Leistungen
Enterprise-Käufer akzeptieren in einem Sicherheitsfragebogen kein „SOC 2 in Vorbereitung" mehr — sie verlangen einen aktuellen Type-II-Bericht. Wir begleiten SaaS-Unternehmen von null bis zu einem sauberen Type-II-Bericht in 9–12 Monaten: Wir ermitteln die Trust Services Criteria, die Sie tatsächlich benötigen (CC1.0–CC9.0 Common Criteria plus die richtige Kombination aus A1.0 Availability, C1.0 Confidentiality, PI1.0 Processing Integrity und P1.0–P8.0 Privacy), implementieren die Kontrollen in Ihren IaC-, IdP- und Ticketing-Stacks, binden eine Evidence-Automatisierungsplattform an, erstellen das Policy-Paket, bereiten auf Type I vor und begleiten das Type-II-Beobachtungsfenster gemeinsam mit Ihnen. AICPA-konform, prüferfreundlich, integriert in Ihren Engineering-Rhythmus. Readiness ab 12.000 EUR.
SOC 2 ist ein Marktsignal, das Vertriebszyklen verkürzt. Das Audit verzeiht jedoch keine kosmetischen Kontrollen — der Prüfer wird Ihre Change-Tickets stichprobenartig prüfen, Ihre Zugriffsüberprüfungen nachvollziehen und beim IdP Rohdaten anfordern. Das richtige Ergebnis ist kein grünes Dashboard, sondern ein Programm, bei dem Kontrollen ganz selbstverständlich ablaufen, weil sie in den Entwickler-Workflow, die On-Call-Rotation und das vierteljährliche Business-Review eingebettet sind. Wir bauen es so – und übergeben es dann an einen internen Compliance-Verantwortlichen, der es ohne uns weiterführen kann.
Schriftliche Scoping-Entscheidung gegenüber den AICPA Trust Services Criteria 2017: welche Kategorien (Security obligatorisch; A1, C1, PI1, P1–P8 optional), welche Systeme im Scope sind, welche Subservice-Organisationen ausgegliedert werden und was die Systembeschreibung des Berichts enthalten wird.
Echter Engineering-Aufwand: SSO+MFA auf jedem System, SCIM-Provisioning, IaC-durchgesetzte Verschlüsselung und Backups, GitOps-Änderungsmanagement, zentrales Logging mit Aufbewahrung, On-Call-Rotation und Incident-Postmortem-Vorlage, Lieferanteninventar und AV-Vertrag-Tracking.
15+ Richtlinien mit Querverweis zu spezifischen CC- und gewählten Kategorie-Kontrollen: Informationssicherheit, Zugriffskontrolle, Änderungsmanagement, Incident Response, Geschäftskontinuität, Lieferantenmanagement, akzeptable Nutzung, sichere Entwicklung, Verschlüsselung, Datenklassifizierung, Risikobewertung und HR-Sicherheit.
Vanta, Drata, Secureframe, Tugboat Logic oder Ihre bestehende Plattform — Integrationen auf niedrige False-Positive-Rate abgestimmt, Nachweisqualität vor Prüfereinsicht geprüft und Operator-Playbooks für unvermeidliche fehlgeschlagene Checks.
Wir führen die Beziehung zu Ihrer CPA-Kanzlei: Kickoff, Evidence-Room, Feldarbeits-Fragen, Ausnahmebehandlung, Erstellung von Management-Antworten und Verhandlungen zu Formulierungen der Systembeschreibung und ergänzenden Nutzerkontroll-Anforderungen (CUECs).
Für das 6–12-monatige Beobachtungsfenster: monatliche Kontrollverantwortungs-Synchronisation, vierteljährliche Zugangs- und Lieferantenüberprüfungen, Nachweisqualitäts-Monitoring, Incident Response im Retainer und die Disziplin, die verhindert, dass eine einzelne Kontrollücke Ihr Prüfungsurteil gefährdet.
Wochen 1–3: TSC-Scoping-Memo, Systembeschreibungs-Entwurf, Gap-Analyse gegenüber den in-scope-Kontrollen, Kontrollverantwortungszuweisung, Auswahl der Automatisierungsplattform sofern noch nicht erfolgt.
Wochen 4–12: Kontrollen in IaC und IdP implementieren, Automatisierungsplattform anbinden, Policy-Paket einführen, erste Zugangs- und Lieferantenüberprüfung durchführen, Incident-Response-Prozedur probehalber durchlaufen.
Wochen 12–16: Prüfer-Kickoff, Evidence-Room-Übergabe, Feldarbeitsunterstützung, Ausnahme-Behebung sowie Verhandlung der Systembeschreibung & CUECs. Bei Type II ist dies gleichzeitig der erste Monat des Beobachtungsfensters.
