Yury Pukhov, YuSMP Group
Yury Pukhov CEO, YuSMP Group · SaaS-Engineering, Compliance-Programme und Enterprise-Procurement-Readiness seit 2014

Type I vs. Type II — was Enterprise-Käufer 2026 verlangen

SOC 2 gibt es in zwei Varianten, und der Unterschied zählt 2026 mehr als noch vor zwei Jahren. Ein Type-I-Bericht ist eine zeitpunktbezogene Attestierung: An dem Tag, an dem der Auditor hinschaute, waren Ihre Controls angemessen gestaltet. Ein Type-II-Bericht attestiert, dass diese Controls über ein definiertes Fenster — typischerweise sechs oder zwölf Monate — auch wirksam betrieben wurden.

2026 liest sich das Beschaffungs-Playbook bei fast jedem Fortune-1000- und den meisten Series-C+-SaaS-Käufern so:

  • Unter 25k $ ACV: ein Type I plus ein Security Questionnaire ist oft akzeptabel.
  • 25k–250k $ ACV: Type II mit mindestens einem Sechs-Monats-Fenster ist die Untergrenze. Type I beschert Ihnen ein „Kommen Sie wieder, wenn Sie Type II haben".
  • Über 250k $ ACV oder jeder regulierte Käufer (Finanzdienstleistungen, Gesundheitswesen, Bundesbehörden): Type II über die letzten zwölf Monate, ISO 27001 daneben wird zunehmend Standard, und ein Penetration-Test-Bericht einer benannten Firma.

Type I hat 2026 einen ehrlichen Use Case: das Überbrücken. Sie können einen Type I in 4–6 Wochen ausliefern, sobald die Readiness steht, ihn einem Käufer übergeben, um den Vertrag freizuschalten, und Type II am Ende des nächsten Beobachtungsfensters ausliefern. Geben Sie das Type-I-Budget nur aus, wenn ein konkreter Käufer darauf wartet. Andernfalls überspringen Sie ihn und gehen direkt zu einem sechsmonatigen Type II — Ihre Zweitjahres-Verlängerung fällt dann auf einen saubereren Takt, und Sie vermeiden doppelte Auditor-Honorare.

Für Gründer, die primär in die Europäische Union verkaufen, wird SOC 2 oft mit ISO 27001 und einer DSGVO-Aufstellung gepaart — oder durch sie ersetzt. Wir behandeln die EU-seitige Mechanik in unserem Artikel DSGVO für US-Gründer, die in die EU verkaufen, und die KI-spezifischen Add-ons in EU-AI-Act-Compliance.

Trust Services Criteria — welche wählen

SOC 2 wird über die fünf Trust Services Criteria (TSC) gescopet, definiert von der AICPA. Nur eines ist verpflichtend; die anderen vier sind optional und jedes verursacht echte Audit-Kosten. Die richtige Wahl hängt davon ab, was Ihre Verträge zusichern.

KriteriumErforderlich?Wann einbeziehenKostenwirkung
Security (Common Criteria)ImmerIn jedem Engagement verpflichtendBasis
AvailabilityOptionalSie verkaufen ein Uptime-SLA oder eine Status-Page-Zusage+10–15 %
ConfidentialityOptionalSie verarbeiten Geschäftsdaten von Kunden unter NDA (die meisten B2B-SaaS qualifizieren sich)+10–15 %
Processing IntegrityOptionalBerechnungsgenauigkeit ist zentral fürs Produkt — Fintech, Lohnabrechnung, Billing, Analytics+15–20 %
PrivacyOptionalSie erheben PII direkt von Endnutzern und wollen es über DSGVO/CCPA hinaus belegen+30–50 %

Der pragmatische Stack für ein Series-A/B-B2B-SaaS-Startup im Jahr 2026 ist Security + Availability + Confidentiality. Das deckt die Questionnaire-Fragen ab, die Sie tatsächlich erhalten, signalisiert eine SLA-Zusage und hält das Audit-Honorar im Bereich 20k–35k $. Ergänzen Sie Processing Integrity nur, wenn ein Regulator oder ein Top-Drei-Käufer es ausdrücklich verlangt. Lassen Sie Privacy im ersten Jahr weg — DSGVO und CCPA haben 2026 mehr Procurement-Gewicht, und die Controls überlappen stark.

