Luware Blog | Expertenwissen & News aus der Cloud

Sichern Sie Ihre Cloud-Kommunikation: Achten Sie auf die SOC 2 Typ II-Bescheinigung

Geschrieben von Philipp Beck | 17.09.2023 09:40:53

Unternehmen verlagern ihre Unternehmenskommunikation zunehmend von lokalen Umgebungen in die Cloud und profitieren dabei von zahlreichen Vorteilen wie Skalierbarkeit, Flexibilität und Kosteneffizienz. Diese Verlagerung bringt jedoch auch neue Herausforderungen mit sich, insbesondere in Bezug auf die Sicherheit. Um sicherzustellen, dass die Daten in der Cloud gut geschützt sind, dienen Sicherheitskontrollen wie die Service Organization Control (SOC) 2 Typ II-Bescheinigung als wichtiges Qualitätsmerkmal.

Schliessen Sie die Qualifikationslücke mit einem zertifizierten Anbieter

Während sich die meisten Sicherheitsmassnahmen vor Ort auf den Schutz von Servern vor physischen Schäden konzentrieren, ist in der Cloud die richtige Konfiguration für den Schutz eines Unternehmens entscheidend.

Der Gartner-Bericht «Cloud Security Posture Management» stellt fest, dass «fast alle erfolgreichen Angriffe auf Cloud-Dienste das Ergebnis von Fehlkonfigurationen, schlechtem Management und Kundenfehlern sind». Allerdings haben 43% der Unternehmen mit einem Mangel an Fachkräften im Bereich der Cybersicherheit zu kämpfen und verfügen nicht über die internen Ressourcen, um ihre Systeme selbst angemessen zu verwalten. Software-as-a-Service-Anbieter bieten an, diese Lücke durch die Bereitstellung robuster und verwalteter IT-Systeme zu schliessen.

Bei der Vielzahl von Anbietern auf dem Markt ist es jedoch wichtig, die Softwareanbieter sorgfältig zu evaluieren, um sicherzustellen, dass sie Ihre Unternehmensdaten sicher verwahren. Um den Bewertungsprozess zu vereinfachen, sind Audits durch Dritte ein schneller Weg, um sicherzustellen, dass sichere und effektive Sicherheitsprotokolle vorhanden sind. Der Goldstandard, nach dem Sie suchen sollten, ist eine Prüfung nach SOC 2 Typ II, die das Engagement eines Unternehmens für höchste Sicherheitsstandards belegt.

Was ist die SOC 2-Bescheinigung?

SOC 2 ist ein Prüfungsbericht des American Institute of Certified Public Accountants (AICPA). Es handelt sich dabei um eine strukturierte Prüfung der internen Kontrollen einer Organisation in Bezug auf die Funktionsfähigkeit und Compliance. Die Kontrollen werden anhand einer oder mehrerer der folgenden fünf Hauptkategorien bewertet:

  • Sicherheit
  • Verfügbarkeit
  • Integrität der Verarbeitung
  • Vertraulichkeit
  • Datenschutz

Um eine SOC 2-Attestation zu erreichen, muss eine Organisation von einem externen Prüfer auditiert werden. Es gibt zwei Arten von SOC 2-Berichten: Typ I und Typ II:

  1. SOC 2 Typ I ist die einfachste Version des Berichts und bewertet, wie gut eine Organisation ihre Kontrollen zu einem bestimmten Zeitpunkt konzipiert und implementiert hat.
  2. SOC 2 Typ II ist ein komplexerer und zeitaufwändigerer Bericht, der jedoch eine grössere Gewähr für die Wirksamkeit der Kontrollen bietet, da er die Funktionsweise der Kontrollen über einen bestimmten Zeitraum bewertet.

Ein weit verbreiteter Irrtum ist, dass es sich bei SOC 2 um eine Zertifizierung handelt. Beim SOC 2-Attest gibt es jedoch kein Bestehen oder Nichtbestehen. Stattdessen erhält die auditierte Organisation einen SOC 2-Auditbericht. Jeder Bericht ist eine Zusammenfassung des Kontrollkonzepts, der Wirksamkeit und der Anwendung in der Praxis. Da sich die Technologie schnell weiterentwickelt, werden die Audits fortlaufend durchgeführt und die Organisationen werden weiterhin routinemässig geprüft. Der daraus resultierende Bericht ist ein äusserst aufschlussreiches und vertrauliches Dokument.

Die Berichte verwenden dabei eine klare Sprache, um die Interpretation der Ergebnisse zu erleichtern. Die Umweltgutachter geben eine Stellungnahme ab und erteilen Organisationen, die gründliche Kontrollen durchgeführt haben, einen uneingeschränkten Bestätigungsvermerk.

  • Unqualified Opinion: Je nachdem, ob ein Bericht des Typs I oder des Typs II erstellt wurde, bedeutet dieser Bestätigungsvermerk, dass die Kontrollen so konzipiert wurden und/oder wirksam funktionieren, dass die angegebenen Kontrollziele erreicht werden.
  • Qualified Opinion: Der Prüfende kann keinen uneingeschränkten Bestätigungsvermerk erteilen, weil ein oder mehrere Kontrollziele (SOC I) oder Kriterien für Vertrauensdienste (SOC II) nicht wirksam behandelt wurden.
  • Adverse Opinion: Die Testausnahmen sind schwerwiegend und die Kontrollen sind im Allgemeinen nicht wirksam konzipiert und/oder funktionieren nicht.
  • Disclaimer Opinion: Der Prüfende kann kein offizielles Prüfungsurteil abgeben, da er oder sie nicht in der Lage war, ausreichende Nachweise zu erlangen, um ein Prüfungsurteil abzugeben.

Luware hat eine SOC 2 Typ II-Bescheinugung erhalten

Luware hat sich verpflichtet, die höchsten Sicherheitsprotokolle zum Schutz der Kundendaten zu gewährleisten. Aus diesem Grund hat Luware Kontrollen entwickelt, implementiert und pflegt diese, um die Sicherheitsrisiken von Luware Nimbus und Luware Recording zu reduzieren.

Die erste formelle Prüfung hat Luware für den Zeitraum vom 1. Februar 2023 bis zum 30. April 2023 abgeschlossen und im September 2023 die SOC 2 Typ II-Bescheinigung über die Sicherheitsgrundsätze mit einem uneingeschränkten Bestätigungsvermerk erhalten. Um eine kontinuierliche Risikominderung zu gewährleisten, wird Luware auch weiterhin einen unabhängigen Wirtschaftsprüfenden mit der Erstellung des SOC 2 Typ II-Bescheinigungsberichts über die Sicherheitsgrundsätze beauftragen.

 
Vollständigen Beitrag anzeigen