SOC 2 Penetrationstest: Was Prüfer für CC4.1 und CC7.1 tatsächlich erwarten
SOC 2 sagt nirgends wörtlich „Sie müssen einen Penetrationstest durchführen“ — genau deshalb geraten Teams ins Stolpern. Prüfer erwarten Penetrationstests als Nachweis für die Trust Services Criteria zu Monitoring (CC4.1) und Schwachstellenmanagement (CC7.1), und Ihre Enterprise-Kunden verlangen sie zunehmend in Sicherheitsfragebögen. Matproof Sentinel liefert die OWASP-konforme Prüfung und die prüfungssichere Dokumentation, die ein SOC-2-Prüfer benötigt, ab 149 € und mit einem kostenlosen Scan zum Start.
Wie Penetrationstests auf die SOC 2 Trust Services Criteria abbilden
SOC 2 basiert auf den Trust Services Criteria, und mehrere Common Criteria lassen sich ohne Penetrationstests kaum belegen. CC4.1 (das Unternehmen wählt und entwickelt Monitoring-Aktivitäten, um zu bewerten, ob Kontrollen wirken) und CC7.1 (das Unternehmen nutzt Erkennungs- und Überwachungsverfahren, um Schwachstellen zu identifizieren) setzen faktisch ein Programm voraus, das Schwachstellen findet, bevor Angreifer es tun — und ein Penetrationstest ist der direkteste Nachweis, dass ein solches Programm existiert und funktioniert. CC7.2 und die Risikobewertungs-Kriterien (CC3.x) profitieren ebenfalls von den konkreten, priorisierten Befunden eines Tests. Auch wenn ein SOC-2-Prüfer verschiedene Nachweise akzeptiert, erwarten die meisten in der Praxis mindestens einen jährlichen Penetrationstest, Schwachstellen-Scans und ein Behebungsprotokoll — und die Beschaffungsteams Ihrer Interessenten fragen den Pentest-Bericht direkt im Lieferanten-Sicherheitscheck ab. Ein Type-II-Bericht deckt einen Zeitraum ab, daher muss der Testnachweis die Abdeckung über dieses Fenster zeigen, nicht nur einen einzelnen Scan am Ende.
- CC4.1 & CC7.1: Penetrationstests sind der sauberste Nachweis, dass Ihre Monitoring- und Schwachstellenmanagement-Kontrollen Schwächen tatsächlich erkennen.
- Type II = ein Zeitraum, kein Zeitpunkt: Ein Type-II-Bericht braucht Testnachweise über das Prüffenster — kontinuierliches Testen passt besser als ein einzelner Jahresscan.
- Beschaffungs-Gate: Enterprise-Käufer fragen Ihren Pentest-Bericht routinemäßig im Sicherheitsfragebogen ab — ein aktueller Bericht verkürzt den Vertriebszyklus.
- Prüfer-Erwartung: SOC 2 nennt Pentests nicht ausdrücklich, doch die meisten Prüfer erwarten einen Jahrestest plus Schwachstellen-Scans und ein Behebungsprotokoll.
Was ein SOC 2 Penetrationstest abdecken sollte
- Web-Anwendungssicherheit — OWASP Top 10 (2021): fehlerhafte Zugriffskontrolle, Injection, kryptografische Fehler, Fehlkonfiguration und unsicheres Design in Ihrer SaaS-Anwendung.
- API-Sicherheit — OWASP API Security Top 10 (2023), gesteuert über Ihre OpenAPI-Spezifikation: BOLA, fehlerhafte Authentifizierung und übermäßige Datenpreisgabe (die klassischen Multi-Tenant-SaaS-Risiken).
- Mandantenisolation — authentifizierte Tests über zwei Identitäten, um zu belegen, dass ein Kunde/Mandant nicht auf die Daten eines anderen zugreifen kann (der Bruch, der ein SaaS-Unternehmen beendet).
- Authentifizierung und Sitzungsverwaltung — MFA-Durchsetzung, Session-Handling, JWT- und API-Key-Sicherheit sowie Passwortrichtlinien (CC6.x logischer Zugriff).
- Infrastruktur und Konfiguration — TLS-Konfiguration, Security-Header, exponierte Dienste und bekannte CVE-Exposition über Ihre Angriffsfläche.
- Prüfungssichere Ausgabe — Methodik, CVSS-Bewertungen, Exploit-Nachweis und Behebungsverfolgung, abgebildet auf die relevanten Trust Services Criteria für die Arbeitspapiere Ihres Prüfers.
Beispiel-Befund
Mandantenübergreifender Datenzugriff durch fehlende Autorisierungsprüfung (Multi-Tenant-SaaS)
Authentifizierte Grey-Box-Tests mit zwei Mandantenkonten ergaben, dass der Endpunkt /api/reports/{reportId} auf Authentifizierung, aber nicht auf Eigentümerschaft prüfte: Ein Nutzer in Mandant A konnte Berichte von Mandant B abrufen, indem er dessen Bericht-ID angab. Für einen SOC-2-SaaS-Anbieter ist dies die schwerwiegendste Befundklasse — ein direktes Versagen der logischen Zugriffskontrollen unter CC6.1 und ein Bruch der Vertraulichkeitszusage, die die meisten SaaS-SOC-2-Berichte enthalten. Es ist genau das Problem, das das Sicherheitsteam eines Enterprise-Interessenten vor dem Abschluss prüft.
