SOC 2 Type I vs. Type II: Unterschiede, Kosten und Entscheidungshilfe
Verstehen Sie die wesentlichen Unterschiede zwischen SOC 2 Type I und Type II Berichten, deren Kosten, Zeitpläne und welchen Ihr SaaS-Unternehmen zuerst anstreben sollte.
GRCTrail Team
Eine der ersten Entscheidungen, die SaaS-Unternehmen bei der Verfolgung von SOC 2 treffen müssen, ist die Wahl zwischen einem Type I oder Type II Bericht. Dies ist keine „Einstiegsversion vs. Vollversion”-Entscheidung. Type I und Type II Berichte dienen grundlegend unterschiedlichen Zwecken, haben bei Enterprise-Käufern unterschiedliches Gewicht und erfordern sehr unterschiedliche organisatorische Verpflichtungen. Die richtige Entscheidung bestimmt die Richtung Ihres gesamten Compliance-Programms.
Dieser Leitfaden behandelt genau, was jeder Berichtstyp beinhaltet, was sie kosten, wie lange sie dauern und — am wichtigsten — welcher für Ihr SaaS-Unternehmen strategisch sinnvoll ist.
Was ist SOC 2 Type I?
Ein SOC 2 Type I Bericht ist eine Stichtagsbewertung. Der Prüfer bewertet, ob Ihre Kontrollen zu einem bestimmten Datum — beispielsweise dem 15. März 2026 — angemessen gestaltet und implementiert sind. Der Prüfer testet nicht, ob diese Kontrollen über einen Zeitraum wirksam funktioniert haben.
Was der Prüfer tut
Während einer Type I Prüfung:
- Überprüft Ihre Systembeschreibung — Validiert, dass sie Ihre Infrastruktur, Software, Mitarbeiter, Verfahren und Datenflüsse korrekt darstellt
- Prüft das Kontrolldesign — Stellt fest, ob jede Kontrolle bei bestimmungsgemäßem Betrieb die relevanten Trust-Service-Kriterien erfüllen würde
- Führt Walkthroughs durch — Befragt Kontrollverantwortliche, prüft Dokumentation und verfolgt eine kleine Anzahl von Transaktionen, um zu bestätigen, dass Kontrollen existieren und angemessen gestaltet sind
- Gibt ein Gutachten ab — Stellt fest, ob Ihre Kontrollen zum Prüfungszeitpunkt angemessen gestaltet waren, um die ausgewählten Kriterien zu erfüllen
Was das bedeutet: Der Prüfer bestätigt, dass Sie die richtigen Kontrollen aufgebaut haben. Er bestätigt nicht, dass Sie sie durchgehend eingesetzt haben.
Zeitplan und Kosten
Vorbereitungszeit: 1-3 Monate für ein SaaS-Unternehmen mit bestehenden Sicherheitspraktiken. Wenn Sie bei Null anfangen — keine formalen Richtlinien, kein zentralisiertes Zugriffsmanagement, kein Logging — planen Sie 3-6 Monate Vorbereitung ein.
Audit-Dauer: 2-4 Wochen vom Engagement-Start bis zum Berichtsentwurf, vorausgesetzt, die Nachweise sind bereit.
Kostenaufstellung:
- Prüfergebühren: 20.000-60.000 USD, abhängig von Firmengröße, TSC-Umfang und Komplexität Ihrer Umgebung
- Interner Aufwand: 100-300 Stunden Personalzeit in den Bereichen Engineering, Sicherheit, IT und Compliance
- Tools und Nachbesserungen: 5.000-30.000+ USD für Compliance-Plattformen, Sicherheitstools und alle Kontrollen, die implementiert oder aktualisiert werden müssen
- Readiness-Assessment (optional): 5.000-15.000 USD, wenn Sie einen Berater für eine Gap-Analyse vor dem Audit beauftragen
In der Praxis: Ein Series-A-SaaS-Unternehmen mit 50 Mitarbeitern, einer einzelnen AWS-Umgebung und grundlegenden Sicherheitspraktiken kann einen Type I Bericht typischerweise innerhalb von 2-3 Monaten bei Gesamtkosten von 40.000-80.000 USD (einschließlich Prüfer, Tools und interner Zeit) erreichen.
