Zum Hauptinhalt springen

SOC 2 Typ II für SaaS-Startups: Kosten, Kriterien und das sechsmonatige Beobachtungsfenster

· 13 Minuten Lesezeit
Mike Thrift
Mike Thrift
Marketing Manager

Ein Enterprise-Interessent hat gerade Ihrem Gründer gemailt und nach Ihrem SOC 2 Type II-Bericht gefragt. Sie haben keinen. Der Deal hat einen Wert von 4 Millionen US-Dollar und die Frist für die Beschaffung endet in 90 Tagen. Hier ist die unangenehme Wahrheit: Ein SOC 2 Type II erfordert ein Beobachtungsfenster von mindestens drei Monaten, und die meisten versierten Enterprise-Einkäufer akzeptieren nichts unter sechs. Man kann den Weg zum Bericht nicht im Sprint zurücklegen – man kann nur die Uhr starten.

Für Gründer, die vor ihrem ersten großen Enterprise-Vertrag stehen, ist SOC 2 zum Standard-Nachweis geworden, der zwischen „wir würden Sie gerne evaluieren“ und „schicken Sie uns den Bericht, dann reden wir“ unterscheidet. Dieser Leitfaden erläutert, was das Audit tatsächlich abdeckt, wie man den Umfang festlegt, was es im Jahr 2026 kostet und welche Vorbereitungsfallen echte Deals verhindert haben – damit Sie die erste Prüfung bestehen, ohne den Vertrieb für ein Jahr auf Eis zu legen.

Was SOC 2 eigentlich ist

2026-05-11-soc-2-type-ii-saas-startups-trust-services-criteria-audit-cost-six-month-observation-window-first-examination-guide

SOC 2 – kurz für System and Organization Controls 2 – ist ein Bestätigungsbericht, der von einer lizenzierten CPA-Kanzlei gemäß den vom American Institute of CPAs (AICPA) festgelegten Standards ausgestellt wird. Er bewertet die Kontrollen, die eine Service-Organisation einsetzt, um Kundendaten zu schützen und ihre Systeme zuverlässig zu halten. Der Bericht ist keine Zertifizierung und kein bloßes Häkchen; es ist das in formeller Sprache verfasste Urteil eines Prüfers darüber, ob Ihre Kontrollen angemessen gestaltet sind und effektiv funktionieren.

Es gibt zwei Arten, und der Unterschied ist für Gründer oft bedeutender als gedacht:

  • SOC 2 Type I ist eine Momentaufnahme zu einem bestimmten Zeitpunkt. Der Prüfer bewertet, ob Ihre Kontrollen an einem einzigen Stichtag ordnungsgemäß konzipiert sind. Sie können diesen Bericht innerhalb weniger Wochen erhalten, sobald die Kontrollen implementiert sind. Viele Startups nutzen dies als ersten Zwischenschritt.
  • SOC 2 Type II bewertet, ob dieselben Kontrollen über einen Zeitraum hinweg – in der Regel drei bis zwölf Monate – tatsächlich effektiv funktionierten. Dies ist es, was Enterprise-Kunden wirklich verlangen, da es beweist, dass Ihre Kontrollen nicht nur dokumentiert sind, sondern auch gelebt werden.

Großunternehmen betrachten Type I im Allgemeinen als vielversprechendes Signal und Type II als das eigentliche Lieferergebnis. Wenn Sie Type I überspringen und direkt zu Type II übergehen, sparen Sie doppelte Audit-Gebühren, verzichten aber auf den frühen Nachweis „wir arbeiten daran“.

