SOC2

SOC 2 Common Criteria (CC) Kontrollen erklärt

Eine detaillierte Aufschlüsselung aller neun SOC 2 Common-Criteria-Kategorien (CC1-CC9), was jede erfordert und wie SaaS-Unternehmen Kontrollen für jede implementieren sollten.

GT

GRCTrail Team

SOC 2 Common Criteria Kontrollen Leitfaden

Die Common Criteria (CC) bilden das Rückgrat jedes SOC 2 Berichts. Sie entsprechen dem Trust-Service-Kriterium Sicherheit — dem einzigen Pflichtkriterium in jeder SOC 2 Prüfung — und definieren die spezifischen Kontrollziele, die Ihr Prüfer bewertet. Das Verständnis aller neun CC-Kategorien ist essenziell für die Gestaltung eines Kontroll-Frameworks, das das Audit besteht und Ihre Systeme tatsächlich schützt.

Die CC-Kategorien leiten sich vom COSO-Framework (Committee of Sponsoring Organizations of the Treadway Commission) ab, das vom AICPA speziell für Informationssicherheit angepasst wurde. Sie decken alles ab, von Organisationskultur und Governance bis zu technischen Zugriffskontrollen und Lieferanten-Risikomanagement. Für SaaS-Unternehmen bedeutet das: SOC 2 dreht sich nicht nur um Firewalls und Verschlüsselung — es geht darum, wie Ihre gesamte Organisation arbeitet.

Dieser Leitfaden schlüsselt jede CC-Kategorie auf mit dem, was Prüfer testen, welche Nachweise sie erwarten und wie SaaS-Unternehmen Kontrollen implementieren sollten. Wenn Sie sich noch mit SOC 2 vertraut machen, beginnen Sie mit unserer Übersicht Was ist SOC 2?.

CC1: Kontrollumgebung

Abgedeckte Kriterien: CC1.1 bis CC1.5

Die Kontrollumgebung legt das Fundament für alles andere in Ihrem SOC 2 Programm. Es geht um organisatorisches Engagement — nimmt Ihr Unternehmen Sicherheit auf jeder Ebene ernst?

Was Prüfer suchen:

  • Ein Verhaltenskodex oder eine Ethikrichtlinie, die von allen Mitarbeitern unterzeichnet wird
  • Definierte Organisationsstruktur mit klaren Sicherheitsrollen und -verantwortlichkeiten
  • Board- oder Executive-Aufsicht über das Sicherheitsprogramm
  • Management-Verantwortlichkeit für Sicherheitsziele
  • HR-Richtlinien, die Sicherheit verstärken (Hintergrundprüfungen, Onboarding-Sicherheitsschulungen, Kündigungsverfahren)

SaaS-Implementierung:

  • Organigramm mit Sicherheitsverantwortlichkeiten. Wer ist wofür verantwortlich — auch ein 30-Personen-Startup kann Sicherheitsverantwortlichkeiten über bestehende Rollen dokumentieren.
  • Verhaltenskodex. Jeder Mitarbeiter unterzeichnet beim Onboarding eine Acceptable-Use- und Ethikrichtlinie. Jährlich erneuern.
  • Board- oder Führungsberichte. Regelmäßige Sicherheitsbriefings dokumentieren.
  • HR-Sicherheitsintegration. Hintergrundprüfungen für neue Mitarbeiter, obligatorische Sicherheitsschulung beim Onboarding, dokumentierter Offboarding-Prozess mit Zugriffswiderruf innerhalb von 24 Stunden.

Für umfassende Richtlinienberatung siehe unseren Leitfaden zu Richtlinien und Verfahren.

CC2: Kommunikation und Information

Abgedeckte Kriterien: CC2.1 bis CC2.3

CC2 adressiert, wie Ihre Organisation Sicherheitsinformationen intern und extern kommuniziert.

