„Habt ihr SOC 2?" — die Frage kommt fast reflexartig aus US-getriebenen Einkaufsprozessen. Die ehrliche Antwort lautet oft: Braucht ihr es wirklich?
SOC 2 ist ein glaubwürdiges Attestat — aber ein US-Rahmenwerk (AICPA). In Europa, und gerade in der Schweiz, liegt der etablierte Stack woanders: ISO 27001 für das Informationssicherheits-Management, ISAE 3402 für die Kontrollen rund um ausgelagerte Dienstleistungen.
Wer ISO 27001 und ISAE 3402 zertifiziert ist, deckt einen Grossteil dessen, was ein SOC-2-Audit prüft, bereits ab — oft mit erheblicher Überlappung der Kontrollen.
Wann SOC 2 trotzdem Sinn ergibt: wenn der Markt es schlicht erwartet — US-Kunden, US-Investoren, Procurement-Prozesse, die ISO nicht als gleichwertig akzeptieren. Dann ist es eine Vertriebsentscheidung, keine Sicherheitsentscheidung.
Was es nicht ist: ein Sicherheits-Upgrade „on top". Drei parallele Zertifizierungen machen ein Unternehmen nicht sicherer, nur beschäftigter.
Compliance-Frameworks sind Werkzeuge, keine Trophäen. Die Frage ist nicht „welche haben wir", sondern „welches verlangt unser Markt — und deckt das Vorhandene es nicht ohnehin ab?"
Wie geht ihr mit der SOC-2-Frage um?