SOC 2: Vertrauen gegenüber Kunden belegen

Was ist SOC 2?

SOC 2 (System and Organization Controls 2) ist ein Rahmen, nach dem ein lizenzierter Wirtschaftsprüfer (CPA) die internen Kontrollen eines Dienstleisters bewertet. Grundlage sind die Trust Services Criteria (TSC):

• Security (Common Criteria): verpflichtende Grundlage jedes SOC-2-Berichts.
• Availability: Verfügbarkeit des Dienstes.
• Processing Integrity: korrekte und vollständige Verarbeitung.
• Confidentiality: Schutz vertraulicher Informationen.
• Privacy: Umgang mit personenbezogenen Daten.

Sie wählen, welche Kriterien über die Pflicht-Security hinaus in den Bericht aufgenommen werden – abhängig von Ihrem Dienst und den Erwartungen Ihrer Kunden. Der fertige Bericht wird in der Regel unter Vertraulichkeitsvereinbarung an Kunden und Interessenten weitergegeben.

Für wen ist SOC 2 relevant – und für wen nicht?

SOC 2 ist relevant für Sie, wenn …

… Sie ein Dienstleister sind, der Kundendaten verarbeitet oder hostet, und Ihre Kunden einen unabhängigen Nachweis Ihrer Sicherheitskontrollen erwarten. Typische Fälle:

• B2B-SaaS-Anbieter, besonders mit US-amerikanischen oder international tätigen Kunden,
• Cloud- und Hosting-Dienstleister,
• Anbieter, bei denen SOC 2 regelmäßig in Beschaffungs- und Sicherheitsfragebögen abgefragt wird.

In vielen B2B-Vertriebsprozessen ist ein SOC-2-Bericht heute eine faktische Voraussetzung, um überhaupt in die engere Auswahl zu kommen.

SOC 2 ist für Sie wahrscheinlich nicht vordringlich, wenn …

… Sie keine Kundendaten als Dienstleister verarbeiten oder Ihre Kunden den Nachweis nicht verlangen. Für rein nationale Kontexte, in denen Auftraggeber stattdessen ISO 27001 oder den BSI C5 erwarten, ist SOC 2 oft nachrangig.

Der Vorbehalt: SOC 2 ist marktgetrieben, nicht gesetzlich vorgeschrieben. Die Frage ist daher selten „Bin ich verpflichtet?“, sondern „Verlangen meine Zielkunden es – und verliere ich ohne den Bericht Geschäft?“.

Typ I oder Typ II – was ist der Unterschied?

• SOC 2 Typ I bewertet, ob die Kontrollen zu einem Stichtag angemessen gestaltet sind. Schneller zu erreichen, oft ein erster Schritt.
• SOC 2 Typ II bewertet zusätzlich, ob die Kontrollen über einen Zeitraum (häufig 3 bis 12 Monate) wirksam betrieben wurden. Typ II ist aussagekräftiger und das, was die meisten Kunden letztlich sehen wollen.

Die typische Herausforderung bei der SOC-2-Vorbereitung

• Belege über den gesamten Zeitraum. Bei Typ II muss die Wirksamkeit durchgängig nachgewiesen werden – nicht nur am Prüfungstag. Wer Belege erst kurz vorher sammelt, hat Lücken.
• Fragmentierte Nachweise. Zugriffsreviews, Change-Tickets, Onboarding-Belege, Vorfallaufzeichnungen – verteilt über viele Systeme.
• Doppelarbeit neben anderen Standards. Wer ohnehin ISO 27001 oder NIS2 umsetzt, pflegt vieles doppelt, weil die Nachweise nicht verknüpft sind.

Wie Sightadel die SOC-2-Vorbereitung vereinfacht

Sightadel ist das Compliance-Portal der Pervigon Security Suite. Es bildet die Trust Services Criteria als strukturierten Kontrollkatalog ab, dem Sie Maßnahmen, Verantwortliche und Nachweise zuordnen.

SOC 2 mit Sightadel in der Praxis

1. 1
   Scope festlegen.Welche Trust Services Criteria über Security hinaus gehören in den Bericht?
2. 2
   Zuordnen & Lücken schließen.Bestehende Kontrollen zuordnen, Gap-Analyse, priorisierter Maßnahmenplan.
3. 3
   Nachweise führen.Über den Typ-II-Zeitraum durchgängig Belege sammeln – wiederkehrend und nachvollziehbar.
4. 4
   Prüfung begleiten.Dem CPA den geforderten Stand strukturiert bereitstellen.

SOC-2-Bereitschaft als Zustand, nicht als Jahresprojekt

Ein SOC-2-Bericht ist ein wiederkehrender Nachweis über einen Zeitraum. Sightadel hält Ihre Kontrollen und Nachweise fortlaufend prüfbereit – damit jede neue Prüfperiode auf einem gepflegten Stand aufsetzt statt auf einer Sammelaktion.