SOC 2 ist ein freiwilliger Compliance-Standard für IT-Dienstleister wie Anbieter von Cloud-Computing-Leistungen oder Sicherheitsdiensten. Er wurde vom American Institute of Certified Public Accountants entwickelt und dient zum Nachweis der Einhaltung von fünf Trust-Prinzipien der Datensicherheit.
SOC 2 ist ein freiwilliger Compliance-Standard für IT-Dienstleister.
SOC 2 ist die Kurzform für System and Organization Controls 2. Es handelt sich um einen freiwilligen Compliance-Standard für IT-Dienstleistungsunternehmen, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Der AICPA ist der größte amerikanische Berufsverband der Wirtschaftsprüfer. Mithilfe des Prüfungs- und Berichtsstandards können Unternehmen wie Anbieter von Cloud-Computing-Leistungen oder IT-Sicherheitsdiensten, die Daten ihrer Kunden verarbeiten, speichern oder absichern, die Einhaltung der fünf Trust-Prinzipien der Datensicherheit und des Datenschutzes nachweisen und dokumentieren. SOC 2 definiert grundlegende Leitlinien für die Verarbeitung von Kundendaten und soll das Vertrauen der Kunden zu ihrem Dienstleister stärken. Ein SOC-2-Audit stellt detaillierte Berichte über den Umgang mit den fünf Trust-Prinzipien und ihre Einhaltung bereit.
Der amerikanische Berufsverband der Wirtschaftsprüfer hat mit den System and Organization Controls (SOC) ein Framework an Richtlinien und Berichtstypen für Audits entwickelt und veröffentlicht. Neben SOC 2 gibt es noch SOC 1 (Internal Control over Financial Reporting) und SOC 3 (Trust Services Criteria for General Use Report). Während sich SOC 2 an Technologieunternehmen richtet, die IT-Dienstleistungen anbieten, und die Einhaltung der fünf Trust-Services-Kriterien sicherstellt, konzentriert sich SOC 1 auf finanzielle Aspekte und die internen Kontrollen der Finanzberichterstattung. Ziel von SOC 1 ist es, die Integrität und die Richtigkeit der Finanzinformationen sicherzustellen. SOC 3 ist eine Abwandlung von SOC 2. Sie stellt die Ergebnisse von SOC 2 in verkürzter Form und in einem für den allgemeinen Gebrauch zugänglichen und nachvollziehbaren Format bereit. Abhängig von den Kundenanforderungen und den zu prüfenden Geschäftsabläufen können sich Unternehmen für SOC-1- und/oder SOC-2-Audits entscheiden. Zusätzlich zu SOC 1, SOC 2 und SOC 3 gibt es noch SOC-Berichte für die Cybersicherheit und für Lieferketten.
Typische Anwendungsbereiche von SOC 2
SOC 2 prüft und bewertet die internen Kontrollen eines Unternehmens bei der Verarbeitung und beim Schutz von Daten. Der freiwillige Compliance-Standard richtet sich vor allem an Unternehmen, die IT-Dienstleistungen anbieten. Zu diesen Unternehmen zählen beispielsweise Anbieter von Cloud-Dienstleistungen, die sensible oder personenbezogene Daten ihrer Kunden verarbeiten oder speichern. Anbieter von SaaS-Leistungen (Software as a Service) können mit SOC 2 nachweisen, dass sie mit ihren bereitgestellten Anwendungen die fünf Trust-Prinzipien der Datensicherheit und des Datenschutzes einhalten. Ein weiterer Anwendungsbereich sind Anbieter von IT-Sicherheitsdiensten, die mit SOC 2 die Wirksamkeit ihrer Trust-Kontrollen nachweisen.
Die fünf Trust-Prinzipien von SOC 2
SOC 2 definiert fünf Trust-Prinzipien, deren Einhaltung bei einem Audit nachzuweisen ist. Die fünf Trust-Prinzipien werden auch als Trust Services Criteria (TSC) bezeichnet. Im Detail handelt es sich um diese fünf Kriterien:
Sicherheit (Security)
Verfügbarkeit (Availability)
Verarbeitungsintegrität (Processing Integrity)
Vertraulichkeit (Confidentiality)
Datenschutz (Privacy)
Mit Sicherheit sind die Cybersicherheit und der Schutz der Systemressourcen gegen unbefugten Zugriff und gegen Sicherheitsverletzung gemeint. Entsprechende Kontrollen sorgen für die Wahrung der Systemintegrität. Technisch wird dies über Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), Zugriffskontrollen, Firewalls, Intrusion Detection und Intrusion Prevention Systeme (IDS/IPS), Antivirensoftware, Verschlüsselung und anderes umgesetzt.
Die Verfügbarkeit soll sicherstellen, dass die Systeme und Informationen für die Anwender jederzeit zugänglich und nutzbar sind. Zur Gewährleistung der Betriebsbereitschaft der Systeme gehören Maßnahmen und Kontrollen der Leistungsüberwachung, Redundanzmanagement, Notfallmanagement, Disaster Recovery, Behandlung von Sicherheitsvorfällen und vieles mehr.
