SOC 2 Compliance: Was es ist, wer es braucht und wie man zertifiziert wird

SOC 2 ist das Security-Attestation-Framework, das US-Enterprise-Käufer erwarten. Entwickelt von der AICPA (American Institute of Certified Public Accountants), bewertet es, wie Dienstleistungsorganisationen Kundendaten anhand von fünf Trust Services Criteria schützen: Security, Availability, Processing Integrity, Confidentiality und Privacy.

Für europäische Unternehmen, die in den US-Markt verkaufen, ist SOC 2 oft die erste Compliance-Anforderung, nach der Käufer fragen. Für Unternehmen, die bereits ISO 27001-zertifiziert sind, ist die Überlappung erheblich — aber die Unterschiede sind relevant.

Dieser Leitfaden behandelt, was SOC 2 verlangt, wie das Audit funktioniert, wie es sich zu ISO 27001 verhält und was europäische Unternehmen beachten sollten.

Was ist SOC 2?

SOC 2 ist ein Attestation-Framework — keine Zertifizierung im traditionellen Sinne. Eine CPA-Firma (Certified Public Accountant) prüft Ihre Kontrollen anhand der Trust Services Criteria und stellt einen Bericht aus, der die Ergebnisse beschreibt. Der Bericht ist Ihr Compliance-Nachweis.

Es gibt zwei Typen:

SOC 2 Type I

Bewertet das Design der Kontrollen zu einem bestimmten Zeitpunkt
Beantwortet: „Sind die richtigen Kontrollen vorhanden?"
Schneller zu erlangen (Wochen, nicht Monate)
Weniger wertvoll für Käufer — zeigt Absicht, nicht Ausführung

SOC 2 Type II

Bewertet Design und operative Wirksamkeit der Kontrollen über einen Zeitraum (typischerweise 6-12 Monate)
Beantwortet: „Funktionieren die Kontrollen tatsächlich?"
Erfordert nachhaltige Compliance während des Beobachtungszeitraums
Der Standard, den Käufer erwarten

Die fünf Trust Services Criteria

Security (Common Criteria) — Pflicht

Die Security-Kriterien sind in jedem SOC 2-Bericht enthalten:

CC1: Kontrollumgebung — Governance, Organisationsstruktur, Management-Commitment
CC2: Kommunikation und Information — Interne und externe Kommunikation über Sicherheit
CC3: Risikobewertung — Risikoidentifikation, -analyse und -management
CC4: Überwachungsaktivitäten — Laufende Bewertung der Kontrollen
CC5: Kontrollaktivitäten — Richtlinien und Verfahren für die Kontrollimplementierung
CC6: Logische und physische Zugangskontrollen — Authentifizierung, Autorisierung, physische Sicherheit
CC7: Systembetrieb — Monitoring, Vorfallserkennung, Response
CC8: Änderungsmanagement — Kontrollierte Änderungen an Infrastruktur und Software
CC9: Risikominderung — Lieferantenmanagement, Business Continuity

Availability — Optional

Bewertet, ob Systeme wie zugesagt betriebsbereit und verfügbar sind:

Verfügbarkeitsüberwachung und Performance-Management
Disaster Recovery und Business Continuity
Kapazitätsplanung und Infrastruktur-Resilienz
Incident Response für Verfügbarkeitsereignisse

Processing Integrity — Optional

Bewertet, ob die Systemverarbeitung vollständig, gültig, genau und zeitgerecht ist:

Datenvalidierung und Fehlerbehandlung
Verarbeitungsüberwachung und Qualitätssicherung
Output-Abstimmung und Verifizierung

Confidentiality — Optional

Bewertet, wie vertrauliche Informationen geschützt werden:

Datenklassifizierung und -behandlung
Verschlüsselung und Zugangskontrollen für vertrauliche Daten
Datenaufbewahrung und sichere Entsorgung
Vertraulichkeitsvereinbarungen und -verpflichtungen

Privacy — Optional

Bewertet, wie personenbezogene Daten erhoben, genutzt, aufbewahrt, offengelegt und entsorgt werden:

