SOC 2 Readiness-Checkliste | RiskNow Resources

Was ist SOC-2-Readiness?

SOC-2-Readiness bedeutet, dass die Kontrollen und Prozesse Ihrer Organisation wirksam betrieben werden und Nachweise liefern, die ein Pruefer unabhaengig verifizieren kann. SOC 2 (System and Organization Controls 2) wurde vom AICPA entwickelt und bewertet Kontrollen zu den Trust Service Criteria: Security, Availability, Processing Integrity, Confidentiality und Privacy.

Die meisten Organisationen, die SOC 2 anstreben, fokussieren mindestens auf das Security-Kriterium. Zusaetzliche Kriterien werden je nach vertraglichen Anforderungen oder Art der erbrachten Leistungen einbezogen. Readiness wird nicht durch Richtlinien auf Papier erreicht - Pruefer bewerten, ob Kontrollen dokumentiert, implementiert und konsistent betrieben werden, inklusive belastbarer Nachweise.

Diese Checkliste deckt die sechs praktischen Kontrollbereiche ab, die bestimmen, ob Ihre Organisation bereit ist, ein SOC-2-Type-I- oder Type-II-Audit zu starten. Gehen Sie jeden Abschnitt durch, identifizieren Sie Luecken und priorisieren Sie die Behebung, bevor Ihr Audit-Zeitraum beginnt.

Vollstaendige SOC-2-Readiness-Checkliste

Bewerten Sie jeden Punkt: vollstaendig umgesetzt, in Umsetzung oder nicht umgesetzt. Nicht vollstaendig umgesetzte Punkte bilden Ihren Remediation-Backlog.

1 Governance & Risikomanagement

Sicherheitsrollen und Verantwortlichkeiten sind klar definiert und benannten Personen zugewiesen
Informationssicherheitsrichtlinien sind dokumentiert, vom Management genehmigt und allen Mitarbeitenden kommuniziert
Informationssicherheitsrisiken werden nach definiertem Zeitplan bewertet, inklusive dokumentierter Ergebnisse und Risikobewertungen
Das Management prueft Sicherheitsleistung, Kontrollwirksamkeit und Compliance-Aktivitaeten mit dokumentierten Ergebnissen
Sicherheitsziele und Verbesserungsmassnahmen werden bis zum Abschluss mit Verantwortlichen und Zielterminen nachverfolgt

2 Zugriffssteuerung

Zugriff auf Systeme und Daten wird auf Basis dokumentierter Geschaeftsnotwendigkeit und formaler Freigabe vergeben
Mehrfaktor-Authentifizierung (MFA) ist fuer alle kritischen Systeme und Remote-Zugaenge erzwungen
Benutzerrechte werden regelmaessig geprueft; Reviews und umgesetzte Aenderungen sind dokumentiert
Zugriff wird bei Rollenwechsel oder Austritt zeitnah angepasst oder entzogen, mit Nachweis der fristgerechten Entziehung
Privilegierte und administrative Konten unterliegen verstaerkten Kontrollen, Monitoring und regelmaessiger Rezertifizierung

3 Datenschutz

Sensible Daten sind waehrend der Uebertragung nach aktuellem Standard (TLS 1.2 oder hoeher) ueber externe und interne Kanaele verschluesselt
Sensible Daten sind im Ruhezustand in Produktivdatenbanken, Dateispeichern und Backups verschluesselt
Anforderungen zu Aufbewahrung und Loeschung sind dokumentiert; Kunden-Daten werden gemaess vereinbarter Fristen entsorgt und nachweislich protokolliert
Kunden- und vertrauliche Informationen sind klassifiziert; Zugriff ist nach Klassifizierungsstufe beschraenkt

4 Security Operations

Sicherheits- und System-Logs werden gesammelt, gespeichert und in definierter Frequenz geprueft; Alarm-Schwellen sind konfiguriert
Schwachstellen-Scans werden in definierter Taktung durchgefuehrt, Ergebnisse sind dokumentiert
Kritische und hochschwere Schwachstellen werden innerhalb definierter Fristen gemaess Richtlinie behoben, mit vorhandenem Tracking
Endpoint-Schutz (Antivirus, EDR oder gleichwertig) ist auf allen Unternehmensgeraeten ausgerollt und aktiv gemanagt
Sicherheitsvorfaelle werden erkannt, erfasst, untersucht und behoben, inklusive dokumentierter Zeitlinien und Root-Cause-Ergebnisse

5 Change- & Vendor-Management

Aenderungen an Produktivsystemen folgen einem dokumentierten Change-Management-Prozess mit Review, Freigabe und Rollback-Verfahren
Software-Releases werden in einer Nicht-Produktivumgebung getestet und vor Deployment in Produktion freigegeben
Drittanbieter mit Zugriff auf Systeme oder Kundendaten werden vor Onboarding auf Sicherheitsrisiken bewertet
Kritische Lieferanten werden laufend ueberprueft und Sicherheitsanforderungen sind in Vertraegen verankert