Was Type I beweist und was nicht
Ein Type I Bericht beweist, dass Ihre Kontrollen gut gestaltet sind. Er liefert eine externe Bestätigung, dass eine qualifizierte Wirtschaftsprüfungsgesellschaft Ihr Sicherheitsprogramm geprüft und für angemessen strukturiert befunden hat.
Ein Type I Bericht beweist nicht, dass Ihre Kontrollen über einen Zeitraum funktioniert haben. Ein Enterprise-Käufer, der Ihren Type I Bericht liest, weiß, dass Ihre MFA-Richtlinie am Prüfungstag existierte, aber er weiß nicht, ob sie in den vorangegangenen sechs Monaten durchgehend durchgesetzt wurde.
Was ist SOC 2 Type II?
Ein SOC 2 Type II Bericht ist eine zeitraumbezogene Bewertung. Der Prüfer bewertet, ob Ihre Kontrollen nicht nur angemessen gestaltet, sondern auch über einen definierten Prüfungszeitraum — typischerweise 3, 6, 9 oder 12 Monate — wirksam betrieben wurden.
Was der Prüfer tut
Eine Type II Prüfung umfasst alles aus Type I, plus:
- Wählt Stichproben — Für jede Kontrolle bestimmt der Prüfer eine Stichprobengröße basierend auf der Grundgesamtheit (wie oft die Kontrolle während des Prüfungszeitraums ausgeführt wurde). Eine Kontrolle, die täglich über einen 12-Monats-Zeitraum ausgeführt wird, hat eine Grundgesamtheit von ~365, aus der der Prüfer 25-50+ Stichproben auswählen kann.
- Testet die operative Wirksamkeit — Verwendet Prüfung, Beobachtung, Nachvollzug und Befragung, um zu verifizieren, dass jede Stichprobeninstanz tatsächlich wie vorgesehen funktioniert hat
- Dokumentiert Ausnahmen — Jede Instanz, in der eine Kontrolle nicht wie vorgesehen funktioniert hat, wird als Ausnahme erfasst. Ausnahmen führen nicht automatisch zu einem eingeschränkten Gutachten, sind aber im Bericht sichtbar.
- Gibt ein Gutachten ab — Stellt fest, ob Ihre Kontrollen während des gesamten Prüfungszeitraums wirksam betrieben wurden, um die ausgewählten Kriterien zu erfüllen
Was das bedeutet: Der Prüfer bestätigt, dass Sie nicht nur die richtigen Kontrollen aufgebaut haben — Sie haben sie tatsächlich durchgehend über den gesamten Prüfungszeitraum eingesetzt.
Zeitplan und Kosten
Prüfungszeitraum: Mindestens 3 Monate, wobei 6-12 Monate Standard sind. Kürzere Prüfungszeiträume werden manchmal für den ersten Type II eines Unternehmens verwendet, können aber bei erfahrenen Käufern Fragen aufwerfen.
Vorbereitungszeit: 3-6 Monate bei Übergang von Type I. 6-12 Monate bei direktem Einstieg in Type II ohne vorherigen Type I.
Audit-Dauer: 3-6 Wochen für die Testphase, abhängig von Umfang und Nachweisbereitschaft.
Kostenaufstellung:
- Prüfergebühren: 30.000-100.000+ USD, abhängig von Firma, Länge des Prüfungszeitraums, Anzahl der TSC-Kriterien und Umgebungskomplexität
- Interner Aufwand: 200-500+ Stunden Personalzeit, verteilt über den Prüfungszeitraum und konzentriert während der Testphase
- Kontinuierliche Nachweissammlung: Laufender Aufwand über den gesamten Prüfungszeitraum zur Erfassung und Organisation von Nachweisen (siehe unseren Leitfaden zur Nachweissammlung)
- Compliance-Tooling: 10.000-50.000 USD/Jahr für Plattformen, die die Nachweiserfassung automatisieren und Continuous Monitoring ermöglichen
In der Praxis: Ein Series-B-SaaS-Unternehmen mit 150 Mitarbeitern, Multi-Cloud-Infrastruktur und einem 12-Monats-Prüfungszeitraum gibt typischerweise 60.000-150.000 USD insgesamt (Prüfer, Tools und interne Zeit) für ein Type II Engagement aus.
