Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for SOC 1 vs SOC 2: Unterschiede der Compliance-Frameworks erklärt
Cybersecurity 101/Cybersecurity/SOC 1 vs SOC 2

SOC 1 vs SOC 2: Unterschiede der Compliance-Frameworks erklärt

SOC 1 bewertet Kontrollen zur Finanzberichterstattung; SOC 2 bewertet Sicherheits- und Datenschutzmaßnahmen. Erfahren Sie, wann welcher Berichtstyp angefordert werden sollte und wie Sie die Compliance von Anbietern bewerten.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was sind SOC 1 und SOC 2?
Verständnis von SOC 1 und SOC 2: Unterschiede zwischen Typ I und Typ II
Wann Sie SOC 1-Berichte benötigen
Wann Sie SOC 2-Berichte benötigen
SOC 1 vs SOC 2: Wichtige Unterschiede für Sicherheitsteams
Geltungsbereich und Zweck
Verteilung und Zielgruppen
Unterschiede im Kontrollrahmen
Integration in Ihr Sicherheitsprogramm
SOC 1 vs SOC 2: Vergleich
Stärkung der Lieferantenrisikobewertung mit SentinelOne
Kontinuierlicher Compliance-Nachweis
Wichtige Erkenntnisse

Verwandte Artikel

  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
  • Was ist Remote Monitoring and Management (RMM) Security?
  • Address Resolution Protocol: Funktion, Typen & Sicherheit
  • Was sind unveränderliche Backups? Autonomer Ransomware-Schutz
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: February 25, 2026

Was sind SOC 1 und SOC 2?

Laut dem Verizon Data Breach Investigations Report 2024 verursachen Drittanbieter mittlerweile 62 % der Datenschutzverletzungen, wobei laut IBMs Cost of a Data Breach Report 2024 eine durchschnittliche Drittanbieter-Verletzung 4,76 Millionen US-Dollar kostet. Wenn ein Anbieter fragt, welchen SOC-Bericht Sie benötigen, bestimmt Ihre Antwort den gesamten Prozess der Lieferantenrisikobewertung.

SOC 1 und SOC 2 sind unabhängige Prüfberichte, die von lizenzierten Wirtschaftsprüfern gemäß den SSAE No. 18-Attestierungsstandards ausgestellt werden. Beide bewerten die internen Kontrollen eines Serviceunternehmens, dienen jedoch unterschiedlichen Zwecken. Laut der  AICPA untersucht SOC 1 „Kontrollen bei einem Serviceunternehmen, die wahrscheinlich für die interne Kontrolle der Nutzerunternehmen über die Finanzberichterstattung relevant sind.“ Diese Berichte konzentrieren sich ausschließlich darauf, ob die Kontrollen des Anbieters die Genauigkeit Ihrer Finanzberichte nach GAAP wesentlich beeinflussen könnten.

SOC 2 befasst sich mit Sicherheits- und Betriebskontrollen. Die AICPA definiert SOC 2 als „einen Bericht über Kontrollen bei einem Serviceunternehmen, die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit oder Datenschutz relevant sind.“ Sie benötigen SOC 2-Berichte, wenn Sie Anbieter bewerten, die sensible Kundendaten speichern, verarbeiten oder übertragen.

SOC 1 vs SOC 2 - Featured Image | SentinelOne

Verständnis von SOC 1 und SOC 2: Unterschiede zwischen Typ I und Typ II

Über die Wahl zwischen SOC 1 und SOC 2 hinaus müssen Sie auch angeben, welchen Berichtstyp Sie benötigen. Sowohl SOC 1 als auch SOC 2 gibt es in zwei Varianten. Typ I-Berichte bewerten das Kontrolldesign zu einem bestimmten Zeitpunkt. Typ II-Berichte bewerten sowohl die Angemessenheit des Designs als auch die Wirksamkeit der Kontrollen über einen Zeitraum von 6 bis 12 Monaten.

