Verständnis der Compliance SOC 1 vs. SOC 2 vs. SOC 3

Compliance ist ein entscheidender Aspekt für das Wachstum Ihres Unternehmens.

Nehmen wir an, Sie möchten ein SaaS-Geschäft betreiben und Kunden aus dem mittleren Marktsegment ansprechen. In diesem Fall müssen Sie die geltenden Regeln und Vorschriften einhalten und die Sicherheit Ihres Unternehmens verbessern.

Viele Unternehmen versuchen, diese Anforderungen durch die Anwendung von Sicherheitsfragebögen zu umgehen.

Wenn also ein Kunde oder ein Auftraggeber ein SOC-Zertifikat verlangt, wird Ihnen klar, wie wichtig es ist, die Vorschriften einzuhalten.

Die SOC-Compliance bezieht sich auf eine Art von Zertifizierung, bei der eine Organisation ein Audit durch einen Dritten absolviert, das bestimmte Kontrollen in Ihrem Unternehmen nachweist. Die SOC-Compliance gilt auch für die Lieferkette und die SOC Cybersicherheit.

Im April 2010 kündigte das American Institute of Certified Public Accountants (AICPA) die Änderung von SAS 70 an. Der überarbeitete und neue Prüfungsstandard trägt den Namen Statement on Standards for Attestation Engagements (SSAE 16).

Neben der SSAE 16-Prüfung wurden drei weitere Berichte eingeführt, um die Kontrollen eines Dienstleistungsunternehmens zu untersuchen. Diese werden als SOC-Berichte bezeichnet und umfassen drei Berichte – SOC 1, SOC 2 und SOC 3 – mit unterschiedlichen Zielsetzungen.

In diesem Artikel gehe ich auf die einzelnen SOC-Berichte ein und erläutere, wo sie anzuwenden sind und wie sie in die IT-Sicherheit passen.

Los geht’s!

Was genau ist ein SOC-Bericht?

SOC-Berichte können als Wettbewerbsvorteil betrachtet werden, von dem ein Unternehmen in Form von Geld und Zeit profitiert. Dabei werden externe und unabhängige Prüfer eingesetzt, um verschiedene Aspekte eines Unternehmens zu untersuchen, darunter:

Verfügbarkeit
Vertraulichkeit
Datenschutz
Integrität der Verarbeitung
Sicherheit
Kontrollen in Bezug auf Cybersicherheit
Kontrollen in Bezug auf die Finanzberichterstattung

SOC-Berichte geben einem Unternehmen die Gewissheit, dass potenzielle Dienstleister gesetzeskonform und ethisch einwandfrei arbeiten. Obwohl Audits heikel sein können, bieten sie immense Sicherheit und Vertrauen. SOC-Berichte helfen dabei, die Vertrauenswürdigkeit und Glaubwürdigkeit eines Dienstleisters festzustellen.

Außerdem sind SOC-Berichte nützlich für:

Programme zur Verwaltung von Anbietern
Aufsicht über die Organisation
Regulatorische Aufsicht
Risikomanagementprozess und interne Unternehmensführung

Warum ist ein SOC-Bericht wichtig?

Verschiedene Dienstleistungsunternehmen, wie z.B. Rechenzentrumsunternehmen, SaaS-Anbieter, Kreditvermittler und Forderungsbearbeiter, müssen sich einer SOC-Prüfung unterziehen. Diese Unternehmen müssen die Finanzdaten ihrer Kunden oder Nutzer oder sensible Daten speichern.

Jedes Unternehmen, das Dienstleistungen für andere Unternehmen oder Nutzer erbringt, kann also von einer SOC-Prüfung profitieren. Ein SOC-Bericht lässt nicht nur Ihre potenziellen Kunden wissen, dass das Unternehmen seriös ist, sondern deckt auch die Schwachstellen Ihrer Kontrollen oder Ihrer Kunden durch Bewertungsprozesse auf.

Was können Sie von einer SOC-Prüfung erwarten?