Monate 4–12: monatliche Kontrollverantwortungs-Synchronisation, vierteljährliche Zugangs-/Lieferantenüberprüfungen, Nachweisqualitäts-Monitoring, Incident Response sowie abschließender Type-II-Prüfer-Walkthrough & Berichtsausgabe.
Vier bis sechs Wochen, Festpreisumfang. TSC-Scoping, Gap-Analyse, Automatisierungsplattform-Einrichtung, 15+ Richtlinien auf CC und gewählte Kategorien gemappt, Kontrollverantwortungszuweisung, Executive-Briefing. 12.000 EUR Festpreis.
Acht bis zwölf Wochen. Kontrollumsetzung in Code/IaC/IdP, Nachweiserhebung, Auditor-Liaison während der Feldarbeit, Behebung von Design-Lücken und Erstellung von Management-Antworten. 28.000 EUR Festpreis.
Monatlicher Retainer während des Beobachtungsfensters. Kontrollverantwortungs-Synchronisation, vierteljährliche Zugangs-/Lieferantenüberprüfungen, Nachweisqualitäts-Monitoring, Incident Response im Retainer, Auditor-Liaison bis zur Type-II-Ausgabe. 5.000 EUR/Monat.
CPA-Prüfungsgebühren werden separat durch die Kanzlei in Rechnung gestellt (typischerweise 20.000–60.000 USD für Type II je nach Umfang und Kanzlei-Tier). Wir arbeiten mit Ihrer bestehenden CPA-Kanzlei oder empfehlen Prüfer aus unserem Netzwerk. Drei Monate Mindestlaufzeit bei Type-II-Ongoing. NDA und AV-Vertrag werden vor Projektstart unterzeichnet.
Multi-mandantenfähige SaaS-Architektur mit SOC-2-Kontrollen, die von Sprint null an eingebettet sind — nicht in der Woche vor dem Prüferbesuch nachgerüstet.
Mehr erfahren →
AWS/GCP/Azure-Landing-Zones mit IaC-durchgesetzten Kontrollen (Verschlüsselung, MFA, Logging, SCP-Guardrails), die ein Prüfer anhand des Terraform-States nachvollziehen kann.
Mehr erfahren →
Senior-Sicherheits- & Engineering-Leadership für SaaS-Startups, die eine glaubwürdige „Security Officer"-Unterschrift und eine prüfungsreife Engineering-Kultur benötigen.
Mehr erfahren →DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · AICPA-konform
Wir implementieren Kontrollen in Terraform, Okta, GitHub, PagerDuty und Datadog. Die Nachweise kommen aus den Systemen, die die Arbeit erledigen – nicht aus einem Screenshot-Ordner, den ein Junior-Berater einmal pro Quartal manuell aktualisiert.
Wir sprechen SSAE 18, COSO und TSC fließend und reichen Nachweispakete ein, die so strukturiert sind, wie es die Arbeitspapiere des Prüfers verlangen. Feldarbeit und Partner-Review werden kürzer; der Bericht erscheint schneller.
CC und ISO 27001 Annex A überlappen zu mehr als 80 %; SOC-2-Kontrollen decken auch einen großen Teil der HIPAA Security Rule und der EU-KI-Verordnungs-ISMS-Pflichten ab. Eine Bibliothek, viele Prüfungsurteile.
Unser eigenes SOC 2 Type II ist in Vorbereitung – auf derselben Toolchain, die wir für unsere Kunden einsetzen. Wir praktizieren, was wir predigen, und das Playbook ist in unserem eigenen Audit erprobt.
SOC 2 Type I bestätigt, dass Kontrollen zu einem bestimmten Zeitpunkt angemessen gestaltet sind. SOC 2 Type II bestätigt, dass Kontrollen über einen Beobachtungszeitraum — typischerweise 6 bis 12 Monate — effektiv betrieben wurden (3 Monate sind für Erstberichte möglich, aber Enterprise-Einkauf besteht zunehmend auf 12). Die meisten US-Enterprise-Käufer verlangen einen aktuellen Type-II-Bericht, der mindestens die Kategorie Security (Common Criteria CC1.0–CC9.0) abdeckt. Der pragmatische Weg: Type I in Monat 4, um die Pipeline zu entsperren, dann sofort ein 6-monatiges Type-II-Fenster eröffnen, sodass der Bericht ca. 10 Monate nach Projektstart vorliegt.