Die Verarbeitungsintegrität bezieht sich auf die Systemverarbeitung. Systeme sind so zu gestalten, dass die Verarbeitung fehlerfrei, vollständig, manipulationsfrei, genau, gültig, pünktlich, autorisiert und in der geforderten Qualität erfolgt.
Vertraulichkeit stellt sicher, dass als vertraulich oder sensibel gekennzeichnete Informationen sowohl im Ruhezustand als auch bei der Übertragung entsprechend geschützt werden. Technisch gehören dazu Maßnahmen wie Speicherrichtlinien, Verschlüsselung, Anwendungs- und Netzwerkfirewalls, Zugriffskontrollen, sicheres Löschen und einiges mehr.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Datenschutz zielt speziell auf personenbezogene oder personenbeziehbare Informationen oder Daten ab. Es ist sicherzustellen, dass diese Daten gemäß den Bestimmungen datenschutzkonform erfasst, gesammelt, verarbeitet, gespeichert und gehandhabt werden. Technisch werden beispielsweise Maßnahmen wie Zugriffskontrollen, Multi-Faktor-Authentifizierung, Anonymisierung, Pseudonymisierung oder Verschlüsselung eingesetzt.
Ablauf einer Compliance-Prüfung nach SOC 2
Die Compliance-Prüfung nach SOC 2 findet in Form eines Audits durch einen unabhängigen Prüfer statt. Solche Prüfer sind beispielsweise Certified Public Accountants (CPAs) oder zertifizierte Experten eines vom AICPA lizenzierten Prüfungsunternehmens. Der Prüfung liegt der Kriterienkatalog der Trust Services Criteria zugrunde. Im Rahmen des Audits stellt der unabhängige Prüfer fest, ob das interne Kontrollsystem des Unternehmens die Kriterien nach SOC 2 erfüllt. Mit den im Audit ermittelten Ergebnissen wird ein umfassender und detaillierter Bericht erstellt. Der Bericht bescheinigt die Compliance zu SOC 2. Grundsätzlich stehen die beiden Berichtstypen SOC 2 Type 1 und SOC 2 Type 2 zur Verfügung. Ein Typ-1-Bericht ist einfacher zu erstellen und kürzer als ein Typ-2-Bericht. Er bezieht sich auf die zum Auditzeitpunkt zur Erfüllung der Trust-Prinzipien implementierten Kontrollsysteme des Unternehmens. Der Typ-2-Bericht ist länger und aufwendiger zu erstellen. Er bescheinigt die tatsächliche Wirksamkeit und Effektivität der Kontrollsysteme hinsichtlich der Trust-Anforderungen über einen längeren Zeitraum.
Vor- und Nachteile von SOC 2
Als Vorteile einer Compliance-Prüfung nach SOC 2 lassen sich aufführen:
bestätigt die Implementierung wirksamer Kontrollsysteme zur Erfüllung der Trust-Prinzipien
stärkt das Vertrauen der Kunden und Geschäftspartner
ermöglicht eine Differenzierung gegenüber Mitbewerbern und eröffnet Wettbewerbsvorteile
erleichtert die Einhaltung von gesetzlichen Vorgaben oder Compliance-Richtlinien
minimiert das Risiko von Sicherheitsvorfällen oder Verfügbarkeitseinschränkungen
verbessert die allgemeine Sicherheitslage und erleichtert das Risikomanagement
SOC 2 ist auch mit einigen Nachteilen oder Herausforderungen verbunden. So kann eine Prüfung nach SOC 2 kostspielig und aufwendig sein. Es sind erhebliche zeitliche und personelle Ressourcen bereitzustellen. Vor allem kleinere Unternehmen sind damit schnell überfordert. Typ-2-Berichte nach SOC 2 erfordern darüber hinaus die kontinuierliche Überwachung und Anpassung der Kontrollsysteme über einen längeren Zeitraum und sind nochmals deutlich aufwendiger als Typ-1-Berichte.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/d3/ba/d3baf609efdd7e572a3b4e88ff25e3fd/0119071784v2.jpeg "Mit der bevorstehenden Einführung der NIS-2-Richtlinie gewinnt SOC 2 an Bedeutung, indem es Unternehmen eine robuste Grundlage bietet, um neuen EU-Standards gerecht zu werden. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/04/0404ff494ae793255c252788d20428cd/0126256656v1.jpeg "Im Dschungel der Cybersecurity-Zertifizierungen reicht es nicht, einfach drauflos zu marschieren. Wer die Spielregeln kennt und klug kombiniert, sichert sich nicht nur die Gunst von Auditoren, sondern auch das Vertrauen der Kunden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/62/8e622dfaa28df750fcf665638019b9ca/0123375724v1.jpeg "Ohne erfahrenen Begleiter kann man im Compliance-Dschungel schnell die Orientierung verlieren. (Bild: Midjourney / KI-generiert)")