Scope: In-Scope-Systeme und Sub-Service-Carve-outs

Beim Scoping verlieren die meisten SOC-2-Programme Zeit. Der Scope ist das Produktivsystem, das den Service an Kunden liefert — nicht Ihre Marketing-Site, nicht Ihr internes HR-Notion, nicht Ihr Dogfood-Testcluster. Entscheiden Sie, was im Scope ist, indem Sie fragen: „Verarbeitet oder speichert dieses System Kundendaten, oder ist es Teil des Produktivpfads, der das tut?" Wenn ja, im Scope. Wenn nein, draußen.

Für ein typisches SaaS-Startup sehen In-Scope-Systeme so aus:

  • Der Produktiv-AWS-/GCP-/Azure-Account, der die App hostet, inklusive aller Compute, Storage, Datenbanken, Queues und Secrets-Manager.
  • Das Source-Control-System mit der Produktiv-Codebasis (GitHub, GitLab, Bitbucket) und seinen Branch-Protections.
  • Die CI/CD-Pipeline, die in die Produktion ausliefert (GitHub Actions, CircleCI, Buildkite, Argo).
  • Der Identity Provider, über den Mitarbeitende auf die Produktion zugreifen (Okta, Google Workspace, Microsoft Entra ID).
  • Der Monitoring- und Logging-Stack (CloudWatch, Datadog, Grafana, Splunk, Wiz, Sentry).
  • Das Ticketing- und Change-Management-System (Linear, Jira, GitHub Issues) — denn dort erzeugen Sie Evidenz für Freigaben.
  • Die MDM-Lösung, die Mitarbeiter-Laptops verwaltet, die Produktiv-Credentials berühren (Jamf, Kandji, Intune).

Außerhalb des Scopes: das Marketing-WordPress, das Vertriebs-CRM, das Support-Portal (sofern es keine Kundendaten verarbeitet) und Pre-Production-Sandbox-Umgebungen ohne Kundendaten und ohne geteilte Credentials mit der Produktion.

Sub-Service-Organisationen — die Carve-out-Methode

Fast jedes SaaS-Startup läuft auf Drittanbietern: AWS für Compute, Stripe für Zahlungen, Auth0 für Identity, Twilio für Messaging, Datadog für Monitoring. Die Carve-out-Methode sagt dem Auditor: „Diese Anbieter haben eigene SOC-2-/ISO-27001-Berichte. Vertrauen Sie denen, auditieren Sie sie nicht über mich erneut."

Das ist in 99 % der Fälle die richtige Antwort. Die Mechanik:

  1. Listen Sie Sub-Service-Organisationen in Ihrer SOC-2-System-Description auf.
  2. Sammeln Sie deren aktuelle SOC-2-Type-II-/ISO-27001-Berichte jedes Jahr (AWS Artifact, Stripe Trust Portal, Auth0 Trust Center usw.).
  3. Setzen Sie die Complementary User Entity Controls (CUECs) um, die der Bericht jedes Anbieters Ihnen vorgibt. Das sind die Dinge, die Sie tun müssen — sie können es nicht. Beispiele: MFA auf dem AWS-Root-Account aktivieren, den Root-Account-Key nie im Code speichern, Stripe-Restricted-Keys alle 90 Tage rotieren, Auth0-Brute-Force-Protection konfigurieren, kundenverwaltete S3-Buckets mit SSE-KMS verschlüsseln.
  4. Halten Sie Evidenz vor, dass jedes CUEC durchgesetzt wird. Die Compliance-Automatisierungsplattform automatisiert den Großteil dieser Sammlung.
Engineering-Team prüft Datenresidenz und Compliance-Scope auf einem gemeinsamen Whiteboard
Die SOC-2-System-Description zu scopen — was zählt, was ausgegrenzt wird — ist ein 2-stündiges Engineering-Gespräch, kein Nachgedanke des Security-Teams.