6 Business Continuity & Awareness

Backups kritischer Systeme und Daten erfolgen nach Zeitplan; Wiederherstellung wird periodisch mit dokumentierten Ergebnissen getestet
Business-Continuity- und Disaster-Recovery-Plaene sind dokumentiert, aktuell und decken die fuer SOC 2 relevanten Systeme ab
Alle Mitarbeitenden absolvieren Security-Awareness-Schulungen beim Onboarding und mindestens jaehrlich; Nachweise werden aufbewahrt
Incident-Response-Verfahren sind dokumentiert und durch Tabletop- oder Live-Simulation getestet; Ergebnisse sind festgehalten
Nachweise zur Kontrollwirksamkeit werden konsistent gesammelt, aufbewahrt und fuer Pruefer schnell bereitgestellt

Haeufige SOC-2-Readiness-Fehler

Diese Luecken werden in SOC-2-Readiness-Assessments am haeufigsten identifiziert und als Ausnahmen in Audit-Feststellungen berichtet.

Kontrollen existieren in Richtlinien, werden aber nicht konsistent betrieben

Die haeufigste SOC-2-Ausnahme. Wenn eine Richtlinie vierteljaehrliche Zugriffsreviews fordert, muessen fuer jedes Quartal im Scope datierte Nachweise vorliegen. Pruefer testen die operative Wirksamkeit gegen dokumentierte Zusagen - Absicht ohne Nachweis fuehrt zu einer Ausnahme.

Kein Prozess zur Evidenzsammlung vor Beginn des Audit-Zeitraums

SOC-2-Type-II-Audits decken einen definierten Zeitraum ab - typischerweise drei bis zwoelf Monate. Nachweise muessen fuer den gesamten Pruefzeitraum vorhanden sein. Ein nachtraeglich gestartetes Evidenzprogramm kann die Anforderung nicht rueckwirkend erfuellen.

Offboarding ohne zeitnahe Entziehung von Zugriffsrechten

Pruefer ziehen Stichproben aus Austritts- und Zugriffsentziehungsnachweisen, um die Einhaltung der in Richtlinien festgelegten Fristen zu pruefen. Verzoegerungen zwischen Austrittsdatum und Entzug sind haeufige Feststellungen, besonders bei SaaS-Tools ausserhalb zentraler IT-Provisioning-Prozesse.

Lieferantensicherheit wird nicht bewertet, bevor Produktionszugriff gewaehrt wird

Subservice-Organisationen und Anbieter mit Zugriff auf Systeme oder Kundendaten sind Teil Ihrer SOC-2-Kontrollumgebung. Pruefer pruefen, ob Risikoanalysen vor Zugriffsvergabe abgeschlossen wurden - nicht erst rueckwirkend bei Auditankuendigung.

Wiederherstellung von Backups nicht getestet

Ein Backup-Plan allein reicht nicht aus. SOC 2 verlangt Nachweise, dass Backups erfolgreich wiederhergestellt werden koennen. Ungetestete Backups oder nicht dokumentierte Tests erzeugen eine Luecke in verfuegbarkeitsbezogenen Kontrollen, die Pruefer markieren.

Scope zu breit definiert im Verhaeltnis zu verfuegbaren Nachweisen

Organisationen nehmen manchmal alle Systeme in den Scope auf, um umfassend zu wirken, koennen dann aber keine konsistente Evidenz fuer jedes System liefern. Ein fokussierter, gut nachgewiesener Scope besteht verlaesslicher als ein breiter Scope mit Abdeckungsluecken.

SOC 2 Type I vs Type II

SOC 2 bietet zwei Berichtstypen. Das Verstaendnis der Unterschiede hilft, den richtigen Einstieg zu waehlen und die Audit-Zeitachse zu planen.

Type I - Design zu einem Stichtag

Ein SOC-2-Type-I-Bericht bewertet, ob Ihre Kontrollen zu einem bestimmten Datum geeignet gestaltet sind. Er bewertet nicht, ob Kontrollen ueber die Zeit wirksam betrieben wurden. Type I wird oft als erster Meilenstein genutzt oder wenn fuer Type II noch nicht genug Betriebshistorie vorliegt.