Bei der Risikobewertung von kritischen Lieferanten bieten Typ II-Berichte deutlich mehr Sicherheit, da sie den nachhaltigen Betrieb der Kontrollen und nicht nur deren theoretische Angemessenheit nachweisen. Unternehmenskunden verlangen zunehmend von Anbietern, dass sie angemessene Datenschutz- und Sicherheitsmaßnahmen vor der Beschaffungsfreigabe nachweisen, wodurch die Typ II-Attestierung für SaaS- und Technologieanbieter im Enterprise-Bereich faktisch verpflichtend wird.

Wann Sie SOC 1-Berichte benötigen

Nachdem Sie die Berichtstypen verstanden haben, stellt sich die nächste Frage, welches Rahmenwerk auf Ihre Lieferantenbeziehung zutrifft. Fordern Sie SOC 1 Typ II-Berichte an, wenn Anbieter Transaktionen verarbeiten, die Ihre Finanzberichte beeinflussen. Laut AICPA bewerten SOC 1-Prüfungen Kontrollen, „die wahrscheinlich für die interne Kontrolle der Nutzerunternehmen über die Finanzberichterstattung relevant sind.“

Typische Szenarien, die eine SOC 1 Typ II-Attestierung erfordern, sind:

  • Lohnabrechnungsdienstleister, die Buchungssätze im Hauptbuch erstellen
  • Umsatzerkennungsplattformen, die ASC 606-Compliance-Berechnungen durchführen
  • Abrechnungssysteme, die Umsatzpositionen beeinflussen
  • Kreditdienstleister, die Zinsberechnungen verwalten
  • Leistungsadministratoren, die aufgeschobene Vergütungen verarbeiten

Ihre externen Prüfer benötigen diese Berichte, um zu validieren, dass ausgelagerte Finanzprozesse während des gesamten Prüfungszeitraums angemessene Kontrollen für die Sarbanes-Oxley-Compliance aufrechterhalten.

Wann Sie SOC 2-Berichte benötigen

Während SOC 1 Finanzberichterstattungskontrollen adressiert, konzentrieren sich die meisten Risikobewertungen von Anbietern auf Datensicherheit. Sie benötigen SOC 2, wenn Sie Serviceunternehmen bewerten, die Kundendaten verarbeiten. Cloud-Anbieter, SaaS-Anwendungen, Zahlungsdienstleister, Sicherheitsdienste und Anbieter, die sensible Kundendaten verarbeiten, erfordern alle eine SOC 2-Bewertung.

Unternehmen sollten SOC 2 Typ II-Berichte anfordern, wenn Anbieter vertrauliche Informationen verarbeiten, wenn Sicherheitsvorfälle Reputations- oder regulatorische Risiken verursachen könnten oder wenn die Einhaltung von Datenschutzvorschriften (DSGVO, CCPA, HIPAA) von den Kontrollen des Anbieters abhängt. SOC 2-Compliance ist zur Basiserwartung für Technologieanbieter im Enterprise-Umfeld geworden.

SOC 1 vs SOC 2: Wichtige Unterschiede für Sicherheitsteams

Mit dem Verständnis, was jedes Rahmenwerk bewertet, können Sicherheitsteams fundierte Entscheidungen darüber treffen, welche Berichte anzufordern sind und wie sie zu interpretieren sind.

Geltungsbereich und Zweck

SOC 1 dient Ihren externen Prüfern und unterstützt Ihren Finanzberichtsprüfungsprozess. Externe Prüfer benötigen die Sicherheit, dass ausgelagerte Finanzprozesse angemessene Kontrollen im Hinblick auf die Finanzberichterstattung aufrechterhalten. SOC 1-Berichte adressieren dieses spezifische Bedürfnis mit Kontrollzielen, die sich auf finanzielle Datenintegrität, Transaktionsgenauigkeit und Auswirkungen auf das Hauptbuch konzentrieren.

