Skip to content

Erklären Sie SOC 2 Typ I vs. Typ II und die Trust Services Criteria.

Kurzantwort

Ein SOC-2-Bericht vom Typ I beurteilt, ob die Kontrollen einer Dienstleistungsorganisation zu einem einzelnen Zeitpunkt angemessen gestaltet sind. Ein Typ-II-Bericht geht weiter: Er prüft, ob diese Kontrollen über einen Prüfzeitraum hinweg wirksam funktioniert haben, typischerweise 3 bis 12 Monate. Beide basieren auf den Trust Services Criteria der AICPA — Sicherheit (die verpflichtenden gemeinsamen Kriterien), plus optional Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

SOC 2 ist ein Attestierungsbericht, der von einer unabhängigen CPA-Firma anhand der Trust Services Criteria der AICPA erstellt wird. Es ist das De-facto-Vertrauenssignal, das SaaS-Anbieter Unternehmenskunden geben. Interviewer wollen wissen, ob Sie verstehen, was jeder Bericht tatsächlich beweist.

Typ I vs. Typ II

  • Typ I beantwortet: Sind die Kontrollen zu einem bestimmten Stichtag angemessen gestaltet? Es ist eine Momentaufnahme. Er bestätigt, dass die richtigen Kontrollen auf dem Papier zum Beispiel zum 30. Juni existieren.
  • Typ II beantwortet: Haben diese Kontrollen über ein Zeitfenster hinweg wirksam funktioniert? Der Prüfer entnimmt Stichproben über einen Prüfzeitraum (üblicherweise 3, 6 oder 12 Monate), um zu bestätigen, dass die Kontrollen tatsächlich funktioniert haben und nicht nur gestaltet wurden.

Ein Typ I ist schneller zu erhalten und wird oft von jüngeren Unternehmen für ihren ersten Bericht genutzt. Ein Typ II hat weit mehr Gewicht, weil er einen dauerhaften Betrieb nachweist — weshalb die meisten Beschaffungsteams von Unternehmen ihn verlangen.

Die Trust Services Criteria

SOC 2 wird anhand von fünf Kategorien abgegrenzt:

  • Sicherheit — die gemeinsamen Kriterien, in jedem Auftrag verpflichtend.
  • Verfügbarkeit — Zusagen zu Betriebszeit und Resilienz des Systems.
  • Verarbeitungsintegrität — die Verarbeitung ist vollständig, gültig, korrekt und zeitnah.
  • Vertraulichkeit — Schutz der als vertraulich eingestuften Informationen.
  • Datenschutz — Umgang mit personenbezogenen Daten gemäß der Mitteilung der Organisation.

Nur die Sicherheit ist verpflichtend; die Organisation entscheidet je nach Kundenzusagen, welche der übrigen einbezogen werden.

Warum das wichtig ist

Ein guter Kandidat erklärt, dass Typ II die Wirksamkeit über die Zeit nachweist und dass Sicherheit das nicht verhandelbare Kriterium ist. Bonuspunkte für den Hinweis, dass SOC 2 eine Attestierung ist (keine Bestanden/Nicht-bestanden-Zertifizierung), und für die Abgrenzung zu SOC 1, das auf Kontrollen der Finanzberichterstattung abzielt.

Wahrscheinliche Anschlussfragen

  • Warum würde ein Kunde auf einem Typ II bestehen, statt einen Typ I zu akzeptieren?
  • Welches Trust-Services-Kriterium ist in jedem SOC-2-Auftrag verpflichtend?
  • Wie unterscheidet sich ein SOC-2-Bericht von einem SOC-1-Bericht (ICFR)?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.