Bevor Sie einen SOC-Bewertungsprozess durchlaufen, müssen Sie bestimmen, welche Art von SOC-Bericht Sie benötigen, der für Ihr Unternehmen am besten geeignet ist. Als nächstes beginnt ein offizieller Prozess mit der Bereitschaftsbewertung.

Dienstleistungsunternehmen bereiten sich auf die Prüfung vor, indem sie potenzielle rote Fahnen, Lücken, Mängel und mehr identifizieren. Auf diese Weise kann das Unternehmen die verfügbaren Optionen zur Behebung dieser Mängel und Schwächen verstehen.

Wer kann ein SOC-Audit durchführen?

SOC-Audits werden von unabhängigen Wirtschaftsprüfern (Certified Public Accountants, CPAs) oder Wirtschaftsprüfungsgesellschaften durchgeführt.

Die AICPA legt professionelle Standards fest, die die Arbeit der SOC-Prüfer regeln sollen. Darüber hinaus müssen Organisationen bestimmte Richtlinien für die Durchführung, Planung und Überwachung befolgen.

Jede AICPA-Prüfung wird anschließend einem Peer-Review unterzogen. CPA-Organisationen oder -Firmen stellen auch Nicht-CPA-Fachleute mit Kenntnissen in den Bereichen Informationstechnologie und Sicherheit ein, um sich auf ein SOC-Audit vorzubereiten. Der endgültige Bericht muss jedoch von der CPA geprüft und offengelegt werden.

Lassen Sie uns jeden Bericht einzeln durchgehen, um zu verstehen, wie sie funktionieren.

Was ist SOC 1?

Das Hauptziel von SOC 1 besteht darin, die Kontrollziele innerhalb der SOC 1-Dokumente und Prozessbereiche der internen Kontrollen zu kontrollieren, die für die Prüfung der Jahresabschlüsse der Benutzereinheit relevant sind.

Einfach ausgedrückt: Sie erfahren, wann sich die Dienstleistungen des Unternehmens auf die Finanzberichterstattung eines Unternehmens auswirken.

Was ist ein SOC 1-Bericht?

Ein SOC 1-Bericht bestimmt die Kontrolle der Dienstleistungsorganisation, die sich auf die Kontrolle der Finanzberichterstattung der nutzenden Organisation auswirkt. Er ist so konzipiert, dass er den Anforderungen der Anwenderunternehmen entspricht. Dabei bewerten die Wirtschaftsprüfer die Wirksamkeit der internen Kontrollen der Dienstleistungsorganisation.

Es gibt zwei Arten von SOC 1-Berichten:

SOC 1 Typ 1: Dieser Bericht konzentriert sich im Allgemeinen auf das System einer Dienstleistungsorganisation und prüft die Eignung der Systemkontrollen zur Erreichung der Kontrollziele zusammen mit der Beschreibung zu einem bestimmten Datum.

SOC 1 Typ 1-Berichte sind nur für Wirtschaftsprüfer, Manager und Anwenderunternehmen bestimmt, in der Regel gehören Dienstleister zu jeder Dienstleistungsorganisation. Ein Dienstleistungsprüfer bestimmt den Bericht, der alle Anforderungen der SSAE 16 abdeckt.

SOC 1 Typ 2: Dieser Bericht enthält ähnliche Meinungen und Analysen wie der SOC 1 Typ 1 Bericht. Er enthält jedoch Ansichten über die Wirksamkeit der im Voraus festgelegten Kontrollen, mit denen alle Kontrollziele über einen bestimmten Zeitraum erreicht werden sollen.

In einem SOC 1 Typ 2-Bericht führen die Kontrollziele zu potenziellen Risiken, die durch die interne Kontrolle gemildert werden sollen. Der Umfang umfasst relevante Kontrollbereiche und bietet angemessene Sicherheiten. Er besagt auch, dass nur autorisierte und angemessene Maßnahmen durchgeführt werden dürfen.

Was ist der Zweck von SOC 1?

Wie wir bereits besprochen haben, ist SOC 1 der erste Teil der Service Organization Control-Reihe, die sich mit internen Kontrollen im Bereich der Finanzberichterstattung befasst. Es ist auf Unternehmen anwendbar, die direkt mit Finanzdaten für Partner und Kunden interagieren.