Control-Familien mit konkreten Beispielen

Die Common Criteria gliedern sich in neun Familien (CC1 bis CC9). Den meisten Engineering-Teams sind fünf davon in der konkreten täglichen Arbeit wichtig. Im Folgenden, wie jede in einem SaaS-Startup 2026 aussieht — nicht die Policy-Sprache, sondern die tatsächliche Mechanik.

Zugriffsverwaltung

  • SSO überall. Okta oder Google Workspace als einzige Identitätsquelle. SCIM-Provisioning, wo das SaaS es unterstützt. Keine geteilten Service-Accounts, die sich mit Passwörtern anmelden.
  • MFA auf jedem produktionsnahen System erzwungen. Hardware-Keys (YubiKey, Titan) für Admins; mindestens TOTP für alle anderen. SMS-only-MFA ist 2026 ein Finding.
  • RBAC mit Least Privilege. AWS-IAM-Gruppen, keine Inline-Policies. GitHub-Teams, keine einzelnen Collaborators. Jährliche Access-Reviews, im Ticket-System dokumentiert — vierteljährlich für Prod-Tier-Rollen.
  • Off-boarding innerhalb eines Werktages. Dokumentierte Checkliste, die Okta, AWS, GitHub, Slack, Notion, Linear, Datadog, Sentry und jeden anderen Tenant abdeckt. Die meisten gescheiterten Audits beginnen hier.

Change-Management

  • Jede Produktionsänderung geht durch einen Pull Request. Keine direkten Commits auf main; geschützte Branches.
  • Mindestens ein unabhängiger Reviewer. Erforderliche PR-Freigabe vor dem Merge; CODEOWNERS für sensible Pfade.
  • Automatisiertes Test-Gate. CI muss am PR bestehen, bevor gemergt wird. Test-Fehlschläge können nicht ohne dokumentierte Ausnahme umgangen werden.
  • Produktions-Deploys auf einen PR und ein Ticket rückführbar. Deploy-Logs verlinken auf Git-SHA; Commit-Nachrichten referenzieren Linear-/Jira-IDs.
  • Notfall-Änderungsverfahren dokumentiert und selten genutzt. Auditoren prüfen, dass „Notfall" nicht Ihr Standardmodus ist.

Monitoring und Detection

  • Zentralisierte Logs. CloudWatch + Datadog oder Splunk; Logs 365+ Tage aufbewahrt; der Zugriff auf die Logs selbst geloggt.
  • Alerting bei Security-Events. Failed-Login-Spikes, IAM-Policy-Änderungen, KMS-Key-Änderungen, Security-Group-Änderungen, Root-Account-Nutzung.
  • CSPM-/CNAPP-Abdeckung. Wiz, Orca, Lacework oder Prowler laufen kontinuierlich gegen den Cloud-Account. Findings werden innerhalb eines dokumentierten SLA triagiert.
  • Endpoint-Detection. CrowdStrike, SentinelOne oder Jamf Protect auf jedem Laptop mit Prod-Zugriff.
  • Vulnerability-Management. Dependabot / Renovate plus Snyk oder GitHub Advanced Security; das SLA für Kritische (typischerweise 30 Tage) ist die getestete Control, nicht die Scanner-Wahl.

Incident Response

  • Schriftlicher IR-Plan mit Severity-Leiter, On-Call-Rotation, Kommunikationsvorlage und Schwellen für Kundenbenachrichtigung.
  • Mindestens eine Tabletop-Übung pro Jahr mit abgelegtem Protokoll.
  • Post-Mortem bei jedem kundensichtbaren Vorfall mit Action-Items, die bis zum Abschluss nachverfolgt werden.
  • Forensik- und Breach-Notification-Pfad dokumentiert — selbst wenn Sie ihn nie genutzt haben, der Auditor wird fragen.

