Was ist der Hauptunterschied zwischen SOC 1 und SOC 2?

SOC 1 bewertet interne Kontrollen für die Finanzberichterstattung (ICFR) – relevant, wenn Ihre Dienstleistungen die Finanzabschlüsse Ihrer Kunden direkt beeinflussen, z. B. bei der Gehaltsabrechnung oder Finanzdatenverarbeitung. SOC 2 bewertet Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz (die Trust Services Criteria) – der Standard-Sicherheitsnachweis für SaaS-Unternehmen und Cloud-Anbieter.

Benötige ich SOC 1 oder SOC 2?

Sie benötigen SOC 1, wenn Ihre Dienstleistungen die Finanzberichterstattung Ihrer Kunden beeinflussen (z. B. Gehaltsabrechnung, Transaktionsverarbeitung, Finanzdaten-Hosting). Sie benötigen SOC 2, wenn Enterprise-Käufer einen Sicherheitsnachweis für Ihre SaaS-Plattform oder Cloud-Lösung verlangen. Viele Unternehmen benötigen beides.

Kann ich SOC 1 und SOC 2 gleichzeitig besitzen?

Ja. SOC 1 und SOC 2 dienen unterschiedlichen Zwecken und richten sich an unterschiedliche Zielgruppen. Ein Payroll-SaaS-Unternehmen benötigt SOC 1 für die externen Wirtschaftsprüfer seiner Kunden und SOC 2 für die Sicherheitsteams im Einkaufsprozess.

Was ist der Unterschied zwischen SOC 2 Typ 1 und Typ 2?

SOC 2 Typ 1 bewertet, ob Ihre Sicherheitskontrollen zu einem bestimmten Zeitpunkt angemessen gestaltet sind. SOC 2 Typ 2 bewertet, ob Ihre Kontrollen angemessen gestaltet UND über einen Beobachtungszeitraum von 6 bis 12 Monaten wirksam waren. Enterprise-Käufer verlangen in der Regel Typ 2.

Wie viel kostet eine SOC 2 Prüfung 2026?

Die Prüfungsgebühren für SOC 2 Typ 2 liegen typischerweise zwischen 15.000 und 60.000 USD. Die Gesamtkosten im ersten Jahr – inklusive Vorbereitung, Tooling und Prüfung – betragen für die meisten kleinen und mittleren Unternehmen 30.000 bis 150.000 USD.

Ist SOC 2 dasselbe wie ISO 27001?

Nein. SOC 2 ist ein Attestierungsbericht einer lizenzierten WP-Gesellschaft nach AICPA Trust Services Criteria – hauptsächlich für den US-Markt. ISO 27001 ist eine internationale Zertifizierung durch akkreditierte Stellen wie TÜV, DAkkS oder DEKRA. Für europäische Käufer und zur Erfüllung von NIS2/DORA ist ISO 27001 die bevorzugte Wahl.

SOC 1 vs SOC 2: Unterschiede, wer was braucht und wie Sie die richtige Wahl treffen

2026-03-25

By Orbiq Team

SOC 1 vs SOC 2: Unterschiede, wer was braucht und wie Sie die richtige Wahl treffen

SOC 1 prüft Kontrollen für die Finanzberichterstattung, SOC 2 prüft Sicherheit und Datenschutz. Hier erfahren Sie, welcher Bericht für Ihr Unternehmen relevant ist.

soc-2

soc-1

compliance

pruefung

trust-services-criteria

ssae-18

SOC 1 vs SOC 2: Unterschiede, wer was braucht und wie Sie die richtige Wahl treffen

SOC 1 und SOC 2 sind beides Attestierungsberichte nach dem SSAE-18-Standard, ausgestellt von unabhängigen Wirtschaftsprüfungsgesellschaften – sie verfolgen jedoch grundlegend unterschiedliche Ziele. Die Verwechslung beider Berichte ist einer der häufigsten Fehler im B2B-Einkaufsprozess wachsender Unternehmen.