Es sichert also die Interaktion einer Organisation, die Speicherung der Finanzdaten der Nutzer und deren Übermittlung. Der SOC 1-Bericht hilft jedoch Anlegern, Kunden, Wirtschaftsprüfern und dem Management, die internen Kontrollen im Zusammenhang mit der Finanzberichterstattung gemäß den AICPA-Richtlinien zu bewerten.

Wie kann man die SOC 1-Konformität aufrechterhalten?

Die SOC 1-Konformität definiert den Prozess der Verwaltung aller SOC 1-Kontrollen, die im Rahmen des SOC 1-Berichts über einen bestimmten Zeitraum hinzugefügt wurden. Damit wird die Wirksamkeit der SOC 1-Regeln sichergestellt.

Bei den Kontrollen handelt es sich im Allgemeinen um IT-Kontrollen, Geschäftsprozesskontrollen usw., die dazu dienen, eine angemessene Sicherheit auf der Grundlage der Kontrollziele zu bieten.

Was ist SOC 2?

Das von der AICPA entwickelte SOC 2 beschreibt die Kriterien für die Kontrolle oder Verwaltung von Kundeninformationen auf der Grundlage von 5 Prinzipien, um vertrauenswürdige Dienstleistungen anzubieten: Diese Prinzipien sind:

DieVerfügbarkeit umfasst die Notfallwiederherstellung, die Behandlung von Sicherheitsvorfällen und die Leistungsüberwachung.
Datenschutz: Dazu gehören Verschlüsselung, Zwei-Faktoren-Authentifizierung (2FA) und Zugriffskontrolle.
Sicherheit: Dazu gehören Intrusion Detection, Zwei-Faktoren-Authentifizierung und Netzwerk- oder Anwendungs-Firewalls.
Vertraulichkeit: Dazu gehören Zugriffskontrollen, Verschlüsselung und Anwendungs-Firewalls.
Integrität der Verarbeitung: Dazu gehören die Überwachung der Verarbeitung und die Qualitätssicherung.

SOC 2 ist für jedes Unternehmen einzigartig, da es im Gegensatz zu PCI DSS strenge Anforderungen stellt. Mit spezifischen Geschäftspraktiken hat jedes Design seine Kontrolle, um mehrere Vertrauensprinzipien zu erfüllen.

Was ist ein SOC 2-Bericht?

Ein SOC 2-Bericht ermöglicht es Dienstleistungsunternehmen, einen Bericht zu erhalten und mit den Stakeholdern zu teilen, in dem die allgemeinen IT-Kontrollen beschrieben werden, die an diesem Ort sicher sind.

Es gibt zwei Arten von SOC 2-Berichten:

SOC 2 Typ 1: Er beschreibt die Systeme des Anbieters und sagt aus, ob das Design des Anbieters geeignet ist, die Vertrauensgrundsätze zu erfüllen.
SOC 2 Typ 2: Er gibt Auskunft über die operative Effektivität der Systeme des Anbieters.

SOC 2 unterscheidet sich von Organisation zu Organisation in Bezug auf Rahmenwerke und Standards für die Informationssicherheit, da es keine definierten Anforderungen gibt. Die AICPA stellt Kriterien zur Verfügung, die ein Dienstleistungsunternehmen auswählt, um die Kontrollen nachzuweisen, die es zum Schutz der angebotenen Dienstleistungen eingerichtet hat.

Was ist der Zweck von SOC 2?

Die Einhaltung von SOC 2 zeigt, dass die Organisation ein hohes Maß an Informationssicherheit kontrolliert und aufrechterhält. Durch die strikte Einhaltung der Vorschriften können Unternehmen sicherstellen, dass ihre wichtigen Informationen sicher sind.

