandlung und die Reaktion auf Sicherheitsvorfälle speisen sowohl den Kontrollsatz aus Annex A von ISO 27001 als auch die common criteria von SOC 2. Die Arbeit besteht darin, einmal zuzuordnen und zweimal zu präsentieren.

Frequently asked questions

01Ist SOC 2 eine Zertifizierung?

Nein. SOC 2 ist ein Attestierungsbericht mit dem Urteil eines Prüfers, kein Bestanden/Nicht-bestanden-Zertifikat. Es gibt kein Zertifikat zum Vorzeigen; was existiert, ist ein Bericht, den eine CPA-Firma ausstellt und den Sie unter NDA mit Kunden und Interessenten teilen.

02Sollten wir Typ I oder Typ II anstreben?

Typ I ist ein vernünftiger erster Schritt, um nachzuweisen, dass Ihre Kontrollen korrekt ausgestaltet sind, und er kann schneller ausgestellt werden. Die meisten Enterprise-Käufer erwarten letztlich Typ II, weil er belegt, dass die Kontrollen über einen anhaltenden Zeitraum hinweg wirksam funktioniert haben.

03Benötigen wir alle fünf Trust Services Criteria?

Nein. Sicherheit (die common criteria) ist die einzige verpflichtende Kategorie. Sie ergänzen Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz auf Grundlage der Zusagen, die Sie gegenüber Kunden machen, und der Art Ihres Dienstes.

04In welchem Verhältnis steht SOC 2 zu ISO 27001?

Sie erfüllen denselben Vertrauenszweck über unterschiedliche Mechanismen. SOC 2 ist eine US-zentrierte Attestierung anhand der Trust Services Criteria; ISO 27001 ist eine internationale Zertifizierung eines Informationssicherheits-Managementsystems. Die zugrunde liegenden Kontrollen überschneiden sich erheblich, sodass die für das eine erhobenen Nachweise das andere weitgehend stützen.

05Wie oft wird ein SOC-2-Bericht erneuert?

SOC-2-Typ-II-Berichte decken einen definierten Prüfzeitraum ab und werden typischerweise in einem wiederkehrenden Zyklus aufgefrischt, sodass Kunden stets über eine aktuelle Abdeckung verfügen. Anbieter planen den Prüfzeitraum so, dass es keine Lücke zwischen aufeinanderfolgenden Berichten gibt.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.