SOC 2 — Compliance-Standard für Cloud-Dienstleister erklärt
Was ist SOC 2?
SOC 2 (Service Organization Control 2) ist ein Prüfstandard des AICPA, der die Informationssicherheit von Cloud-Dienstleistern und SaaS-Anbietern bewertet. Im Gegensatz zu ISO 27001 fokussiert SOC 2 auf fünf Trust Service Criteria: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Für deutsche Unternehmen wird SOC 2 zunehmend relevant — insbesondere wenn sie US-amerikanische Kunden bedienen oder Cloud-Services in den USA anbieten. Gleichzeitig fordern immer mehr europäische Unternehmen SOC 2 Reports von ihren Cloud-Anbietern.
SOC 2 Trust Service Criteria
Security (Pflicht)
Das Sicherheitskriterium ist bei jedem SOC 2 Audit Pflicht. Es umfasst den Schutz von Systemen und Daten vor unbefugtem Zugriff — physisch und logisch. Maßnahmen: Firewalls, Intrusion Detection, Zugriffskontrolle, Verschlüsselung.
Availability
Verfügbarkeit der Systeme gemäß SLAs: Monitoring, Business Continuity Management, Disaster Recovery, Kapazitätsplanung und Incident Response.
Statt Mandatsbetreuung nur einzelne Themen klären? Audit-Vorbereitung, Risikoanalyse, Mitarbeiterschulung oder Vorfall-Response — als Stunden- oder Tages-Kontingent buchbar. → IT-Sicherheit-Beratung anfragen
Wir übernehmen die ISB-Rolle als externer Dienstleister — ISO 27001, BSI IT-Grundschutz, NIS-2 und TISAX aus einer Hand. Bundesweit, ab 300 € / Monat.
→ Externen Informationssicherheitsbeauftragten anfragenProcessing Integrity
Sicherstellung der vollständigen, gültigen und korrekten Datenverarbeitung: Input-Validierung, Fehlerbehandlung, Output-Kontrolle.
Confidentiality
Schutz vertraulicher Informationen: Verschlüsselung, Zugriffsberechtigungen, sichere Datenentsorgung, NDA-Management.
Privacy
Personenbezogene Daten gemäß GAPP (Generally Accepted Privacy Principles): Erhebung, Nutzung, Aufbewahrung, Offenlegung und Löschung. Für DSGVO-pflichtige Unternehmen besonders relevant.
SOC 2 Type I vs. Type II
- SOC 2 Type I: Prüft das Design der Kontrollen zu einem Stichtag. Schneller und günstiger, aber weniger aussagekräftig.
- SOC 2 Type II: Prüft Design UND operative Wirksamkeit über einen Zeitraum (meist 6-12 Monate). Der Goldstandard — von den meisten Kunden gefordert.
SOC 2 vs. ISO 27001
| Kriterium | SOC 2 | ISO 27001 |
|---|---|---|
| Herkunft | USA (AICPA) | International (ISO) |
| Fokus | Cloud-/SaaS-Anbieter | Alle Organisationen |
| Ergebnis | Audit Report | Zertifikat |
| Gültigkeit | 12 Monate | 3 Jahre (+Überwachung) |
| Kosten | 20.000-80.000 € | 15.000-100.000 € |
| In DACH üblich | Zunehmend | Standard |
SOC 2 Kosten
- Type I: 15.000-40.000 € (Vorbereitung + Audit)
- Type II: 30.000-80.000 € (inkl. Beobachtungszeitraum)
- Jährliche Erneuerung: 20.000-50.000 €
Häufig gestellte Fragen zu SOC 2
Brauche ich SOC 2 oder ISO 27001?
Für den US-Markt und SaaS-Anbieter ist SOC 2 oft Pflicht. Für den europäischen Markt ist ISO 27001 der Standard. Viele internationale Unternehmen haben beides. Die gute Nachricht: ca. 70% der Anforderungen überlappen sich, sodass eine parallele Umsetzung effizienter ist als zwei getrennte Projekte.
Wie lange dauert die SOC 2 Vorbereitung?
Type I: 2-4 Monate Vorbereitung. Type II: 2-4 Monate Vorbereitung plus 6-12 Monate Beobachtungszeitraum. Mit bestehendem ISMS verkürzt sich die Vorbereitungszeit erheblich.
Wer führt SOC 2 Audits durch?
SOC 2 Audits dürfen nur von CPA-Firmen (Certified Public Accountants) durchgeführt werden. In Deutschland bieten Wirtschaftsprüfungsgesellschaften wie PwC, Deloitte, KPMG und spezialisierte Boutique-Firmen SOC 2 Audits an.
Der bitpixie-Angriff hebelt BitLocker auch ohne physischen Zugriff aus. BitLocker in Windows 11 — wie der Angriff funktioniert → mit Pre-Boot-PIN, Secure-Boot-Revocation (KB5025885) und TPM-Härtung als Gegenmaßnahmen.
Neueste Kommentare