SOC 2 Lieferantenmanagement: Anforderungen an das Drittanbieter-Risiko
SOC 2 erfordert, dass Sie Drittanbieter-Risiken managen. Dieser Leitfaden behandelt Lieferantenbewertung, laufende Überwachung, vertragliche Anforderungen und den Umgang mit Unterauftragsverarbeitern in Ihrem SOC 2 Bericht.
GRCTrail Team
Ihr SOC 2 Bericht ist nur so stark wie Ihr schwächster Lieferant. Jedes SaaS-Unternehmen ist auf Dritte angewiesen — Cloud-Infrastrukturanbieter, Zahlungsabwickler, Authentifizierungsdienste, Monitoring-Tools, HR-Plattformen. SOC 2 verlangt ausdrücklich, dass Sie diese Beziehungen identifizieren, bewerten und überwachen, da ein Sicherheitsversagen eines Lieferanten zu Ihrem Sicherheitsversagen werden kann.
Dies ist nicht theoretisch. Wenn ein SaaS-Unternehmen durch einen kompromittierten Lieferanten eine Datenschutzverletzung erleidet, steht die Glaubwürdigkeit seines SOC 2 Berichts auf dem Spiel. Prüfer wissen das, weshalb Drittanbieter-Risikomanagement einer der am gründlichsten geprüften Kontrollbereiche in einem SOC 2 Engagement ist.
Dieser Leitfaden behandelt die SOC 2 Anforderungen an das Lieferantenmanagement, wie Sie ein Programm aufbauen, das Prüfer zufriedenstellt, und die spezifischen Fallstricke, die SaaS-Unternehmen zu Fall bringen.
SOC 2 und Unterauftragsverarbeiter
SOC 2 verwendet präzise Terminologie. Was Sie „Lieferanten” oder „Dritte” nennen, nennt das AICPA „Sub-Service Organizations” — konkret Entitäten, die Dienstleistungen erbringen, die Teil Ihres Systems und relevant für den Scope Ihres SOC 2 Berichts sind.
Nicht jeder Lieferant ist eine Sub-Service Organization. Ihr Büro-Kaffeelieferant fließt nicht in Ihren SOC 2 Scope ein. Aber AWS, wo Ihre Produktionsumgebung läuft? Das ist eine Sub-Service Organization. Stripe, das die Zahlungen Ihrer Kunden verarbeitet? Sub-Service Organization. Okta, das Ihre Authentifizierung handhabt? Sub-Service Organization.
Die Unterscheidung ist wichtig, da SOC 2 verlangt, dass Sie Sub-Service Organizations in Ihrer Systembeschreibung adressieren, und Sie haben zwei Methoden dafür.
Die inklusive Methode
Was es bedeutet: Die Kontrollen der Sub-Service Organization sind im Scope Ihres SOC 2 Berichts enthalten. Ihr Prüfer prüft sowohl Ihre Kontrollen als auch die des Lieferanten als Teil eines einzigen Engagements.
In der Praxis: Dies ist selten und komplex. Es erfordert die volle Kooperation des Lieferanten und den Zugang Ihres Prüfers zu den Systemen des Lieferanten.
Die Carve-out-Methode
Was es bedeutet: Die Kontrollen der Sub-Service Organization werden aus Ihrem SOC 2 Berichtsscope ausgeschlossen, aber der Bericht erkennt die Abhängigkeit an und verweist auf den eigenen SOC 2 Bericht des Lieferanten.
In der Praxis: Dies ist der Standardansatz für SaaS-Unternehmen. Sie identifizieren AWS als Sub-Service Organization, schließen sie aus Ihrem Scope aus und verweisen auf den eigenen SOC 2 Type II Bericht von AWS als Nachweis, dass deren Kontrollen angemessen sind.
Ihre Systembeschreibung muss alle Sub-Service Organizations klar identifizieren und angeben, welche Methode Sie jeweils verwenden.
Relevante Common Criteria
Lieferantenmanagement berührt mehrere Bereiche der SOC 2 Common Criteria.
CC2.3 — Kommunikation mit externen Parteien. Ihre Organisation muss mit externen Parteien — einschließlich Lieferanten — über Angelegenheiten kommunizieren, die das Funktionieren interner Kontrollen betreffen.
