SOC 2 [Alles, was Sie wissen müssen]
Stehen Sie kurz vor einem SOC 2-Audit oder wollen Sie sich darauf vorbereiten? Wir gehen alle wichtigen Punkte durch, die Sie vor einem Audit beachten müssen.
Was bedeutet SOC 2-Compliance? SOC 2 ist ein Compliance-Standard, der die Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertrauenswürdigkeit und Datenschutzkontrollen Ihres Unternehmens überprüft. Diese Kriterien wurden vom American Institute of CPAs (AICPA) entwickelt und werden von einem unabhängigen Wirtschaftsprüfer (Certified Public Accountant, CPA) oder einem unabhängigen Unternehmen geprüft.
Was versteht man unter System Organization Control 2 Compliance?
Nicht alle Rahmenwerke für die Einhaltung von Sicherheitsvorschriften werden von der Regierung vorgeschrieben. In verschiedenen Branchen und Organisationen gibt es spezifische Rahmenwerke, die dabei helfen, die Herausforderungen und Risiken zu bewältigen, denen die teilnehmenden Unternehmen und Organisationen begegnen können. Eines dieser Frameworks, das SOC 2 Framework, unterstützt das Risiko- und Sicherheitsmanagement für Unternehmen, die mit sensiblen Benutzerdaten umgehen, vor allem im Finanzdienstleistungssektor.
Das AICPA hat die SOC-Compliance zwar geschaffen, um Probleme in der Finanzbranche zu lösen, doch gibt es mehrere Anwendungsmöglichkeiten des Standards, die für viele verschiedene Unternehmen nützlich sind.
Die Durchführung eines Audits wird oft als “Zertifizierung” oder “Bescheinigung” bezeichnet, und der von einem Prüfer erstellte Bericht bescheinigt die Compliance eines Unternehmens. Wenn sich ein Unternehmen für ein SOC 2-Compliance-Audit entscheidet, muss es einen von zwei Berichten erstellen:
- Typ-I-Berichte beschreiben die Sicherheits- und IT-Systeme eines Unternehmens in Bezug auf ihre Eignung zur Erfüllung der Compliance-Anforderungen.
- Typ-II-Berichte beschreiben die tatsächliche Wirksamkeit der Systeme eines Unternehmens im Rahmen der Anforderungen.
Der Hauptunterschied besteht darin, dass Typ I nur die vorhandenen Kontrollen meldet, während Typ II die operative Compliance innerhalb eines bestimmten Zeitraums bescheinigt.
SOC 2-Audits basieren auf den Anforderungen des Unternehmens. Dies können allgemeine Compliance-Prüfungen, spezifische Anforderungen gemäß spezieller Industriestandards oder Anforderungen im Rahmen von Ausschreibungen (Request for Proposal, RFP) sein. Die Audits sind außerdem in fünf “Vertrauensprinzipien”, sogenannte Trust Principles, unterteilt, die bestimmte Sicherheits- und Datenschutzkonzerne abdecken.
Jede Prüfung umfasst mindestens eine, wenn nicht sogar mehrere Untersuchungen der Kontrollen und Fähigkeiten, um festzustellen, ob sie den Anforderungen der Trust Principles entsprechen.
Die fünf Trust Principles umfassen:
- Sicherheit: Bei den Sicherheitsgrundsätzen geht es um Cybersicherheit, Schutz vor Sicherheitsverletzungen oder unbefugtem Zugriff und die Wahrung der Systemintegrität. Zu den Kontrollen, die im Rahmen dieses Prinzips erwartet werden, gehören häufig Verschlüsselungsstandards, Anforderungen an die E-Mail– und Dateiübertragung, Software- und Hardwaresicherheit, Identitäts- und Zugriffsmanagement sowie Sicherheitsmaßnahmen an den Unternehmensgrenzen. Zu den Kontrollen in dieser Kategorie zählen Firewalls, Antivirensoftware und Multi-Faktor-Authentifizierung (MFA). Unternehmen müssen sich immer einer Sicherheitsbewertung unterziehen, unabhängig davon, was sonst noch in einer Prüfung enthalten ist.
- Verfügbarkeit: Die Verfügbarkeit umfasst alle Technologien und Verfahren, die dazu beitragen, dass Benutzer und Mitarbeiter bei Bedarf sicher und effektiv auf Informationen zugreifen können. Dazu gehört auch die Verfügbarkeit für die Geschäftspartner eines Unternehmens – sowohl von internen Systemen als auch gemäß der Service Level Agreements (SLAs) von Anbietern.
