Die nachgewiesene Einhaltung des SOC-2-Cybersicherheitsrahmens ist ein Ehrenzeichen für Technologieunternehmen.

System and Organization Controls 2 wurde von der Association of International Certified Professional Accountants entwickelt, um die Einhaltung bestimmter Kriterien für Treuhanddienste zu messen, und ist ein Goldstandard für Unternehmen wie Kinsta, die die Daten anderer Unternehmen in der Cloud hosten.

Kinsta begann im Herbst 2022 mit dem Nachweis der SOC 2-Konformität und wurde im August 2023 erfolgreich nach den Kernkriterien des Standards für Sicherheitsdienstleistungen geprüft. Auf dem Weg dorthin lernte das Kinsta-Team ein wenig über die Vorbereitung auf ein SOC 2-Audit.

Außerdem haben wir festgestellt, dass wir unsere Systeme noch sicherer machen können, als sie ohnehin schon sind.

Wenn dein Unternehmen eine SOC 2-Prüfung in Erwägung zieht, teilen wir gerne unsere Erkenntnisse mit dir.

Was ist SOC 2 und was beinhaltet die Zertifizierung?

SOC 2 ist eine Reihe von Informationssicherheitsstandards, die Unternehmen auf freiwilliger Basis einhalten können. Das geschieht, indem ein Unternehmen seine Arbeitsweise an die SOC 2-Standards anpasst.

„Wir hatten einige Kunden, die Kinsta nicht mehr in Betracht zogen, als sie erfuhren, dass wir die Einhaltung der SOC 2-Standards nicht nachweisen konnten.“

– Jon Penland, Kinsta Chief Operating Officer

Jon Penland, Chief Operating Officer bei Kinsta und federführend bei den SOC 2-Bemühungen, sagt, dass die AICPA-Kriterien allgemein genug sind, um auf die meisten Organisationen anwendbar zu sein. Es liegt an jeder Organisation – mit Unterstützung einer unabhängigen, von der AICPA akkreditierten CPA-Firma -, die für ihren Betrieb spezifischen Kontrollen zu entwickeln und zu implementieren.

Das SOC 2-Rahmenwerk umfasst fünf Leistungskriterien: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Penland sagt dazu: „Da wir zum ersten Mal ein SOC 2-Programm eingeführt haben, haben wir uns bei unserer ersten SOC 2-Prüfung auf die wichtigsten Sicherheitskriterien konzentriert.“

Das Endergebnis ist ein SOC 2-Auditbericht. Unternehmen können zwei verschiedene Arten von Berichten erhalten:

  • Typ I: Dieser Bericht weist nach, dass ein Unternehmen ausreichende Kontrollen entwickelt und umgesetzt hat, um den SOC 2-Standard zu erfüllen. Es handelt sich dabei um eine Art „Momentaufnahme“, die nur bestätigt, dass ein Unternehmen angemessene Kontrollen entwickelt und implementiert hat, aber nicht, dass das Unternehmen diese Kontrollen über einen bestimmten Zeitraum hinweg eingehalten hat.
  • Typ II: Dieser Bericht geht noch einen Schritt weiter und bestätigt, dass das Unternehmen die Kontrollen während eines bestimmten Zeitraums eingehalten hat. Während ein Bericht des Typs I eine „Momentaufnahme“ der Einhaltung der Kontrollen zu einem bestimmten Zeitpunkt darstellt, überprüft ein Bericht des Typs II die Einhaltung der Kontrollen über einen bestimmten Zeitraum.

Laut Penland hat sich Kinsta für einen Bericht des Typs II entschieden, der mit den Leistungen des Unternehmens in den drei Monaten ab dem 1. April 2023 beginnt.

Die Ergebnisse sind für Kunden auf der Seite Trust Report von Kinsta verfügbar.