Durch die Einhaltung von SOC 2 erhalten Sie:

Verbesserte Datensicherheitspraktiken, mit denen sich das Unternehmen vor Cyberangriffen und Sicherheitsverletzungen schützen kann.
Wettbewerbsvorteile, da Kunden mit Dienstleistern zusammenarbeiten möchten, die über solide Datensicherheitspraktiken verfügen, insbesondere bei Cloud- und IT-Diensten.

Es schränkt die unbefugte Nutzung der Daten und Vermögenswerte ein, mit denen ein Unternehmen arbeitet. Die Sicherheitsgrundsätze verlangen von Unternehmen, dass sie Zugangskontrollen einrichten, um Daten vor böswilligen Angriffen, Missbrauch, unbefugter Offenlegung oder Veränderung von Unternehmensinformationen und unbefugter Datenlöschung zu schützen.

Wie kann man die SOC 2-Konformität aufrechterhalten?

Die SOC 2-Konformität ist ein freiwilliger Standard, der von der AICPA entwickelt wurde und festlegt, wie ein Unternehmen seine Kundendaten verwaltet. Der Standard wird mit fünf Trust Services Criteria beschrieben, d.h. Sicherheit, Integrität der Verarbeitung, Vertraulichkeit, Datenschutz und Verfügbarkeit.

Die SOC-Compliance ist auf die Bedürfnisse jeder Organisation zugeschnitten. Je nach Geschäftspraktiken kann eine Organisation Designkontrollen wählen, die einem oder mehreren Trust Service-Prinzipien folgen sollten. Sie erstreckt sich auf alle Dienste, einschließlich DDoS-Schutz, Lastausgleich, Angriffsanalyse, Sicherheit von Webanwendungen, Bereitstellung von Inhalten über CDN und mehr.

Einfach ausgedrückt ist die SOC 2-Konformität keine beschreibende Liste von Tools, Prozessen oder Kontrollen, sondern sie verweist auf die Notwendigkeit von Kriterien, die für die Aufrechterhaltung der Informationssicherheit entscheidend sind. Dies ermöglicht es jeder Organisation, die besten Prozesse und Praktiken zu übernehmen, die für ihren Betrieb und ihre Ziele relevant sind.

Nachfolgend finden Sie eine Checkliste für die Einhaltung der SOC 2-Bestimmungen:

Zugangskontrollen
Systemabläufe
Abschwächung von Risiken
Verwaltung von Änderungen

Was ist SOC 3?

Ein SOC 3 ist ein Audit-Verfahren, das von der AICPA entwickelt wurde, um die Stärke der internen Kontrolle eines Dienstleistungsunternehmens über Rechenzentren und Cloud-Sicherheit zu definieren. Ein SOC 3-Rahmenwerk basiert ebenfalls auf den Trust Services-Kriterien, die Folgendes umfassen:

Sicherheit: Systeme und Informationen sind gegen unbefugte Offenlegung, unbefugten Zugriff und Beschädigung der Systeme geschützt.
Integrität der Prozesse: Die Systemverarbeitung ist gültig, genau, autorisiert, zeitgerecht und vollständig, um die Anforderungen des Unternehmens zu erfüllen.
Verfügbarkeit: Systeme und Informationen sind für die Nutzung und den Betrieb verfügbar, um die Anforderungen des Unternehmens zu erfüllen.
Datenschutz: Persönliche Daten werden verwendet, weitergegeben, entsorgt, aufbewahrt und gesammelt, um den Anforderungen des Unternehmens zu entsprechen.
Vertraulichkeit: Als kritisch eingestufte Informationen werden geschützt, um die Anforderungen des Unternehmens zu erfüllen.

Mit Hilfe von SOC 3 können Dienstleistungsunternehmen feststellen, welche dieser Trust Services-Kriterien auf den Service zutreffen, den sie ihren Kunden anbieten. In den Statements on Standards finden Sie außerdem zusätzliche Berichte, Leistungsanforderungen und Anwendungshinweise.

Was ist ein SOC 3-Bericht?

SOC 3-Berichte enthalten dieselben Informationen wie SOC 2-Berichte, unterscheiden sich jedoch in Bezug auf die Zielgruppe. Ein SOC 3-Bericht ist nur für ein allgemeines Publikum bestimmt. Diese Berichte sind kurz und enthalten nicht genau die gleichen Daten wie ein SOC 2-Bericht. Sie sind für Interessengruppen und ein informiertes Publikum gedacht.

