Verwendung von SOC-2-Berichten von Anbietern und Lieferanten

SOC 2-Berichte können Ihr Risikomanagementprogramm für Dritte vereinfachen. Hier sind 7 häufig gestellte Fragen, die Ihnen den Einstieg erleichtern!

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter April 10, 2024 7 min gelesen

Was ist ein SOC-Bericht und wie wird er verwendet?

System and Organization Controls (SOC) ist eine Reihe von IT-Kontrollstandards, die vom American Institute of Certified Public Accountants (AICPA) entwickelt wurden. Zertifizierte Wirtschaftsprüfer führen SOC-Audits durch und verwenden Berichte, um die Umsetzung von IT-Kontrollen nachzuweisen, die die Systeme und Informationen eines Unternehmens sichern.

SOC-Audits dienen der Bewertung von Kontrollen in fünf Schlüsselbereichen, den sogenannten Trust Services Criteria:

  1. Sicherheit
  2. Vertraulichkeit
  3. Verarbeitungsintegrität
  4. Verfügbarkeit
  5. Datenschutz

SOC-Berichte bieten detaillierte Bewertungen der Abläufe und Systeme einer Organisation sowie deren Wirksamkeit. Es gibt zwei Arten von SOC-Berichten:

SOC 2 Typ 1 Berichte

Typ-1-Berichte überprüfen die Gestaltung von Sicherheitskontrollen, einschließlich Verfahren und Prozessen. Typ-1-Audits werden zu einem bestimmten Zeitpunkt durchgeführt.

SOC 2 Typ 2 Berichte

Typ-2-Berichte überprüfen die operative Wirksamkeit der in Typ-1-Berichten identifizierten Kontrollen. Typ-2-Audits untersuchen Kontrollen eingehend und werden von Auditoren über einen längeren Zeitraum durchgeführt – manchmal bis zu sechs Monaten.

Dieser Beitrag konzentriert sich auf SOC 2 Typ 2.

Was enthalten SOC 2-Berichte?

SOC 2-Berichte können je nach dem Prüfer, der die Bewertung durchführt, unterschiedlich aussehen, umfassen jedoch in der Regel die folgenden Bereiche, die dazu dienen, den Umfang der Bewertung und Nichtkonformitäten, sogenannte Kontrollausnahmen, zu ermitteln.

  • Zusammenfassung für Führungskräfte oder Prüfer: Enthält einen Überblick über die Prüfungsergebnisse, die Vorgehensweise des Prüfers bei der Durchführung der Prüfung und einige Hinweise dazu, inwieweit die Ergebnisse relevant sind.
  • Überblick über organisatorische Abläufe, Prozesse und Systeme: Überprüft die Organisation und ihre Prüfungsziele.
  • Umfang des Berichts: Untersucht die fünf Trust Services Criteria und die unterstützenden Kontrollen, die im Rahmen der Prüfung berücksichtigt werden. Manchmal entscheiden sich Unternehmen dafür, sich nur auf ein oder zwei Trust Services Criteria zu konzentrieren, anstatt auf alle fünf, insbesondere wenn einige der Kriterien für sie nicht zutreffen.
  • Kontrollaktivitäten und Bewertung durch den Prüfer: Bietet einen detaillierten Einblick in die aufgeschlüsselte Liste der Kontrollen, einschließlich der durchgeführten Tests und der Testergebnisse.
  • Antwort des Managements: Nimmt Ausnahmen zur Kenntnis und gibt eine Antwort, in der detailliert beschrieben wird, wie das Unternehmen mit Ausnahmen umgehen will.

Was ist in den Trust Services Criteria enthalten?

In einem SOC 2-Bericht gelten immer die Security Trust Services Criteria, aber die meisten SOC 2-Berichte enthalten nur ein oder zwei zusätzliche Kriterien.

  1. Sicherheit: Kontrollen zum Schutz vor unbefugtem Zugriff, Offenlegung von Informationen und Schäden an Systemen. Ziel ist es, zu verstehen, ob das Unternehmen über ein Sicherheitsframework verfügt und Kontrollen für den logischen und physischen Zugriff durchführt.
  2. Vertraulichkeit: Kontrollen zur Identifizierung, Verwaltung und Entsorgung/Vernichtung vertraulicher Informationen (keine personenbezogenen Daten).
  3. Verarbeitungsintegrität: Kontrollen, um sicherzustellen, dass die Systemverarbeitung korrekt, zeitnah und gültig ist.
  4. Verfügbarkeit: Kontrollen , um sicherzustellen, dass Informationen und Systeme jederzeit verfügbar und zugänglich sind.
  5. Datenschutz: Kontrollen zum Schutz personenbezogener Daten (PII).

