Unternehmen, die Dienstleistungen für andere Organisationen erbringen und ihre Informationssicherheit verbessern möchten, durchlaufen häufig ein Service Organization Control 2 (SOC 2)-Audit, wobei der Fokus zunehmend auf der Erfüllung der SOC 2-Passwortanforderungen. Der SOC 2-Zertifizierungsprozess umfasst den Nachweis angemessener Kontrollen für den Systemzugriff, damit sensible Daten jederzeit geschützt und sicher bleiben. SOC 2-Berichte werden häufig von Kunden und Geschäftspartnern ausgelagerter Lösungsanbieter angefordert, was die Bedeutung der SOC 2-Compliance unterstreicht. Viele Unternehmen, die SOC 2-Compliance anstreben, nutzen Lösungen wie einen SOC 2-konformen Passwort-Manager, um Anforderungen besser zu erfüllen.
Besuchen Sie das Ressourcencenter für weitere Leitfäden dazu, wie Sie Compliance mit anderen Sicherheitsstandards erreichen.
Eine Zusammenfassung der SOC 2 Trust Services Criteria
SOC 2-Berichte sind für Serviceorganisationen relevant und beziehen sich auf Kontrollen in Bereichen wie Sicherheit und Datenschutz. Das American Institute of Certified Public Accountants (AICPA) hat den Service Organization Control- bzw. SOC 2-Bericht eingeführt, um Dienstleistungsunternehmen – z. B. Finanzunternehmen, Gesundheitsdienstleister, Cloud-Service-Anbieter und SaaS-Anbieter – sowie ihre Fähigkeit zu bewerten, starke Kontrollen aufrechtzuerhalten, „die für Sicherheit, Verfügbarkeit und Verarbeitungsintegrität der Systeme relevant sind … um die Daten der Nutzer sowie die Vertraulichkeit und den Datenschutz der von diesen Systemen verarbeiteten Informationen zu gewährleisten.“
SOC 2 umfasst zwei Typen von Berichten:
Typ 1: Berichte über die Systembeschreibung eines Unternehmens und die Eignung des Designs seiner Kontrollen.
Typ 2: Berichte über die Systembeschreibung eines Unternehmens sowie die Eignung und operative Wirksamkeit seiner Kontrollen.
Während SOC 2-Audits werden die Kontrollen einer Serviceorganisation bewertet, um die Einhaltung des Sicherheitsrahmens sicherzustellen. Beide Typen von SOC 2-Berichten beschreiben, wie Unternehmen Daten verarbeiten, doch SOC 2 Typ 2 beschreibt die vorhandenen Datensicherheitskontrollen ausführlicher, einschließlich Zugangsdatenverwaltung. Beide Berichtstypen sind auf bestimmte Stellen beschränkt (z. B. Kunden oder Prüfer). Unternehmen können jedoch auch einen öffentlich verfügbaren SOC 3-Bericht erstellen, der einige der im SOC 2-Bericht enthaltenen Datensicherheitskriterien zusammenfasst.
Überblick über den SOC 2-Zertifizierungsprozess
Unternehmen, die eine SOC 2-Zertifizierung anstreben, müssen ein Audit durch einen akkreditierten Vertreter der AICPA bestehen. Die fünf Trust Services Criteria bilden die grundlegenden Bestandteile des SOC 2-Compliance-Rahmens, darunter Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Die Kriterien wurden erstmals 2017 entwickelt und zuletzt Ende 2022 aktualisiert, um „ein Umfeld sich ständig wandelnder Technologien, Bedrohungen und Schwachstellen … sich ändernder gesetzlicher und regulatorischer Anforderungen sowie damit verbundener kultureller Erwartungen an den Datenschutz widerzuspiegeln“ und „Datenmanagement zu adressieren, insbesondere im Zusammenhang mit Vertraulichkeit“. Die Kriterien lauten wie folgt:
Sicherheit – Informationen und Systeme werden vor unbefugtem Zugriff, unbefugter Offenlegung von Informationen und Schäden an Systemen geschützt, die die Verfügbarkeit, Datenintegrität, Vertraulichkeit und den Datenschutz von Informationen oder Systemen gefährden und die Fähigkeit der Organisation beeinträchtigen könnten, ihre Ziele zu erreichen.