Screenshot der Trust Report Seite von Kinsta
Die wichtigsten Elemente der Seite „Trust Report“ von Kinsta

Die Entscheidung, den SOC 2-Prozess zu starten

Penland sagt, dass Kinsta die Einhaltung der Vorschriften schon lange vor dem Start des SOC 2-Projekts im September 2022 auf dem Radar hatte.

„Wir hatten eine ganze Reihe von Kunden, die Kinsta nicht mehr in Betracht zogen, als sie erfuhren, dass wir die Einhaltung der SOC 2-Standards nicht nachweisen konnten“, sagt er. „Für viele Unternehmenskunden – und eine wachsende Zahl von KMUs – ist die Einhaltung von SOC 2 eine Anforderung, die sie an ihre Anbieter stellen.“

„Ohne SOC 2 wurden wir von vielen Kunden gebeten, umfangreiche Sicherheitsfragebögen auszufüllen, was viel Zeit und Ressourcen in Anspruch nehmen kann. Der SOC 2 Typ II-Bericht wird die Anzahl der Sicherheitsfragebögen, für die unser Team Zeit aufwenden muss, drastisch reduzieren.“

Außerdem, so Penland, „glaubten wir, dass ein Rahmenwerk wie SOC 2 uns helfen könnte, unsere Sicherheit auf greifbare und sinnvolle Weise zu verbessern.“

Auswahl einer GRC-Plattform und eines Prüfers für die SOC 2-Prüfung

„Wir erkannten, dass wir frühzeitig zwei wichtige Anbieter auswählen mussten“, sagt Penland. „Das war zum einen die GRC-Software (Governance, Risk und Compliance), mit der wir die Überwachung der Einhaltung der Vorschriften so weit wie möglich automatisieren wollten, und zum anderen die Wirtschaftsprüfungsgesellschaft, mit der wir unsere erste SOC 2-Prüfung durchführen wollten.“

„Wir beschlossen, zunächst die GRC-Software zu finden, die unseren Anforderungen am besten entsprach. Wir untersuchten mehr als ein Dutzend konkurrierende GRC-Lösungen, führten Gespräche mit acht Anbietern und testeten vier oder fünf verschiedene Plattformen. Nach wochenlanger Arbeit entschieden wir uns Ende 2022 für Vanta als unsere GRC-Plattform.“

Im Januar 2023 war Kinsta dabei, die internen Systeme mit den automatisierten Tools von Vanta zur Überwachung der Einhaltung von Vorschriften zu verbinden.

„Gleichzeitig begannen wir, uns nach möglichen Prüfern umzusehen“, sagt Penland. „Vanta hat eine Reihe von Prüfungspartnern, und wir beschlossen, unsere Suche auf diese Partner zu konzentrieren – denn wir wollten sichergehen, dass unser Prüfer mit Vanta vertraut ist und die von ihm gesammelten Nachweise akzeptiert. Nach Gesprächen mit verschiedenen Prüfern entschieden wir uns, dass BARR Advisory die richtige Wahl für Kinsta ist.“

Wie Kinsta die SOC 2-Prüfung einführte

Nachdem alle Beteiligten an Ort und Stelle waren, war der März ein arbeitsreicher Monat für das Kinsta-Team.

„Es gab viel zu tun für unsere Sicherheits-, IT-, Technik-, Entwicklungs-, Rechts- und HR-Teams“, sagt Penland. „Wir haben unzählige Meetings abgehalten, viele Richtlinien und Arbeitsabläufe aktualisiert, täglich asynchron in Slack an SOC 2 gearbeitet und uns regelmäßig mit Vanta und BARR ausgetauscht.“

„Als unser Beobachtungszeitraum am 1. April begann, gab es wenig zu bemerken und keine Fanfare. Das Interessante an SOC 2 ist, dass es gar nicht so viel Arbeit macht, die Vorschriften einzuhalten, wenn man seine Aktivitäten zur Einhaltung der Vorschriften operationalisiert hat. Die Vorbereitung auf die Einhaltung der Vorschriften und das Sammeln von Nachweisen für die Prüfung sind zwar aufwändig, aber wenn du die Kontrollen effektiv einhältst, läuft alles wie gewohnt, vorausgesetzt, du hast die SOC 2-Kontrollen in deinen Betrieb integriert.“

