In einer zunehmend digitalisierten Welt, in der Unternehmen sensible Daten in der Cloud speichern und verarbeiten, spielt die Einhaltung von Sicherheits- und Datenschutzstandards eine zentrale Rolle. Daten sind heute das wertvollste Gut vieler Organisationen, und ihre Sicherheit ist entscheidend für das Vertrauen von Kunden, Partnern und Aufsichtsbehörden. Zwei der bekanntesten Rahmenwerke, die Organisationen dabei unterstützen, dieses Vertrauen aufzubauen und zu erhalten, sind BSI C5 und SOC 2. Beide verfolgen das Ziel, die Sicherheit und Integrität von IT- und Cloud-Diensten zu gewährleisten – jedoch mit unterschiedlichen Ansätzen, Schwerpunkten und regionalen Ausrichtungen.
In diesem Beitrag beleuchten wir die Gemeinsamkeiten und Unterschiede dieser beiden Standards, ihre praktische Anwendung und warum sie für Unternehmen heute unverzichtbar sind. Außerdem zeigen wir, wie die Wahl des richtigen Standards die Compliance-Strategie eines Unternehmens nachhaltig beeinflussen kann.
Was ist BSI C5?
Der Cloud Computing Compliance Criteria Catalogue (C5) wurde 2016 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt und besteht in seiner aktuellen Fassung in der Version von 2020. Aktuell befindet sich der Katalog in Überarbeitung, erfahren Sie hier mehr. Er richtet sich speziell an Cloud-Dienstleister unabhängig von der erbrachten Dienstleistung, somit gilt er für SaaS, IaaS und PaaS Anbieter. C5 ist eng mit europäischen Datenschutzanforderungen wie der DSGVO verknüpft und deckt neben technischen Sicherheitsaspekten auch organisatorische und rechtliche Anforderungen in 17 verschiedenen Kriterienbereichen ab.
Der C5-Katalog basiert auf verschiedenen bestehenden Rahmenwerken (z.B. ISO27001, CSA – Cloud Controls Matrix oder AICPA Trust Services Principles Criteria), hat diese jedoch grundsätzlich weiterentwickelt und für Cloud-Dienstleister spezifiziert. Besonders hervorzuheben ist, dass der C5-Katalog zusätzliche Kriterien enthält, die über die klassischen Sicherheitsanforderungen hinausgehen. Dazu gehören unter anderem:
- Transparenzkriterien: Offenlegung relevanter Informationen gegenüber Kunden, um Vertrauen und Nachvollziehbarkeit zu gewährleisten.
- Umgang mit Ermittlungsanfragen: Klare Prozesse für behördliche Anfragen und deren Dokumentation.
- Cloud-spezifische Themen: Anforderungen an Multi-Tenancy, Datenlokalisierung, Exit-Strategien und die sichere Migration von Daten.
Damit bietet C5 eine umfassendere Grundlage für die Bewertung der Sicherheit von Cloud-Diensten, unabhängig vom Betriebsstandort des Cloud-Dienstes oder des Sitzes des Cloud-Anbieters. Der Standard ist darauf ausgelegt, die besonderen Herausforderungen von Cloud-Diensten zu adressieren und gleichzeitig die hohen Anforderungen an Datenschutz und Compliance zu erfüllen. Das Rahmenwerk wird längst auch von International tätigen Cloud-Anbietern aktiv umgesetzt.
Was ist SOC 2?
SOC 2 (System and Organization Controls 2) ist ein Sicherheitsstandard, der von der American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er richtet sich primär an Dienstleister, die Kundendaten speichern und verarbeiten. Der Fokus liegt auf fünf zentralen Trust Services Criteria, die die Grundlage des Standards bilden:
- Security: Schutz vor unbefugtem Zugriff auf Systeme und Daten.
- Availability: Sicherstellung der Verfügbarkeit der Systeme und Dienste.
- Processing Integrity: Gewährleistung der Genauigkeit und Vollständigkeit der Datenverarbeitung.
- Confidentiality: Schutz vertraulicher Informationen vor unberechtigtem Zugriff.
- Privacy: Einhaltung von Datenschutzrichtlinien und Schutz personenbezogener Daten.