Verfügbarkeit – Informationen und Systeme stehen für den Betrieb zur Verfügung und werden genutzt, um die Ziele der Organisation zu erreichen.
Verarbeitungsintegrität – Die Systemverarbeitung ist vollständig, gültig, genau, zeitgerecht und autorisiert, um die Ziele der Organisation zu erreichen.
Vertraulichkeit – Als vertraulich eingestufte Informationen werden geschützt, um die Ziele der Organisation zu erreichen.
Datenschutz – Personenbezogene Daten werden erhoben, verwendet, gespeichert, offengelegt und gelöscht, um die Ziele der Organisation zu erreichen.
Interne Kontrollen spielen eine entscheidende Rolle dabei, während Audits die Einhaltung der Trust Services Criteria sicherzustellen.
Unternehmen müssen nur die Prinzipien einhalten, die auf sie zutreffen. Beispielsweise gilt das Verfügbarkeitsprinzip typischerweise für Unternehmen, die Kunden Colocation-, Rechenzentrums-, SaaS-basierte oder Hosting-Dienste anbieten.
Das könnte Sie auch interessieren:
Das Sicherheitsprinzip: SOC 2-Sicherheitskontrollen und Passwortanforderungen
Das Sicherheitsprinzip gilt für die meisten Unternehmen, die SOC 2-Compliance anstreben, und konzentriert sich auf den Schutz von Kundendaten. Der Großteil der Anforderungen des Sicherheitsprinzips findet sich in Abschnitt CC6 der Trust Services Criteria, der auch die SOC 2-Passwortanforderungen näher erläutert. Die folgenden Abschnitte zeigen, wie ein Passwort-Manager viele zentrale Anforderungen unterstützen kann.
SOC 2-Kontrollen spielen eine wichtige Rolle bei der Eindämmung von Datenschutzverletzungen und beim Schutz sensibler Informationen.
Verwaltung von Infrastruktur-Zugangsdaten zum Schutz von Kundendaten
„Die Einheit implementiert Software, Infrastruktur und Architekturen für die logische Zugriffssicherheit über geschützte Informationsressourcen, um diese vor Sicherheitsereignissen zu schützen und die Ziele der Einheit zu erreichen.“ – CC6.1 (S. 34–35)
Unternehmen müssen nachweisen, wie sie Zugangsdaten für Infrastruktur und Software verwalten, einschließlich der Entfernung von Zugriffen, sobald diese nicht mehr benötigt oder erforderlich sind. Mit einem Passwort-Manager können Administratoren die Zugriffsverwaltung einfach automatisieren, Rollen zuweisen und Benutzer auf schreibgeschützten Zugriff auf System-Zugangsdaten beschränken. Granulare Zugriffskontrolle ermöglicht es Administratoren, Zugangsdaten auszublenden, um das Kopieren von Passwörtern, TOTP-Seeds oder benutzerdefinierten Feldern zu verhindern.
Ein akkreditierter Wirtschaftsprüfer bewertet während eines SOC-2-Audits das Kontrolldesign und die betriebliche Wirksamkeit der Kontrollen einer Organisation, um sicherzustellen, dass sie den erforderlichen Standards zum Schutz sensibler Daten entsprechen.
Unternehmen müssen ihre Daten verschlüsseln und Verschlüsselungsschlüssel jederzeit schützen. Mit einem zu 100 % Ende-zu-Ende-Zero-Knowledge-verschlüsselten Passwort-Manager mit AES-256-Bit-Verschlüsselung schützen Unternehmen ihre Zugangsdaten und sensiblen Informationen, die unter Mitarbeitern geteilt werden können, beispielsweise Finanzdokumente. Zusätzlich stärkt PBKDF2 SHA-256 den Schutz von Verschlüsselungsschlüsseln, indem der Schlüsselabruf auf den Benutzer beschränkt wird, der sich mit seinem Master-Passwort anmeldet.
