ISMS Copilot
Unterstützte Frameworks

SOC 2-Konformität für Dienstleister

SOC 2 (System and Organization Controls 2) ist ein vom American Institute of CPAs (AICPA) entwickelter Prüfungsstandard für Dienstleister, die Kundendaten speichern, verarbeiten oder übertragen. Ein SOC 2-Bericht zeigt, dass Ihr Unternehmen Kontrollen zum Schutz von Kundendaten gemäß fünf Trust Service Criteria (Vertrauensdienstekriterien) implementiert hat: Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz.

SOC 2 ist spezifisch für Dienstleister konzipiert. Wenn Sie Produkte herstellen oder keine Kundendaten in einer Dienstleistungsfunktion handhaben, trifft SOC 2 möglicherweise nicht auf Sie zu.

Wer benötigt SOC 2?

SOC 2 wird in der Regel für folgende Akteure gefordert oder erwartet:

  • SaaS-Unternehmen: Anbieter von Cloud-Software, die Kundendaten verarbeiten

  • Cloud-Infrastrukturanbieter: Anbieter von Hosting-, Speicher- und Rechendiensten

  • Datenverarbeiter: Analyseplattformen, CRM-Systeme, Zahlungsabwickler

  • Managed Service Provider: IT-Support, Sicherheitsüberwachung, Backup-Dienste

  • Unterauftragsverarbeiter: Drittanbieterdienste, die von anderen Dienstleistern genutzt werden

Enterprise-Kunden und regulierte Branchen verlangen oft SOC 2-Berichte, bevor sie Verträge unterzeichnen. Er hat sich zum De-facto-Standard für Sicherheitsbewertungen von B2B-SaaS-Anbietern entwickelt.

SOC 2-Berichtstypen

Es gibt zwei SOC 2-Berichtstypen:

Typ I: Bewertet das Design der Kontrollen zu einem einzelnen Zeitpunkt

  • Schneller und kostengünstiger (1–3 Monate)

  • Beweist, dass Sie angemessene Kontrollen konzipiert haben

  • Prüft nicht, ob die Kontrollen über einen längeren Zeitraum effektiv funktionieren

  • Begrenzter Wert für reife Organisationen oder anspruchsvolle Kunden

Typ II: Bewertet das Design und die Wirksamkeit der Kontrollen über einen Zeitraum (in der Regel 6–12 Monate)

  • Erfordert 3–12 Monate an operativen Nachweisen

  • Der Auditor prüft, ob die Kontrollen während des gesamten Zeitraums konsistent funktionierten

  • Goldstandard für die Bewertung von Anbietern

  • Wird jährlich durch kontinuierliche Überwachung erneuert

Die meisten Enterprise-Kunden verlangen SOC 2 Typ II. Ziehen Sie den Start mit Typ I nur in Betracht, wenn Sie einen schnelleren Zeitplan benötigen und planen, Typ II innerhalb von 6–12 Monaten anzustreben.

Die fünf Trust Service Criteria

SOC 2-Berichte können eines oder mehrere Kriterien abdecken, basierend auf Ihrer Dienstleistung und den Kundenbedürfnissen:

Sicherheit (obligatorisch):

  • Schutz gegen unbefugten Zugriff (logisch und physisch)

  • Firewalls, Verschlüsselung, Zugriffskontrollen, Intrusion Detection

  • Schwachstellenmanagement und Patch-Management

  • Alle SOC 2-Berichte müssen das Kriterium Sicherheit enthalten

Verfügbarkeit (optional):

  • System-Uptime und Leistungsüberwachung

  • Incident Response und Disaster Recovery

  • Kapazitätsplanung und Redundanz

  • Relevant für SaaS-Plattformen, bei denen die Uptime vertraglich zugesagt wird

Prozessintegrität (optional):

  • Die Systemverarbeitung ist vollständig, gültig, genau, zeitnah und autorisiert

  • Datenvalidierung, Fehlerbehandlung, Transaktionsüberwachung

  • Relevant für Zahlungsabwickler, Finanzsysteme, Datentransformationsdienste

Vertraulichkeit (optional):

  • Schutz von vertraulichen Informationen, die durch Vereinbarungen oder Datenklassifizierung festgelegt wurden

  • Verschlüsselung im Ruhezustand und bei der Übertragung, Datenzugriffskontrollen, NDAs

  • Relevant beim Umgang mit Geschäftsgeheimnissen, proprietären Algorithmen oder klassifizierten Kundendaten

Datenschutz / Privacy (optional):

  • Erhebung, Nutzung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten gemäß Datenschutzerklärung und DSGVO-Prinzipien

  • Datenschutzrichtlinien, Zustimmungsmanagement, Betroffenenrechte

  • Relevant bei der Verarbeitung personenbezogener Daten (PII)

Die meisten Organisationen streben Sicherheit + Verfügbarkeit oder Sicherheit + Vertraulichkeit als Ausgangspunkt an.