Datenschutzhinweise und Einwilligungsmanagement
Betroffenenrechte (Auskunft, Berichtigung, Löschung)
Datenaufbewahrungs- und Entsorgungspraktiken
Kontrollen für die Datenweitergabe an Dritte

SOC 2 vs. ISO 27001

Beide demonstrieren Sicherheitsreife, bedienen aber unterschiedliche Märkte und verfolgen unterschiedliche Ansätze:

Aspekt	SOC 2	ISO 27001
Herkunft	AICPA (USA)	ISO/IEC (International)
Typ	Attestation-Bericht	Zertifizierung
Markt	Primär USA	International, stark in Europa
Ansatz	Kriterienbasiert (Trust Services Criteria)	Risikobasiert (Anhang A Kontrollen)
Gültigkeit	Bericht deckt bestimmten Zeitraum ab (typisch 12 Monate)	Zertifikat 3 Jahre gültig mit jährlichen Überwachungsaudits
Auditor	Lizenzierte CPA-Firma	Akkreditierte Zertifizierungsstelle
Kosten	Typisch EUR 40.000-170.000 erstes Jahr	Typisch EUR 30.000-100.000 erstes Jahr

Wann Sie beides brauchen

Viele europäische SaaS-Unternehmen erlangen beides:

ISO 27001 für europäische Enterprise-Käufer, NIS2/DORA-Alignment und internationale Glaubwürdigkeit
SOC 2 für US-Enterprise-Käufer und den amerikanischen Markt

Die gute Nachricht: Etwa 70-80% der Kontrollen überlappen sich. Wenn Sie eines haben, erfordert das andere inkrementellen Aufwand, keinen Neuanfang.

Der SOC 2-Auditprozess

Phase 1: Readiness Assessment (1-3 Monate)

Vor der Beauftragung eines Auditors:

Scope definieren — Welche Systeme, Services und Trust Services Criteria sind enthalten?
Gap-Analyse — Aktuelle Kontrollen mit SOC 2-Anforderungen vergleichen
Lücken beheben — Fehlende Kontrollen implementieren, Mängel beseitigen
Richtlinien dokumentieren — Policies und Verfahren schreiben oder aktualisieren
Evidenz sammeln — Mit der Sammlung von Nachweisen beginnen

Phase 2: Beobachtungszeitraum (nur Type II, 6-12 Monate)

Während des Beobachtungszeitraums:

Kontrollen müssen in Betrieb sein und konsequent befolgt werden
Evidenz muss kontinuierlich gesammelt werden (nicht rückwirkend)
Ausnahmen müssen dokumentiert und behandelt werden
Änderungen an Kontrollen müssen gesteuert und dokumentiert werden

Phase 3: Audit-Feldarbeit (2-6 Wochen)

Der Auditor:

Prüft Dokumentation (Richtlinien, Verfahren, Nachweise)
Testet Kontrollen durch Befragung, Beobachtung, Inspektion und Nachvollzug
Bewertet Kontrolldesign (Type I und II) und operative Wirksamkeit (nur Type II)
Identifiziert Kontrollmängel oder Ausnahmen
Bespricht Feststellungen mit dem Management

Phase 4: Berichtsausstellung (2-4 Wochen)

Der Auditor stellt den SOC 2-Bericht aus mit:

Abschnitt I: Erklärung des Managements — Beschreibung des Systems durch das Management
Abschnitt II: Bericht des Auditors — Stellungnahme des Auditors zu Kontrolldesign und -wirksamkeit
Abschnitt III: Systembeschreibung — Detaillierte Beschreibung des Systems
Abschnitt IV: Kontrollen und Tests — Beschreibung jeder Kontrolle, des durchgeführten Tests und des Testergebnisses
Abschnitt V (optional): Stellungnahme des Managements — Reaktion des Managements auf festgestellte Ausnahmen