Da ein SOC 3-Bericht allgemeiner gehalten ist, kann er schnell und offen auf der Website eines Unternehmens veröffentlicht werden, zusammen mit einem Siegel, das die Konformität des Unternehmens beschreibt. Er hilft dabei, mit den internationalen Rechnungslegungsstandards Schritt zu halten.

AWS zum Beispiel erlaubt das öffentliche Herunterladen des SOC 3-Berichts.

Was ist der Zweck von SOC 3?

Unternehmen, insbesondere kleine oder neu gegründete Unternehmen, verfügen in der Regel nicht über genügend Ressourcen, um bestimmte wichtige Dienste intern zu kontrollieren oder zu pflegen. Daher lagern diese Unternehmen die Dienste oft an Drittanbieter aus, anstatt zusätzliche Anstrengungen oder Geld in den Aufbau einer neuen Abteilung für diese Dienste zu investieren.

Outsourcing ist also eine bessere Option, kann aber auch riskant sein. Der Grund dafür ist, dass ein Unternehmen Kundendaten oder sensible Informationen mit Drittanbietern teilt, je nachdem, für welche Dienste sich das Unternehmen entscheidet, diese auszulagern.

Unternehmen dürfen jedoch nur mit Anbietern zusammenarbeiten, die die SOC 3-Konformität nachweisen können.

Die SOC 3-Konformität basiert auf AT-C Abschnitt 205 und AT-C Abschnitt 105 von SSAE 18. Sie umfasst die grundlegenden Informationen der unabhängigen Managementbeschreibung und den Bericht des Wirtschaftsprüfers. Sie gilt für alle Dienstanbieter, die Kundendaten in der Cloud speichern, einschließlich PaaS-, IaaS- und SaaS-Anbieter.

Wie kann man die SOC 3-Konformität aufrechterhalten?

SOC 3 ist die Nachfolgeversion von SOC 2, das Auditverfahren ist also das gleiche. Die Prüfer der Dienste suchen nach den folgenden Richtlinien und Kontrollen:

Disaster Recovery
Erkennung von Eindringlingen
Überwachung der Leistung
Qualitätskontrolle
Zwei-Faktor-Authentifizierung
Behandlung von Sicherheitsvorfällen
Überwachung der Verarbeitung
Verschlüsselung
Zugangskontrollen
Netzwerk- und Anwendungs-Firewalls

Sobald die Prüfung abgeschlossen ist, erstellt der Prüfer einen Bericht auf der Grundlage der Ergebnisse. Ein SOC 3-Bericht ist jedoch weit weniger detailliert, da er nur die für die Öffentlichkeit notwendigen Informationen enthält. Das Dienstleistungsunternehmen gibt die Ergebnisse nach Abschluss des Audits zu Marketingzwecken frei weiter. Er sagt Ihnen, worauf Sie sich konzentrieren müssen, um die Prüfung zu bestehen. Der Dienstleistungsorganisation wird also geraten:

Wählen Sie die Kontrollen sorgfältig aus.
Führen Sie eine Bewertung durch, um Lücken in den Kontrollen zu identifizieren
Die regelmäßige Aktivität herauszufinden
Beschreiben Sie die nächsten Schritte für die Alarmierung bei Vorfällen
Einen qualifizierten Service-Auditor zu suchen, der die abschließende Prüfung durchführt

Nun, da Sie eine Vorstellung von den einzelnen Compliance-Typen haben, sollten Sie die Unterschiede zwischen den drei Typen verstehen, um zu wissen, wie sie jedem Unternehmen helfen, sich auf dem Markt zu behaupten.

SOC 1 vs. SOC 2 vs. SOC 3: Unterschiede

In der folgenden Tabelle werden der Zweck und die Vorteile der einzelnen SOC-Berichte beschrieben.