Warum einen SOC 2-Bericht verwenden?

Unternehmen verwenden SOC 2-Berichte, wenn sie:

  • Sind nicht bereit oder nicht in der Lage, umfassende IT-Kontrollbewertungen, wie beispielsweise für NIST oder ISO, für sich selbst durchzuführen, müssen aber dennoch die Wirksamkeit der Kontrollen nachweisen.
  • Verwenden Sie einen Standard, der gut verstanden und umfassend ist.
  • Flexibel auf eine vollständige Reihe von Kontrollen oder nur einen Teil davon konzentrieren können

Wie interpretieren Sie Risiken in einem SOC 2-Bericht?

Ein typischer SOC 2-Bericht identifiziert Risiken als „Testergebnisse“. Eine typische SOC 2-Ausnahmetabelle sieht wie folgt aus:

SOC 2-Ausnahmeregelungstabelle
  • Die Kontrollnummer ist ein Code zur Nachverfolgung jeder Kontrolle während ihres gesamten Lebenszyklus.
  • Kriterien sind Beschreibungen der getesteten Kontrollen.
  • Die Kontrollaktivität erläutert, wie das Unternehmen derzeit mit dieser Kontrolle umgeht.
  • Der Test der Wirksamkeit der Betriebsabläufe erläutert, wie der Prüfer die Kontrolle überprüft hat und welche Verfahren dabei angewendet wurden.
  • Die Testergebnisse geben an , ob eine Ausnahme aufgetreten ist und wie die Abweichung aussah.

In einem SOC 2-Bericht gibt es keine Risikobewertung, wie z. B. rote/gelbe/grüne Indikatoren für Risikoverstöße. Hier kann eine Risikomanagementplattform eines Drittanbieters helfen!

Wie ordnen Sie SOC 2-Kontrollausnahmen zu, damit Sie die damit verbundenen Risiken zentral verwalten können?

Die Übersetzung von SOC 2-Kontrollausnahmen oder Testergebnissen in Risiken kann ohne eine Möglichkeit zur zentralen Verfolgung von Risiken durch Dritte schwierig sein.

Wir empfehlen die Anwendung einer „Wahrscheinlichkeits- und Auswirkungsmethode“, um allen identifizierten Ausnahmen Risikobewertungen zuzuweisen.

  • Die Wahrscheinlichkeit schätzt die Wahrscheinlichkeit ein, dass ein Kontrollversagen eines Dritten sich auf die Betriebsabläufe Ihres Unternehmens auswirkt.
  • Die Auswirkung schätzt das Ausmaß der Störung, die ein Kontrollversagen für den Betrieb Ihres Unternehmens haben würde.

Anhand einer einfachen Skala von 0 bis 5, wobei 0 keine Wahrscheinlichkeit oder Auswirkung und 5 eine hohe Wahrscheinlichkeit oder Auswirkung bedeutet, können Sie eine Heatmap erstellen, um Risiken schnell zu bewerten und zu kategorisieren.

Risikomatrix für Lieferanten

Sobald die Risiken in der Heatmap kategorisiert sind, können Sie die Risikoverantwortung festlegen, Aufgaben zuweisen und mit Dritten zusammenarbeiten, um Risiken zu behandeln und zu beheben.*

*Beachten Sie, dass der Dritte möglicherweise bereits auf die Ergebnisse im Abschnitt „Management Response” (Reaktion der Geschäftsleitung) des SOC 2-Berichts eingegangen ist.

Wie können Sie den Prozess der Verfolgung und Behebung von SOC 2-Risiken vereinfachen?