SOC 2 für europäische Unternehmen

Wann SOC 2 sinnvoll ist

Sie verkaufen SaaS-Produkte an US-Großunternehmen
Ihre US-Interessenten verlangen SOC 2 im Beschaffungsprozess
Sie konkurrieren mit US-basierten Anbietern, die bereits SOC 2 haben
Sie möchten Sicherheitsreife in US- und europäischen Märkten demonstrieren

Wann ISO 27001 ausreichen kann

Ihre Kunden sind überwiegend europäisch
NIS2- oder DORA-Compliance ist Ihr primärer Treiber
Ihre europäischen Käufer fragen nach ISO 27001, nicht nach SOC 2
Budgetbeschränkungen erfordern die Priorisierung eines Frameworks

Der europäische regulatorische Kontext

SOC 2 erfüllt NIS2- oder DORA-Anforderungen allein nicht:

NIS2 verlangt Compliance mit spezifischen Artikel 21-Maßnahmen — SOC 2-Kontrollen überlappen erheblich, decken aber nicht alle zehn erforderlichen Bereiche ab
DORA hat spezifische IKT-Risikomanagement-Anforderungen, die über den SOC 2-Scope hinausgehen
DSGVO verlangt spezifische Datenschutzkontrollen, die SOC 2 Privacy-Kriterien teilweise abdecken

Ein auf ISO 27001 basierendes ISMS bietet eine stärkere Grundlage für europäische regulatorische Compliance, mit SOC 2 als Ergänzung für den US-Marktzugang.

Häufige Fehler

Mit Type II beginnen, bevor man bereit ist. Wenn Ihre Kontrollen nicht ausgereift sind, werden während des Beobachtungszeitraums Ausnahmen aufgedeckt, die im Bericht erscheinen. Beginnen Sie mit einem Readiness Assessment, beheben Sie Lücken, dann starten Sie den Type II-Beobachtungszeitraum.
Scope zu eng oder zu breit definieren. Zu eng (relevante Systeme ausschließen) schafft Glaubwürdigkeitsprobleme. Zu breit (alles einschließen) erhöht Kosten und Komplexität. Der Scope sollte die Systeme und Services abdecken, die Ihre Kunden tatsächlich nutzen.
SOC 2 als einmaliges Projekt behandeln. SOC 2 Type II ist eine jährliche Anforderung. Kontrollen müssen kontinuierlich funktionieren, Evidenz muss das ganze Jahr gesammelt werden und das Audit wiederholt sich alle 12 Monate.
Den falschen Auditor wählen. Nicht alle CPA-Firmen haben die gleiche Tiefe an Technologie- und Sicherheitsexpertise. Wählen Sie eine Firma mit Erfahrung in der Prüfung von Unternehmen Ihrer Größe und Branche.
Die Systembeschreibung vernachlässigen. Abschnitt III des SOC 2-Berichts beschreibt Ihr System im Detail. Käufer lesen dies aufmerksam. Investieren Sie Zeit, um es genau, vollständig und klar zu gestalten.

Wie Orbiq SOC 2 Compliance unterstützt

Trust Center: Veröffentlichen Sie Ihre SOC 2-Berichtsverfügbarkeit, Trust Services Criteria-Scope und Sicherheitskontrollen für die Käufer-Due-Diligence
Kontinuierliches Monitoring: Verfolgen Sie die Kontrolleffektivität über SOC 2-Kriterien hinweg und identifizieren Sie Lücken vor dem nächsten Audit
Evidenz-Management: Automatisierte Evidenzerfassung abgebildet auf Trust Services Criteria für optimierte Auditvorbereitung
KI-gestützte Fragebögen: Beantworten Sie Sicherheitsfragebögen von Käufern mit Nachweisen aus Ihrem SOC 2-Programm

Weiterführende Lektüre

ISMS — Das Managementsystem aufbauen, das SOC 2 und ISO 27001 untermauert
Compliance-Automatisierung — SOC 2-Evidenzerfassung und Monitoring automatisieren
Lieferanten-Risikobewertung — Wie Käufer Ihren SOC 2-Bericht bewerten
Informationssicherheitsleitlinie — Die Governance-Grundlage für SOC 2-Kontrollen

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.