WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

SOC 2 ist ein Pruefungsrahmen, entwickelt vom AICPA, der bewertet, wie Dienstleistungsorganisationen Kundendaten schuetzen. Im Gegensatz zu ISO 27001, das fuer jede Branche gilt, ist SOC 2 speziell auf technologische und Cloud-Service-Anbieter zugeschnitten.

Was ist der Unterschied zwischen SOC 2 Type I und Type II?

SOC 2 Type I bewertet das Design der Kontrollen zu einem bestimmten Zeitpunkt. SOC 2 Type II bewertet die operative Wirksamkeit der Kontrollen ueber einen Zeitraum (typischerweise 6-12 Monate). Type II hat mehr Gewicht, da es die tatsaechliche Leistung beweist.

Was sind die fuenf Trust Service Criteria?

Die fuenf TSC sind: Sicherheit (immer enthalten), Verfuegbarkeit (Uptime und Performance), Verarbeitungsintegritaet (genaue Verarbeitung), Vertraulichkeit (Schutz vertraulicher Daten) und Datenschutz (Schutz personenbezogener Daten).

Wie lange dauert die SOC-2-Zertifizierung?

Type I: 3-6 Monate. Type II: 6-12 Monate (einschliesslich des Beobachtungszeitraums). Die meisten Unternehmen starten mit Type I und wechseln dann innerhalb eines Jahres zu Type II.

Wie verhaelt sich SOC 2 zu ISO 27001 und NIS2?

SOC 2 ist US-zentriert und dienstleistungsspezifisch. ISO 27001 ist international und branchenuebergreifend. NIS2 ist EU-Cybersicherheitsregulierung. Sie ergaenzen sich: ISO-27001-Kontrollen bilden die Grundlage, SOC 2 konzentriert sich auf service-spezifische Vertrauenskriterien.

Was kann WarDek fuer SOC 2 automatisieren?

WarDek bewertet automatisch 8 Trust-Service-Criteria-Kontrollen durch Sicherheitsscanning: Verschluesselungspruefung, TLS-Analyse, Header-Bewertung, Schwachstellenerkennung und mehr.

SOC 2 Type II Compliance Guide — Trust Service Criteria

Was ist SOC 2 und warum es wichtig ist

SOC 2(System and Organization Controls 2) ist ein Prüfungsrahmenwerk des AICPA(American Institute of Certified Public Accountants). Es definiert Kriterien für den Umgang mit Kundendaten auf Basis von fünf Vertrauenskriterien(Trust Service Criteria, TSC): Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

Im Gegensatz zu Zertifizierungen wie ISO 27001 erstellt SOC 2 einen Attestierungsbericht, der von einer unabhängigen Wirtschaftsprüfungsgesellschaft ausgestellt wird. Dieser Bericht wird zunehmend von Unternehmenseinkäufern bei Beschaffungsprozessen angefordert, insbesondere in den USA und in Großbritannien. Für SaaS-Unternehmen ist ein SOC 2 Type II-Bericht zum Vertrauensstandard schlechthin geworden — ohne ihn stagnieren Unternehmensverträge oder scheitern gänzlich.

Die Marktlage ist eindeutig: Laut der Cloud Security Alliance verlangen über 80 % der Unternehmensausschreibungen mittlerweile SOC 2 oder einen gleichwertigen Compliance-Nachweis. Organisationen, die proaktiv SOC 2 anstreben, schließen Verträge 40 % schneller ab als solche, die Nachweise erst auf Anforderung zusammenstellen.

SOC 2 Type I vs Type II

SOC 2 gibt es in zwei Berichtstypen, die jeweils einen unterschiedlichen Zweck auf Ihrem Compliance-Weg erfüllen:

Aspekt	Type I	Type II
Umfang	Gestaltung der Kontrollen zu einem Zeitpunkt	Gestaltung + operative Wirksamkeit über einen Zeitraum
Dauer	Einzelner Stichtag (Momentaufnahme)	Beobachtungszeitraum von 6–12 Monaten
Kosten	20.000–60.000 $	30.000–100.000 $+
Zeitrahmen	3–6 Monate Vorbereitung	9–18 Monate insgesamt
Unternehmensakzeptanz	Als Zwischennachweis akzeptabel	Bevorzugt und oft vorgeschrieben
Erneuerung	Nicht wiederkehrend	Jährliche Wiederholungsprüfung erforderlich

Die meisten Organisationen beginnen mit Type I, um nachzuweisen, dass Kontrollen vorhanden sind, und wechseln dann zu Type II, um zu beweisen, dass diese Kontrollen zuverlässig funktionieren. Einige Unternehmen überspringen Type I vollständig, wenn ihre Kontrollreife bereits hoch ist.