Die Trust Services Criteria

SOC 2 basiert auf den Trust Services Criteria (TSC), die zuletzt 2017 vom AICPA aktualisiert und 2022 durch überarbeitete „Points of Focus“ ergänzt wurden. Es gibt fünf Kategorien, und Sie wählen aus, welche für Ihren Prüfungsumfang relevant sind:

  1. Sicherheit (Security) – die einzige obligatorische Kategorie, oft als „Common Criteria“ (CC1 bis CC9) bezeichnet. Jeder SOC 2-Bericht umfasst Sicherheit. Sie deckt logischen Zugriff, Änderungsmanagement, Risikobewertung, Überwachung und die Reaktion auf Vorfälle ab.
  2. Verfügbarkeit (Availability) – ob Ihre Systeme wie zugesagt zugänglich und nutzbar sind. Sinnvoll, wenn Sie SLAs verkaufen oder eine für die Betriebszeit kritische Infrastruktur betreiben.
  3. Prozessintegrität (Processing Integrity) – ob die Verarbeitung vollständig, genau, zeitnah und autorisiert erfolgt. Relevant für Zahlungsabwickler, Abrechnungsplattformen und Datenpipelines.
  4. Vertraulichkeit (Confidentiality) – ob als vertraulich eingestufte Informationen entsprechend geschützt werden. Die meisten B2B-SaaS-Unternehmen, die proprietäre Kundendaten verarbeiten, fügen dies hinzu.
  5. Datenschutz (Privacy) – ob personenbezogene Daten in Übereinstimmung mit der Datenschutzerklärung des Unternehmens erhoben, verwendet, aufbewahrt, offengelegt und entsorgt werden. Dies erhöht den Umfang erheblich und wird meist aufgeschoben, es sei denn, Sie verkaufen an Branchen mit expliziten Datenschutzanforderungen.

Ein typischer Umfang für ein SaaS-Unternehmen bei der Erstprüfung ist Sicherheit + Verfügbarkeit + Vertraulichkeit. Datenschutz ist ein gewaltiger Aufwand. Prozessintegrität wird selten benötigt, es sei denn, Ihr Dienst ist selbst eine Datenumwandlungs-Engine. Das AICPA listet 61 Kriterien über die Kategorien hinweg mit fast 300 „Points of Focus“ auf – aber Sie schreiben nicht für jedes einzelne eine Kontrolle. Sie ordnen Ihre bestehenden Kontrollen den Kriterien zu.

Wer SOC 2 tatsächlich benötigt

Wenn Ihre Kunden Daten über Ihren Dienst speichern, verarbeiten oder übertragen und einige dieser Kunden mittelständisch oder größer sind, stellt sich nicht die Frage, ob Sie SOC 2 benötigen, sondern wann. Auslöser, die das Thema erzwingen:

  • Beschaffungs- oder Vendor-Risk-Teams, die Sicherheitsfragebögen zu Vertragsverlängerungen hinzufügen
  • Enterprise-Interessenten, die „SOC 2“ als vertragliche Voraussetzung nennen
  • Eine Sicherheitslücke oder ein Vorfall bei einem Wettbewerber, der Ihre Käufer nervös macht
  • Käufer, die im Rahmen einer Due-Diligence-Prüfung eine Akquisition vorbereiten; das Fehlen von SOC 2 führt oft zu einer Preisreduzierung in den Verhandlungen
  • Versicherer, die Cyber-Policen zeichnen und Nachweise über Prüfberichte verlangen

Sie benötigen SOC 2 nicht, um an kleine Unternehmen, einzelne Entwickler oder Self-Service-Kunden zu verkaufen. Aber in dem Moment, in dem Sie anfangen, fünf- und sechsstellige Jahresverträge abzuschließen, treffen die Fragebögen ein, und die Antworten, die Sie ohne einen Bericht geben können, reichen nicht mehr aus.

Wie eine SOC 2 Type II Prüfung aussieht

Ein Type II-Engagement umfasst grob fünf Phasen:

1. Scoping und Readiness Assessment (Vorbereitungsprüfung)

In der ersten Phase wird definiert, was Ihr System ist, wo seine Grenzen liegen, welche Unterdienstleister (Subservice Organizations) ausgeklammert werden und welche Trust Services Criteria gelten. Ein Readiness Assessment – manchmal auch Gap-Analyse genannt – ist die Generalprobe. Ein Prüfer (oder ein unabhängiger Berater) geht jedes Kriterium durch, identifiziert fehlende Kontrollen oder schwache Nachweise und erstellt eine Aufgabenliste, die vor Beginn des Beobachtungszeitraums abgearbeitet werden muss.