Vendor-Management

  • Vendor-Inventar. Eine lebende Liste jedes Sub-Prozessors und SaaS, der Kundendaten berührt. Die Compliance-Plattformen pflegen das für Sie, wenn angebunden.
  • Risiko-Tier pro Vendor (niedrig/mittel/hoch) basierend auf Datensensibilität und Integrationstiefe.
  • SOC-2-/ISO-27001-Bericht jährlich gesammelt für Vendors ab Tier mittel.
  • DPA / BAA unterzeichnet, wo erforderlich. Verkaufen Sie ins Gesundheitswesen, brauchen Sie zusätzlich HIPAA-konforme BAAs.

Compliance-Automatisierungsplattformen im Vergleich

Sie können ein SOC-2-Programm auf Tabellen fahren. Wir haben das 2018 getan. 2026 sollte das niemand mehr — die Kosten einer Compliance-Automatisierungsplattform sind in rund 80 Stunden eingesparter Evidenz-Sammelzeit über ein Beobachtungsfenster wieder hereingeholt.

Die vier Plattformen, die 2026 wirklich konkurrieren:

PlattformPreis 2026 (Startup-Tier)StärkenSchwächen
Vanta$18k–$30k/JahrGrößter Integrationskatalog (300+), ausgereifteste UI, reifes Trust-Center-Feature, größtes Auditor-NetzwerkAm teuersten; Lock-in über Custom Controls
Drata$15k–$28k/JahrSchärfste Evidenz-Sammel-Automatisierung, starke Continuous-Monitoring-Ansichten, tiefe AWS-/GCP-/Azure-AbdeckungWeniger reif auf der Policy-Template-Seite; Vendor-Management leichter als Vanta
Secureframe$12k–$22k/JahrBestes Preis-/Feature-Verhältnis für erstmaliges SOC 2; guter eingebauter Auditor-MarktplatzWeniger Integrationen als Vanta/Drata; Reporting wirkt älter
Sprinto$8k–$18k/JahrAm günstigsten im Startup-Tier; stark in APAC; schnelles OnboardingKleineres Auditor-Netzwerk in den USA; an die UI-Dichte muss man sich gewöhnen

Was alle vier gut können: kontinuierlich Evidenz aus AWS / GCP / Azure / GitHub / Okta / Jamf / Datadog / Linear und ähnlichen Quellen ziehen; diese Evidenz auf Control-Tests mappen; Drift flaggen, wenn eine Control fehlschlägt; Policy-Templates ausliefern; zum Audit-Zeitpunkt ein Auditor-Portal bereitstellen.

Was keine von ihnen leistet: Ihren sicheren SDLC schreiben, Threat Modeling durchführen, Findings beheben, das Off-boarding tatsächlich erledigen, das Tabletop durchführen. Planen Sie einen Teilzeit-Verantwortlichen innerhalb des Engineerings ein — üblicherweise CTO, Head of Platform oder einen Senior-DevOps-Entwickler — der das Programm vorantreibt. Die Verantwortlichen-Rolle an den Plattform-Anbieter auszulagern, ist der häufigste einzelne Grund, warum ein erstes Audit scheitert oder sich verzögert.

Beobachtungsfenster — 3, 6 oder 12 Monate?

Das Minimum, das jeder seriöse Auditor akzeptiert, sind drei Monate, und mehrere Big-Four-Firmen gehen nicht unter sechs. Die Standards, die wir empfehlen:

  • Drei Monate: nur wenn ein konkreter Enterprise-Käufer es schriftlich akzeptiert hat. Fragil und fast garantiert ein sofortiges zweites Engagement erfordernd.
  • Sechs Monate: das Standard-Erst-Type-II. Lang genug, dass Auditoren Evidenz überzeugend stichproben können, kurz genug, dass keine Programm-Müdigkeit einsetzt.
  • Zwölf Monate: der Standard ab Jahr zwei, weil er der Berichtsgültigkeit und dem von Käufern erwarteten Verlängerungstakt entspricht.