- Integrität: Es ist wichtig, dass digitale Systeme ordnungsgemäß und im Einklang mit den darin enthaltenen Daten funktionieren. Die Systeme sollten Kontrollen und Verarbeitungstechnologien enthalten, die sicherstellen, dass alle Daten vollständig, gültig, genau, aktuell und autorisiert sind, wann immer sie verwendet werden. Systemfehler, die Daten beschädigen, Fehler bei der Erfassung oder Übertragung verursachen oder Prüfprotokolle für diese Daten erstellen können, erfüllen nicht die Integritätsanforderungen.
- Vertraulichkeit: Die Vertraulichkeit stellt sicher, dass die Informationen im ruhenden Zustand oder während der Übertragung vor unbefugter Offenlegung geschützt sind. Dies kann Übertragungs- oder andere Sicherheitsmaßnahmen umfassen, die sich speziell auf die Verschlüsselung von Informationen beziehen.
- Datenschutz: Dieser Grundsatz bezieht sich speziell auf die Richtlinien und Verfahren, die zur Wahrung der Persönlichkeitsrechte der Benutzer und ihrer personenbezogenen Daten eingesetzt werden.
Wozu sollten Sie die SOC 2-Compliance anstreben?
SOC 2 wurde in erster Linie für Unternehmen im Bereich der Finanzdienstleistungen entwickelt. Viele andere Unternehmen entscheiden sich jedoch aus einer Reihe von Gründen für SOC 2.
Beachten Sie, dass die Einhaltung dieser Vorgaben nicht für jedes Unternehmen gesetzlich vorgeschrieben ist. Für einige Finanzunternehmen (z. B. Wirtschaftsprüfungsgesellschaften) ist sie eine branchenspezifische Anforderung.
Es gibt gute Gründe für die SOC 2-Compliance:
- Starkes, bewährtes Sicherheitskonzept: Viele Unternehmen halten sich zwar an die gesetzlichen oder branchenspezifischen Sicherheitsvorschriften, suchen jedoch auch nach Frameworks wie SOC 2, um ihre Infrastruktur besser gegen moderne, sich ständig weiterentwickelnde Bedrohungen zu wappnen. Die Durchführung eines Audits führt zu einer zusätzlichen Analyse und Bewertung der Sicherheitsrichtlinien und -verfahren eines Unternehmens.
- Reputation und Vertrauenswürdigkeit: Einer der Hauptgründe, warum sich Unternehmen Audits unterziehen, ist, dass das Audit das Engagement eines Unternehmens für den Schutz von Daten bestätigen kann. Eine Zertifizierung kann Kunden, potenziellen Kunden und Geschäftspartnern zeigen, dass ein Unternehmen Wert auf Sicherheit und Datenschutz legt.
- Einführung eines Risikomanagements: Seit 2017 beinhalten die SOC 2-Sicherheitsanforderungen eine Risikobewertung. Dies ist nicht nur ein Hindernis, das es zu überwinden gilt – Risikomanagement ist ein wichtiger Bestandteil moderner Sicherheit, und Unternehmen, die proaktive Maßnahmen ergreifen möchten, können die Einhaltung der Vorschriften als Leitfaden nutzen.
- Reduzierung der Kosten: Einem Bericht von IBM zufolge kostet eine Datenschutzverletzung in den Vereinigten Staaten die betroffenen Unternehmen durchschnittlich 4,24 Millionen US-Dollar. Es versteht sich von selbst, dass die gründliche Durchführung eines Audits einem Unternehmen definitiv Kosten für Schadenersatz und Abhilfemaßnahmen erspart. Außerdem lässt sich ein schlechter Ruf nicht wiederherstellen, und die Einhaltung der Vorschriften kann Datenschutzverletzungen verhindern, durch die Kunden und Klienten verloren gehen.
- Komplementäre Compliance: Wenn sich ein Unternehmen auf Compliance-Zertifizierung in einer anderen Branche (wie HIPAA oder ISO 27001) vorbereitet, kann die SOC 2-Zertifizierung ein guter Ausgangspunkt sein.
Was ist ein SOC 2-Bericht?