Die nachgewiesene Umsetzung der SOC 2 Kriterien geben Kunden angemessene Einblicke in die internen Kontrollmechanismen eines Dienstleistungsunternehmen. Ein Bericht über die Umsetzung der SOC 2 Kriterien ist ein starkes Signal an Kunden und Geschäftspartner, dass der Dienstleister bewährte Sicherheitspraktiken umsetzt und Risiken aktiv managt. Für Unternehmen, die in den USA tätig sind oder internationale Kunden bedienen, ist SOC 2 oft ein entscheidendes Kriterium bei der Auswahl von Dienstleistern.
Ein SOC 2-Audit ist dabei kein einmaliger Prozess, sondern erfordert eine kontinuierliche Pflege der implementierten Kontrollen. Unternehmen müssen sicherstellen, dass ihre Systeme und Prozesse jederzeit den Anforderungen entsprechen. Dies schafft nicht nur Vertrauen, sondern reduziert auch das Risiko von Sicherheitsvorfällen und Datenverlusten.
BSI C5 vs. SOC 2: Gemeinsamkeiten und Unterschiede
Trotz ihrer unterschiedlichen Ausrichtung – BSI C5 als cloud-spezifisches Rahmenwerk und SOC 2 als generisches Rahmenwerk für unterschiedlichste Dienstleistungsorganisationen – folgen beide Standards einem vergleichbaren Grundprinzip: Sie definieren klare Anforderungen an interne Kontrollen, die ein Dienstleistungsunternehmen implementieren, dokumentieren und dauerhaft betreiben muss.
1. Ebene: Umsetzung der anwendbaren Kriterien im Dienstleistungsunternehmen
Sowohl SOC 2 als auch BSI C5 verlangen, dass Unternehmen alle für ihre Dienstleistungen relevanten und anwendbaren Kriterien des jeweiligen Rahmenwerks vollständig adressieren.
- Bei SOC 2 geschieht dies auf Basis der Trust Services Criteria, deren Anwendung generisch für unterschiedliche Arten von Services (IT-Dienstleistungen, SaaS, Hosting, Outsourcing, Business Services etc.) erfolgt.
- Bei BSI C5 liegt der Fokus explizit auf Cloud-Diensten (IaaS, PaaS, SaaS) – das Rahmenwerk ist daher deutlich konkreter, wenn es um cloud-spezifische Kontrollanforderungen wie Multi-Tenancy, Datenlokalisierung, Transparenz oder den Umgang mit Ermittlungsanfragen geht.
Beide Standards schreiben jedoch vor, dass der Dienstleister nachweisen muss, wie er die jeweils einschlägigen Anforderungen erfüllt.
2. Ebene: Aufbau eines dienstleistungsbezogenen internen Kontrollsystems (IKS)
Eine wesentliche Gemeinsamkeit ist der Aufbau eines dienstleistungsbezogenen internen Kontrollsystems, das sicherstellt, dass die implementierten Maßnahmen:
- angemessen gestaltet,
- wirksam implementiert
- und kontinuierlich betrieben werden.
Dieses IKS bildet das Rückgrat der Compliance und muss Regeln, Prozesse, Kontrollhandlungen, Verantwortlichkeiten sowie Überwachungsmechanismen umfassen.
Die Standards verlangen ausdrücklich, dass die Unternehmen nicht nur einmalig Kontrollen einführen, sondern diese im operativen Tagesgeschäft nachhaltig leben, überwachen und weiterentwickeln. Die Basis ist in beiden Standards die Systembeschreibung des internen Kontrollsystems des jeweiligen Dienstleisters.
3. Ebene: Externe Prüfung des internen Kontrollsystems
In beiden Rahmenwerken folgt abschließend eine Prüfung durch einen unabhängigen, externen Wirtschaftsprüfer, der die Angemessenheit und Implementierung der Kontrollen im Rahmen einer Typ-I-Prüfung und – bei Typ-II-Prüfungen – die Wirksamkeit der Kontrollen bestätigt.
Diese Prüfung umfasst unter anderem:
- Bewertung der Kontrollgestaltung
- Prüfung der Implementierung
- Nachweis der Funktionsfähigkeit über einen Zeitraum (bei Typ II)
- Dokumentation nach international anerkannten Prüfungsstandards
Dadurch erhalten Kunden und Stakeholder ein hohes Maß an Transparenz und Verlässlichkeit hinsichtlich der tatsächlichen Sicherheits- und Compliance-Praxis des Dienstleisters.