SOC 2 dient Ihnen direkt bei der Bewertung, ob Anbieter Kundendaten schützen können. Der Bericht behandelt Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz und liefert detaillierte Informationen zu den Kontrollen eines Serviceunternehmens, die für diese fünf Trust Services Criteria relevant sind.

Verteilung und Zielgruppen

Die  AICPA gibt an, dass SOC 1-Berichte den Bedürfnissen von „Unternehmen, die Serviceorganisationen nutzen, und den Wirtschaftsprüfern, die die Abschlüsse der Nutzerunternehmen prüfen“ entsprechen. Die Verteilung ist auf bestehende Kunden, potenzielle Kunden und deren Prüfer beschränkt.

SOC 2-Berichte richten sich an breitere Interessengruppen: Sicherheitsteams, Risikomanagement-Funktionen, Beschaffungsabteilungen, Compliance-Beauftragte und Kunden, die detaillierte Informationen zu Datenschutzkontrollen benötigen. Obwohl es sich weiterhin um Berichte mit eingeschränkter Nutzung handelt, die NDAs erfordern, umfasst die SOC 2-Verteilung alle mit legitimen Sicherheitsbewertungsbedürfnissen.

Unterschiede im Kontrollrahmen

SOC 1 bewertet Kontrollen, die für Ziele der Finanzberichterstattung relevant sind, unter Verwendung eines Kontrollrahmens für die Finanzberichterstattung. Dazu gehören Transaktionsautorisierung, Vollständigkeit und Genauigkeit von Finanzdaten, Funktionstrennung, Abstimmungsverfahren und allgemeine IT-Kontrollen zur Unterstützung von Finanzanwendungen.

SOC 2 verwendet ausschließlich die Trust Services Criteria mit standardisierten Kontrollzielen in den Bereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Standardisierung ermöglicht einen direkten Vergleich zwischen Anbietern und die Ausrichtung an Ihren bestehenden  Sicherheitskontrollrahmen.

Integration in Ihr Sicherheitsprogramm

Laut  LinfordCos Rahmenwerkanalyse lässt sich das NIST Cybersecurity Framework direkt auf die SOC 2-Kriterien abbilden: NIST Identify entspricht CC3 Risikobewertung, NIST Protect entspricht CC6 Zugriffskontrollen und Vertraulichkeits-/Datenschutzkriterien, NIST Detect entspricht CC4 Überwachung und CC7 Systembetrieb, NIST Respond integriert sich mit CC9 Incident-Response-Fähigkeiten und NIST Recover ist mit dem Verfügbarkeitskriterium verbunden. Diese Ausrichtung bedeutet, dass SOC 2-Berichte von Anbietern standardisierte Nachweise für dieselben Kontrollkategorien liefern, die Sie intern umsetzen.

SOC 1 vs SOC 2: Vergleich

Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen SOC 1- und SOC 2-Berichten zusammen, um Sicherheitsteams bei der Entscheidung zu unterstützen, welche Attestierung für bestimmte Lieferantenbeziehungen gilt.