Praktische Abfolge für ein Startup ohne vorherige Compliance: 8–12 Wochen Readiness-Arbeit, dann ein Type I (optional), um unmittelbare Käufer freizuschalten, dann ein 6-Monats-Beobachtungsfenster für Type II. Gesamtzeit von „Entscheidung für SOC 2" bis „Type-II-Bericht in der Hand": 9–12 Monate.

Auditor-Auswahl und Kosten

Nur eine lizenzierte CPA-Firma kann einen SOC-2-Bericht ausstellen. Das Feld sortiert sich 2026 in drei Stufen:

StufeBeispieleTypisches Honorar (Jahr 1)Wann sie wählen
Big FourDeloitte, EY, KPMG, PwC$40k–$60k+Käufer verlangt ausdrücklich eine „Big-Four-Signatur" — außerhalb von Fortune 100 und regulierten Sektoren ungewöhnlich
Nationale CPA-FirmenBDO, Schellman, A-LIGN, Coalfire, Moss Adams$25k–$40kSie wollen eine anerkannte Marke und ein tiefes Team ohne Big-Four-Preise
CPA-BoutiquenInsight Assurance, Prescient, Johanson, Sensiba, Linford, Risk3sixty$15k–$25kErstes Type II, Startup-Budget, keine konkrete Käuferforderung

Wählen Sie die kleinste Stufe, die Ihre Käufer akzeptieren. Wir haben 2026 noch keinen Käufer einen Schellman-, A-LIGN- oder Insight-Assurance-Bericht ablehnen sehen. Wir haben Käufer Berichte von Auditoren ablehnen sehen, von denen niemand je gehört hat — vergewissern Sie sich, dass die Firma eine öffentliche Kundenliste und mindestens 100 ausgestellte SOC-2-Berichte hat.

Versteckte Kosten jenseits des Auditor-Honorars: ein Penetration-Test einer benannten Firma (Cobalt, NetSPI, Bishop Fox: $8k–$25k), die Compliance-Plattform ($12k–$30k/Jahr), Engineering-Zeit (0,3–0,6 FTE über das Fenster) und die Behebung von Findings während des Audits (üblicherweise 40–80 Engineering-Stunden). Realistische Gesamtkosten im ersten Jahr für ein Series-A/B-SaaS-Startup: $50k–$120k.

Häufige Audit-Findings vermeiden

Über die SOC-2-Engagements hinweg, die wir beobachtet haben, tauchen vier Findings in rund 70 % der Erstjahres-Berichte auf. Jedes davon lässt sich mit Disziplin verhindern, nicht mit Engineering.

  1. Ausgeschiedener Mitarbeiter in mindestens einem System noch aktiv. Das Off-boarding deckte Okta und AWS ab, aber nicht den eigenständigen Datadog-Tenant von vor zwei Jahren oder das Postman-Team oder die Sentry-Org. Fix: Pflegen Sie eine Deprovisioning-Checkliste, die jeden Tenant namentlich auflistet; prüfen Sie sie monatlich; lassen Sie HR abzeichnen, wenn ein Mitarbeiter geht.
  2. Produktionsänderung ohne zugehöriges Ticket. Ein Hotfix ging als direkter Commit raus, oder eine manuelle Datenbankmigration lief ohne PR. Fix: Erzwingen Sie geschützte Branches; erzwingen Sie, dass jedes Deploy-Log einen PR referenziert; halten Sie ein dokumentiertes (und selten genutztes) Notfallverfahren vor.
  3. Ungetestetes Disaster Recovery. Das Runbook existiert, aber niemand hat im Beobachtungsfenster tatsächlich aus dem Backup wiederhergestellt. Fix: Planen Sie eine vierteljährliche Restore-from-Backup-Übung, legen Sie das Protokoll ab, selbst wenn die Übung 30 Minuten dauert.
  4. Vendor-Review übersprungen. Ein neuer Sub-Prozessor wurde mitten im Fenster ohne Risikobewertung und ohne gesammeltes SOC 2 hinzugefügt. Fix: Hängen Sie jede „Integration hinzufügen"-Entscheidung hinter ein 15-minütiges Vendor-Intake-Formular in Ihrer Compliance-Plattform.
Engineering- und Security-Leads bei einer Tabletop-Incident-Response-Übung
Eine Tabletop-Übung pro Jahr mit abgelegtem Protokoll genügt, um das IR-Kriterium zu erfüllen — und ist weit nützlicher als eine 40-seitige Incident-Response-Policy, die niemand liest.