Gängige SOC 2-Kontrollen

Obwohl SOC 2 nicht so präskriptiv ist wie ISO 27001, bewerten Audits typischerweise Kontrollen in diesen Bereichen:

  • Zugriffskontrolle: MFA, rollenbasierter Zugriff, Bereitstellung/Entzug von Berechtigungen, Passwortrichtlinien

  • Änderungsmanagement: Code-Review, Tests, Genehmigung von Deployments, Rollback-Verfahren

  • Systemüberwachung: Protokollierung, Alarmierung, SIEM, Leistungsüberwachung

  • Lieferantenmanagement: Sorgfaltsprüfung von Unterauftragsverarbeitern, Vertragsprüfung, jährliche Bewertungen

  • Risikobewertung: Jährliche Risikobewertungen, Bedrohungsmodellierung, Schwachstellen-Scanning

  • Incident Response: Erkennung, Eskalation, Behebung, Postmortems

  • Backup und Wiederherstellung: Backup-Häufigkeit, Wiederherstellungstests, RPO/RTO-Dokumentation

  • Physische Sicherheit: Zutrittskontrollen für Rechenzentren, Protokollbücher, Besuchermanagement

  • HR-Sicherheit: Hintergrundüberprüfungen, Sicherheitsschulungen, Offboarding-Verfahren

  • Verschlüsselung: Daten im Ruhezustand, Daten bei der Übertragung, Schlüsselmanagement

SOC 2-Prüfungsprozess

Das Erreichen der SOC 2-Konformität folgt in der Regel diesem Zeitplan:

  1. Bereitschaftsbewertung (1–2 Monate): Gap-Analyse gegenüber den Trust Service Criteria, Identifizierung fehlender Kontrollen

  2. Behebung (2–6 Monate): Implementierung fehlender Kontrollen, Dokumentation von Richtlinien und Verfahren

  3. Pre-Audit (optional): Beauftragung eines Auditors für eine vorläufige Überprüfung und Feedback

  4. Beobachtungszeitraum (6–12 Monate für Typ II): Sammeln von Nachweisen für den Betrieb der Kontrollen

  5. Audit-Feldarbeit (4–8 Wochen): Auditor testet Kontrollen, interviewt Personal, prüft Nachweise

  6. Berichtserstellung: SOC 2-Bericht wird erstellt und unter NDA mit Kunden geteilt

  7. Jährliche Erneuerung: Kontinuierliche Überwachung und jährliche Re-Audits

Die erstmalige Erlangung von SOC 2 Typ II kann vom Start bis zur Berichtsübergabe 9–18 Monate dauern.

SOC 2-Berichte sind vertraulich und werden unter NDA geteilt. Im Gegensatz zu ISO 27001-Zertifikaten dürfen Sie den SOC 2-Status ohne Erlaubnis des Kunden nicht öffentlich bewerben.

Nachweise und Dokumentation

Auditoren fordern Nachweise an, die den Betrieb der Kontrollen belegen, darunter:

  • Richtlinien und Verfahren: Informationssicherheitsrichtlinie, Zugriffskontrolle, Incident Response, Änderungsmanagement, Richtlinien zur akzeptablen Nutzung

  • Operative Nachweise: Systemprotokolle, Zugriffsprüfungen, Berichte über Schwachstellen-Scans, Penetrationstestergebnisse, Change-Tickets, Incident-Tickets

  • Lieferantenbewertungen: SOC 2-Berichte von Unterauftragsverarbeitern, Sicherheitsfragebögen, Vertragsauszüge

  • Schulungsnachweise: Abschluss von Sicherheitsbewusstseinsschulungen, Bestätigungsformulare

  • Risikoartefakte: Risikobewertungen, Risikoregister, Behandlungspläne

  • Geschäftskontinuität: Disaster-Recovery-Pläne, Backup-Wiederherstellungstests, Tabletop-Übungen

Sie müssen Beispielnachweise über den gesamten Beobachtungszeitraum vorlegen (z. B. 12 monatliche Schwachstellen-Scans für einen Typ II-Bericht).