Die Nachweislast
Der größte Unterschied zwischen Type I und Type II ist die Nachweislast. Für einen Type I müssen Sie zeigen, dass eine Kontrolle zu einem Zeitpunkt existiert. Für einen Type II müssen Sie zeigen, dass eine Kontrolle über jede Instanz während des Prüfungszeitraums korrekt funktioniert hat.
SaaS-Beispiel: Betrachten Sie eine Kontrolle, die vierteljährliche Zugriffsüberprüfungen von Produktionssystemen erfordert.
- Type I: Der Prüfer bestätigt, dass ein Zugriffsüberprüfungsprozess dokumentiert ist und eine Überprüfung durchgeführt wurde. Erforderliche Nachweise: das Richtliniendokument und eine abgeschlossene Zugriffsüberprüfung.
- Type II (12-Monats-Zeitraum): Der Prüfer erwartet vier abgeschlossene Zugriffsüberprüfungen — eine pro Quartal. Wenn Sie Q2 verpasst haben, ist das eine Ausnahme. Erforderliche Nachweise: vier separate Zugriffsüberprüfungsdatensätze mit Datum, Prüfern, Ergebnissen und Nachbesserungen.
Diese Vervielfachung gilt für jede Kontrolle in Ihrem Framework. Wenn Sie 80 Kontrollen haben, die in verschiedenen Frequenzen ausgeführt werden, wird das Nachweisvolumen erheblich.
Type I vs. Type II: Direktvergleich
| Dimension | Type I | Type II |
|---|---|---|
| Bewertungsumfang | Kontrolldesign zu einem Zeitpunkt | Kontrolldesign + operative Wirksamkeit über einen Zeitraum |
| Prüfungszeitraum | Einzelnes Datum (z. B. 15. März 2026) | 3-12 Monate (z. B. April 2025 - März 2026) |
| Nachweisanforderungen | Kontrolldokumentation, Einzelinstanzen | Anhaltende Nachweise über den gesamten Prüfungszeitraum |
| Prüfertests | Walkthroughs und Prüfung | Stichproben, Nachvollzug, Beobachtung über Zeit |
| Kundenakzeptanz | Akzeptabel für erste Gespräche; schließt möglicherweise keine Enterprise-Deals ab | Der Standard, den Enterprise-Beschaffung erfordert |
| Prüfergebühren | 20.000-60.000 USD | 30.000-100.000+ USD |
| Gesamtkosten (inkl. intern) | 40.000-80.000 USD | 60.000-150.000+ USD |
| Zeit bis zum Bericht | 1-3 Monate Vorbereitung + 2-4 Wochen Audit | 3-12 Monate Beobachtung + 3-6 Wochen Audit |
| Erneuerungszyklus | Jährlich (aber geringer Wert bei Wiederholung von Type I) | Jährlich, mit durchgehenden Prüfungszeiträumen |
Was sollten Sie wählen?
Beginnen Sie mit Type I, wenn:
Sie SOC 2 zum ersten Mal anstreben. Type I ermöglicht es Ihnen, Ihr Kontroll-Framework gegen die Trust-Service-Kriterien zu validieren, ohne den Druck einer dauerhaften Nachweissammlung. Sie lernen, was Prüfer erwarten, identifizieren Lücken und bauen die operative Routine für kontinuierliche Compliance auf — alles zu geringeren Kosten und in kürzerer Zeit.
Sie schnell einen Bericht für einen aktiven Vertriebszyklus benötigen. Ein Enterprise-Interessent hat SOC 2 zur Anforderung für den Deal-Abschluss gemacht. Ein Type I Bericht kann in 2-3 Monaten erreicht werden, während ein Type II einen Mindestprüfungszeitraum von 3 Monaten plus Vorbereitungszeit erfordert. Jetzt einen Type I zu erhalten, während Sie am Type II arbeiten, ist eine legitime und gängige Strategie.
Sie Ihren Ansatz validieren möchten, bevor Sie sich zu Type II verpflichten. Ein Type I Engagement zeigt, ob Ihre Kontrollbeschreibungen der Realität entsprechen, ob Ihre Dokumentation prüferbereit ist und ob Ihr Team die Compliance-Arbeitslast bewältigen kann. Besser, dies während eines Type I zu erfahren, als sechs Monate in einen Type II Beobachtungszeitraum hinein Lücken zu entdecken.