Das Überspringen der Vorbereitungsphase ist die häufigste Ursache für das Scheitern von Erst-Audits. Gründer, die eine Compliance-Automatisierungsplattform kaufen und davon ausgehen, dass dies ausreicht, stellen oft erst bei der Prüfung fest, dass die Plattform zwar Kontrollen dokumentiert, diese aber nicht erzwungen hat.

2. Umsetzung und Nachbesserung

Sie bauen, schreiben, konfigurieren und setzen alles um, was noch fehlt. Typische Bereiche für die Nachbesserung sind:

  • Informationssicherheitsrichtlinien (Nutzungsrichtlinien, Zugriffskontrolle, Änderungsmanagement, Reaktion auf Vorfälle, Drittanbietermanagement, Geschäftskontinuität)
  • Identitäts- und Zugriffsmanagement (Single Sign-On, MFA, Least-Privilege-Rollenkonzept, Joiner-Mover-Leaver-Workflow)
  • Endpunktschutz und Patch-Management
  • Produktionsänderungsmanagement mit Code-Reviews und CI/CD-Nachweisen
  • Schwachstellen-Scanning, Penetrationstests in einem festgelegten Rhythmus
  • Zentralisierte Protokollierung und Überwachung mit Alarmierung und Überprüfung
  • Risikomanagement für Drittanbieter mit Due-Diligence-Unterlagen für jeden Unterauftragsverarbeiter
  • Jährliche Risikobewertung, Sicherheitsschulungen für Mitarbeiter und Hintergrundüberprüfungen

3. Der Beobachtungszeitraum

Das definierende Merkmal von Typ II. Die Prüfer testen, ob Ihre Kontrollen über diesen gesamten Zeitraum hinweg wirksam waren. Gängige Zeiträume:

  • Drei Monate — das technische Minimum, das von Unternehmenskunden selten akzeptiert wird. Nützlich für einen Zwischenbericht, wenn der Zeitplan es erzwingt.
  • Sechs Monate — der typische erste Typ II für Startups. Ein angemessenes Gleichgewicht zwischen Geschwindigkeit und Glaubwürdigkeit.
  • Zwölf Monate — bevorzugt von risikoscheuen Unternehmen und erforderlich für den künftigen jährlichen Rhythmus.

Während dieses Zeitfensters muss jede Kontrolle auf Ihrer Liste funktionieren. Wenn Sie sich zu monatlichen Überprüfungen der Zugriffsrechte verpflichten, führen Sie diese jeden Monat durch. Wenn vierteljährliche Schwachstellen-Scans auf Ihrer Kontrollliste stehen, führen Sie diese vierteljährlich durch. Lücken an dieser Stelle bezeichnen Prüfer als „Ausnahmen“ (Exceptions), und eine einzige Ausnahme, die der Prüfer als schwerwiegend erachtet, kann zu einem eingeschränkten Prüfungsurteil führen.

4. Feldarbeit (Prüfungsphase)

Sobald der Beobachtungszeitraum endet, zieht der Prüfer eine Stichprobe von Nachweisen — Tickets, Protokolle, Screenshots, Schulungsnachweise, Bestätigungen von Zugriffsüberprüfungen — und testet, ob jede Kontrolle wie beschrieben funktionierte. Er interviewt Personal und beobachtet Systeme live. Diese Phase dauert in der Regel vier bis acht Wochen.