Penland: „In der zweiten Junihälfte hielten wir eine Reihe von Besprechungen mit unserem Prüfer ab, bei denen sie die gesammelten Nachweise durchgingen, um sicherzustellen, dass sie ein vollständiges Verständnis davon hatten, wie die Nachweise mit unseren vereinbarten Kontrollen zusammenhängen. Durch den Einsatz von Vanta haben wir zwar viel Zeit gespart, aber wir haben uns trotzdem viel Mühe gegeben, die Nachweise, die wir dem BARR vorgelegt haben, zu sammeln, zu ordnen und zu klären.“

Der erste SOC 2 Typ II-Bericht von Kinsta wurde am 15. August veröffentlicht.

Ein genauerer Blick auf die SOC 2-Kontrollen von Kinsta

Der erste SOC 2 Typ II-Bericht von Kinsta umfasst 38 verschiedene Kontrollen, die in verschiedene Kategorien unterteilt sind:

  1. Automatisierte Plattformtests: Da Kinsta die Cloud Platform von Google als Infrastrukturanbieter nutzt, wurden viele der Tests zur Sicherheit von GCP von Vanta automatisiert. „Sobald diese Tests eingerichtet waren, liefen sie im Hintergrund weiter, aber es war nicht einfach, sie einzurichten“, sagt Penland. „Wir haben buchstäblich Tausende von GCP-VMs, und unser Technikteam hat Berge versetzt, um all diese VMs richtig zu kategorisieren und zu organisieren, damit Vanta sie effektiv überwachen kann.“
  2. Policies: Vor dem SOC 2 verfügte Kinsta bereits über ein ziemlich robustes Regelwerk. „Die Herausforderung bestand darin, dass unsere Richtlinien nicht so aufgebaut waren, wie Vanta es erwartete“, sagt Penland. „Das bedeutete, dass wir unsere aktuellen Richtlinien mit der von Vanta erwarteten Konfiguration vergleichen und entscheiden mussten, wie wir die beiden angleichen konnten. Das erforderte einen enormen Koordinations- und Arbeitsaufwand – viel mehr als ich erwartet hatte – und war wahrscheinlich der zeitaufwändigste Schritt in diesem Prozess.“
  3. Arbeitsabläufe und Verfahren: „Es ist toll, eine Richtlinie zu haben, die besagt, dass alle Teammitglieder während der Einarbeitung eine Sicherheitsschulung absolvieren“, sagt Penland, „aber wenn du diese Richtlinie nicht in einen Arbeitsablauf integrierst, besteht die Gefahr, dass sie nicht eingehalten wird. Wir mussten viel Zeit damit verbringen, verschiedene Arbeitsabläufe zu durchdenken und sie mit Kontrollpunkten oder zusätzlichen Schritten zu aktualisieren, um sicherzustellen, dass wir die Verpflichtungen, die wir im Rahmen von SOC 2 eingegangen waren, auch einhalten.“
  4. Wiederkehrende Aufgaben: Es gibt mehrere wiederkehrende Aufgaben, die Kinsta im Auge behalten muss, um die SOC 2-Kontrollen zu erfüllen. Zu diesen Aufgaben gehören z.B. Disaster-Recovery- und Sicherheitsvorfall-Tabletop-Meetings, Penetrationstests, jährliche Richtlinienüberprüfungen und vieles mehr.

„SOC 2 beschreibt und kontrolliert die Abläufe in den Bereichen IT, Personal, Technik, Entwicklung und Sicherheit“, sagt Penland. „Es ist also wichtig, dass du Kontrollen entwickelst, die mit deinen tatsächlichen Abläufen übereinstimmen, oder dass du deine Abläufe so anpasst, dass sie mit den SOC 2-Kontrollen übereinstimmen. SOC 2 kann nicht nur etwas sein, das du einmal im Jahr machst – es muss deine tägliche Praxis sein.“

Rückblick auf die wichtigsten Lektionen, die wir gelernt haben

Laut Penland war der Schlüssel zum Erfolg des SOC 2-Projekts die konsequente Unterstützung durch das gesamte Führungsteam und damit auch durch den Rest des Unternehmens.