Ihr Budget begrenzt ist. Für SaaS-Unternehmen in der Frühphase ist der Unterschied zwischen 40.000 und 100.000+ USD erheblich. Ein Type I liefert externe Validierung zu einem Preis, der nicht das Budget eines ganzen Quartals aufbraucht.
Steigen Sie direkt in Type II ein, wenn:
Ihre Kunden ausdrücklich Type II verlangen. Einige Enterprise-Beschaffungsteams akzeptieren keinen Type I Bericht, Punkt. Wenn Sie bereits wissen, dass Ihre Zielkunden Type II verlangen, spart das Überspringen von Type I die Kosten eines Audits, das Ihren Markt nicht zufriedenstellt.
Sie ausgereifte Sicherheitspraktiken haben. Wenn Ihr SaaS-Unternehmen bereits formalisierte Richtlinien und Verfahren, zentralisiertes Logging, Zugriffsüberprüfungen, Incident-Response-Runbooks und eine sicherheitsbewusste Kultur hat, sind Sie möglicherweise für die anhaltenden Nachweisanforderungen von Type II bereit, ohne den Zwischenschritt Type I.
Sie sich in einem wettbewerbsintensiven Markt befinden, in dem Type I nicht differenziert. Wenn jeder Wettbewerber in Ihrem Bereich bereits einen Type II Bericht hat, wird ein Type I bei Enterprise-Käufern keinen Unterschied machen. Investieren Sie in diesem Fall direkt in Type II, um den Wettbewerbsstandard zu erreichen.
Sie eine Compliance-Plattform haben, die die Nachweissammlung automatisiert. Moderne Compliance-Tools können kontinuierlich Nachweise von Cloud-Anbietern, Identitätsanbietern, HR-Systemen und Ticketing-Plattformen sammeln. Wenn Sie diese Infrastruktur haben, ist der Mehraufwand von Type II gegenüber Type I deutlich reduziert.
Der übliche Weg
Die meisten SaaS-Unternehmen verfolgen einen gestuften Ansatz:
- Monat 0-3: Kontrollen implementieren, Richtlinien schreiben, Gap-Analyse durchführen
- Monat 3-5: Type I Audit abschließen
- Monat 5-6: Type II Beobachtungszeitraum sofort beginnen, basierend auf Type I als Grundlage
- Monat 6-18: Kontrollen aufrechterhalten, kontinuierlich Nachweise über den gesamten Beobachtungszeitraum sammeln
- Monat 18-19: Type II Audit über den Beobachtungszeitraum abschließen
- Fortlaufend: Jährliche Type II Erneuerungen mit durchgehenden 12-Monats-Prüfungszeiträumen
Viele Wirtschaftsprüfungsgesellschaften bieten Paketpreise für die Type I + Type II Kombination an. Die Verhandlung beider Engagements im Voraus kann 10-20% sparen im Vergleich zur separaten Beauftragung.
Der Übergang von Type I zu Type II
Wenn Sie mit Type I beginnen, ist der Übergang zu Type II die Phase, in der Disziplin am meisten zählt.
Nutzen Sie Type I als Grundlage
Ihr Type I Bericht etabliert das Kontroll-Framework. Jede Kontrolle, die die Type I Bewertung bestanden hat, ist eine Kontrolle, die nun kontinuierlich betrieben werden muss. Behandeln Sie das Type I Abschlussdatum als Beginn Ihres Type II Beobachtungszeitraums.
Beginnen Sie sofort mit der Nachweissammlung
Ab dem Moment, in dem Ihr Type I abgeschlossen ist, beginnen Sie mit der Erfassung von Nachweisen für jede Kontrolle. Warten Sie nicht, bis das Type II Audit näher rückt. Wenn Ihr Type II Beobachtungszeitraum von April bis März läuft und Sie erst im Januar mit der Nachweissammlung beginnen, haben Sie Lücken für die ersten neun Monate. Mehr dazu in unserem Leitfaden zur Nachweissammlung.