Beginnen Sie mit der Entwicklung eines Leitfadens zur Behebung von SOC 2-Ausnahmen auf der Grundlage von:

  • Mindest-/Mindestanforderungen: Identifizieren Sie, was von Dritten unbedingt verlangt wird. Wenn es in einem Bereich eine Ausnahme gibt, ist der Dritte verpflichtet, diese zu beheben.
  • Bewährte Verfahren: Integrieren Sie die Erwartungen Ihres Unternehmens hinsichtlich der Behebung von Risiken oder Kontrollabweichungen auf der Grundlage bewährter Verfahren der Branche.
  • Zeitpläne: Legen Sie Zeitrahmen entsprechend der Schwere der Risiken fest.
  • Entscheidungen oder daraus resultierende Maßnahmen: Legen Sie fest, was mit behobenen Risiken geschieht. Akzeptieren Sie die Abhilfemaßnahmen und senken Sie die Risikobewertung entsprechend der Risikobereitschaft Ihres Unternehmens, oder schließen Sie das Risiko ohne weitere Maßnahmen ab?

Formulieren Sie die Anforderung klar und deutlich. Wenn Sie weitere Nachweise erwarten, geben Sie an, wann Sie diese benötigen. Bestätigen Sie außerdem, ob Sie eine fortlaufende Überwachung oder Abhilfemaßnahmen benötigen.

Nutzen Sie vorhandene Risikoregister, um diese Kontrollausnahmen in Ihre bestehenden Strukturen zu integrieren. Dieser Ansatz hilft Ihnen dabei, Ergebnisse für die Compliance-Berichterstattung mit anderen Frameworks abzugleichen.

Das Management von Risiken durch Dritte – unabhängig davon, ob diese über einen SOC 2-Bericht entdeckt wurden oder nicht – ist ohne eine zentrale Plattform, die die Identifizierung, Bewertung, Einstufung, Überwachung und Behebung von Risiken automatisiert, nicht möglich. Hier kann Prevalent helfen!

Erste Schritte mit SOC 2 – Risikomanagement durch Dritte

Prevalent kann Ihnen dabei helfen, das Risikomanagement für Drittanbieter gemäß SOC 2 zu vereinfachen, indem es Lösungen und Fachleute mit SOC 2-Compliance-Know-how einsetzt. Der SOC 2-Ausnahmeanalyseservice von Prevalent:

  • Überprüft einen vollständigen SOC 2-Bericht , der von Ihrem Anbieter anstelle einer Bewertung vorgelegt wurde . Dadurch spart Ihr Team Zeit, da es nicht mehr den umfangreichen Prüfungsbericht für jeden Anbieter überprüfen muss.
  • Führt ein kurzes Kontextinterview durch, um die Anforderungen des Geschäftsinhabers in Bezug auf den vom Anbieter vorgelegten SOC 2-Bericht zu verstehen.
  • Fasst die wichtigsten Ergebnisse und Empfehlungen auf der Grundlage des Leistungsumfangs, des SOC 2-Berichts und der einzelnen Bereiche in einem einheitlichen und leicht verständlichen Format zusammen. So erhält Ihr Team zum richtigen Zeitpunkt die richtigen Anleitungen von Experten für IT-Sicherheit und Risikomanagement.
  • Identifiziert alle fehlenden Kontrollkriterien, die als angemessen erachtet werden. Im Rahmen der Ausnahmeanalyse identifizieren unsere Experten alle Kontrollen, die in den SOC 2-Bericht aufgenommen werden sollten, derzeit aber nicht enthalten sind. Dies hilft Ihnen, Kontrolllücken zu schließen.
  • Berät hinsichtlich der Eignung von SOC 2 und leitet etwaige Abhilfemaßnahmen ein. Die Beratung zu Abhilfemaßnahmen und Eignung verbessert die Sicherheit und trägt zum Schutz vor Sicherheitsrisiken durch Dritte bei.
  • Ordnet die SOC 2-Kontrollkriterien SIG Lite oder dem Prevalent Compliance Framework (PCF) zu, damit Ihr Vendor-Risikomanagement-Team einen einheitlichen Ansatz zur Bewertung des Sicherheitsrisikos bei der Zusammenarbeit mit dem Anbieter verfolgen kann.

Sind Sie bereit, loszulegen?

Weitere Informationen zum SOC 2-Ausnahmeanalyse-Service von Prevalent finden Sie im Datenblatt oder fordern Sie eine Demo an, um noch heute einen Termin für ein Strategiegespräch zu vereinbaren!

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.