CC3.1 bis CC3.4 — Risikobewertung. Ihr Risikobewertungsprozess muss Risiken aus Drittanbieterbeziehungen berücksichtigen.
CC9.2 — Risikominderung. Dieses Kriterium adressiert spezifisch Lieferanten- und Geschäftspartner-Risiko.
Aufbau eines Lieferantenmanagement-Programms
Ein SOC 2-konformes Lieferantenmanagement-Programm hat vier Phasen: Inventar, Due Diligence, vertragliche Ausrichtung und laufende Überwachung.
Schritt 1: Lieferanteninventar
Sie können nicht managen, was Sie nicht identifiziert haben. Beginnen Sie mit einem vollständigen Inventar jedes Lieferanten, der mit Ihren Systemen oder Daten interagiert.
Wie Sie es aufbauen: Arbeiten Sie mit Engineering, IT, Finanzen und Abteilungsleitern zusammen, um jedes Tool, jeden Service und jede Plattform zu katalogisieren. Finanzunterlagen (Rechnungen, Abonnements) sind die zuverlässigste Quelle.
Nach Risikostufe klassifizieren:
- Kritisch: Lieferanten, die Ihre Produktionsinfrastruktur hosten, Kundendaten verarbeiten oder erhebliche Geschäftsunterbrechung verursachen würden, wenn sie nicht verfügbar wären
- Hoch: Lieferanten, die auf sensible Daten zugreifen oder sicherheitskritische Dienste erbringen
- Mittel: Lieferanten, die auf interne Daten zugreifen, aber nicht auf Kundendaten
- Niedrig: Lieferanten ohne Datenzugriff und minimale Systeminteraktion
Shadow-IT ist die größte Lücke in den meisten Lieferanteninventaren. Engineering-Teams richten SaaS-Tools mit einer Kreditkarte ein und informieren nie die Sicherheitsabteilung.
Schritt 2: Due Diligence
Für kritische und hochriskante Lieferanten:
- Deren SOC 2 Type II Bericht anfordern. Ein aktueller SOC 2 Type II Bericht ist der Goldstandard.
- Den Bericht gründlich prüfen. Nicht nur bestätigen, dass er existiert. Das Gutachten des Prüfers lesen, auf Einschränkungen oder Ausnahmen prüfen und — kritisch — die Complementary User Entity Controls (CUECs) lesen. CUECs sind Kontrollen, die der Lieferant von Ihnen erwartet zu implementieren.
- Sicherheitsfragebögen bewerten. Für Lieferanten ohne SOC 2 Berichte standardisierte Fragebögen verwenden.
- Unterauftragsverarbeiter prüfen. Ob der Lieferant seine Unterauftragsverarbeiter offenlegt und wie er deren Risiko managt. Dies ist besonders relevant, wenn Sie auch der DSGVO unterliegen.
- Business Continuity bewerten. Die DR-Fähigkeiten des Lieferanten, SLA-Verpflichtungen und historische Verfügbarkeit verstehen.
Für mittelriskante Lieferanten: SOC 2 Bericht oder ISO 27001 Zertifikat anfordern, Sicherheitsfragebogen senden.
Für niedrigriskante Lieferanten: Grundlegende Sicherheitspraktiken bestätigen, Risikoakzeptanz-Begründung dokumentieren.
Schritt 3: Vertragliche Anforderungen
Sicherheitsanforderungen. Verträge mit kritischen und hochriskanten Lieferanten sollten Sicherheitserwartungen spezifizieren.
Auftragsverarbeitungsverträge. Wenn der Lieferant personenbezogene Daten verarbeitet — insbesondere bei Kunden in der EU — benötigen Sie einen Auftragsverarbeitungsvertrag (AVV). Siehe DSGVO-AVV-Leitfaden.
Prüfungsrecht. Vertragliche Bestimmungen einbeziehen, die Ihnen das Recht geben, die Sicherheitspraktiken des Lieferanten zu prüfen.
Meldung von Vorfällen. Lieferanten verpflichten, Sie innerhalb eines definierten Zeitrahmens über Sicherheitsvorfälle zu benachrichtigen — 24 bis 72 Stunden ist Standard.