Unterschiedliche Prüfungsstandards: SSAE 18 vs. ISAE 3000/3402
Ein weiterer wichtiger Unterschied zwischen SOC 2 und BSI C5 liegt in den zugrunde liegenden Prüfungsstandards. SOC 2 ist ursprünglich im amerikanischen Rechts- und Compliance-Kontext verankert und verlangt daher grundsätzlich die Anwendung des US-Prüfungsstandards SSAE 18. Dieser Standard definiert die Anforderungen an die Prüfung dienstleistungsbezogener interner Kontrollsysteme.
BSI C5 hingegen basiert klar auf europäischen bzw. internationalen Prüfungsnormen und fordert die Anwendung von ISAE 3000 in Kombination mit ISAE 3402. Während ISAE 3000 der internationale Prüfungsstandard für die Prüfung nicht-finanzieller Informationen ist (z. B. interne Kontrollsysteme, Compliance, IT-Sicherheit), fokussiert ISAE 3402 speziell auf die Prüfung von Kontrollen bei Dienstleistungsunternehmen.
In der Praxis hat sich jedoch folgende Handhabung etabliert:
- Für SOC 2 wird international häufig ISAE 3402 angewendet, da dieser Standard außerhalb der USA als etablierter Prüfungsrahmen gilt und das Prüfungsvorgehen ist identisch zum SSAE 18.
- Für BSI C5 kommt überwiegend ISAE 3000 zum Einsatz, da dieser Standard der inhaltlichen Struktur und Zielsetzung des C5-Kriterienkatalogs am nächsten kommt.
Damit unterscheiden sich die Standards zwar im theoretischen Prüfungsrahmen, folgen in der praktischen Umsetzung jedoch weitgehend harmonisierten, international anerkannten Prüfmethoden, die eine hohe Transparenz und Vergleichbarkeit sicherstellen.
Praktische Anwendung: Welcher Standard passt zu Ihrem Unternehmen?
Die Wahl des richtigen Standards hängt von verschiedenen Faktoren ab, die sorgfältig abgewogen werden sollten:
- Markt und Kundenbasis: Unternehmen mit US-Kunden sollten SOC 2 priorisieren, während europäische Kunden C5 erwarten.
- Art der Dienstleistung: Für reine Cloud-Dienstleister ist C5 oft unverzichtbar, da er spezifische Anforderungen für diese Umgebung definiert.
- Regulatorische Anforderungen: DSGVO-Konformität lässt sich mit C5 leichter nachweisen, während SOC 2 für internationale Märkte ein starkes Signal ist.
In vielen Fällen ist eine Kombination beider Standards sinnvoll, um internationale Anforderungen zu erfüllen und maximale Transparenz zu bieten. Dies erfordert zwar zusätzlichen Aufwand, bietet aber langfristig einen erheblichen Wettbewerbsvorteil.
Fazit
BSI C5 und SOC 2 sind zwei zentrale Säulen moderner IT- und Cloud-Sicherheit. Beide verfolgen das gleiche Ziel: Vertrauen schaffen und sensible Daten schützen. Die Wahl des passenden Standards hängt von Markt, Kunden und regulatorischen Anforderungen ab – doch eines ist sicher: Unternehmen, die in Compliance investieren, sichern sich nicht nur rechtlich ab, sondern stärken ihre Position im Wettbewerb.
Die Umsetzung dieser Standards ist kein einmaliger Schritt, sondern ein kontinuierlicher Prozess, der eine gelebte Sicherheitskultur im Unternehmen voraussetzt. Wer diesen Weg konsequent geht, wird nicht nur den Anforderungen von heute gerecht, sondern ist auch für die Herausforderungen von morgen bestens gerüstet.
Sie möchten mehr über BSI C5 und SOC 2 erfahren oder benötigen Unterstützung bei der Umsetzung?
Kontaktieren Sie uns – unser Expertenteam begleitet Sie auf Ihrem Weg zur erfolgreichen Compliance.
Kontaktieren Sie uns – unser Expertenteam begleitet Sie auf Ihrem Weg zur erfolgreichen Compliance.