Pruefer bewerten

Kontrollen sind geeignet gestaltet, um die Trust Service Criteria zu erfuellen
Richtlinien und Verfahren bestehen und sind zum Berichtsdatum dokumentiert
Die Systembeschreibung bildet die im Scope befindliche Umgebung korrekt ab
Die Management-Erklaerung wird durch Nachweise zum Berichtsdatum gestuetzt

Type II - Operative Wirksamkeit ueber einen Zeitraum

Ein SOC-2-Type-II-Bericht prueft, ob Kontrollen ueber einen definierten Pruefzeitraum wirksam betrieben wurden - typischerweise sechs bis zwoelf Monate. Diesen Bericht erwarten die meisten Kunden und Enterprise-Kaeufer; in vielen Enterprise-Beschaffungsprozessen ist er erforderlich.

Pruefer bewerten

Kontrollen wurden waehrend des gesamten Audit-Zeitraums konsistent betrieben
Nachweise sind aktuell, vollstaendig und decken den gesamten Pruefzeitraum ab
Ausnahmen werden identifiziert und ihre Auswirkung auf das Gesamturteil bewertet
Mitarbeitende zeigen Bewusstsein fuer ihre Verantwortlichkeiten in Kontrollverfahren
Abhaengigkeiten von Subservice-Organisationen und komplementaere User-Entity-Kontrollen werden adressiert

FAQ

Was sind die SOC-2-Trust-Service-Criteria?

Der AICPA definiert fuer SOC 2 fuenf Trust Service Criteria: Security (die Common Criteria, in allen SOC-2-Pruefungen erforderlich), Availability, Processing Integrity, Confidentiality und Privacy. Die meisten Organisationen starten mindestens mit Security und ergaenzen Availability und Confidentiality, wenn Enterprise-Kunden dies vertraglich verlangen. Der gewaehlte Kriterien-Scope bestimmt, welche Kontrollen geprueft werden.

Wie lange dauert die Vorbereitung auf SOC 2?

Fuer SOC 2 Type I koennen Organisationen mit reifen internen Kontrollen in sechs bis zwoelf Wochen bereit sein. Bei Type II dauert allein der Audit-Zeitraum typischerweise drei bis zwoelf Monate; der Gesamtprozess von der Readiness-Bewertung bis zum Type-II-Bericht dauert daher oft sechs bis achtzehn Monate - je nach Kontrollreife und Evidenzhistorie zu Beginn.

Was ist der Unterschied zwischen SOC 2 und ISO 27001?

SOC 2 ist ein Attestierungsauftrag durch eine zugelassene CPA-Pruefgesellschaft nach AICPA-Standards und fuehrt zu einem vertraulichen Audit-Bericht fuer definierte Parteien. ISO 27001 ist ein internationaler Standard mit oeffentlich verifizierbarer Zertifizierung und Fokus auf Informationssicherheits-Managementsysteme (ISMS). SOC 2 legt mehr Gewicht auf die Wirksamkeit und Betriebsreife von Kontrollen, waehrend ISO 27001 einen umfassenden Managementrahmen etabliert. Viele Organisationen verfolgen beide Standards; es gibt erhebliche Ueberschneidungen.

Brauchen wir einen Penetrationstest fuer SOC 2?

Ein Penetrationstest ist in den SOC-2-Trust-Service-Criteria nicht explizit vorgeschrieben, wird aber fuer das Security-Kriterium weithin erwartet und haeufig als Nachweis fuer reifes Vulnerability Management in Systembeschreibungen aufgenommen. Viele Pruefer werten das Fehlen als Beobachtung, und die meisten Enterprise-Kunden erwarten, dass Penetrationstests im SOC-2-Bericht adressiert sind.

Was passiert, wenn Pruefer Ausnahmen finden?

Ausnahmen fuehren nicht automatisch zu einer eingeschraenkten oder negativen Meinung. Der Pruefer bewertet Art, Haeufigkeit und Risikoauswirkung jeder Ausnahme. Kleine, isolierte Ausnahmen mit kompensierenden Kontrollen koennen ohne Einfluss auf das Gesamturteil berichtet werden. Systematische Ausnahmen - wenn eine Kontrolle wiederholt oder vollstaendig versagt - sind schwerwiegender. Transparenz gegenueber dem Pruefer und fruehe Behebung bekannter Luecken reduzieren das Risiko.

Kann die SOC-2-Vorbereitung die ISO-27001-Zertifizierung unterstuetzen?

Ja. Beide Frameworks teilen wesentliche Kontrollen in Zugriffsmanagement, Vulnerability Management, Incident Response, Lieferantenrisiko und Business Continuity. Evidenz aus der SOC-2-Vorbereitung kann ISO-27001-Kontrollen direkt unterstuetzen und Doppelarbeit reduzieren. Viele Organisationen, die beide Frameworks verfolgen, nutzen eine integrierte GRC-Plattform, um Kontrollen, Nachweise und Audit-Readiness parallel zu steuern.

SOC 2 Readiness Checkliste