„Um das SOC 2-Projekt abzuschließen, mussten wir auf erhebliche Ressourcen zurückgreifen, vor allem in unseren technischen Teams – Entwicklung, Technik und Sicherheit“, sagt er. „Hätten unser CTO und die Leitung des Technikteams die Notwendigkeit dieses Prozesses nicht erkannt, wären wir untergegangen. Ein Ratschlag, den ich jedem Unternehmen geben kann, das über die Einführung von SOC 2 nachdenkt, ist, die Bedeutung von SOC 2 intern zu vermitteln und die oberste Führungsebene des Unternehmens davon zu überzeugen.“

„Ich denke, ein GRC-System zu finden, das die richtigen Integrationen und Funktionen hat, die zu deinem Unternehmen passen, ist ein guter Anfang“, fügt Penland hinzu. „Ich denke auch, dass es eine gute Idee ist, den Prüfer schnell zu finden und mit ihm zusammenzuarbeiten, bevor du denkst, dass du wirklich bereit bist. Die von unserem Prüfer im Vorfeld der Prüfung durchgeführte Arbeit war von unschätzbarem Wert, da sie uns geholfen hat, die genauen Schritte zu identifizieren, die wir unternehmen mussten, um für den Beginn unserer Beobachtungsphase bereit zu sein.“

Wichtig war auch die Wahl eines Prüfers, der mit Betrieben wie dem von Kinsta vertraut ist.

„Kinsta ist ein modernes Technologieunternehmen“, erklärt Penland. „Unser gesamtes Geschäft läuft über die Cloud, wir haben keine Büros und unser Team ist über die ganze Welt verteilt. „Hätten wir uns für einen Prüfer entschieden, der nur mit traditionellen, stationären Unternehmen und Infrastrukturen vor Ort zu tun hat, hätte das sowohl für uns als auch für den Prüfer eine sehr schlechte Erfahrung werden können.“

Zusammenfassung

Angesichts der wachsenden Zahl potenzieller Kunden, die von ihren Cloud-Hosting-Anbietern die Einhaltung von SOC 2 verlangen, verpflichtete sich Kinsta im Herbst 2022, die Sicherheitskriterien des Frameworks zu erfüllen, und absolvierte im August 2023 sein erstes erfolgreiches Audit. Auf dem Weg dorthin hat das Unternehmen zahlreiche Richtlinien und Verfahren verfeinert und eine Plattform eines Drittanbieters eingeführt, um einen Teil der Überwachung von Governance, Risiko und Compliance zu automatisieren.

Jon Penland, Chief Operating Officer von Kinsta, sagt, dass der Prozess der Vorbereitung auf die SOC-2-Berichterstattung dem Unternehmen auch die Möglichkeit gab, seine Sicherheitslage auf „greifbare und sinnvolle Weise“ zu verbessern

Das Unternehmen will die Anzahl der zu prüfenden SOC 2-Kriterien erweitern und die Überwachung der Einhaltung der Vorschriften zu einem kontinuierlichen Prozess machen.

Vergiss nicht, den SOC 2-Status von Kinsta auf der Seite Trust Report zu überprüfen.

Wenn du noch kein Kunde bist, entdecke die WordPress-Hosting-, Anwendungs-Hosting- und Datenbank-Hosting-Dienste, die durch die SOC 2-Konformität von Kinsta gesichert sind.

Steve Bonisteel Kinsta

Steve Bonisteel is a Technical Editor at Kinsta who began his writing career as a print journalist, chasing ambulances and fire trucks. He has been covering Internet-related technology since the late 1990s.