SOC 1 betrifft Finanzberichterstattungskontrollen. SOC 2 betrifft Informationssicherheit. Beide existieren in einem Typ-1- und einem Typ-2-Variant. Viele Organisationen benötigen beide Berichte. Der richtige Weg hängt davon ab, wer Ihre Kunden sind, was Ihre Dienstleistungen umfassen und was die Wirtschaftsprüfer und Sicherheitsteams Ihrer Enterprise-Kunden verlangen.

Dieser Leitfaden behandelt alles: was jeder Bericht abdeckt, wer ihn benötigt, wie die Kosten verglichen werden und wie Sie die häufigsten Prüfungsfehler vermeiden.

Die wichtigsten Erkenntnisse

SOC 1 (nach SSAE 18 AT-C 320) bewertet interne Kontrollen für die Finanzberichterstattung. Er ist erforderlich, wenn Ihre Dienstleistungen die Finanzabschlüsse Ihrer Kunden direkt beeinflussen – Gehaltsabrechnung, Transaktionsverarbeitung, Buchhaltungsplattformen.
SOC 2 (nach SSAE 18 AT-C 105 und AT-C 205) bewertet Kontrollen in den Bereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Er ist der Standard-Sicherheitsnachweis für SaaS, Cloud-Infrastruktur und Managed-Service-Provider.
Beide Berichte existieren in zwei Varianten: Typ 1 bewertet die Gestaltung von Kontrollen zu einem bestimmten Zeitpunkt; Typ 2 bewertet sowohl Gestaltung als auch Wirksamkeit über 6 bis 12 Monate. Enterprise-Käufer verlangen routinemäßig Typ 2.
Die Prüfungsgebühren für SOC 2 Typ 2 liegen typischerweise zwischen 15.000 und 60.000 USD. Die Gesamtkosten im ersten Jahr (Vorbereitung, Tooling, Prüfung) belaufen sich auf 30.000 bis 150.000 USD [1].
SOC 2 und ISO 27001 weisen erhebliche Kontrollüberschneidungen auf – gemeldete Überschneidungen reichen je nach Umfang von 43 bis über 90 Prozent, was eine Doppelzertifizierung deutlich effizienter macht, als beide Frameworks von Grund auf aufzubauen [2].
Die häufigste Ursache für SOC-2-Prüfungsausnahmen ist fehlendes oder unvollständiges Beweismaterial für bestimmte Monate im Prüfungszeitraum – ein Problem, das Automatisierungsplattformen strukturell lösen [3].

Was ist SOC 1?

SOC 1 (System and Organization Controls 1) ist ein Attestierungsbericht, der sich auf interne Kontrollen für die Finanzberichterstattung (ICFR) konzentriert. Er ist der Nachfolger des SSAE-16-Standards (der seinerseits SAS 70 ablöste) und wird derzeit durch SSAE 18 AT-C 320 geregelt.

Ein SOC-1-Bericht ist relevant, wenn eine Dienstleistungsorganisation Services erbringt, die die Finanzabschlüsse ihrer Kundenunternehmen wesentlich beeinflussen könnten – und wenn die externen Wirtschaftsprüfer dieser Kunden Nachweise darüber benötigen, dass die Kontrollen der Dienstleistungsorganisation ordnungsgemäß funktionieren.

Was SOC 1 bewertet

SOC 1 schreibt keine spezifischen Kontrollen vor. Stattdessen definiert die Dienstleistungsorganisation eigene Kontrollziele – die Zielsetzungen, die ihre Kontrollen erreichen sollen – und der Prüfer überprüft, ob diese Kontrollen die definierten Ziele erfüllen.

Typische Kontrollziele in einer SOC-1-Prüfung umfassen:

Genauigkeit der Transaktionsverarbeitung – Werden Finanztransaktionen vollständig und korrekt verarbeitet?
Datenintegrität – Sind Daten vor unbefugten Änderungen geschützt?
Zugangskontrollen – Dürfen nur autorisierte Benutzer Transaktionen initiieren, genehmigen oder erfassen?
Änderungsmanagement – Werden Änderungen an Systemen, die Finanzdaten verarbeiten, kontrolliert und genehmigt?
Datensicherung und Wiederherstellung – Kann die Organisation Finanzdaten im Störungsfall wiederherstellen?