Security (Common Criteria CC1.0–CC9.0) ist in jedem SOC 2 obligatorisch — es deckt das COSO-2013-konforme Kontrollumfeld, Kommunikation, Risikobewertung, Monitoring, logischen/physischen Zugang, Systembetrieb, Änderungsmanagement und Risikominderung ab. Die optionalen Kategorien: A1.0 Availability (Verfügbarkeit und Kapazität — relevant bei SLA-Verkauf), C1.0 Confidentiality (Schutz nicht-öffentlicher Daten — üblich bei B2B-SaaS), PI1.0 Processing Integrity (Vollständigkeit/Korrektheit von Transaktionen — üblich bei FinTech und Zahlungen), P1.0–P8.0 Privacy (Hinweis, Wahl, Erhebung, Nutzung, Aufbewahrung, Offenlegung, Qualität, Monitoring — relevant bei umfangreicher Verarbeitung von Verbraucher-PII). Die meisten B2B-SaaS-Unternehmen beginnen mit Security+Availability+Confidentiality.
Mehr als Automatisierungsplattformen von Anbietern suggerieren, weniger als Altkonsulenten veranschlagen. Echter Engineering-Aufwand: Änderungsmanagement (CC8.1) bedeutet einen Git-Branching-/PR-/Genehmigungsworkflow, den Prüfer anhand der Commit-Historie nachvollziehen können; logischer Zugang (CC6.1–CC6.3) bedeutet SSO mit MFA auf jedem PHI-/Kundendaten-System plus vierteljährliche Zugriffsüberprüfungen; Systemmonitoring (CC7.1–CC7.5) bedeutet zentrales Logging, Alerting, On-Call-Rotation und Incident-Postmortems; Lieferantenmanagement (CC9.2) bedeutet ein nachverfolgtes Lieferanteninventar mit Sicherheitsüberprüfungen. Wir implementieren die tatsächlichen Kontrollen in Ihren IaC-, IdP-, Ticketing- und Monitoring-Stacks — Automatisierungstools beobachten, was bereits existiert; sie bauen es nicht.
Sie sind Nachweis-Sammler und Policy-Template-Lieferanten, keine Kontroll-Implementierer. Sie integrieren sich mit AWS/GCP/Okta/GitHub usw. und ziehen kontinuierliche Nachweise (MFA aktiv, Verschlüsselung aktiv, Backups laufen, Schwachstellenscans sauber), was die Beobachtungskosten für Type II erheblich reduziert. Wir arbeiten mit jeder Plattform, die Sie bereits nutzen, oder empfehlen eine passende; anschließend bauen wir die Kontrollen, die die Plattform überwacht. Der Fehler besteht darin, zuerst die Plattform zu kaufen und anzunehmen, dass ein grünes Dashboard einem prüfungsreifen Stand entspricht — das ist nicht der Fall, da kulturell evidenzierte Kontrollen (Zugriffsüberprüfungen, Lieferantenüberprüfungen, Änderungsgenehmigungen, Incident-Postmortems) außerhalb der Plattform liegen und weiterhin menschliche Kadenz erfordern.
Realistischer Zeitplan: 12–18 Wochen Readiness-Arbeit (Gap-Analyse, Kontrollumsetzung, Policy-Einführung, Automatisierungsintegration), dann entweder ein Type-I-Audit (ca. 4 Wochen Prüferarbeit, Bericht 2–4 Wochen danach) oder direkt ein 6-monatiges Type-II-Beobachtungsfenster. CPA-Prüfungsgebühren sind separat von unserer Arbeit und liegen typischerweise bei 20.000–60.000 USD für Type II je nach Umfang und Kanzlei-Tier. Kombiniert man unsere Readiness (12.000 EUR), Type-I-Vorbereitung (28.000 EUR), Type-II-Ongoing (5.000 EUR/Monat) und das CPA-Audit, erreichen die meisten SaaS-Unternehmen einen sauberen Type-II-Bericht in 9–12 Monaten nach Projektstart.
Drei Pakete. Readiness zu 12.000 EUR Festpreis (4–6 Wochen): TSC-Scoping, Kontroll-Gap-Analyse, Automatisierungsplattform-Einrichtung und Integrations-Tuning, Policy-Paket (15+ Richtlinien auf CC und gewählte Kategorien gemappt), Kontrollverantwortungszuweisung und Executive-Briefing. Type-I-Vorbereitung zu 28.000 EUR Festpreis (8–12 Wochen): Kontrollumsetzung in Code/IaC/IdP, Nachweiserhebung, Auditor-Liaison während der Feldarbeit und Behebung von Design-Lücken, die der Prüfer aufdeckt. Type-II-Ongoing zu 5.000 EUR/Monat: monatliche Kontrollverantwortungs-Synchronisation, vierteljährliche Zugangs-/Lieferantenüberprüfungen, Nachweisqualitäts-Monitoring, Incident Response im Retainer und Auditor-Liaison während des Type-II-Fensters. CPA-Prüfungsgebühren werden separat durch die Kanzlei in Rechnung gestellt.
