SOC 2 (System and Organization Controls 2) ist ein US-amerikanisches Attestat, das die Sicherheits- und Verfügbarkeits-Kontrollen von SaaS- und Cloud-Anbietern prüft. Wichtig für ERP-Anwender, die Cloud-ERP-Anbieter evaluieren – SOC 2 ist faktisch zur Voraussetzung in B2B-SaaS geworden.
Trust Service Criteria
SOC 2 prüft fünf Kategorien:
Security: Schutz vor unauthorisierten Zugriffen
Availability: System-Verfügbarkeit gemäß SLA
Processing Integrity: Datenverarbeitung ist vollständig, korrekt, autorisiert
Confidentiality: vertrauliche Daten werden geschützt
Privacy: personenbezogene Daten werden DSGVO-/CCPA-konform behandelt
Type 1 vs Type 2
SOC 2 Type 1 bestätigt, dass die Kontrollen zu einem Stichtag korrekt designed sind. SOC 2 Type 2 prüft, dass die Kontrollen über einen Zeitraum (typisch 6-12 Monate) konsistent operativ sind. Type 2 ist wesentlich aussagekräftiger und in B2B-SaaS Standard.
Bedeutung für ERP-Auswahl
Bei der Cloud-ERP-Auswahl ist SOC 2 Type 2 ein Pflichtkriterium für regulierte Branchen, B2B-SaaS und alle Konzern-Implementierungen. Ergänzend: ISO 27001, ISO 27017 (Cloud-spezifisch), ISO 27018 (Personenbezogene Daten in der Cloud).
Praxis-Beispiel
Ein Cloud-ERP-Anbieter lässt sich nach SOC 2 Type II zertifizieren — ein Audit-Standard für Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungs-Integrität und Datenschutz. Auditoren prüfen über 6-12 Monate, ob die definierten Kontrollen tatsächlich funktionieren. Resultat ist ein Bericht (kein Zertifikat im klassischen Sinne), der auf Anfrage an Kunden gegeben wird. Gerade B2B-SaaS-Anbieter mit Enterprise-Kunden brauchen SOC 2 für die Auswahl-Berücksichtigung.
Was unterscheidet SOC 2 Type I von Type II? Type I: Momentaufnahme zum Stichtag. Type II: kontinuierliche Beobachtung über 6-12 Monate. Type II ist deutlich aussagekräftiger und Standard-Anforderung. Brauchen wir SOC 2 für unser eigenes Unternehmen? Wenn Sie SaaS-ERP-Anbieter sind: ja, Enterprise-Kunden verlangen es. Wenn Sie ERP-Nutzer sind: nicht selbst — aber Sie sollten von Ihrem ERP-Anbieter SOC 2 Type II oder ISO 27001 verlangen.
Im US-Markt ist SOC 2 Standard, in Europa ISO 27001. Viele Cloud-Anbieter haben beides.
Lizenzgebühren machen typisch nur 25-35 % der Gesamtprojektkosten aus, die restlichen 65-75 % entstehen für Implementation, Customizing, Schulung und Datenmigration.
Was kostet ein SOC-2-Audit?
Type 1: 25.000–80.000 USD. Type 2: 80.000–250.000 USD über 12 Monate. Plus interne Vorbereitung.