Wer benötigt SOC 1?

SOC-1-Berichte werden von Unternehmen benötigt, deren Dienstleistungen die ICFR ihrer Kunden direkt beeinflussen, darunter:

Gehaltsabrechnungsdienstleister – Berechnung, Einbehaltung und Auszahlung von Gehältern betrifft die Lohnbuchhaltung der Kunden
Finanzdatenverarbeitungsplattformen – Systeme, die Finanztransaktionen verarbeiten, erfassen oder übertragen
Fondsadministratoren – Investment-Buchhaltung, NAV-Berechnung und Handelsabwicklung
Managed-IT-Provider – Wenn IT-Dienstleistungen das Hosting oder die Verwaltung von Finanzanwendungen umfassen

Die Nachfrage nach SOC-1-Berichten kommt häufig von den externen Wirtschaftsprüfern der Kunden (z. B. Big-Four-Gesellschaften oder mittelgroße Prüfungsunternehmen), die im Rahmen ihrer eigenen Prüfung der Kundenabschlüsse Nachweise über Dienstleisterkontrollen benötigen.

Was ist SOC 2?

SOC 2 (System and Organization Controls 2) ist ein Attestierungsbericht, der die Kontrollen einer Dienstleistungsorganisation anhand der AICPA Trust Services Criteria bewertet. Er wird durch SSAE 18 AT-C 105 und AT-C 205 geregelt.

Im Gegensatz zu SOC 1 konzentriert sich SOC 2 nicht auf die Finanzberichterstattung, sondern auf den Schutz von Kundendaten und die Zuverlässigkeit der Leistungserbringung.

Die fünf Trust Services Criteria

SOC-2-Berichte sind um fünf Kriterien aufgebaut. Sicherheit ist obligatorisch; die anderen sind optional und werden basierend auf den Servicezusagen ausgewählt.

Kriterium	Was bewertet wird	Typische Anwendung
Sicherheit (Common Criteria)	Logische und physische Zugangskontrolle, Änderungsmanagement, Risikobewertung, Monitoring	Pflichtbestandteil jedes SOC-2-Berichts
Verfügbarkeit	System-Uptime, Performance, Notfallwiederherstellung	SaaS-Plattformen mit SLA-Verpflichtungen
Verarbeitungsintegrität	Vollständigkeit, Genauigkeit, Gültigkeit und Aktualität der Verarbeitung	Transaktions- und Datenverarbeitungsplattformen
Vertraulichkeit	Schutz vertraulicher Informationen	Plattformen mit vertraulichen Geschäftsdaten
Datenschutz	Erhebung, Nutzung, Aufbewahrung und Löschung personenbezogener Daten	Plattformen mit personenbezogenen Daten

Die meisten SaaS-Unternehmen wählen mindestens Sicherheit und Verfügbarkeit. Unternehmen, die personenbezogene Daten verarbeiten, ergänzen häufig das Datenschutz-Kriterium.

Wer benötigt SOC 2?

SOC 2 hat sich zum Standard-Sicherheitsnachweis für B2B-Softwareunternehmen entwickelt, insbesondere für:

SaaS-Unternehmen, die an US-amerikanische Unternehmen oder sicherheitsbewusste europäische Enterprise-Kunden verkaufen
Cloud-Infrastrukturanbieter und Managed-Service-Provider
Datenverarbeitungsunternehmen, die Kundendaten verarbeiten
B2B-Softwareunternehmen, bei denen Enterprise-Käufer formelle Sicherheitsbewertungen von Lieferanten durchführen

Der kommerzielle Treiber ist der Einkaufsprozess: Enterprise-Käufer – in der Regel Unternehmen mit mehr als 500 Mitarbeitern und dedizierten Sicherheitsteams – stellen SOC 2 als Voraussetzung in ihren Lieferantenauswahlprozessen. Ohne SOC-2-Bericht kann ein Verkaufsabschluss ins Stocken geraten oder bei jedem Kunden aufwendige manuelle Sicherheitsüberprüfungen erfordern.