KriteriumSOC 1SOC 2
HauptzweckBewertet Kontrollen, die die interne Kontrolle der Nutzerunternehmen über die Finanzberichterstattung (ICFR) beeinflussenBewertet Kontrollen, die für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz relevant sind
Geltender StandardSSAE No. 18, AT-C Abschnitt 320 (Berichterstattung über eine Prüfung von Kontrollen)SSAE No. 18, AT-C Abschnitt 205 (unter Verwendung der von der AICPA entwickelten Trust Services Criteria)
KontrollrahmenIndividuelle Kontrollziele, die vom Serviceunternehmen basierend auf den Auswirkungen auf die Finanzberichterstattung definiert werdenStandardisierte Trust Services Criteria (TSC) mit fünf Kategorien; Sicherheit ist verpflichtend, vier weitere optional
HauptzielgruppeExterne Prüfer, die Abschlussprüfungen durchführen, und Finanzteams, die für SOX-Compliance verantwortlich sindSicherheitsteams, Lieferantenrisikomanagement, Beschaffung, Compliance-Beauftragte und Unternehmenskunden
Typischer AnfordererCFO, Controller oder externes Prüfungsteam während des jährlichen AbschlussprüfungszyklusCISO, Third-Party-Risk-Management-Team oder Beschaffung während Lieferanten-Onboarding und jährlicher Überprüfungen
Regulatorischer TreiberSarbanes-Oxley (SOX) Abschnitt 404-Compliance für börsennotierte Unternehmen; unterstützt GAAP-FinanzberichterstattungSOC 2-Compliance unterstützt DSGVO, CCPA, HIPAA und andere Datenschutzvorschriften; zunehmend in Enterprise-Verträgen gefordert
Typische AnbietertypenLohnabrechnungsdienstleister, Leistungsadministratoren, Kreditdienstleister, Umsatzerkennungsplattformen, AbrechnungssystemeCloud-Anbieter, SaaS-Anwendungen, Rechenzentren, Managed Security Services, Zahlungsdienstleister
Fokus der KontrollprüfungTransaktionsautorisierung, Genauigkeit von Finanzdaten, Funktionstrennung, Abstimmungsverfahren, allgemeine IT-KontrollenZugriffskontrollen, Verschlüsselung, Incident Response, Change Management, Verfügbarkeit, Datenaufbewahrung, Datenschutzpraktiken
Definition des BerichtsumfangsUmfang definiert durch Kontrollen, die für spezifische Finanzprozesse und Transaktionen des Anbieters relevant sindUmfang definiert durch Systemgrenzen, Infrastrukturbestandteile und die anwendbaren Trust Services Criteria
StandardisierungsgradKontrollziele variieren erheblich zwischen Anbietern je nach ihren spezifischen FinanzdienstleistungenStandardisierte Kriterien ermöglichen direkten Vergleich zwischen Anbietern und Ausrichtung an Frameworks wie NIST CSF
Verfügbarkeit von Bridge LettersBridge Letters verlängern die Sicherheit zwischen Prüfungszeiträumen für Kontinuität der FinanzberichterstattungBridge Letters weniger verbreitet; kontinuierliches Monitoring und aktualisierte Berichte werden für Sicherheit bevorzugt
Typische Audit-Kosten20.000 bis 60.000+ US-Dollar, abhängig von der Komplexität der Finanzprozesse und dem Transaktionsvolumen12.000 bis 100.000+ US-Dollar, abhängig von Umfang, Anzahl der Trust Services Criteria und Unternehmensgröße

Das Verständnis dieser Unterschiede stellt sicher, dass Sie den passenden Berichtstyp anfordern und Ihre Überprüfung auf die für Ihre spezifischen Risiken relevanten Kontrollen fokussieren.

Stärkung der Lieferantenrisikobewertung mit SentinelOne

SOC 2-Berichte dokumentieren, ob Anbieter Multi-Faktor-Authentifizierung, rollenbasierte Zugriffskontrollen und Privileged Access Management wie in CC6 spezifiziert implementieren. Die  Singularity Platform erweitert diese Transparenz durch Echtzeit-Verhaltensanalysen in Ihrer gesamten Umgebung, einschließlich Aktivitäten von Anbieter-Konten und Drittanbieter-Integrationen.

Purple AI ermöglicht laut frühen Anwendern bis zu 80 % schnellere Bedrohungsuntersuchungen. Die verhaltensbasierte KI der Plattform erkennt anomales Verhalten, das von erwarteten Mustern abweicht, und markiert potenzielle Sicherheitsprobleme zur Untersuchung. Mit 88 % weniger Warnmeldungen in  MITRE ATT&CK-Evaluierungen können SOC-Analysten ihre Untersuchungszeit auf echte Bedrohungen konzentrieren, anstatt Fehlalarme zu bearbeiten.