Wenn ein Auditor eine Prüfung abschließt, erstellt er einen Bericht, der die Angemessenheit der technischen und organisatorischen Kontrollen eines Unternehmens bescheinigt. Nur registrierte Wirtschaftsprüfer mit Sicherheitshintergrund können Audits durchführen und Berichte erstellen.
Ein SOC 2-Bericht enthält in der Regel die folgenden Abschnitte:
- Erklärung der Unternehmensleitung: Dieser Abschnitt wird von jedem Unternehmen ausgefüllt und bescheinigt die Kontrollen, Prozesse, Produkte und Dienstleistungen, die unter die Compliance-Vorschriften fallen und diese erfüllen.
- Bericht des unabhängigen Wirtschaftsprüfers: Enthält den Umfang des Audits, die Bewertung der Systeme und Kontrollen sowie die allgemeine Beurteilung durch den Prüfer. Der Prüfer weist einem Unternehmen bestimmte Ratings zu, die auf einer bestandenen, nicht bestandenen oder unvollständigen Bewertung basieren.
- Systembeschreibungen: Der umfassende Abschnitt, in dem der Prüfer seine Bewertungen und Beschreibungen der Systeme des Unternehmens auf der Grundlage der von ihm durchgeführten Audits detailliert darlegt.
- Kriterien und Kontrollen für zugehörige Zertifizierungsdienste: Dieser ausführliche Abschnitt umfasst die Ausarbeitung von Beurteilungen im Zusammenhang mit den anderen Kategorien der Zertifizierung.
- Vom Bericht nicht abgedeckte Informationen: Zukunftspläne, relevante Informationen für Kunden und Klienten oder andere Daten, die nicht Gegenstand der Prüfung sind, aber für die Öffentlichkeit interessant sind.
Was genau sind SOC 1 und SOC 3?
Die obige Diskussion über SOC 2 wirft die Frage auf: “Was ist mit SOC 1 und SOC 3?” Auch diese Berichte gibt es, und sie erfüllen völlig unterschiedliche Funktionen.
- In einem SOC 1-Bericht werden Geschäftsprozesse, IT-Kontrollen sowie geschäftliche und technische Ziele im Zusammenhang mit der Finanzberichterstattung beschrieben. Noch wichtiger ist, dass dieser Bericht die mit diesen Prozessen und Kontrollen verbundenen Risiken und Schwachstellen enthalten kann. Es handelt sich dabei zwar nicht um ein Sicherheits- oder technisches Audit, aber es ist eine Bescheinigung, dass ein Unternehmen mit Transparenz und vollständiger Offenlegung arbeitet. Dieser Bericht wird häufig von Kunden oder Stakeholdern angefordert, die von Unternehmen eine Bescheinigung über ihr Risikoprofil und ihre Geschäftsabläufe verlangen, in der Regel, wenn es sich um finanzielle Aspekte handelt.
- Ein SOC 3-Bericht ähnelt den anderen Berichten insofern, als er die Sicherheit, Verfügbarkeit, Integrität, Vertrauenswürdigkeit und den Datenschutz eines Unternehmens bescheinigt. Allerdings enthalten die SOC 3-Audits viel weniger Informationen und lassen in der Regel die Abschnitte mit den Aufstellungen der Kontrollen und deren Bewertungen weg. Der Bericht enthält in der Regel die Beurteilung des Prüfers, einige Feststellungen und das Gesamtergebnis des Audits.
Möchten Sie mehr über SOC 2 erfahren?
SOC 2 ist auch außerhalb der Finanzbranche ein anerkanntes Sicherheitskonzept, da es Unternehmen ein zusätzliches Maß an Sicherheit und Cyber-Hygiene bietet. Wenn es um sensible Inhalte geht, die innerhalb und über die Unternehmensgrenzen hinaus ausgetauscht werden, ist die Einhaltung von SOC 2 ein wichtiger Aspekt. Wenn Sie mehr darüber erfahren möchten, wie Kiteworks sensible Inhalte in Übereinstimmung mit SOC 2 vereinheitlicht, nachverfolgt, kontrolliert und schützt, besuchen Sie unsere Webseite, die Ihnen einen Überblick gibt. Oder vereinbaren Sie einfach einen Termin für eine Kiteworks-Demo, um die Plattform in Aktion zu erleben – sei es in den Bereichen E-Mail, File-Sharing, Dateiübertragung und Automatisierung, APIs (Application Programming Interfaces) oder Web-Formulare.
–>