SaaS-Implementierung:

  • Sicherheitsbewusstseins-Schulungsprogramm. Jährliche Schulung für alle Mitarbeiter, mit rollenspezifischen Zusatzschulungen.
  • Interne Kommunikationsprozesse. Definierter Kanal für Sicherheitsankündigungen.
  • Externe Sicherheitsseite. Eine öffentliche Trust-Seite.
  • Lieferanten- und Kundenkommunikationsverfahren.

Für Details zum Aufbau von Nachweisartefakten siehe unseren Nachweissammlungs-Leitfaden.

CC3: Risikobewertung

Abgedeckte Kriterien: CC3.1 bis CC3.4

CC3 erfordert einen formalen, dokumentierten Risikomanagement-Prozess.

SaaS-Implementierung:

  • Jährliche Risikobewertung. Strukturierte Risikobewertung mindestens einmal pro Jahr.
  • Risikoregister. Lebendes Dokument, das jedes identifizierte Risiko verfolgt. Vierteljährlich überprüfen und aktualisieren.
  • Betrugsrisikobeurteilung. Unbefugten Datenzugriff, Finanzmanipulation, Umgehung von Kontrollen durch die Geschäftsführung dokumentieren.
  • Auswirkungsbewertung bei Veränderungen. Bei wesentlichen Änderungen einen dokumentierten Prozess zur Bewertung der Sicherheitsauswirkungen.

Für einen vollständigen Durchlauf siehe unseren Risikobewertungs-Leitfaden.

CC4: Überwachungsaktivitäten

Abgedeckte Kriterien: CC4.1 bis CC4.2

CC4 verlangt, dass Ihre Organisation die Wirksamkeit ihrer Kontrollen aktiv überwacht und Mängel behebt.

SaaS-Implementierung:

  • Automatisierte Monitoring-Dashboards. Schlüssel-Sicherheitsmetriken verfolgen.
  • Regelmäßige Kontrollwirksamkeits-Reviews. Mindestens vierteljährlich.
  • Mängelmanagement-Prozess. Dokumentierter Prozess zur Protokollierung, Zuweisung und Behebung.

Für einen vertieften Leitfaden siehe unseren Continuous-Monitoring-Leitfaden.

CC5: Kontrollaktivitäten

Abgedeckte Kriterien: CC5.1 bis CC5.3

CC5 erfordert, dass Sie Kontrollen auswählen und einsetzen, die die identifizierten Risiken adressieren.

SaaS-Implementierung:

  • Kontrollmatrix. Mapping-Dokument, das jedes identifizierte Risiko mit spezifischen Kontrollen verknüpft.
  • Technische Kontrollbereitstellung. Verschlüsselung, Intrusion Detection, Netzwerksegmentierung, Endpoint-Schutz, Schwachstellenscanning.
  • Richtliniendurchsetzung. Jede Kontrolle durch eine Richtlinie und ein Verfahren gestützt. Siehe unseren Leitfaden zu Richtlinien und Verfahren.

CC6: Logische und physische Zugriffskontrollen

Abgedeckte Kriterien: CC6.1 bis CC6.8

CC6 ist die kontrolldichteste Kategorie und erzeugt das höchste Nachweisvolumen.

SaaS-Implementierung:

  • Single Sign-On (SSO) mit MFA. Authentifizierung über einen Identitätsanbieter (Okta, Azure AD, Google Workspace) zentralisieren mit obligatorischer MFA.
  • Rollenbasierter Zugriff mit Least Privilege. Rollen für jedes System definieren und minimale Berechtigungen zuweisen.
  • Vierteljährliche Zugriffsüberprüfungen. Jedes Quartal Systemverantwortliche überprüfen lassen, wer Zugriff hat.
  • Netzwerksicherheit. WAF, Netzwerksegmentierung, SSH/RDP-Zugriff einschränken.
  • Endpoint-Schutz. MDM und EDR auf allen Unternehmensgeräten.
  • Verschlüsselung überall. TLS 1.2+ bei der Übertragung. AES-256 im Ruhezustand.
  • Bereitstellung und Deprovisionierung. Dokumentierte Verfahren für Onboarding und Offboarding.

