SOC 2 – Sicherheits- und Verfügbarkeits-Attestat
SOC 2 (System and Organization Controls 2) ist ein US-amerikanisches Attestat, das die Sicherheits- und Verfügbarkeits-Kontrollen von SaaS- und Cloud-Anbietern prüft. Wichtig für ERP-Anwender, die Cloud-ERP-Anbieter evaluieren – SOC 2 ist faktisch zur Voraussetzung in B2B-SaaS geworden.
Trust Service Criteria
SOC 2 prüft fünf Kategorien:
- Security: Schutz vor unauthorisierten Zugriffen
- Availability: System-Verfügbarkeit gemäß SLA
- Processing Integrity: Datenverarbeitung ist vollständig, korrekt, autorisiert
- Confidentiality: vertrauliche Daten werden geschützt
- Privacy: personenbezogene Daten werden DSGVO-/CCPA-konform behandelt
Type 1 vs Type 2
SOC 2 Type 1 bestätigt, dass die Kontrollen zu einem Stichtag korrekt designed sind. SOC 2 Type 2 prüft, dass die Kontrollen über einen Zeitraum (typisch 6-12 Monate) konsistent operativ sind. Type 2 ist wesentlich aussagekräftiger und in B2B-SaaS Standard.
Bedeutung für ERP-Auswahl
Bei der Cloud-ERP-Auswahl ist SOC 2 Type 2 ein Pflichtkriterium für regulierte Branchen, B2B-SaaS und alle Konzern-Implementierungen. Ergänzend: ISO 27001, ISO 27017 (Cloud-spezifisch), ISO 27018 (Personenbezogene Daten in der Cloud).
Häufige Fragen
- Reicht ISO 27001 oder brauche ich SOC 2?
Im US-Markt ist SOC 2 Standard, in Europa ISO 27001. Viele Cloud-Anbieter haben beides.
- Was kostet ein SOC-2-Audit?
Type 1: 25.000–80.000 USD. Type 2: 80.000–250.000 USD über 12 Monate. Plus interne Vorbereitung.