Kontinuierliche Compliance nach dem Bericht

An dem Tag, an dem der Type-II-Bericht ausgestellt wird, beginnt das nächste Beobachtungsfenster. Es gibt keine Pause. Die Frische der Evidenz lässt sofort nach; Controls driften, während das Engineering-Team Features ausliefert; neue Vendors kommen hinzu; Menschen gehen und kommen. Drei Gewohnheiten halten das Programm gesund:

  1. Monatliches Drift-Review. 30 Minuten in der Compliance-Plattform, um fehlschlagende Checks anzusehen. Fast immer trivial — ein MFA-Reset, der zurückgerollt wurde, ein Datadog-Nutzer nicht in SSO, ein abgelaufener SOC-2-Bericht eines Sub-Prozessors.
  2. Vierteljährliches internes Mini-Audit. Stichproben Sie fünf zufällige Controls, tun Sie so, als wären Sie der Auditor, sammeln Sie Evidenz. Wenn Sie es nicht können, schließen Sie die Lücke, bevor der echte Auditor sie findet.
  3. Jährliches Programm-Review. Scopen Sie neu, während sich das Produkt ändert — neue TSCs, neue Sub-Service-Organisationen, neue Geschäftsbereiche.

SOC 2 überschneidet sich außerdem mit benachbarten Frameworks, die Sie brauchen könnten: ISO 27001 (in Europa verbreiteter), HIPAA (US-Gesundheitswesen — siehe unsere HIPAA-Software-Entwicklungs-Checkliste), DSGVO (EU-Datenresidenz und -Rechte — siehe DSGVO für US-Gründer) und die neuen Pflichten der EU-KI-Verordnung für KI-erweiterte SaaS (siehe EU-AI-Act-Compliance). Rund 70 % der Controls überschneiden sich, sodass das Hinzufügen eines zweiten Frameworks, sobald SOC 2 gesund ist, inkrementell statt redundant ist.

FAQ

Akzeptieren Enterprise-Käufer 2026 noch SOC 2 Type I?

Selten, und nur als Übergangslösung. 2026 behandeln Mid-Market- und Enterprise-Einkaufsteams Type I als Beleg dafür, dass Sie compliant sein wollen, nicht dass Sie es sind. Ein Type I schaltet ein Security-Questionnaire-Gespräch frei; ein Type II schaltet den Vertrag frei. Ist Ihr Käufer reguliert (Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor), erwarten Sie, dass er Type I rundweg ablehnt und Type II über mindestens die letzten sechs Monate verlangt.

Welche Trust Services Criteria sollte ein SaaS-Startup wählen?

Security (die Common Criteria) ist in jedem SOC-2-Engagement verpflichtend. Für ein typisches Multi-Tenant-SaaS ergänzen Sie Availability, wenn Sie ein Uptime-SLA verkaufen, und Confidentiality, wenn Sie Geschäftsdaten von Kunden unter NDA verarbeiten. Ergänzen Sie Processing Integrity nur, wenn Genauigkeitsgarantien zentral fürs Produkt sind (Fintech-Berechnungen, Lohnabrechnung, Billing). Privacy lohnt sich beim ersten Engagement selten — DSGVO oder CCPA bringt Käufern meist mehr, und Privacy erhöht die Audit-Kosten um 30–50 %.

Wie lang muss das SOC-2-Type-II-Beobachtungsfenster sein?

Das Minimum, das Auditoren akzeptieren, sind drei Monate, und fast jede Big-Four-Firma lehnt alles unter sechs ab. Der pragmatische Standard für ein erstes Type II sind sechs Monate. Dehnen Sie auf zwölf nur aus, wenn ein strategischer Enterprise-Käufer es ausdrücklich verlangt oder Sie Type I überspringen und direkt zu Type II für den Verlängerungstakt gehen wollen.