SOC 1 vs SOC 2: Vollständiger Vergleich

Aspekt	SOC 1	SOC 2
Zweck	Interne Kontrollen für die Finanzberichterstattung (ICFR)	Sicherheits- und Datenschutzkontrollen
Anwendbarer Standard	SSAE 18 AT-C 320	SSAE 18 AT-C 105 und AT-C 205
Kriterienrahmen	Keine vorgeschriebenen Kriterien – Organisation definiert Kontrollziele	AICPA Trust Services Criteria (Sicherheit obligatorisch)
Ausgestellt von	Unabhängige lizenzierte WP-Gesellschaft	Unabhängige lizenzierte WP-Gesellschaft
Primäre Zielgruppe	Externe Wirtschaftsprüfer der Kunden	Sicherheits-, Einkaufs- und Compliance-Teams der Kunden
Berichtstypen	Typ 1 (Gestaltung) und Typ 2 (Gestaltung + Wirksamkeit)	Typ 1 (Gestaltung) und Typ 2 (Gestaltung + Wirksamkeit)
Typische Branchen	Gehaltsabrechnung, Finanzdatenverarbeitung, Fondsverwaltung	SaaS, Cloud-Services, Managed IT, Datenverarbeitung
Beobachtungszeitraum (Typ 2)	In der Regel 6 bis 12 Monate	In der Regel 6 bis 12 Monate; Erstzertifizierungen können kürzer ausfallen
Kosten (Typ-2-Prüfung)	15.000 bis 50.000 USD [4]	15.000 bis 60.000 USD [1]
Relevanz in Europa	Gering – hauptsächlich US-/UK-Marktanforderung	Mittel – US-Käufer verlangen es; europäische Käufer bevorzugen oft ISO 27001
ISO-27001-Überschneidung	Gering	Erhebliche Überschneidung (gemeldete 43–90 %+ je nach Umfang)

Typ 1 vs Typ 2: Was ist der Unterschied?

Sowohl SOC 1 als auch SOC 2 sind in zwei Typen erhältlich. Die gleiche Logik gilt für beide:

Typ 1 – Stichtagsbezogene Gestaltungsbewertung

Bewertet, ob Kontrollen zu einem bestimmten Datum angemessen gestaltet sind
Beantwortet die Frage: „Sind die richtigen Kontrollen vorhanden?"
Der Prüfer testet nicht, ob Kontrollen über einen Zeitraum hinweg betrieben wurden
Schneller zu erlangen – 2 bis 6 Wochen Prüfungsarbeit nach Bereitschaft
Geringere Kosten – typischerweise 5.000 bis 25.000 USD für SOC 2
Weniger wertvoll für Käufer – zeigt Absicht, keine nachhaltige Umsetzung
Geeignet als Einstieg auf dem Weg zu Typ 2

Typ 2 – Wirksamkeit über einen Zeitraum

Bewertet, ob Kontrollen angemessen gestaltet sind UND über einen Überprüfungszeitraum (typischerweise 6 bis 12 Monate) wirksam betrieben wurden
Beantwortet die Frage: „Funktionieren die Kontrollen tatsächlich und konsistent?"
Prüfungsfeld: 2 bis 6 Wochen nach dem Beobachtungszeitraum
Höhere Kosten – 15.000 bis 60.000 USD Prüfungsgebühr; 30.000 bis 150.000 USD Gesamtkosten im ersten Jahr für SOC 2
Der Standard, den Enterprise-Käufer erwarten – die meisten Einkaufschecklisten verlangen Typ 2

Die praktische Schlussfolgerung: Beginnen Sie den Beobachtungszeitraum erst, wenn Ihre Kontrollen tatsächlich betriebsbereit sind. Jede Ausnahme, die während des Beobachtungszeitraums auftritt, kann im Abschlussbericht erscheinen.