SOC 1	SOC 2	SOC 3
Er gibt Stellungnahmen zu Typ 1 Design und Typ 2 Design oder Betrieb ab, einschließlich Testverfahren und -ergebnisse.	Ein einziges Dokument, das die Anforderungen der Partner an die Abläufe der Organisation, einschließlich der Ergebnisse und Verfahren, erfüllt.	Ähnlich wie die SOC 2-Compliance, enthält aber weniger Informationen. Es enthält keine Testverfahren, Ergebnisse oder Kontrollen.
Es kontrolliert Anforderungen, die für die internen Kontrollen im Zusammenhang mit der Finanzberichterstattung wesentlich sind.	Die nicht-finanziellen Kontrollen werden anhand der fünf für den Gegenstand wesentlichen Trust-Prinzipien bewertet.	Sie hängt auch von den fünf Trust Services-Kriterien ab.
Eingeschränkte Weitergabe an Kunden und Wirtschaftsprüfer	Die eingeschränkte Verteilung an Aufsichtsbehörden, Kunden und Wirtschaftsprüfer wird in dem Bericht festgelegt.	Unterstützung beim Kundenmarketing. Uneingeschränkte Verteilung
Sorgt für Transparenz bei der Beschreibung, der Kontrolle, dem Verfahren und dem Ergebnis des Systems.	Es bietet einen Grad an Transparenz, der genau dem von SOC 1 entspricht	Allgemeine Verteilung der Berichte für Marketingzwecke.
Es konzentriert sich auf Finanzkontrollen.	Es konzentriert sich auf operative Kontrollen.	Er ist ähnlich wie SOC 2, enthält jedoch weniger Informationen.
Er beschreibt die Systeme des Dienstleistungsunternehmens.	Er beschreibt auch die Systeme der Dienstleistungsorganisation.	Es beschreibt die Meinung des Wirtschaftsprüfers über die angemessenen Kontrollen des Systems durch das Unternehmen.
Er berichtet über interne Kontrollen.	Er berichtet über Verfügbarkeit, Datenschutz, Vertraulichkeit, Verarbeitungsintegrität und Sicherheitskontrollen.	Ähnlich wie bei SOC 2
Das Büro des Controllers und der Wirtschaftsprüfer des Benutzers verwenden SOC 1.	Er wird unter NDA von Aufsichtsbehörden, dem Management und anderen freigegeben.	Es ist der Öffentlichkeit zugänglich.
Die meisten Auditoren sind “Need to Know”	Die meisten Stakeholder und Kunden “müssen es wissen”	Allgemeine Öffentlichkeit
Beispiel: Verarbeiter medizinischer Ansprüche.	Beispiel: Cloud-Speicherunternehmen.	Beispiel: ein öffentliches Unternehmen.

Fazit

Um zu entscheiden, welche SOC-Compliance für Ihr Unternehmen am besten geeignet ist, müssen Sie sich ein Bild von der Art der Informationen machen, mit denen Sie zu tun haben, egal ob es sich um die Daten Ihrer Kunden oder Ihre eigenen handelt.

Wenn Sie Dienstleistungen im Bereich der Lohn- und Gehaltsabrechnung anbieten, sollten Sie vielleicht SOC 1 verwenden. Wenn Sie Kundendaten verarbeiten oder hosten, benötigen Sie möglicherweise einen SOC 2-Bericht. Wenn Sie eine weniger formale Compliance benötigen, die am besten für Marketingzwecke geeignet ist, sollten Sie sich für einen SOC 3-Bericht entscheiden.

Amrita Pathak
Beitragender
- LinkedIn
Amrita Pathak ist eine Technologie- und Wirtschaftsjournalistin bei Geekflare. Sie liebt es, komplexe Themen in leicht verständliche Artikel für ihr Publikum zu verwandeln. Ihr Ziel ist es, die Kluft zwischen der Technologie und den Nutzern zu überbrücken, indem sie den Fachjargon eliminiert und auf eine intuitive, relevante Weise schreibt. Ihre Hauptfachgebiete sind Cybersicherheit, KI und ML, Projektmanagement und Cloud Computing.