In der Praxis: CC6 ist der Bereich, in dem die meisten SOC 2 Audit-Feststellungen auftreten. Investieren Sie hier überproportional viel Aufmerksamkeit.

CC7: Systembetrieb

Abgedeckte Kriterien: CC7.1 bis CC7.5

CC7 deckt ab, wie Ihre Organisation Sicherheitsereignisse erkennt, bewertet und darauf reagiert.

SaaS-Implementierung:

  • SIEM oder Log-Aggregation. Sicherheitsrelevante Logs zentralisieren, Alerting-Regeln konfigurieren.
  • Alert-Triageprozess. Definieren, wie Alerts klassifiziert werden.
  • Incident-Response-Playbook. Reaktionsverfahren für jede Vorfallkategorie dokumentieren. Siehe unseren Incident-Response-Leitfaden.
  • Post-Incident-Reviews. Nach jedem bedeutenden Vorfall ein schuldzuweisungsfreies Post-Mortem durchführen.

CC8: Change Management

Abgedecktes Kriterium: CC8.1

CC8 hat ein einzelnes Kriterium, ist aber einer der am stärksten getesteten Bereiche.

SaaS-Implementierung:

  • PR-basiertes Code-Review. Alle Codeänderungen erfordern einen Pull Request mit mindestens einem Peer-Review. Durch Branch Protection Rules durchsetzen.
  • CI/CD-Pipeline-Kontrollen. Automatisierte Tests müssen vor dem Deployment bestehen.
  • Staging-Umgebungen. Änderungen vor der Produktion in einer Staging-Umgebung deployen.
  • Deployment-Genehmigungs-Workflow. Segregation of Duties.
  • Notfalländerungsprozess. Ermöglicht beschleunigte Deployments mit obligatorischer nachträglicher Überprüfung innerhalb von 24-48 Stunden.
  • Rollback-Verfahren. Dokumentieren, wie ein fehlgeschlagenes Deployment zurückgerollt wird.

CC9: Risikominderung

Abgedeckte Kriterien: CC9.1 bis CC9.2

CC9 fokussiert auf Risikominderungsaktivitäten, insbesondere Lieferanten- und Geschäftspartner-Risikomanagement.

SaaS-Implementierung:

  • Lieferanteninventar. Umfassende Liste aller Lieferanten, klassifiziert nach Risikostufe.
  • Lieferanten-Risikobewertungen. Für hochriskante Lieferanten formale Risikobewertungen durchführen.
  • Vertragliche Sicherheitsanforderungen. Verträge mit Datenschutzverpflichtungen und Meldepflichten.
  • Jährliche Neubewertung. Lieferanten-Risikoklassifizierungen und Sicherheitslage jährlich überprüfen.

Für ein umfassendes Framework siehe unseren Vendor-Management-Leitfaden.

Kontrollen auf Common Criteria abbilden

Wie Sie eine Kontrollmatrix aufbauen:

  1. Jedes CC-Kriterium (CC1.1 bis CC9.2) auflisten
  2. Für jedes Kriterium die Kontrollen identifizieren, die es erfüllen
  3. Für jede Kontrolle die Nachweise dokumentieren
  4. Lücken identifizieren — Kriterien ohne zugeordnete Kontrollen

Beispiel-Mapping für ein typisches SaaS-Unternehmen:

KontrolleErfüllte CC-KriterienNachweise
SSO mit MFA-DurchsetzungCC6.1, CC6.2, CC6.6IdP-Konfigurations-Screenshot, MFA-Richtlinie, Login-Logs
Vierteljährliche ZugriffsüberprüfungenCC6.1, CC6.3, CC4.1, CC1.4Zugriffsüberprüfungsdatensätze, Behebungstickets
PR-basiertes Code-ReviewCC8.1, CC5.2Branch-Protection-Konfiguration, Beispiel-PRs mit Genehmigungen
Jährliche RisikobewertungCC3.1, CC3.2, CC3.3Risikobewertungsdokument, Risikoregister
SicherheitsbewusstseinsschulungCC1.1, CC2.1Schulungsabschluss-Aufzeichnungen, Schulungsinhalte
Incident-Response-PlanCC7.3, CC7.4, CC7.5IR-Playbook, Incident-Tickets, Post-Mortems
Lieferanten-RisikobewertungenCC9.1, CC9.2Lieferanteninventar, Bewertungsdatensätze, SOC-Berichte

Zusätzliche Kriterien jenseits der Common Criteria

Die Common Criteria decken das Sicherheits-TSC ab, aber bei zusätzlichen Trust-Service-Kriterien müssen ergänzende Kontrollpunkte adressiert werden. Siehe unseren Trust-Service-Kriterien-Leitfaden.

Verfügbarkeit (A1.1-A1.3). Wiederherstellungsziele, Backup-Verfahren und DR-Tests.

Verarbeitungsintegrität (PI1.1-PI1.5). Vollständigkeit, Genauigkeit, Zeitgerechtheit und Autorisierung der Verarbeitung.

Vertraulichkeit (C1.1-C1.2). Identifizierung und Schutz vertraulicher Informationen.

Datenschutz (P1-P8. Der gesamte Lebenszyklus personenbezogener Daten. Das umfangreichste zusätzliche Kriterium.

In der Praxis: Die meisten SaaS-Unternehmen, die ihren ersten SOC 2 Bericht anstreben, sollten nur mit Sicherheit (Common Criteria) beginnen. Jedes zusätzliche Kriterium fügt 15-25% mehr Kontrollen, Nachweise und Audit-Umfang hinzu.

Wie GRCTrail hilft

  • Vorgefertigtes Kontroll-Framework, das auf alle Common Criteria abgebildet ist, mit einem vollständigen CC1-CC9-Kontrollsatz für SaaS-Unternehmen
  • Kontrollimplementierungsanleitung für jede CC-Kategorie mit schrittweisen Anleitungen und SaaS-spezifischen Beispielen
  • Mit Kontrollen verknüpfte Nachweisanforderungen, sodass Ihr Team genau weiß, welche Artefakte zu sammeln sind
  • Gap-Analyse, die zeigt, welche CC-Punkte Kontrollen haben und welche nicht
  • Automatisierte Kontrolltest-Integration, die kontinuierlich validiert, ob Kontrollen wie vorgesehen funktionieren

Starten Sie mit GRCTrail →

Verwandte Leitfäden

#soc-2 #common-criteria #kontrollen #compliance #saas #sicherheit

Verwandte Artikel

SOC2

Der SOC 2 Audit-Prozess: Zeitplan, Schritte und was Sie erwartet

Eine schrittweise Anleitung zum SOC 2 Audit-Prozess, von der Auswahl eines Prüfers bis zum Erhalt Ihres Berichts. Behandelt Zeitpläne, Vorbereitung und was Prüfer bewerten.

SOC2

SOC 2 Compliance-Checkliste für SaaS-Unternehmen

Eine umfassende SOC 2 Compliance-Checkliste, die jeden Schritt von der Scoping-Phase bis zum Audit-Abschluss abdeckt. Erstellt für SaaS-Teams, die sich auf ihren ersten oder nächsten SOC 2 Bericht vorbereiten.

SOC2

SOC 2 Continuous Monitoring: Ganzjährig compliant bleiben

SOC 2 Compliance endet nicht mit dem Erhalt Ihres Berichts. Erfahren Sie, wie Sie ein Continuous-Monitoring-Programm aufbauen, das Ihre Kontrollen wirksam hält und jährliche Audits schmerzfrei macht.

Zurück zu allen Artikeln