Was kostet SOC 2 Type II 2026 tatsächlich?

Für ein Series-A/B-SaaS-Startup erwarten Sie $15.000–$25.000 Auditor-Honorar bei einer renommierten CPA-Boutique, $25.000–$40.000 bei einer nationalen Firma und $40.000–$60.000+ bei Big Four. Hinzu kommen $12.000–$30.000/Jahr für eine Compliance-Automatisierungsplattform (Vanta, Drata, Secureframe, Sprinto) plus 0,3–0,6 FTE an Engineering- und Security-Operations-Zeit über das Beobachtungsfenster. Gesamtkosten im ersten Jahr, alles inklusive: $50.000–$120.000.

Ersetzen Vanta, Drata oder Secureframe tatsächlich einen Security-Engineer?

Nein. Sie ersetzen die Tabelle, die Evidenz nachverfolgt, und den Berater, der Policy-Templates kopiert. Die Plattformen sammeln kontinuierlich Evidenz aus AWS, GCP, Azure, GitHub, Okta, Jamf und ähnlichen Quellen, mappen sie auf Control-Tests und flaggen Drift. Sie schreiben nicht Ihren sicheren SDLC, führen kein Threat Modeling durch und beheben keine Findings. Planen Sie für das erste Jahr einen Teilzeit-Verantwortlichen innerhalb des Engineerings ein — üblicherweise den CTO oder einen Senior-DevOps-Entwickler.

Können Sub-Service-Organisationen wie AWS, Stripe und Auth0 ausgegrenzt werden (Carve-out)?

Ja — und das sollten sie fast immer. Die Carve-out-Methode entfernt die Controls der Sub-Service-Organisation aus Ihrem Scope und verweist den Auditor auf deren eigene SOC-2-/ISO-27001-Berichte. Die Complementary User Entity Controls (CUECs), die AWS, Stripe und Auth0 veröffentlichen, gelten dennoch für Sie — Sie müssen sie umsetzen (z. B. MFA auf dem AWS-Root-Account aktivieren, Stripe-Restricted-Keys rotieren) und Evidenz vorhalten, die der Auditor stichprobenartig prüfen kann.

Was sind die häufigsten SOC-2-Type-II-Audit-Findings?

Vier tauchen zuverlässig in Erstjahres-Audits auf: (1) ausgeschiedene Mitarbeitende, die in mindestens einem System noch aktiv sind, weil das Off-boarding nicht jeden SaaS-Tenant abdeckte, (2) Produktionsänderungen, die ohne zugehöriges Ticket oder PR-Freigabe deployt wurden, (3) ein Disaster-Recovery- oder Backup-Restore-Test, der geplant, aber nie durchgeführt wurde, (4) übersprungene Vendor-Reviews oder fehlende Security-Questionnaires für Sub-Prozessoren. Alle vier lassen sich mit Disziplin und einem 30-minütigen monatlichen Review verhindern.

Was passiert nach dem Bericht — ist SOC 2 einmalig?

Nein. SOC-2-Type-II-Berichte sind zwölf Monate ab Ausstellungsdatum gültig, und Enterprise-Käufer erwarten eine jährliche Verlängerung ohne Lücke. Das Problem der „kontinuierlichen Compliance" ist, dass die Frische der Evidenz nachlässt, Controls driften, während das Engineering-Team Features ausliefert, und das nächste Beobachtungsfenster an dem Tag beginnt, bis zu dem der vorige Bericht reicht. Behandeln Sie SOC 2 als jährlichen Takt mit vierteljährlichen internen Mini-Audits und einer Compliance-Automatisierungsplattform, die auf Drift achtet.

Zuletzt aktualisiert am 27. Mai 2026. Auditor-Honorare, Plattform-Preise und Procurement-Normen spiegeln Rate Cards und Felderfahrungen per Mai 2026 wider.