Häufige Fallstricke beim Übergang
- Richtliniendrift — Richtlinien, die für den Type I geschrieben wurden, bleiben unverändert, während sich die tatsächlichen Praktiken weiterentwickeln. Bis der Type II Prüfer kommt, stimmen die Richtlinien nicht mehr mit der Realität überein.
- Personalwechsel — Der Ingenieur, der die Type I Kontrollen verantwortet hat, hat das Unternehmen verlassen. Sein Nachfolger wurde nie in die Kontrollverfahren eingewiesen, was eine Lücke in der Betriebsaufzeichnung erzeugt.
- Unregelmäßige Kontrollen — Kontrollen, die vierteljährlich ausgeführt werden sollen (Zugriffsüberprüfungen, Lieferantenbewertungen, Risikobewertungen), werden deprioritisiert, wenn das Tagesgeschäft überhandnimmt. Selbst das Verpassen einer vierteljährlichen Kontrollinstanz erzeugt eine Ausnahme.
- Toolwechsel — Der Wechsel von Monitoring-Tools, Cloud-Anbietern oder Identitätsanbietern mitten im Beobachtungszeitraum erzeugt Nachweislücken, wenn der Übergang nicht dokumentiert wird und Kontrollen im neuen Tooling nicht wiederhergestellt werden.
In der Praxis: Die erfolgreichsten Übergänge sind diejenigen, bei denen das SaaS-Unternehmen den Type I Abschluss nicht als Ziellinie behandelt, sondern als Startschuss für die Type II Nachweissammlung.
Was Kunden tatsächlich wollen
Das Verständnis der Käufererwartungen hilft Ihnen, die richtige strategische Wahl zu treffen.
Enterprise-Beschaffungsteams
Die meisten Enterprise-Beschaffungs- und Vendor-Risk-Management-Teams verlangen einen SOC 2 Type II Bericht als Standardbestandteil ihrer Due Diligence. Er ist oft ein Kontrollkästchen auf Vendor-Assessment-Fragebögen. Ein Type I Bericht kann vorübergehend akzeptiert werden, insbesondere wenn er mit einer Dokumentation begleitet wird, dass ein Type II in Arbeit ist.
Der Bridge Letter
Wenn Ihr aktuellster Type II Bericht abgelaufen ist (der Prüfungszeitraum endete vor mehr als 12 Monaten) oder Sie sich zwischen Type I und Type II befinden, kann Ihr Prüfer einen Bridge Letter ausstellen. Dies ist ein formelles Schreiben der Wirtschaftsprüfungsgesellschaft, das besagt:
- Ein SOC 2 Audit ist derzeit in Arbeit
- Basierend auf der bisher geleisteten Arbeit wurden keine wesentlichen Probleme identifiziert
- Das erwartete Abschlussdatum für den neuen Bericht
Bridge Letters werden von Enterprise-Beschaffungsteams weithin als Übergangslösung akzeptiert. Sie sind kein Ersatz für einen vollständigen Bericht, aber sie verhindern, dass Compliance-Lücken Vertriebszyklen blockieren.
Investoren und Partner
SOC 2 Berichte werden zunehmend bei der Due Diligence von Investoren (insbesondere ab Series B), Technologiepartnern und Plattform-Marktplätzen (z. B. AWS Partner Network, Salesforce AppExchange) angefordert. Ein Type II Bericht hat in diesen Kontexten wesentlich mehr Gewicht als ein Type I.
NDA-Anforderungen
SOC 2 Berichte enthalten detaillierte Informationen über Ihre Infrastruktur, Kontrollen und eventuelle Ausnahmen. Sie sollten nur unter einem gegenseitigen NDA geteilt werden. Die meisten Enterprise-Beschaffungsteams verstehen dies und werden ein NDA unterzeichnen, bevor sie Ihren Bericht anfordern. Etablieren Sie einen Standardprozess für die Berichtsweitergabe: NDA-Unterzeichnung, sichere Zustellung (nicht als E-Mail-Anhang) und Nachverfolgung, wer Kopien erhalten hat.
Planung Ihres SOC 2 Budgets
Das Verständnis des vollständigen Kostenbildes hilft SaaS-Teams, realistisch zu planen.
