Unternehmen verlagern ihre Unternehmenskommunikation zunehmend von lokalen Umgebungen in die Cloud und profitieren dabei von zahlreichen Vorteilen wie Skalierbarkeit, Flexibilität und Kosteneffizienz. Diese Verlagerung bringt jedoch auch neue Herausforderungen mit sich, insbesondere in Bezug auf die Sicherheit. Um sicherzustellen, dass die Daten in der Cloud gut geschützt sind, dienen Sicherheitskontrollen wie der SOC-2-Bericht (Service Organization Control) Typ 2 als wichtiges Qualitätsmerkmal.
Während sich die meisten Vor-Ort-Sicherheitsmassnahmen auf den Schutz von Servern vor physischen Schäden konzentrieren, ist in der Cloud die richtige Konfiguration für den Schutz eines Unternehmens entscheidend. Der Gartner-Bericht „Cloud Security Posture Management“ stellt fest, dass „fast alle erfolgreichen Angriffe auf Cloud-Dienste das Ergebnis von Fehlkonfigurationen, schlechtem Management und Kundenfehlern sind“. Allerdings haben 43 % der Unternehmen mit einem Mangel an Fachkräften im Bereich der Cybersicherheit zu kämpfen und verfügen nicht über die internen Ressourcen, um ihre Systeme selbst angemessen zu verwalten. Software-as-a-Service-Anbieter bieten an, diese Lücke durch die Bereitstellung robuster und verwalteter IT-Systeme zu schliessen.
Bei der Vielzahl von Anbietern auf dem Markt ist es jedoch wichtig, die Softwareanbieter sorgfältig zu evaluieren, um sicherzustellen, dass sie Ihre Unternehmensdaten sicher verwahren. Um den Bewertungsprozess zu vereinfachen, sind Audits durch Dritte ein schneller Weg, um sicherzustellen, dass sichere und effektive Sicherheitsprotokolle vorhanden sind. Der Goldstandard, nach dem Sie suchen sollten, ist eine Zertifizierung nach SOC2 Typ II, die das Engagement eines Unternehmens für höchste Sicherheitsstandards belegt.
SOC2 ist ein Prüfungsbericht des American Institute of Certified Public Accountants (AICPA). Es handelt sich dabei um eine strukturierte Prüfung der internen Kontrollen einer Organisation in Bezug auf die Funktionsfähigkeit und Compliance. Die Kontrollen werden anhand einer oder mehrerer der folgenden fünf Hauptkategorien bewertet: Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz. Um eine SOC2-Attestation zu erreichen, muss eine Organisation von einem externen Prüfer auditiert werden. Es gibt zwei Arten von SOC2-Berichten: Typ 1 und Typ 2.
Ein weit verbreiteter Irrtum ist, dass es sich bei SOC2 um eine Zertifizierung handelt. Beim SOC2-Attestat gibt es jedoch kein Bestehen oder Nichtbestehen. Stattdessen erhält die auditierte Organisation einen SOC2 Auditbericht. Jeder Bericht ist eine Zusammenfassung des Kontrollkonzepts, der Wirksamkeit und der Anwendung in der Praxis. Da sich die Technologie schnell weiterentwickelt, werden die Audits fortlaufend durchgeführt und die Organisationen werden weiterhin routinemässig geprüft.
Der daraus resultierende Bericht ist ein äusserst aufschlussreiches und vertrauliches Dokument. Es gibt keine „Zertifizierung“, aber die Berichte verwenden eine klare Sprache, um die Interpretation der Ergebnisse zu erleichtern. Die Umweltgutachter geben eine Stellungnahme ab und erteilen Organisationen, die gründliche Kontrollen durchgeführt haben, einen uneingeschränkten Bestätigungsvermerk.
Unqualified Opinion: Je nachdem, ob ein Bericht des Typs 1 oder des Typs 2 erstellt wurde, bedeutet dieser Bestätigungsvermerk, dass die Kontrollen so konzipiert wurden und/oder wirksam funktionieren, dass die angegebenen Kontrollziele erreicht werden.
Qualified Opinion: Der Prüfer kann keinen uneingeschränkten Bestätigungsvermerk erteilen, weil ein oder mehrere Kontrollziele (SOC 1) oder Kriterien für Vertrauensdienste (SOC 2) nicht wirksam behandelt wurden.
Adverse Opinion: Die Testausnahmen sind schwerwiegend und die Kontrollen sind im Allgemeinen nicht wirksam konzipiert und/oder funktionieren nicht.
Disclaimer Opinion: Der Prüfer kann kein offizielles Prüfungsurteil abgeben, da er nicht in der Lage war, ausreichende Nachweise zu erlangen, um ein Prüfungsurteil abzugeben.
Luware hat sich verpflichtet, die höchsten Sicherheitsprotokolle zum Schutz der Kundendaten zu gewährleisten. Aus diesem Grund hat Luware Kontrollen entwickelt, implementiert und pflegt diese, um die Sicherheitsrisiken von Luware Nimbus und Luware Recording zu reduzieren.
Luware hat seine erste formelle Prüfung für den Zeitraum vom 1. Februar 2023 bis zum 30. April 2023 abgeschlossen und im September 2023 die SOC2 Typ II-Bescheinigung über die Sicherheitsgrundsätze mit einem uneingeschränkten Bestätigungsvermerk erhalten. Um eine kontinuierliche Risikominderung zu gewährleisten, wird Luware auch weiterhin einen unabhängigen Wirtschaftsprüfer mit der Erstellung des SOC2 Typ II-Bescheinigungsberichts über die Sicherheitsgrundsätze beauftragen.