Auswahl eines Auditors

Wählen Sie eine bei der AICPA lizenzierte Wirtschaftsprüfungsgesellschaft mit SOC 2-Erfahrung in Ihrer Branche:

  • Überprüfen Sie, ob die Kanzlei bei der AICPA registriert ist und über Peer-Review-Referenzen verfügt

  • Fragen Sie nach Referenzen von SaaS-Unternehmen ähnlicher Größe

  • Vergleichen Sie die Preise (Typ-II-Audits kosten je nach Umfang und Unternehmensgröße typischerweise 20.000 bis 75.000 $ oder mehr)

  • Bestätigen Sie die technische Expertise des Audit-Teams in Bezug auf Ihren Tech-Stack

Beliebte SOC 2-Auditoren sind A-LIGN, Sensiba San Filippo, Moss Adams und Deloitte (für Konzerne).

SOC 2 vs. ISO 27001

Organisationen vergleichen oft diese beiden Standards:

Aspekt

SOC 2

ISO 27001

Geographie

USA-zentriert (AICPA-Standard)

International (ISO-Standard)

Anwendbarkeit

Nur Dienstleister

Jede Organisation

Ergebnis

Vertraulicher Audit-Bericht

Öffentliches Zertifikat

Kontrollen

Flexibel (vom Auditor bestimmt)

Präskriptiv (93 Kontrollen in Annex A)

Kosten

20.000–75.000 $+ pro Jahr

15.000–100.000 $+ pro Jahr

Zeitplan

9–18 Monate (Typ II)

6–12 Monate

Viele Unternehmen streben beides an: SOC 2 für US-Kunden, ISO 27001 für europäische Kunden und öffentliche Glaubwürdigkeit.

Wie ISMS Copilot hilft

ISMS Copilot kann die SOC 2-Bereitschaft und -Konformität unterstützen:

  • Erstellung von Richtlinien: Erstellen Sie Richtlinien, die auf die Trust Service Criteria abgestimmt sind (Informationssicherheit, Zugriffskontrolle, Incident Response, Änderungsmanagement)

  • Gap-Analyse: Laden Sie bestehende Richtlinien hoch, um fehlende Kontrollen für Ihre gewählten Kriterien zu identifizieren

  • Risikobewertung: Erstellen Sie Frameworks zur Risikobewertung, um das Kriterium Sicherheit zu unterstützen

  • Kontroll-Mapping: Fragen Sie nach spezifischen Kontrollen für Sicherheit, Verfügbarkeit, Vertraulichkeit oder Datenschutz

  • Vorlagen für Nachweise: Entwickeln Sie Checklisten, Runbooks und Verfahrensdokumentationen

  • Lieferantenfragebögen: Bereiten Sie Antworten auf Sicherheitsfragebögen für Kunden vor, die Ihren SOC 2-Status abfragen

Obwohl ISMS Copilot kein dediziertes Wissen zu SOC 2 Trust Service Criteria besitzt, können Sie nach allgemeinen Sicherheitskontrollen und Best Practices fragen, die mit den SOC 2-Anforderungen übereinstimmen.

Versuchen Sie zu fragen: „Erstelle eine Zugriffskontrollrichtlinie für ein SaaS-Unternehmen“ oder „Welche Kontrollen sollte ich für die Überwachung der Systemverfügbarkeit implementieren?“

Erste Schritte

Zur Vorbereitung auf SOC 2 mit ISMS Copilot:

  1. Bestimmen Sie, welche Trust Service Criteria für Ihren Dienst gelten (mindestens: Sicherheit)

  2. Erstellen Sie einen dedizierten Workspace für Ihr SOC 2-Projekt

  3. Führen Sie eine Gap-Analyse durch, um fehlende Kontrollen zu identifizieren

  4. Nutzen Sie die KI, um Kernrichtlinien zu erstellen (Informationssicherheit, Zugriffskontrolle, Incident Response, Änderungsmanagement, akzeptable Nutzung)

  5. Entwickeln Sie operative Verfahren für wichtige Kontrollbereiche (Zugriffsprüfungen, Schwachstellenmanagement, Backup-Tests)

  6. Beginnen Sie mit dem Sammeln von Nachweisen (Protokolle, Tickets, Schulungsnachweise) für Ihren Beobachtungszeitraum

  7. Beauftragen Sie einen SOC 2-Auditor für die Bereitschaftsbewertung und Zeitplanung

Weiterführende Ressourcen

  • AICPA Trust Service Criteria (offizielles Framework)

  • Verzeichnisse von SOC 2-Auditoren (AICPA-Mitgliedskanzleien)

  • Plattformen zur Compliance-Automatisierung (Vanta, Drata, Secureframe)

War das hilfreich?