Datenhandhabung und -löschung. Definieren, wie der Lieferant Ihre Daten speichert, verarbeitet und letztlich löscht.
Schritt 4: Laufende Überwachung
Initiale Due Diligence reicht nicht aus. SOC 2 erfordert laufende Überwachung Ihrer Lieferantenbeziehungen.
Jährliche SOC 2 Berichtsprüfung. Für kritische und hochriskante Lieferanten den aktualisierten Bericht jährlich bei Veröffentlichung prüfen.
Sicherheitsvorfälle der Lieferanten verfolgen. Öffentliche Offenlegungen von Lieferantenverletzungen überwachen.
Wesentliche Änderungen überwachen. Lieferantenübernahmen, Führungswechsel, Unterauftragsverarbeiter-Ergänzungen und bedeutende Serviceänderungen beobachten.
Periodische Neubewertung basierend auf Risikostufe.
Was Prüfer testen
Vollständigkeit des Lieferanteninventars. Prüfer werden Ihr Inventar gegen andere Nachweisquellen vergleichen.
Nachweis der Due Diligence. Für kritische Lieferanten erwarten Prüfer dokumentierte Bewertungen.
SOC 2 Berichtsprüfungen. Prüfer werden verifizieren, dass Sie Lieferanten-SOC 2 Berichte tatsächlich gelesen haben.
Vertragliche Vereinbarungen. Prüfer werden Lieferantenverträge stichprobenartig auf Sicherheitsbestimmungen prüfen.
Überwachungsaktivitäten. Für Type II Berichte benötigen Prüfer Nachweise laufender Überwachung über den gesamten Beobachtungszeitraum.
Häufige Fallstricke
Nicht alle Lieferanten erfassen. Shadow-IT ist der größte Übeltäter.
SOC 2 Type I akzeptieren, wenn Type II verfügbar ist. Wenn ein Lieferant einen Type II hat, fordern Sie immer diesen an.
CUECs nicht prüfen. CUECs sind Kontrollen, die ein Lieferant von Ihnen erwartet.
Lieferanten übersehen, die mitten im Audit-Zeitraum hinzugefügt wurden.
Kein Prozess für Lieferanten-Offboarding.
Lieferantenmanagement als jährliches Projekt behandeln. Lieferantenmanagement ist kontinuierlich. Verknüpfen Sie es mit Ihrem Continuous-Monitoring-Programm.
Wie GRCTrail hilft
GRCTrail bietet SaaS-Teams ein strukturiertes, prüfbares Lieferantenmanagement-Programm, das SOC 2 Anforderungen ohne ausufernde Tabellen erfüllt.
- Zentralisiertes Lieferantenverzeichnis mit Risikoklassifizierung
- SOC 2 Berichtssammlung und Review-Tracking, das aufzeichnet, wer welchen Bericht wann geprüft hat
- Automatische Erinnerungen für jährliche Reviews basierend auf Lieferanten-Risikostufe
- Vertrags- und AVV-Management verknüpft mit jedem Lieferantendatensatz
- Überwachung von Unterauftragsverarbeiter-Änderungen, die Sie benachrichtigt, wenn Lieferanten ihre Listen aktualisieren
Verwandte Leitfäden
Verwandte Artikel
Der SOC 2 Audit-Prozess: Zeitplan, Schritte und was Sie erwartet
Eine schrittweise Anleitung zum SOC 2 Audit-Prozess, von der Auswahl eines Prüfers bis zum Erhalt Ihres Berichts. Behandelt Zeitpläne, Vorbereitung und was Prüfer bewerten.
SOC 2 Common Criteria (CC) Kontrollen erklärt
Eine detaillierte Aufschlüsselung aller neun SOC 2 Common-Criteria-Kategorien (CC1-CC9), was jede erfordert und wie SaaS-Unternehmen Kontrollen für jede implementieren sollten.
SOC 2 Compliance-Checkliste für SaaS-Unternehmen
Eine umfassende SOC 2 Compliance-Checkliste, die jeden Schritt von der Scoping-Phase bis zum Audit-Abschluss abdeckt. Erstellt für SaaS-Teams, die sich auf ihren ersten oder nächsten SOC 2 Bericht vorbereiten.