SOC 2 vs ISO 27001: Was europäische Unternehmen wissen müssen

Für europäische Unternehmen ist die Frage SOC 2 vs ISO 27001 ebenso relevant wie SOC 1 vs SOC 2.

Aspekt	SOC 2	ISO 27001
Primärer Markt	Vereinigte Staaten	International, insbesondere Europa
Ergebnis	Attestierungsbericht (WP-Gesellschaft)	Zertifizierung (akkreditierte Stelle: TÜV, DAkkS, DEKRA in DE; COFRAC in FR; RvA in NL)
Gültigkeit	Bericht umfasst einen 12-Monats-Zeitraum	Zertifikat gültig 3 Jahre mit jährlichen Überwachungsaudits
EU-Regulierungsausrichtung	Begrenzt – erfüllt NIS2- oder DORA-Anforderungen nicht	Stark – NIS2 und DORA referenzieren ISO-27001-Kontrollen direkt
Kontrollüberschneidung	—	Ca. 70 bis 80 Prozent der SOC-2-Kontrollen entsprechen ISO-27001-Anforderungen

Für europäische B2B-Unternehmen empfiehlt sich der Start mit der ISO-27001-Zertifizierung, um europäische Käufer sowie NIS2- und DORA-Anforderungen zu erfüllen. SOC 2 ergänzt, wenn der US-Enterprise-Markt adressiert werden soll.

Die Überschneidung beider Frameworks bedeutet, dass die Grenzkosten für die zweite Zertifizierung wesentlich geringer sind als ein kompletter Neuaufbau.

Warum SOC-2-Prüfungen scheitern – und wie Sie es vermeiden

SOC-2-Ausnahmen können einen Vertriebsabschluss stoppen oder in einem Bericht erscheinen, den Käufer aufmerksam lesen. Die häufigsten Prüfungsfehler [3][5]:

1. Fehlendes Beweismaterial für bestimmte Monate

Die häufigste Ursache für SOC-2-Typ-2-Ausnahmen. Die Nachweiserfassung ist oft inkonsistent – Kontrollen funktionieren korrekt, aber die Nachweise (Screenshots, Logs, Richtlinienbestätigungen) werden nicht zum richtigen Zeitpunkt erfasst.

Lösung: Nutzen Sie eine Compliance-Automatisierungsplattform, die Nachweise kontinuierlich erfasst und Kontrollen zuordnet. Fehlende Zugangsprüfungen eines Monats können nicht rückwirkend rekonstruiert werden.

2. Zugangskontrolle driftet

Ehemalige Mitarbeiter haben noch aktive Accounts. MFA ist nicht für alle Produktionssysteme aktiviert. Quartalsweise Zugangsprüfungen werden ausgelassen. Diese Ausnahmen erscheinen am häufigsten in eingeschränkten Prüfungsurteilen.

Lösung: Automatisieren Sie Zugangsprüfungen und verbinden Sie Ihre Compliance-Plattform mit Ihrem Identity-Provider.

3. Lieferantenrisiko nicht dokumentiert

Die meisten SaaS-Plattformen verlassen sich auf Dutzende von Sub-Prozessoren. Prüfer überprüfen, ob Sie diese Lieferanten sicherheitstechnisch bewertet haben und ob angemessene vertragliche Schutzmaßnahmen bestehen.

Lösung: Führen Sie ein Lieferantenverzeichnis mit aktuellen Sicherheitsbewertungen. Ihre Prozesse zum Lieferantenrisikomanagement sollten dokumentiert und regelmäßig aktualisiert werden.

4. Incident-Response-Plan nie getestet

Einen Incident-Response-Plan zu haben ist Pflicht. Nachweise zu haben, dass dieser getestet wird (Tabletop-Übungen, Simulationen), ist der Unterschied zwischen einem sauberen Urteil und einer Ausnahme.