Kontinuierlicher Compliance-Nachweis

SentinelOne AI-SIEM ist für das autonome SOC konzipiert. Es schützt Ihr Unternehmen mit der branchenweit schnellsten KI-gestützten offenen Plattform für all Ihre Daten und Workflows.

Basierend auf dem SentinelOne Singularity™ Data Lake beschleunigt es Ihre Workflows mit Hyperautomation. Es bietet Ihnen unbegrenzte Skalierbarkeit und endlose Datenaufbewahrung. Sie können die Daten in Ihrem Legacy-SIEM filtern, anreichern und optimieren. Es kann alle überschüssigen Daten aufnehmen und Ihre aktuellen Workflows beibehalten.

Sie können Daten für die Echtzeit-Erkennung streamen und mit autonomer KI datengesteuerten Schutz in Maschinen-Geschwindigkeit ermöglichen. Sie erhalten zudem mehr Transparenz für Untersuchungen und Erkennungen mit der branchenweit einzigen einheitlichen Konsolen-Erfahrung.

Es ist schemafrei und ohne Indexierung, und ist Exabyte-fähig, was bedeutet, dass es jede Datenmenge verarbeiten kann. Sie können Ihren gesamten Security-Stack einfach integrieren. Es kann sowohl strukturierte als auch unstrukturierte Daten aufnehmen und unterstützt OCSF nativ. Sie können zudem konsistente und effektive Bedrohungsreaktionen mit automatisierten Incident-Response-Playbooks sicherstellen. Reduzieren Sie Fehlalarme, Alarmrauschen, optimieren Sie Ressourceneinsatz und verbessern Sie Ihre gesamte Sicherheitslage noch heute.

Fordern Sie eine SentinelOne-Demo an, um zu sehen, wie die Singularity Platform autonome Bedrohungsabwehr und kontinuierliches Monitoring bietet, das Ihr Lieferantenrisikobewertungsprogramm ergänzt.

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

SOC 1 bewertet Kontrollen der Finanzberichterstattung für externe Prüfer, während SOC 2 Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz für das Lieferantenrisikomanagement prüft. Typ II-Berichte, die eine 6- bis 12-monatige operative Wirksamkeit nachweisen, bieten deutlich mehr Sicherheit als Typ I-Stichtagsbewertungen und sind daher die bevorzugte Wahl für Enterprise-Lieferantenbewertungen.

SOC 2-Compliance erfordert für die erstmalige Attestierung 12+ Monate mit sorgfältiger Planung der Beobachtungszeiträume, Abhängigkeiten von Anbietern und Nachweiserhebung. Kontinuierliches Monitoring ergänzt jährliche SOC-Attestierungen durch Echtzeit-Kontrollverfolgung, und ergänzende User Entity Controls (CUECs) bleiben Ihre Verantwortung, auch wenn Anbieter einwandfreie SOC-Meinungen vorweisen.

FAQs

SOC 1 und SOC 2 sind unabhängige Prüfungsberichte, die von lizenzierten Wirtschaftsprüfern gemäß den SSAE Nr. 18 Attestierungsstandards ausgestellt werden. SOC 1 prüft Kontrollen, die für die interne Kontrolle der Nutzerunternehmen über die Finanzberichterstattung relevant sind, mit Fokus auf Anbieter, deren Dienstleistungen die Genauigkeit von Finanzabschlüssen beeinflussen. 

SOC 2 bewertet Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz für Dienstleistungsunternehmen, die mit sensiblen Daten umgehen. Beide Berichtstypen sind als Typ I (Zeitpunktbetrachtung) und Typ II (Wirksamkeit der Kontrollen über 6-12 Monate) verfügbar.