5. Berichterstattung

Der Prüfer erstellt den Berichtsentwurf. Sie überprüfen die Systembeschreibung und die Zusicherung des Managements (Management Assertion). Der Prüfer schließt das Urteil ab: uneingeschränkt (einwandfrei), eingeschränkt (Ausnahmen, aber ansonsten wirksam), negativ (Kontrollen waren nicht wirksam) oder Nichtabgabe eines Prüfungsurteils (keine Meinungsbildung möglich). Gründer sollten ein uneingeschränktes Urteil anstreben. Eingeschränkte Berichte führen zwar immer noch zum Abschluss von Verträgen, lösen jedoch unangenehme Folgefragen aus.

Die Kostenrealität 2026

Gründer, die nur die Prüfungsgebühr einplanen, budgetieren nur einen Bruchteil der Kosten. Hier ist eine realistische Aufschlüsselung für 2026 für ein kleines SaaS-Unternehmen (weniger als fünfzig Mitarbeiter, ein einzelnes Produkt, Cloud-native Infrastruktur):

KostenkomponenteTypischer Bereich
Prüfungsgebühr (Typ II, Sechs-Monats-Zeitraum)12.000 25.000– 25.000
Bereitschaftsbewertung (falls getrennt vom Prüfer)5.000 15.000– 15.000
Compliance-Automatisierungsplattform (jährlich)7.000 25.000– 25.000
Penetrationstest (jährlich)5.000 15.000– 15.000
Ergänzungen der Sicherheits-Tools (MDM, SIEM, IAM-Upgrades)5.000 25.000– 25.000
Interner Zeitaufwand (Kosten in Personenmonaten)20.000 60.000– 60.000
Gesamtkosten im ersten Jahr (All-in)45.000 150.000– 150.000

Im zweiten Jahr sinken die Kosten in der Regel um 30 bis 50 Prozent. Richtlinien sind geschrieben, Tools sind im Einsatz, und das Audit wird eher zu einer Routineprüfung („Refresh-and-Retest“) als zu einem Neuaufbau. Die Prüfungsgebühr selbst ändert sich kaum, da der Arbeitsaufwand jedes Jahr ähnlich bleibt.

Ein kleines Detail mit großen Folgen: Etablierte Kanzleien berechnen 20.000 bis 30.000 fu¨rdasselbeAudit,daseineaufStartupsspezialisierteBoutiqueKanzleifu¨r10.000bis15.000für dasselbe Audit, das eine auf Startups spezialisierte Boutique-Kanzlei für 10.000 bis 15.000 durchführt. Beide liefern einen gültigen AICPA-Bericht. Der Name der Prüfungsgesellschaft ist für einige Unternehmenskunden von Bedeutung (Top-Tier-Namen erscheinen gelegentlich in Fragebögen für Anbieter), aber die meisten Beschaffungsteams achten auf das Prüfungsurteil, die abgedeckten Kriterien und den Zeitraum — nicht auf die Kanzlei.

Verfolgen Sie die Compliance-Ausgaben vom ersten Tag an

SOC 2 ist eines dieser Projekte, bei dem Gründer am Jahresende zurückblicken und fragen: „Wo ist das ganze Geld geblieben?“ Die Rechnung des Prüfers ist der sichtbare Teil, aber die Ausgaben sind über Sicherheitstools, Penetrationstests, Abonnements für Compliance-Plattformen, Zeitaufwand für externe Auftragnehmer, rechtliche Prüfung von Richtlinien und Dutzende kleine Infrastrukturänderungen verstreut. Wenn Sie jede Transaktion von Anfang an einem speziellen Konto Expenses:Compliance:SOC2 in Ihrer Buchhaltung zuordnen, haben Sie eine ehrliche Antwort parat, wenn Ihr Vorstand nach den Kosten des Programms fragt und wissen möchte, wie das zweite Jahr aussehen wird. Zudem verfügen Sie über eine saubere Dokumentation für Gespräche über die F&E-Steuergutschrift, da Teile der technischen Nachbesserungsarbeiten oft dafür qualifizieren.

