剣 KENSAI
← All posts · security · 2026-01-01 · 5 min

SOC 2-Sicherheitstests und Schwachstellenmanagement

SOC 2 Typ II-Auditoren prüfen Ihr Schwachstellenmanagementprogramm über den gesamten Auditzeitraum hinweg. Die Zeiten, in denen punktuelle Scans die Prüfer zufriedenstellten, sind vorbei. KENSAI bietet den kontinuierlichen Beweispfad, den moderne SOC-2-Audits erfordern.

Starten Sie die SOC 2-Bewertung → Buchen Sie eine Demo

SOC 2 Gemeinsame Kriterien für das Schwachstellenmanagement

SOC 2 basiert auf den Trust Services Criteria (TSC) der AICPA. Nachweise für das Schwachstellenmanagement sind in erster Linie im Rahmen von erforderlichGemeinsame Kriterien (CC)im Zusammenhang mit Systembetrieb und Änderungsmanagement:

CC7.1 – Systemüberwachung

Die Entität verwendet Erkennungs- und Überwachungsverfahren, um Änderungen an Konfigurationen, neue Schwachstellen und Anomalien zu identifizieren. Prüfer möchten Folgendes sehen: fortlaufende Schwachstellenprüfung, dokumentierte Prozesse und Beweise dafür, dass die Überwachung kontinuierlich erfolgt – und nicht nur vierteljährlich.

CC7.2 – Reaktion auf Vorfälle

Sicherheitsvorfälle (einschließlich der Ausnutzung von Schwachstellen) werden identifiziert und darauf reagiert. Das Schwachstellenmanagement fließt direkt in den Incident-Response-Prozess ein.

CC8.1 – Änderungsmanagement

Änderungen an Infrastruktur, Daten, Software und Prozessen werden genehmigt, entworfen, entwickelt, dokumentiert, getestet, überprüft und implementiert. Das Scannen von Schwachstellen nach Änderungen ist ein erwarteter Beweis.

CC9.2 – Risikominderung

Das Unternehmen wählt und entwickelt Maßnahmen zur Risikominderung, einschließlich der Identifizierung und Behebung von Schwachstellen. Hier werden Ihre Schwachstellenpriorisierung und die SLAs zur Behebung bewertet.

💡 Typ I vs. Typ II:SOC 2 Typ I ist eine punktuelle Beurteilung. Typ II umfasst einen Zeitraum (typischerweise 6–12 Monate). Bei Typ II prüfen Prüfer Beweise aus Schwachstellenscans aus dem gesamten Prüfungszeitraum und achten auf eine konsistente, wiederholbare Ausführung. Ein einziger Scan im 11. Monat wird nicht bestanden.

Was SOC 2-Auditoren tatsächlich verlangen

Basierend auf häufigen Prüferanfragen bei SOC 2-Aufträgen müssen Sie Folgendes bereitstellen:

BeweistypFrequenzWas Prüfer wollen
Ergebnisse des SchwachstellenscansMonatlich oder fortlaufendZeitstempel, Umfang, Anzahl der Ergebnisse, Aufschlüsselung des Schweregrads
Bericht zum PenetrationstestJährlichMethodik, Umfang, Ergebnisse, Sanierungsstatus
Nachverfolgung der BehebungKontinuierlichTicketing-Trail von der Entdeckung über die Reparatur bis hin zum erneuten Test
Patch-Management-DatensätzeKontinuierlichKritische Patches werden innerhalb des SLA (normalerweise 30 Tage) angewendet.
Richtlinie zum SchwachstellenmanagementBei der PrüfungSchriftliche Richtlinie mit Schweregraddefinitionen und Abhilfe-SLAs
Dokumentation der RisikoakzeptanzPro AusnahmeUnterzeichnete Risikoakzeptanz für ungepatchte bekannte Schwachstellen

Penetrationstests für SOC 2

Während SOC 2 die Häufigkeit von Penetrationstests nicht explizit vorschreibt, enthalten praktisch alle glaubwürdigen SOC 2-Berichte jährliche Penetrationstests. Prüfer betrachten dies als Beweis für ein ausgereiftes Schwachstellenmanagementprogramm.

Wichtige Anforderungen für den SOC 2-Pentest-Nachweis:

Wie KENSAI die SOC 2-Konformität unterstützt

✓ Kontinuierliche Scan-Beweise

Tägliche oder wöchentliche Scans mit zeitgestempelten Berichten liefern den kontinuierlichen Beweispfad, den SOC 2 Typ II-Auditoren über den gesamten Auditzeitraum benötigen.

✓ SLA-Verfolgung zur Behebung

Definieren und verfolgen Sie SLAs zur Behebung nach Schweregrad. KENSAI erstellt Berichte, die die Einhaltung Ihrer dokumentierten Zeitpläne für die Behebung von Schwachstellen belegen.

✓ Durch Änderungen ausgelöstes Scannen

Lösen Sie nach Infrastrukturänderungen automatisch Scans aus, um die CC8.1-Anforderungen für Sicherheitstests von Änderungen zu erfüllen.

✓ Prüferfähige Berichte

Exportieren Sie den Scanverlauf, Korrekturmetriken und Trendanalysen in Formaten, die für die Überprüfung durch Prüfer konzipiert sind. Reduzieren Sie die Vorbereitungszeit für Audits erheblich.

✓ Risikoakzeptanz-Workflow

Dokumentieren Sie Risikoakzeptanzentscheidungen für Schwachstellen, die nicht sofort behoben werden können, mit Unterschriften der Genehmiger und Prüfdaten.

✓ Berichte zur Vermögensabdeckung

Zeigen Sie den Prüfern mit einem umfassenden Asset-Inventar, dass alle in den Geltungsbereich fallenden Systeme von Ihrem Schwachstellenmanagementprogramm abgedeckt sind.

Aufbau eines SOC 2-Ready Vulnerability Management-Programms

  1. Definieren Sie Ihre Richtlinie zum Schwachstellenmanagement— Schweregraddefinitionen für Dokumente, SLAs zur Behebung (z. B. Kritisch: 7 Tage, Hoch: 30 Tage, Mittel: 90 Tage)
  2. Führen Sie eine Bestandsaufnahme aller im Umfang enthaltenen Vermögenswerte durch— Eine vollständige Vermögensinventur ist die Grundlage; Sie können nicht scannen, worüber Sie nichts wissen
  3. Implementieren Sie kontinuierliches Scannen— Mindestens wöchentliche Scans; Täglich bevorzugt für mit dem Internet verbundene Systeme
  4. Richten Sie Abhilfe-Workflows ein— Tickets, Besitzer, Fristen und Abschlusskriterien mit Nachweisen
  5. Jährlicher Penetrationstest— Beauftragen Sie mindestens einmal jährlich einen qualifizierten Dritten
  6. Ausnahmen dokumentieren— Dokumentieren Sie bei Schwachstellen, die nicht sofort behoben werden können, die Risikoakzeptanz mit geschäftlicher Begründung
  7. Demonstrieren Sie eine Trendverbesserung— Prüfer möchten ein Programm sehen, das sich im Laufe der Zeit verbessert und nicht statisch ist

Bestehen Sie Ihr SOC 2-Audit mit Zuversicht

KENSAI bietet das kontinuierliche Scannen von Schwachstellen, die Nachverfolgung von Behebungsmaßnahmen und die für Prüfer geeignete Berichterstattung, die SOC 2 Typ II erfordert. Beginnen Sie noch heute mit dem Aufbau Ihrer Beweisspur.

Starten Sie SOC 2 Compliance → Sprechen Sie mit einem Compliance-Experten

Verwandte Artikel