Lösung: Planen und dokumentieren Sie mindestens eine Incident-Response-Übung pro Jahr.

5. Scope-Änderungen während der Prüfung

Änderungen des Prüfungsumfangs nach Beginn des Beobachtungszeitraums erzeugen Dokumentationslücken, die schwer zu schließen sind.

Lösung: Definieren und fixieren Sie den Umfang, bevor der Beobachtungszeitraum beginnt.

Wie Orbiq SOC-1- und SOC-2-Compliance unterstützt

Orbiq reduziert den Vorbereitungsaufwand für SOC-1- und SOC-2-Prüfungen:

Kontinuierliche Nachweiserfassung: Automatisierte Nachweiserfassung aus Cloud-Infrastruktur, Identity-Providern und Sicherheits-Tools – zugeordnet zu SOC-2-Trust-Services-Criteria und SOC-1-Kontrollzielen
Kontrollüberwachung: Echtzeit-Transparenz über den Kontrollstatus – Ausnahmen werden vor der Prüfung erkannt
Trust Center: Veröffentlichen Sie Ihren SOC-2-Bericht und Ihre Sicherheitskontrollen für den Einkaufsprozess von Käufern
KI-gestützte Fragebögen: Beantworten Sie Sicherheitsfragebögen von Käufern mit bereits erfassten Compliance-Nachweisen
Multi-Framework-Unterstützung: Ordnen Sie Ihre Kontrollen gleichzeitig SOC 2, ISO 27001, NIS2 und DORA zu

Weiterführende Lektüre

SOC-2-Compliance – Vollständiger Leitfaden — Tiefgang zu Trust Services Criteria, Prüfungsprozess und häufigen Kontrollen
ISO-27001-Zertifizierung – Der vollständige Leitfaden — Wie ISO 27001 mit SOC 2 verglichen wird und warum europäische Unternehmen hier beginnen
Was ist ein ISMS? — Das Managementsystem, das sowohl ISO 27001 als auch SOC 2 unterstützt
Compliance-Automatisierung — Automatisierung der Nachweiserfassung für die laufende SOC-2-Compliance

Quellen & Referenzen

Sprinto / Bright Defense. „SOC 2 Audit Costs in 2026." https://www.brightdefense.com/resources/soc-2-audit-costs/ — SOC-2-Typ-2-Prüfungsgebühren 15.000 bis 60.000 USD; Gesamtkosten im ersten Jahr 30.000 bis 150.000 USD.
Linford & Co / Vanta. „SOC 1 vs SOC 2: Differences & Choosing the Report You Need." https://linfordco.com/blog/soc-1-vs-soc-2-audit-reports/ — Analyse der Framework-Überschneidungen.
Invimatic / DEV Community. „Why Many Companies Fail SOC 2 Type II." https://dev.to/narendra_sahoo_a2aeff1193/why-many-companies-fail-soc-2-type-ii-and-how-to-avoid-the-same-mistakes-4nci — Fehlende Nachweiserfassung als häufigste Prüfungsausfallursache.
Linford & Co. „SOC 1 & SOC 2 Audit Costs: An Auditor's Price Breakdown." https://linfordco.com/blog/soc-audit-cost/ — SOC-1-Typ-2-Prüfungsgebühren 15.000 bis 50.000 USD.
Drata. „The Top 9 Mistakes Companies Make With SOC 2 Compliance." https://drata.com/blog/the-top-9-mistakes-companies-make-with-soc-2-compliance — Zugangskontrolldrift und Lücken im Lieferantenmanagement.
SOC Reports. „What is SOC 1 SSAE 18?" https://socreports.com/audit-overview/what-is-soc-1-ssae-18 — SSAE 18 AT-C 320 Anwendungsbereich und Definition.
Sprinto. „SOC 1 vs SOC 2: Key Differences, Scope & Which You Need in 2026." https://sprinto.com/blog/soc-1-vs-soc-2/ — Anwendungsfälle und Bedarfsanalyse.

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Zuletzt aktualisiert: März 2026.