Die sechs Fehler, die erste Audits scheitern lassen

Nach genügend SOC 2 Typ II-Erstprüfungen wiederholen sich immer wieder dieselben Fehlermuster. Vermeiden Sie diese:

1. Dokumentierte Kontrollen als operative Kontrollen behandeln

Eine Richtlinie, die besagt, dass „Zugriffsüberprüfungen vierteljährlich durchgeführt werden“, besteht das Audit nicht. Der Nachweis, dass Zugriffsüberprüfungen tatsächlich stattgefunden haben, pünktlich, jedes Mal und über den gesamten Beobachtungszeitraum hinweg, besteht das Audit. Die meisten Fehler liegen nicht an fehlenden Kontrollen, sondern an Kontrollen, die nur in drei von vier Quartalen funktionieren.

2. Das Risikomanagement für Drittanbieter unterschätzen

Sie sind für die Kontrollen Ihrer Unterdienstleistungsunternehmen verantwortlich — Ihren Cloud-Anbieter, Ihren Monitoring-Anbieter, Ihren Dienstleister für Hintergrundüberprüfungen. Die Prüfer werden nach Beweisen fragen, dass Sie den SOC 2-Bericht jedes Anbieters geprüft oder eine Risikobewertung für Anbieter durchgeführt haben, die keinen eigenen Bericht haben. Startups erscheinen regelmäßig mit einem halb leeren Anbieterverzeichnis zur Feldarbeit.

3. Vernachlässigung von Onboarding und Offboarding

Onboarding-Mover-Offboarding-Prozesse gehören zu den am häufigsten geprüften Kontrollbereichen. Für jede Neueinstellung sollte eine dokumentierte Bereitstellung (Provisioning) vorliegen. Für jedes Ausscheiden sollte eine dokumentierte Entziehung von Berechtigungen (Deprovisioning) erfolgen, die innerhalb der in Ihrer Richtlinie festgelegten SLA abgeschlossen wird. Slack-Nachrichten gelten nicht als Beleg; Ticketing-Aufzeichnungen hingegen schon.

4. Ignorieren der Risikobewertung

Das Framework setzt eine jährliche, dokumentierte Risikobewertung voraus, die Bedrohungen identifiziert, Eintrittswahrscheinlichkeit sowie Auswirkungen bewertet und mit risikomindernden Kontrollen verknüpft. Eine Aufzählung in einem Google Doc reicht nicht aus. Das Risikoregister sollte mit Ihrem Kontrollset, Ihrem Incident Response Plan und Ihrem Business Continuity Plan verbunden sein.

5. Zu langes Warten mit der Beauftragung des Auditors

Wenn Sie mit der Suche nach einem Auditor warten, bis Sie nur noch zwei Monate Zeit haben, bevor Sie den Bericht benötigen, werden Sie entweder keinen mit freien Kapazitäten finden oder eine saftige Eilgebühr zahlen. Beauftragen Sie einen Auditor drei bis sechs Monate vor Beginn Ihres geplanten Beobachtungszeitraums. Viele Auditoren führen zuerst ein Readiness-Assessment durch. Eine frühzeitige Beauftragung gibt Ihnen also einen Partner für die Behebung von Schwachstellen an die Seite.

6. Wahl eines zu kurzen Beobachtungszeitraums

Ein Drei-Monats-Bericht stellt die Beschaffungsabteilungen von Unternehmen selten zufrieden. Ein Sechs-Monats-Bericht in der Regel schon. Manche Gründer setzen auf drei Monate, um einen einzelnen Deal abzuschließen, und müssen das Ganze dann für den nächsten Interessenten wiederholen. Wählen Sie den kürzesten Zeitraum, den Ihre Käufer tatsächlich akzeptieren würden, nicht den kürzesten zulässigen Zeitraum.