Die fünf Vertrauenskriterien

SOC 2 bewertet Organisationen anhand von fünf Vertrauenskriterien. Sicherheit (Common Criteria)ist für alle SOC 2-Berichte obligatorisch. Die anderen vier sind optional, werden aber je nach Geschäftskontext häufig einbezogen:

1. Sicherheit (CC-Reihe) — Obligatorisch

Das Sicherheitskriterium, auch Common Criteriagenannt, bildet das Fundament jedes SOC 2-Berichts. Es umfasst den Schutz von Informationen und Systemen vor unbefugtem Zugriff, unbefugter Offenlegung von Informationen und Schäden an Systemen. Die CC-Reihe erstreckt sich über 9 Kategorien (CC1 bis CC9) mit über 30 einzelnen Kontrollpunkten zu Governance, Risikobewertung, Überwachung, logischem Zugriff, Systembetrieb und Änderungsmanagement.

2. Verfügbarkeit (A-Reihe)

Das Verfügbarkeitskriterium betrifft die Frage, ob Systeme wie vereinbart betriebsbereit und nutzbar sind. Es umfasst die Planung der Notfallwiederherstellung, die Geschäftskontinuität, die Vorfallreaktion und die Systemüberwachung. Wichtige Kontrollen sind A1.1 (Kapazitätsplanung), A1.2 (Umgebungsschutz und Wiederherstellung) und A1.3 (Wiederherstellungstests). Dieses Kriterium ist für SaaS-Unternehmen mit Verfügbarkeits-SLAs unerlässlich.

3. Verarbeitungsintegrität (PI-Reihe)

Die Verarbeitungsintegrität stellt sicher, dass die Systemverarbeitung vollständig, gültig, genau, zeitgerecht und autorisiert ist. Sie ist besonders relevant für Fintech, Healthtech und jeden Dienst, der Transaktionen oder sensible Berechnungen verarbeitet. Kontrollen umfassen PI1.1 (definierte Verarbeitungsziele), PI1.2 (Eingabevalidierung), PI1.3 (Verarbeitungsgenauigkeit), PI1.4 (Ausgabeüberprüfung) und PI1.5 (Fehlerbehandlung).

4. Vertraulichkeit (C-Reihe)

Das Vertraulichkeitskriterium schützt als vertraulich eingestufte Informationen (Geschäftsgeheimnisse, Geschäftspläne, geistiges Eigentum, vertraglich geschützte personenbezogene Daten). Kontrollen umfassen C1.1 (Identifizierung vertraulicher Informationen), C1.2 (Entsorgung vertraulicher Informationen) sowie Verschlüsselungsanforderungen für ruhende und übertragene Daten.

5. Datenschutz (P-Reihe)

Das Datenschutzkriterium betrifft die Erhebung, Nutzung, Aufbewahrung, Offenlegung und Entsorgung personenbezogener Daten. Es steht in engem Einklang mit Datenschutzvorschriften wie der DSGVO und dem CCPA. Die P-Reihe umfasst 8 Kategorien zu Benachrichtigung, Wahl und Einwilligung, Erhebung, Nutzung/Aufbewahrung/Entsorgung, Zugriff, Offenlegung, Qualität und Überwachung. Die Aufnahme dieses Kriteriums stärkt Ihre DSGVO-Compliance-Argumentation erheblich.

8 zentrale Kontrollen, die WarDek automatisiert

Die automatische Sicherheitsprüfung von WarDek bildet die Vertrauenskriterien-Kontrollen von SOC 2 direkt ab. Ein einziger Scan bewertet 8 kritische Kontrollbereiche und generiert Nachweise, die Sie Ihrem Prüfer vorlegen können:

Kontrollreferenz	Kontrollname	Was WarDek prüft
CC6.1	Logische Zugriffskontrollen	Authentifizierungsmechanismen, Sitzungsverwaltung, Cookie-Sicherheitsflags (Secure, HttpOnly, SameSite), Zugriffskontroll-Header
CC6.6	Systemgrenzen	Sicherheits-Header (CSP, X-Frame-Options, X-Content-Type-Options), CORS-Konfiguration, Ressourcenisolierung, Clickjacking-Schutz
CC6.7	Übertragungssicherheit	TLS-Konfiguration (Protokollversion, Cipher Suites, Zertifikatsgültigkeit), HSTS-Durchsetzung, Erkennung gemischter Inhalte, Zertifikatskettenvalidierung
CC7.1	Überwachung und Erkennung	Vorhandensein von Sicherheits-Headern als Hinweis auf Überwachungsfähigkeit, Konfiguration der Fehlerbehandlung, Verhinderung der Informationsoffenlegung, Server-Versionsexposition
CC7.2	Anomalieerkennung	Rate-Limiting-Header, Bot-Schutz-Indikatoren, Missbrauchspräventionsmechanismen, Fähigkeiten zur Erkennung verdächtiger Muster
CC8.1	Änderungsmanagement	Subresource Integrity (SRI) für Skripte und Stylesheets, Hinweise auf Versionspinning, Deployment-Konfigurationsindikatoren, Überprüfung der Asset-Integrität
A1.2	Verfügbarkeitskontrollen	CDN- und Caching-Konfiguration, Redundanzindikatoren, DNS-Konfiguration (mehrere Nameserver, DNSSEC), Referenzmessung der Antwortzeit
C1.1	Vertraulichkeitsstatus	Datenexposition im HTML-Quellcode, sensible Informationen in Headern, Verhinderung von Verzeichnislisting, Backup-Datei-Exposition, Erkennung von API-Schlüssel-Lecks

Nach dem Scan erstellt WarDek eine Bewertung der Vertrauenskriterien, die jeden Befund der entsprechenden SOC 2-Kontrolle zuordnet. Dies dient als Bereitschaftsgrundlage — hilft Ihnen, Lücken zu identifizieren, bevor Sie einen Prüfer beauftragen, und liefert fortlaufende Nachweise während des Type II-Beobachtungszeitraums.

SOC 2-Fahrplan für SaaS-Unternehmen

Die Erreichung der SOC 2-Compliance ist ein strukturierter Prozess. Hier ist ein praktischer Fahrplan für SaaS-Organisationen:

Phase 1: Umfangsbestimmung und Lückenanalyse (Wochen 1–4)

Festlegen, welche Vertrauenskriterien gelten (Sicherheit ist obligatorisch; die meisten SaaS-Unternehmen beziehen Verfügbarkeit und Vertraulichkeit ein)
Systemgrenzen identifizieren — welche Infrastruktur, Anwendungen und Drittanbieterdienste im Umfang liegen
Einen automatisierten Basisscan (WarDek) durchführen, um technische Lücken gegenüber SOC 2-Kontrollen zu identifizieren
Ihre aktuelle Kontrollumgebung dokumentieren und fehlende Richtlinien identifizieren

Phase 2: Behebung und Kontrollimplementierung (Wochen 5–16)

Fehlende technische Kontrollen implementieren (Verschlüsselung, Zugriffsmanagement, Überwachung, Protokollierung)
Erforderliche Richtlinien erstellen: Informationssicherheitsrichtlinie, Zugriffssteuerungsrichtlinie, Vorfallreaktionsplan, Änderungsmanagement-Richtlinie, Geschäftskontinuitätsplan, Risikobewertungsmethodik
Überwachungs- und Alarmsysteme für die kontinuierliche Nachweiserhebung bereitstellen
Automatische Schwachstellenscans nach einem wiederkehrenden Zeitplan konfigurieren
Mitarbeiter in Sicherheitsbewusstsein und Vorfallmeldung schulen

Phase 3: Type I-Prüfung (Wochen 17–24)

Eine in SOC 2 für Technologieunternehmen erfahrene Wirtschaftsprüfungsgesellschaft beauftragen
Nachweise über die Kontrollgestaltung vorlegen (Richtlinien, Konfigurationen, Architekturdiagramme)
Der Prüfer bewertet, ob die Kontrollen angemessen gestaltetsind, um die TSC-Kriterien zu erfüllen
Im Berichtsentwurf identifizierte Feststellungen oder Ausnahmen bearbeiten
Ihren SOC 2 Type I-Bericht erhalten — sofort teilbar mit Interessenten

Phase 4: Beobachtungszeitraum und Type II (Monate 7–18)