SOC 1 konzentriert sich auf Kontrollen, die die Finanzberichterstattung betreffen, und dient externen Prüfern, die eine Absicherung über ausgelagerte Finanzprozesse benötigen. SOC 2 konzentriert sich auf Sicherheits- und Datenschutzkontrollen und richtet sich an Sicherheitsteams und Risikomanager, die die Datenverarbeitungspraktiken von Anbietern bewerten. 

Fordern Sie SOC 1 an, wenn Anbieter Transaktionen verarbeiten, die Ihre Finanzberichte beeinflussen. Fordern Sie SOC 2-Nachweise an, wenn Anbieter sensible Kundendaten speichern, verarbeiten oder übertragen.

Wichtige Warnsignale sind qualifizierte Prüfermeinungen, die auf Kontrollmängel hinweisen, enge Geltungsbereichsdefinitionen, die kritische von Ihnen genutzte Services ausschließen, zahlreiche Kontrollausnahmen ohne dokumentierte Behebung, Beobachtungszeiträume von weniger als sechs Monaten sowie wesentliche Änderungen der Kontrolldarstellungen zwischen Berichtszeiträumen. 

Prüfen Sie außerdem, ob Subservice-Organisationen ausgeschlossen wurden, sodass Sie diese Abhängigkeiten separat bewerten müssen.

SOC-Berichte bieten wertvolle Sicherheit, haben jedoch Einschränkungen, die Sicherheitsteams verstehen müssen. Das SOC-Framework adressiert direkt Ihre Herausforderungen im Third-Party Risk Management, doch jüngste Sicherheitsvorfälle zeigen Lücken auf, wenn man sich ausschließlich auf jährliche Bestätigungen verlässt. Der SolarWinds-Vorfall 2020 zeigte, wie Anbieter-Risikoanalysen, die sich nur auf jährliche SOC 2-Bestätigungen stützten, eine fortlaufende Kompromittierung übersahen, von der über 18.000 Organisationen betroffen waren. Angreifer schleusten schädlichen Code in Software-Updates ein, umgingen Sicherheitskontrollen und blieben monatelang unentdeckt. 

Die MOVEit-Sicherheitslücke beim Datei-Transfer im Jahr 2023 setzte über 2.500 Organisationen und 66 Millionen Personen einem Risiko aus, als Angreifer die Software eines vertrauenswürdigen Anbieters ausnutzten. Diese Vorfälle verdeutlichen, warum es für ein effektives Lieferantenrisikomanagement entscheidend ist, genau zu verstehen, was SOC 2 bewertet – und was nicht.

Ja. Organisationen, die sowohl Finanz- als auch Datensicherheitsdienstleistungen anbieten, streben häufig eine doppelte Zertifizierung an. Eine Plattform zur Leistungsverwaltung benötigt möglicherweise SOC 1 für Kontrollen der Finanzberichterstattung über Gehaltsabzüge und SOC 2 für Datenschutzkontrollen zum Schutz von Mitarbeitergesundheitsdaten. 

Der Prüfer führt separate Prüfungen mit unterschiedlichen Kontrollrahmen durch, wobei sich die Beweiserhebung für IT-Generalkontrollen überschneiden kann.

Ein eingeschränktes Testat weist darauf hin, dass der Prüfer Kontrollmängel festgestellt hat, die die Ausstellung eines uneingeschränkten (sauberen) Testats verhinderten. In Typ-II-Berichten dokumentiert Abschnitt 4 die Testergebnisse und Ausnahmen und bietet Transparenz über spezifische Kontrollabweichungen während des Prüfungszeitraums. 

Sie müssen bewerten, ob die dokumentierten Mängel Daten betreffen, die Sie dem Anbieter anvertrauen, und ob kompensierende Kontrollen in Ihrer Umgebung die Lücken abdecken. Eingeschränkte Testate erfordern eine vertiefte Risikobewertung, bevor der Anbieter freigegeben wird.