Type I Budgetvorlage
| Kostenkategorie | Bereich | Anmerkungen |
|---|---|---|
| Prüfergebühren | 20.000-60.000 USD | Variiert je nach Firma und Umfang |
| Readiness-Assessment | 5.000-15.000 USD | Optional, aber empfohlen beim ersten Mal |
| Compliance-Plattform | 5.000-20.000 USD | Jahresabonnement |
| Richtlinienentwicklung | 0-10.000 USD | Interner Aufwand oder Berater |
| Nachbesserungskosten | 5.000-30.000 USD | Tools, Konfigurationen, Implementierungen |
| Interner Aufwand | 100-300 Stunden | Verteilt über 2-3 Monate |
Type II Budgetvorlage
| Kostenkategorie | Bereich | Anmerkungen |
|---|---|---|
| Prüfergebühren | 30.000-100.000+ USD | Längeres Engagement, mehr Tests |
| Compliance-Plattform | 10.000-50.000 USD/Jahr | Continuous Monitoring unerlässlich |
| Laufende Nachweissammlung | 10-20 Stunden/Monat | Über den gesamten Beobachtungszeitraum |
| Jährlicher Kontrollbetrieb | Variiert | Zugriffsüberprüfungen, Schulungen, Tests |
| Interner Aufwand (Audit-Phase) | 200-500+ Stunden | Konzentriert während der Testphase |
Für eine detaillierte Aufschlüsselung aller SOC 2 Kosten lesen Sie unseren SOC 2 Kosten- und Zeitplan-Leitfaden.
Wie GRCTrail hilft
Ob Sie Type I oder Type II anstreben, GRCTrail reduziert den operativen Aufwand erheblich:
- Automatisierte Nachweissammlung — Kontinuierliche Integration mit AWS, Azure, GCP, Okta, GitHub, Jira und über 50 weiteren Plattformen, um Kontrollnachweise automatisch über Ihren gesamten Beobachtungszeitraum zu erfassen
- Type I zu Type II Übergangsmanagement — Dashboards, die verfolgen, welche Kontrollen anhaltende Nachweise benötigen, und Lücken markieren, bevor Ihr Prüfer sie findet
- Kontroll-Monitoring — Echtzeit-Alerts, wenn Kontrollen nicht mehr wie erwartet funktionieren (z. B. MFA-Durchsetzung deaktiviert, Backup-Jobs fehlgeschlagen, Zugriffsüberprüfungsfristen verpasst)
- Prüferbereite Nachweispakete — Organisierte, mit Zeitstempeln versehene Nachweise, die auf spezifische Trust-Service-Kriterien-Fokuspunkte abgebildet sind und in den von Prüfern erwarteten Formaten exportiert werden können
- Bridge-Letter-Unterstützung — Verfolgen Sie Ihren Compliance-Status zwischen Audit-Zeiträumen, damit Ihr Prüfer Bridge Letters mit Zuversicht ausstellen kann
- Kostenverfolgung — Überwachen Sie Ihre gesamten SOC 2 Ausgaben im Vergleich zum Budget, einschließlich interner Zeit, Toolkosten und Prüfergebühren
Verwandte Leitfäden
Verwandte Artikel
Der SOC 2 Audit-Prozess: Zeitplan, Schritte und was Sie erwartet
Eine schrittweise Anleitung zum SOC 2 Audit-Prozess, von der Auswahl eines Prüfers bis zum Erhalt Ihres Berichts. Behandelt Zeitpläne, Vorbereitung und was Prüfer bewerten.
SOC 2 Compliance-Checkliste für SaaS-Unternehmen
Eine umfassende SOC 2 Compliance-Checkliste, die jeden Schritt von der Scoping-Phase bis zum Audit-Abschluss abdeckt. Erstellt für SaaS-Teams, die sich auf ihren ersten oder nächsten SOC 2 Bericht vorbereiten.
SOC 2 Nachweissammlung: Was Prüfer tatsächlich suchen
Erfahren Sie genau, welche Nachweise SOC 2 Prüfer anfordern, wie Sie diese effizient sammeln und welche häufigen Fehler zu Audit-Verzögerungen führen. Ein praktischer Leitfaden für SaaS-Engineering- und Compliance-Teams.