Kontrollen 6–12 Monate lang konsistent betreiben und dabei Nachweise sammeln
Regelmäßige WarDek-Scans durchführen, um fortlaufende Compliance-Nachweise zu generieren
Vorfälle und deren Lösung dokumentieren (auch Zeiträume ohne Vorfälle erfordern Dokumentation)
Interne Audits und Management-Reviews mindestens vierteljährig durchführen
Der Prüfer testet die operative Wirksamkeit durch Stichproben und Befragungen
Ihren SOC 2 Type II-Bericht erhalten — der Goldstandard für Unternehmensvertrauen

Beziehung zu ISO 27001, NIS2 und DSGVO

SOC 2 existiert nicht isoliert. Moderne Compliance-Programme umfassen in der Regel mehrere Rahmenwerke, und das Verständnis ihrer Überschneidungen reduziert doppelten Aufwand:

Rahmenwerk	Herkunft	Fokus	Überschneidung mit SOC 2
ISO 27001	International (ISO)	Informationssicherheits-Managementsystem (ISMS)	~60–70 % Kontrollüberschneidung. Anhang A von ISO 27001 lässt sich gut auf die CC-Reihe abbilden.
NIS2	Europäische Union	Netz- und Informationssicherheit für kritische Sektoren	~50 % Überschneidung bei technischen Maßnahmen (Artikel 21 entspricht den Kontrollen CC6, CC7, A1).
DSGVO	Europäische Union	Schutz personenbezogener Daten und Datenschutzrechte	~40 % Überschneidung. Das Datenschutzkriterium von SOC 2 (P-Reihe) unterstützt direkt die Einhaltung von Artikel 32 der DSGVO.
OWASP Top 10	OWASP Foundation	Kritische Sicherheitsrisiken für Webanwendungen	Unterstützt direkt die Nachweiserhebung für CC6 (Zugriffskontrolle) und CC7 (Überwachung).

Die zentrale Erkenntnis: Ein Compliance-Programm aufzubauen beschleunigt alle anderen. Eine Organisation mit ISO 27001-Zertifizierung kann SOC 2 in etwa der Hälfte der Zeit erreichen, da das Managementsystem, die Richtlinien und viele technische Kontrollen bereits vorhanden sind. Ebenso unterstützen SOC 2-Nachweise direkt die Anforderungen von Artikel 21 der NIS2 an technische und operative Maßnahmen.

Der Multi-Framework-Scan-Ansatz von WarDek trägt dieser Realität Rechnung. Ein einziger Scan generiert Befunde, die gleichzeitig SOC 2, NIS2 und OWASP zugeordnet werden — wodurch separate Bewertungen für jedes Rahmenwerk entfallen und ein einheitliches Compliance-Dashboard bereitgestellt wird.

Häufige SOC 2-Fallstricke, die es zu vermeiden gilt

Zu spät beginnen:Unternehmensinteressenten erwarten SOC 2-Nachweise während der Evaluierung. Erst nach einem laufenden Geschäft zu beginnen bedeutet 6–18 Monate Verzögerung.
Zu breiten Umfang definieren:Beziehen Sie nur Systeme ein, die Kundendaten verarbeiten, speichern oder übertragen. Ein zu breiter Umfang erhöht Kosten und Zeitrahmen ohne verhältnismäßigen Nutzen.
Es als Checkliste behandeln:SOC 2 ist ein fortlaufendes Programm, kein einmaliges Projekt. Kontrollen müssen kontinuierlich funktionieren, nicht nur während der Prüfungszeiträume.
Lieferantenmanagement ignorieren:Ihr SOC 2-Umfang umfasst kritische Unterauftragnehmer (Hosting-Anbieter, Zahlungsabwickler). Stellen Sie sicher, dass diese über eigene SOC 2-Berichte verfügen.
Manuelle Nachweiserhebung:Screenshots und Protokolle für über 100 Kontrollen manuell zu sammeln ist nicht nachhaltig. Automatisieren Sie die Nachweiserhebung von Anfang an mit Tools wie WarDek.
Den falschen Prüfer wählen:Wählen Sie eine Wirtschaftsprüfungsgesellschaft mit Erfahrung in Technologie und SaaS. Branchenexpertise reduziert Reibungsverluste und Rückfragen während der Prüfung erheblich.

SOC 2 Type II — Complete Guide for SaaS Companies