• Kommentare deaktiviert für Was ist SOC 2 und warum ist es relevant?

Was ist SOC 2 und warum ist es relevant?

SOC 2 (Systems and Organization Controls – Type 2) ist keine gesetzliche Pflicht, sondern ein Prüfstandard und Vertrauensnachweis, mit dem Dienstleister gegenüber Kunden belegen können, dass sie angemessene organisatorische und technische Kontrollen betreiben, um Daten sicher zu verwalten. Der Standard wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt und richtet sich insbesondere an Unternehmen, die Cloud-Services, SaaS-Lösungen oder Outsourcing-Dienstleistungen anbieten.

SOC 2 richtet sich an Geschäftspartner und Kunden (die sogenannten „User Entities“), denen detaillierte Informationen über die internen Kontrollen des Dienstleisters zustehen. Der Prüfbericht gewährt Transparenz hinsichtlich Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungskorrektheit und Datenschutz der verarbeiteten Daten (AICPA, “Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy”).

Die fünf „Trust Services Criteria“ (TSC)

SOC 2-Berichte prüfen Kontrollmaßnahmen im Rahmen von bis zu fünf Kriterienbereichen, den sogenannten Trust Services Criteria. Sicherheit („Security“) ist stets erforderlich, während die vier weiteren Kriterien – Verfügbarkeit, Verarbeitungskorrektheit, Vertraulichkeit und Datenschutz – je nach Geschäftsmodell und Kundenanforderungen optional in den Prüfungsumfang aufgenommen werden.

Die Kriterien im Einzelnen:

  • Security (Sicherheit): Schutz der Systeme und Daten vor unbefugtem Zugriff, Missbrauch oder externen Angriffen. Dieses Kriterium bildet die Grundlage jedes SOC 2-Audits.
  • Availability (Verfügbarkeit): Sicherstellung, dass das System und die Dienste wie vereinbart erreichbar und nutzbar sind (z. B. Redundanz, Notfallplanung).
  • Processing Integrity (Verarbeitungskorrektheit): Gewährleistung, dass Systeme wie vorgesehen funktionieren und Daten vollständig, korrekt und fristgerecht verarbeitet werden.
  • Confidentiality (Vertraulichkeit): Schutz sensibler Informationen gegen unbefugte Offenlegung.
  • Privacy (Datenschutz): Speziell auf personenbezogene Daten bezogene Anforderungen, etwa Einwilligung, Datenminimierung, Transparenz und Rechte der betroffenen Personen.

Innerhalb eines Kriteriums existieren detaillierte Anforderungen („points of focus“), z. B. in den Bereichen Zugriffskontrollen, Änderungsmanagement, Ereignisüberwachung oder Risikobewertung (AICPA Trust Services Criteria, 2017).

SOC 2 Type I vs. Type II

Ein wichtiger Unterscheidungsaspekt ist die Art des Prüfungszeitraums:

  • Type I bewertet, ob Kontrollen zu einem bestimmten Zeitpunkt angemessen gestaltet sind (Design Effektivität).
  • Type II prüft zusätzlich, ob diese Kontrollen über einen festgelegten Zeitraum (typischerweise 3 bis 12 Monate) operativ wirksam sind (Operating Effectiveness)

Ein Type II-Bericht liefert damit ein stärkeres Vertrauenssignal für Kunden, da er nicht nur das Design, sondern auch die tatsächliche Umsetzung über die Zeit bewertet.

Aufbau eines SOC 2-Berichts

Ein SOC 2-Prüfbericht gliedert sich typischerweise in folgende wesentliche Teile:

  1. Bericht des Prüfers (Auditor’s Report): Der unabhängige Prüfer fasst seine Bewertung zusammen, mit Angabe einer Prüfaussage (z. B. „unqualified“, „qualified“, „adverse“ oder „disclaimer“)
  2. Erklärung des Managements (Management’s Assertion): Die Leitung des Dienstleisters legt dar, dass Systembeschreibung und gewählte Kontrollen den Anforderungen entsprechen und korrekt dargestellt sind
  3. Systembeschreibung (System Description): Detaillierte Darstellung der Systemumgebung, eingesetzter Technologien, Abläufe, beteiligter Personen und räumlicher/infrastruktureller Sicherheitsmaßnahmen
  4. Kontrolldarstellung und Testergebnisse (Description of Controls and Test Results): Für jedes Kriterium werden die geprüften Kontrollen aufgeführt, ihre Funktionsweise beschrieben und die Ergebnisse der Tests übermittelt (z. B. Ausnahmen, Abweichungen)
  5. Anhang / Managementreaktion (falls vorhanden): Bei Abweichungen kann das Unternehmen eine Stellungnahme oder Korrekturmaßnahmen beifügen (z. B. Corrective Action Plan)

Die AICPA stellt eine illustrierende Vorlage zur Verfügung, anhand derer Sie sehen können, wie ein vollständiger SOC 2 Type II-Bericht aussehen kann (AICPA Illustrative Report) (aicpa-cima.com).

Wann und für wen lohnt sich SOC 2 in Deutschland?

Für viele kleinere Unternehmen mit ausschließlich lokalen Kunden genügt eine ISO-27001-Zertifizierung zur Absicherung von Informationssicherheit und zur Erfüllung europäischer Datenschutzanforderungen. SOC 2 hingegen ist speziell für Dienstleister mit Zielmärkten in den USA oder mit US-amerikanischen Unternehmenskunden relevant. Mit einem SOC 2-Report können solche Anbieter ihre IT-Sicherheit nach amerikanischem Prüfstandard belegen und Zugang zu (tech-affinen) US-Kunden sichern.

Wenn Sie also bereits US-Kunden bedienen, international expandieren wollen oder Ihr US-Marktanteil steigert sich zunehmend, kann SOC 2 einen Unterschied machen – insbesondere beim Ausschreibungsprozess oder in Verträgen mit strengen Sicherheitsanforderungen.

Für Unternehmen mit Fokus auf Europa und innerhalb der DSGVO ist zu prüfen, ob der Aufwand und die Kosten eines SOC-Audits den Nutzen rechtfertigen.

Bei weiteren Fragen zu diesem Thema wenden Sie sich vertrauensvoll an uns.