Onboarding und Nachfolge
„Vor der Ausgabe von System-Zugangsdaten und der Gewährung von Systemzugriff registriert und autorisiert die Einheit neue interne und externe Benutzer, deren Zugriff von der Einheit verwaltet wird. Bei Benutzern, deren Zugriff von der Einheit verwaltet wird, werden die System-Zugangsdaten entfernt, wenn der Benutzerzugriff nicht mehr autorisiert ist.“ – CC6.2 (S. 36)
Unternehmen müssen zeigen, wie sie neue Benutzer registrieren und authentifizieren, einschließlich der Zugriffsebenen. Mit einem Passwort-Manager können Administratoren ihren Verzeichnisdienst (LDAP) verknüpfen, um Benutzer-Onboarding und Nachfolgeprozesse zu optimieren. Benutzer und Gruppen in Ihrem Unternehmens-LDAP werden mit der Organisation Ihres Passwort-Managers synchronisiert, wobei dieselbe Struktur repliziert wird. Noch besser: Immer wenn ein neuer Benutzer zum LDAP hinzugefügt wird, wird er auch im Passwort-Manager erstellt – und umgekehrt entfernt, wenn er aus dem LDAP deprovisioniert wird.
Unternehmen müssen den Zugriff auf geschützte Ressourcen autorisieren. Ein Passwort-Manager mit Single Sign-On ermöglicht es Ihrem bestehenden Identitätsanbieter, die Authentifizierung für Passwort-Manager-Benutzer bereitzustellen. Administratoren können Passwortrichtlinien festlegen, die Benutzer dazu verpflichten, sich über die Single-Sign-On-Methode anzumelden, um auf Zugangsdaten zuzugreifen.
Granulare Zugriffskontrolle
„Die Einheit autorisiert, ändert oder entfernt den Zugriff auf Daten, Software, Funktionen und andere geschützte Informationsressourcen basierend auf Rollen, Verantwortlichkeiten oder dem Systemdesign und dessen Änderungen, wobei die Konzepte der geringsten Berechtigung und der Aufgabentrennung berücksichtigt werden, um die Ziele der Einheit zu erreichen.“ – CC6.3 (S. 36)
Unternehmen müssen rollenbasierte Zugriffskontrollen (RBAC) nachweisen. Mit einem Passwort-Manager können Administratoren Benutzertypen festlegen und benutzerdefinierte Rollen erstellen, um granulare Kontrolle und Benutzerberechtigungen für Komponenten des Passwort-Managers zuzuweisen. Rollenbasierte Zugriffskontrollen können für Funktionen konfiguriert werden, etwa wer Benutzer verwalten, auf Ereignisprotokolle zugreifen oder Daten importieren/exportieren kann.
Möchten Sie wissen, wie Sie die Sicherheit Ihres Unternehmens sonst noch verbessern können? Sehen Sie sich Bitwarden Secrets Manager an, um Ihre Entwickler-Secrets zu schützen.
Entdecken Sie Bitwarden zur Unterstützung von SOC-2-Compliance und Passwortanforderungen
Die Einführung eines Passwort-Managers wie Bitwarden kann SOC-2-Prüfern das Engagement von Dienstleistern für den Schutz von Kundendaten verdeutlichen. Bitwarden bietet Sicherheit auf Unternehmensniveau, führt regelmäßig Sicherheitsaudits durch Drittanbieter durch und erfüllt wichtige Datenschutz- und Sicherheitsstandards, einschließlich SOC 2.
Bitwarden unterstützt Dienstleistungsorganisationen dabei, die Anforderungen der SOC-2-Compliance zu erfüllen, indem sichergestellt wird, dass wirksame Kontrollen zum Schutz von Daten vorhanden sind.
Nutzen Sie eine kostenlose Enterprise-Testversion mit Vollzugriff, um zu sehen, wie Bitwarden Dienstleister dabei unterstützen kann, sich auf ein SOC-2-Sicherheitsaudit vorzubereiten und die SOC-2-Passwortanforderungen zu erfüllen.