Ein 12-Monats-Plan, der funktioniert

Hier ist der Zeitplan, mit dem die meisten SaaS-Unternehmen bei ihrem ersten Type-II-Projekt rechnen sollten:

  • Monate 1–2: Umfang festlegen (Security + Availability + Confidentiality ist der typische Einstieg). Auditor und Readiness-Berater beauftragen. Gap-Analyse durchführen.
  • Monate 3–5: Schwachstellen beheben. Richtlinien-Set (Policy Stack) erstellen. Fehlende Sicherheitstools implementieren. Ticketing und Belegsammlung für jede wiederkehrende Kontrolle einführen. Anbieterverträge unterzeichnen, die Sicherheitsverpflichtungen enthalten.
  • Monat 6: Interner Testlauf. Belege für jede Kontrolle sammeln. Alles korrigieren, was noch keine sauberen Belege liefert.
  • Monate 7–12: Beobachtungszeitraum. Jede Kontrolle konsequent anwenden. Widerstehen Sie dem Drang, mitten im Zeitraum neue Kontrollen hinzuzufügen, es sei denn, dies ist absolut notwendig.
  • Monat 13: Vor-Ort-Prüfung (Fieldwork). Stichproben bereitstellen, an Interviews teilnehmen, Fragen des Auditors beantworten.
  • Monat 14: Finaler Bericht. Versand an Interessenten, die bereits in der Pipeline warten.

Ehrgeizige Gründer verkürzen dies auf sechs bis neun Monate, indem sie Bereitschaftsprüfung und Fehlerbehebung parallel laufen lassen und einen sechsmonatigen Beobachtungszeitraum wählen. Das ist machbar – aber selten mit Teams, die das zum ersten Mal machen.

Nach dem Bericht

Der Bericht ist ab dem Ende des Beobachtungszeitraums zwölf Monate lang gültig. Danach werden Interessenten fragen, wann der nächste erscheint. Planen Sie einen jährlichen Rhythmus ein – ein kontinuierliches zwölfmonatiges Beobachtungsfenster ohne Lücken –, damit sich Ihre Berichte überschneiden und Sie immer ein aktuelles Dokument vorlegen können. Dies ist einer der Gründe, warum es wichtig ist, SOC 2 als Programm und nicht als einmaliges Projekt zu betrachten: Das zweite Jahr ist lediglich die operative Fortführung des ersten Jahres.

Bridge Letters sind kurze Dokumente, die Ihr Auditor zwischen den Berichtsperioden ausstellen kann und die bestätigen, dass sich seit dem letzten Bericht nichts Wesentliches geändert hat. Sie verschaffen Ihnen Zeit, wenn ein Interessent eine Bestätigung benötigt und Ihr nächster Bericht noch nicht vorliegt. Die Kosten sind minimal; fragen Sie Ihren Auditor, ob Bridge Letters im Auftrag enthalten sind.

Halten Sie Ihre Compliance-Bücher so sauber wie Ihre Kontrollen

SOC 2 zwingt Sie dazu, mit Disziplin zu arbeiten – dokumentiert, wiederholbar und nachweisbar. Ihre Buchhaltung sollte nach demselben Prinzip funktionieren. Beancount.io bietet Plain-Text-Buchhaltung, die transparent, versionskontrolliert und KI-bereit ist, sodass der Prüfpfad (Audit Trail) für Ihre Finanzen ebenso belastbar ist wie der Prüfpfad, den Sie für Ihr Sicherheitsprogramm aufbauen. Kostenlos starten und erfahren, warum Gründer und Finanzexperten auf Plain-Text-Buchhaltung setzen, wenn es auf Nachvollziehbarkeit ankommt.

Share on TwitterFollow @beancount_io

Erste Schritte mit Beancount.io

Übernehmen Sie die Kontrolle über Ihre Finanzen mit unserem Open-Source-System für die doppelte Buchführung. Starten Sie noch heute Ihr Ledger.

Kostenlos loslegenPreise ansehen

Erste Schritte

Funktionen

Community

Rechtliches

Beancount.io© 2019 - 2026 Beancount.io
Laden im App StoreJetzt bei Google Play
Gebaut mit Transparenz • Versionskontrolliert • KI-gestützt