SOC-Berichte können Unterdienstleister entweder mit einer Carve-Out-Methode (Kontrollen des Unterdienstleisters sind vom Geltungsbereich ausgeschlossen) oder einer Inclusive-Methode (Kontrollen des Unterdienstleisters sind eingeschlossen) darstellen. 

Wenn ein Anbieter den Carve-Out-Ansatz verwendet, schließt sein SOC-Bericht Kontrollen bei kritischen Unterdienstleistern wie AWS-Infrastruktur oder Zahlungsabwicklungsnetzwerken aus. Unternehmen müssen ausgeschlossene Ebenen identifizieren und separate SOC 2-Berichte von kritischen Unterdienstleistern anfordern, die mit sensiblen Daten umgehen.

Ergänzende Kontrollen der Nutzerorganisation (CUECs) sind Kontrollen, deren Umsetzung die Serviceorganisation beim Kunden voraussetzt, um die Kontrollziele zu erreichen. Häufige CUECs sind Benutzerzugriffsüberprüfungen, Funktionstrennung, Überprüfung von Serviceorganisationsberichten, kundenseitige Konfiguration und Überwachung der Verarbeitungsergebnisse. 

Ein einwandfreies SOC-Urteil eines Anbieters entbindet den Kunden nicht von eigenen Kontrollpflichten. Abschnitt 1 des Berichts listet alle CUECs auf, die von Ihnen umgesetzt werden müssen.

Jährliche SOC 2-Berichte sind ab Ausstellungsdatum 12 Monate gültig. Organisationen sollten das Ablaufdatum der SOC-Berichte von Anbietern verfolgen, um eine kontinuierliche Compliance-Transparenz zu gewährleisten. 

Bei Hochrisiko-Anbietern, die sensible Daten verarbeiten, sollte eine kontinuierliche Überwachung während des Jahres implementiert werden, um Sicherheitsvorfälle, SLA-Compliance und Eigentümerwechsel zwischen den formalen Auditzyklen zu verfolgen.

Erfahren Sie mehr über Cybersecurity

HUMINT in der Cybersicherheit für UnternehmenssicherheitsverantwortlicheCybersecurity

HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche

HUMINT-Angriffe manipulieren Mitarbeitende dazu, Netzwerkzugang zu gewähren und umgehen so technische Kontrollen vollständig. Lernen Sie, sich gegen Social Engineering und Insider-Bedrohungen zu verteidigen.

Mehr lesen
Was ist ein Vendor Risk Management Program?Cybersecurity

Was ist ein Vendor Risk Management Program?

Ein Vendor Risk Management Program bewertet Risiken von Drittanbietern während des gesamten Geschäftslebenszyklus. Erfahren Sie mehr über VRM-Komponenten, kontinuierliches Monitoring und Best Practices.

Mehr lesen
Cybersecurity für die Fertigungsindustrie: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity für die Fertigungsindustrie: Risiken, Best Practices & Frameworks

Erfahren Sie mehr über die entscheidende Rolle der Cybersecurity in der Fertigungsindustrie. Dieser Leitfaden behandelt zentrale Risiken, Schutz-Frameworks und Best Practices, um Herstellern zu helfen, IT- und OT-Systeme zu sichern, Unterbrechungen zu verhindern und geistiges Eigentum in vernetzten Industrieumgebungen zu schützen.

Mehr lesen
Cybersecurity im Einzelhandel: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity im Einzelhandel: Risiken, Best Practices & Frameworks

Erfahren Sie mehr über die entscheidende Rolle von Cybersecurity in der Einzelhandels- und E-Commerce-Branche. Dieser Leitfaden behandelt die wichtigsten Bedrohungen, Datenschutz-Frameworks und Best Practices, um Einzelhändler bei der Sicherung von Kundendaten, der Einhaltung von Vorschriften und dem Erhalt des Vertrauens über digitale und physische Verkaufsstellen hinweg zu unterstützen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch