Was ist SOC 2?

Zuverlässige und aktive Sicherheitsvorkehrungen sind in einer Zeit, in der Cyberangriffe immer häufiger auftreten, von entscheidender Bedeutung. Cyberbedrohungen wie Ransomware und Phishing stellen Unternehmen aller Größen und Branchen immer wieder vor Herausforderungen. Außerdem sind Angriffe auf die Lieferkette zu einem ernsten Problem geworden. Laut Umfragen durch das Weltwirtschaftsforum zeigen sich 90 % der Befragten besorgt über die Cyberresilienz von Drittanbietern. Frameworks sollen Unternehmen bei der Implementierung zuverlässiger Sicherheitsvorkehrungen unterstützen. Ein solches Framework ist SOC 2 (System and Organization Controls 2), das darauf abzielt, Risiken zu ermitteln und die betriebliche Effektivität zu verbessern.

Was ist SOC-2-Compliance?

SOC 2 wurde vom American Institute of Certified Public Accountants (AICPA) entwickelt und den Trust-Services-Grundsätzen von AICPA zugeordnet, die die Prüfung und das Reporting über die von Serviceorganisationen verwendeten Kontrollen zum Schutz von Informationen ermöglichen. SOC-2-Berichte beurteilen Datensicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Darüber hinaus stellen SOC-2-Berichte sicher, dass die von der Serviceorganisation verwendeten Kontrollen einige oder alle der fünf SOC-2-Kriterien erfüllen können.

Das Risikomanagement muss auch Drittanbieter einschließen. SOC 2 bietet einen Rahmen, mit dem sich prüfen lässt, ob eine Serviceorganisation Informationssicherheit zuverlässig erreichen und aufrecht erhalten sowie Sicherheitsvorfälle abwehren kann. SOC 2 wird verwendet, um die Sicherheitsvorkehrungen von Drittanbietern zu überprüfen, damit sichergestellt werden kann, dass diese das von Ihrem Unternehmen erwartete Schutzniveau erreichen.

Wie Akamai Unternehmen dabei unterstützt, SOC-2-Compliance zu erreichen

Die Sicherheitslösungen von Akamai bieten Informationen und End-to-End-Schutz, um Daten vor Sicherheitsverletzungen und versehentlicher Offenlegung zu schützen und unbefugten Zugriff mittels einer zuverlässigen Durchsetzung von Zugriffskontrollrichtlinien zu verhindern. Akamai unterstützt Ihre Sicherheitsteams dabei, die Effektivität und den ROI Ihrer Sicherheitsinvestitionen zu maximieren, indem es über die herkömmliche Endpoint Detection hinausgeht und eine leistungsstarke Zero-Trust-Lösung für den Datenschutz bereitstellt.

Akamai bietet:

Eine globale Sicherheitsplattform, die Zero-Trust-Sicherheit mit umfassender Abdeckung Ihrer IT-Umgebung durchsetzt
Umfassende Transparenz von Assets, Zugriffen und Netzwerkflüssen
Detaillierte Durchsetzung der Sicherheitsrichtlinien und Schutz personenbezogener Daten (Personally Identifiable Information – PII)

Was sind die fünf Trust-Services-Grundsätze von SOC 2?

Diagramm, in dem die Begriffe in einem Kreis angeordnet sind, die die fünf Trust-Services-Kriterien der SOC-2-Zertifizierung beschreiben: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Das SOC-2-Audit umfasst fünf Aspekte des Umgangs mit Daten, die bei korrekter Umsetzung eine kohärente und zuverlässige Cybersicherheit gewährleisten. Die ASEC Trust Information Integrity Task Force ist für die technische Präzision der Trust-Services-Grundsätze (Trust Services Criteria – TSC) verantwortlich. Das Assurance Services Executive Committee von AICPA ist für die TSC zuständig und beschreibt die fünf Trust Services-Kriterien von SOC 2 wie folgt:

Sicherheit: Datenschutz und Sicherung des Systems gegen unbefugten Zugriff und Offenlegung von Daten. Sicherheit umfasst auch den Schutz vor Systemschäden, die zum Verlust der Verfügbarkeit, Integrität und Vertraulichkeit von Daten führen können.
Verfügbarkeit: Zuverlässigkeit der Systeme, die für die Aufrechterhaltung des Betriebs erforderlich sind.
Verarbeitungsintegrität: Die Systemverarbeitung muss vollständig, gültig, präzise, zeitnah und autorisiert sein.
Vertraulichkeit: Als „vertraulich“ eingestufte Daten müssen geschützt werden, um die Ziele des Unternehmens zu erreichen.
Datenschutz: Informationen müssen erfasst, verwendet, gespeichert, offengelegt und vernichtet werden, um die Ziele des Unternehmens in Bezug auf den Datenschutz zu erfüllen.

Ein Serviceanbieter, der die Einhaltung einiger oder aller fünf Trust-Services-Grundsätze (je nach Fall) nachweist, belegt sein Engagement für Informationssicherheit.

Wie wichtig ist SOC 2 für Ihr Unternehmen?

SOC 2 gilt für Technologie-Service-Anbieter oder SaaS-Unternehmen, die Kundendaten speichern, verarbeiten oder handhaben. SOC 2 betrifft auch andere Drittanbieter, die Daten und Anwendungen handhaben/bereitstellen, und wird verwendet, um die vorhandenen Systeme und Sicherheitsvorkehrungen zur Gewährleistung der Datenintegrität zu dokumentieren. SOC-2-Compliance kann eine Hilfestellung bei Kaufentscheidungen sein und ist Teil der mit dem Lieferantenmanagement verbundenen Risiken.

Cloud- und IT-Service-Anbieter

Laut Thales und 451 Researchspeichern 66 % der Unternehmen bis zu 60 % ihrer sensiblen Daten in der Cloud. Außerdem stieg die Zahl der Unternehmen, bei denen es zu Datenschutzverletzungen im Zusammenhang mit Cloudanwendungen kam, von 35 % im Jahr 2021 auf 45 % im Jahr 2022. Durch die Compliance-Dokumentation anhand von SOC 2 können Technologieanbieter nachweisen, dass sie Sicherheitskontrollen wie die zwei-Faktor-Authentifizierung verwenden. Dies ist ein wesentlicher Wettbewerbsvorteil in einer Zeit, in der Cloud- und IT-Sicherheit Servicebereiche mit potenziell hohen Risiken sind. Sicherheitsverstöße in der Cloud, die sich auf die gesamte Kette auswirken, treten immer häufiger auf. Ein Cloud- und IT-Service-Anbieter, der SOC-2-Compliance demonstriert, weist nach, dass Informationssicherheit ein zentraler Wert ist.

Kunden von Cloud- und IT-Service-Anbietern

Wenn Sie sich für einen Anbieter mit nachgewiesener SOC-2-Sicherheit entscheiden, wird für Ihr Unternehmen ein transparentes Audit mit SOC-Berichten durchgeführt, in denen die Risiken und Kontrollen des Drittanbieters definiert werden. Diese Standards und Maßnahmen zur Informationssicherheit werden sich in Ihrem Unternehmen niederschlagen und gewährleisten die Datensicherheit, die für interne Standards und gesetzliche Anforderungen erforderlich ist.

Andere Anbieter der vernetzten Lieferkette

Angriffe auf die Lieferkette Zunahme um mehr als 600 % in den Jahren 2021/2022. Angriffe wie auf die Zero-Day-Schwachstelle in MOVEit Transfer haben sich als äußerst wirkungsvoll und umfassend erwiesen. Sicherheitsforschung von Akamai im Zusammenhang mit dem MOVEit-Angriff ergab, dass die Zahl der anfälligen Internetserver erschreckend hoch war. Diese Arten von Schwachstellen werden gezielt von Cyberkriminellen angegriffen, um über Anbieter aus der Lieferkette Zugriff auf lukrative Netzwerke in höheren Stufen der Kette zu erhalten. Anbieter in der Lieferkette, die ihre SOC-2-Compliance dokumentieren, können ihr Engagement für Datensicherheit glaubhaft machen.

Akamai-Lösungen für die SOC-2-Compliance

Akamai stellt eine umfassende Lösungsfamilie für Zero-Trust-Sicherheit bereit, die die Erreichung von SOC-2-Compliance durch Methoden zur Erfüllung der SOC-2-Grundsätze ermöglicht. Unsere Sicherheitslösungen werden von unseren Kunden, die Akamai zum Schutz vertraulicher Daten in ihrer erweiterten modernen IT-Umgebung nutzen, als branchenführend angesehen. Das Sicherheitsportfolio von Akamai hat sich von einer Sammlung von Einzellösungen zu einer umfassenden und leistungsstarken Zero-Trust-Plattform entwickelt. Die erstklassigen Lösungen des Unternehmens bieten die erforderlichen Sicherheitskontrollen, um die SOC-2-Anforderungen in Bezug auf Datensicherheit, Verfügbarkeit, Integrität, Vertraulichkeit und Datenschutz zu erfüllen. Akamai liefert umfassende Transparenz zu Ihrer IT-Umgebung, wichtigen Assets, Zugriffsanforderungen und Netzwerkfluss in Ihrer gesamten erweiterten Infrastruktur, einschließlich Ihrer Lieferanten.

Zero-Trust-Sicherheit und SOC-2-Compliance

Die Zugriffskontrolle und die Autorisierung zur Nutzung von Daten ist ein kritischer Aspekt der Informationssicherheit im Rahmen von SOC 2. Die Entwicklung eines Zero-Trust-Ansatzes für Datensicherheit ist eine Möglichkeit, alle fünf Trust-Services-Kriterien zuverlässigen Sicherheitsmaßnahmen zuzuordnen.

Zu den SOC-2-Sicherheitsmaßnahmen, die bei der Schaffung eines Zero-Trust-Sicherheitsansatzes verwendet werden, gehören:

Identitäts- und Zugriffsmanagement sowohl für Menschen als auch für Geräte
API-Schutz über Datenfluss und Ökosysteme hinweg
Multi-Faktor-Authentifizierung (MFA)
Angriffserkennung (Intrusion Detection)
Transparenz und Überwachung zur Anwendung einer verhältnismäßigen Autorisierung
Geringstmögliche Berechtigungen zur Minimierung des Datenzugriffs
Datenverschlüsselung

Häufig gestellte Fragen (FAQ)

SOC 2 ist ein Auditbericht, der die Wirksamkeit der Kontrollen eines Serviceunternehmens in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz bescheinigt.

SOC 1 und SOC 2 unterscheiden sich in Zweck und Umfang. SOC 1 legt den Schwerpunkt auf die Integrität der Finanzkontrollen von Kunden und die Genauigkeit von Finanzdaten. Während sich SOC 1 auf interne Kontrollen konzentriert, die Daten mithilfe der fünf Trust-Services-Kriterien schützen, hat SOC 2 einen breiteren Anwendungsbereich, der alle Serviceanbieter sowie Cloudservices einschließt.

Serviceanbieter, die Kundendaten in der Cloud speichern, benötigen einen SOC-2-Bericht. Hierzu gehören insbesondere Technologie- und Cloud-Computing-Unternehmen. Die SOC-2-Zertifizierung wird von einem zertifizierten, unabhängigen SOC-2-Prüfer – einem unabhängigen, durch die AICPA zugelassenen CPA (Certified Public Accountant – amtlich zugelassener Wirtschaftsprüfer) durchgeführt. Die Prüfung wird anhand einiger oder aller Trust-Services-Grundsätze (Trust Services Criteria – TSC) durchgeführt. Welche TSC geprüft werden, hängt von der Art des Unternehmens ab. Beispielsweise würden bei einem SaaS-Anbieter wahrscheinlich die Sicherheits-, Verfügbarkeits- und Vertraulichkeitskriterien geprüft.

Auch der Umfang des Audits hängt von der Art des Unternehmens ab. Große Unternehmen können bestimmte Bereiche oder Produkte prüfen lassen. Der Prüfer benötigt die vollständige Dokumentation und die Richtlinien, die Ihre Sicherheitsmodelle dokumentieren. Ein dokumentiertes Zero-Trust-Modell ist dabei hilfreich.

Für SOC-2-Compliance sind jährliche Audits erforderlich, um die fünf Trust-Services-Kriterien einzuhalten.

Warum entscheiden sich Kunden für Akamai?

Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.

Zugehörige Produkte

Akamai Guardicore Segmentation

Visualisieren, schützen und segmentieren Sie Ihre Vor-Ort-, Cloud- und Hybrid-Umgebungen.

Weitere Informationen

Zero-Trust-Sicherheit

Umfangreicher Schutz vor Cyberangriffen in Kombination mit umfassender Transparenz und Kontrolle.

Mehr dazu

Zusätzliche Ressourcen

Vereinfachen der Compliance mit Zero Trust

Erfahren Sie, wie eine Zero-Trust-Sicherheitsarchitektur die Erfüllung einer Vielzahl von Compliance-Anforderungen erleichtert.

Video ansehen

Digital Operational Resilience Act – Überblick

Digital Operational Resilience Act – Akamai bereitet Finanzunternehmen auf die DORA-Compliance vor

Erfahren Sie, wie Akamai Finanzunternehmen dabei unterstützt, Compliance-Herausforderungen effektiv zu bewältigen.

Weitere Informationen

Schnellere PCI-Compliance und laufende Validierung mit Akamai Guardicore Segmentation

Akamai Guardicore Segmentation erfüllt mehrere Anforderungen von PCI DSS mit einem einzigen Tool. So erhalten Auditoren Transparenz und Teams Unterstützung bei der Erkennung von Sicherheitsverstößen.

Weitere Informationen