Behebung: Erzwingen Sie mandantenbezogene Autorisierung an jedem objektbezogenen Endpunkt: bestätigen Sie, dass die angeforderte Ressource zum Mandanten des Aufrufers gehört, idealerweise über eine zentrale Autorisierungsschicht statt Prüfungen pro Endpunkt. Ergänzen Sie automatisierte Tests, die mandantenübergreifenden Zugriff verweigern, und wiederholen Sie den Penetrationstest, um die Behebung vor dem SOC-2-Nachweisfenster zu bestätigen.
Referenz: OWASP API1:2023 Broken Object Level Authorization · OWASP A01:2021 Broken Access Control · CWE-639 · SOC 2 CC6.1 / CC6.3
SOC 2 Penetrationstest-Optionen
| — | Kostenloser Scan | Matproof Sentinel | Klassische Beratung |
|---|---|---|---|
| Automatisierte Scan-Engine | ✓ (3-min Vorschau) | ✓ Vollständiger Scan | ✗ Nur manuell |
| OWASP Top 10 Abdeckung | Partiell | ✓ Vollständig | ✓ Vollständig |
| Proof-of-Exploit-Evidenz | ✗ | ✓ Pro Befund | ✓ Pro Befund |
| Regulatorisches Mapping (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisiert | ✓ Manuell |
| Audit-tauglicher PDF-Bericht | ✗ | ✓ Sofort | ✓ 2–4 Wochen Lieferzeit |
| Kontinuierliche / wiederkehrende Scans | ✗ | ✓ Pro Deploy | ✗ Jährliches Engagement |
| Zeit bis zum ersten Ergebnis | ~3 Min. | ~30 Min. Vollscan | 2–4 Wochen |
| Preis | €0 | Ab €149 | €8.000–€25.000 |
| Quellcode-Review (SAST) | ✗ | ✓ Im Growth-Plan | ✓ Im Scope |
| API-Testing (REST/GraphQL) | ✗ | ✓ Automatisiert | ✓ Manuell |
Matproof Sentinel für SOC 2
- 1 vollständiger Pentest-Scan
- KI-priorisierte Befunde mit CVSS 3.1
- Proof-of-Exploit für jedes Finding
- PDF-Bericht (audit-tauglich)
- Regulatorisches Mapping (DORA, NIS2, BSI)
- Unbegrenzte Scans (bis 3 Domains)
- Kontinuierliches Monitoring
- CI/CD-Integration (GitHub, GitLab)
- Alle Regulierungs-Mappings
- Prioritäts-Support
- Unbegrenzte Scans + Domains
- White-Box / Authenticated Testing
- API- & Cloud-Infrastruktur-Tests
- Dedizierter Security-Account-Manager
- SLA 24h Reaktionszeit
Häufige Fragen zum SOC 2 Penetrationstest
Verlangt SOC 2 einen Penetrationstest?
Nicht als ausdrücklichen Einzelpunkt — SOC 2 ist prinzipienbasiert um die Trust Services Criteria herum, keine vorschreibende Checkliste. Prüfer erwarten Penetrationstests jedoch als Nachweis für die Kriterien zu Monitoring (CC4.1) und Schwachstellenmanagement (CC7.1), und in der Praxis enthalten die meisten SOC-2-Prüfungen einen jährlichen Penetrationstest plus Schwachstellen-Scans. Ihre Enterprise-Kunden fragen den Bericht zudem direkt ab. Technisch nicht vorgeschrieben, erzeugt das Fehlen aber Reibung mit Prüfern und Käufern.
Welche SOC-2-Kriterien unterstützt ein Penetrationstest?
Am direktesten CC4.1 (Monitoring-Aktivitäten) und CC7.1 (Schwachstellen über Erkennung und Überwachung identifizieren). Er unterstützt außerdem CC3.x (Risikobewertung) durch konkrete, priorisierte Risiken, CC6.x (logischer Zugriff) durch Validierung der Authentifizierungs- und Autorisierungskontrollen und CC7.2 (Reaktionsbereitschaft) durch den Nachweis, dass Sie Probleme vor dem Vorfall finden.
Wie oft brauche ich einen Pentest für SOC 2 Type II?
Ein Type-II-Bericht deckt einen Zeitraum ab (üblich 6–12 Monate), daher muss Ihr Testnachweis die Abdeckung über dieses Fenster zeigen — nicht nur einen Scan in der Woche vor Prüfungsabschluss. Ein jährlicher Penetrationstest ist die Basis, doch kontinuierliches (PTaaS-)Testen passt besser zu Type II, weil es laufend Nachweise über den Prüfzeitraum erzeugt und Regressionen aus Deployments während des Fensters erkennt.
Reicht ein Schwachstellen-Scan für SOC 2, oder brauche ich einen Penetrationstest?
Schwachstellen-Scans unterstützen CC7.1, doch Prüfer und Kunden unterscheiden zunehmend zwischen Scan und Penetrationstest. Ein Scan findet bekannte Probleme per Signatur; ein Penetrationstest nutzt Schwächen aktiv aus und verkettet sie, um reale Auswirkungen zu zeigen (z. B. mandantenübergreifenden Datenzugriff). Für ein glaubwürdiges SOC-2-Programm — und um die Enterprise-Beschaffung zu erfüllen — tun Sie beides. Matproof Sentinel verbindet kontinuierliches Scanning mit Exploit-validierten Penetrationstests in einem Bericht.
Wird der Bericht von Matproof Sentinel von meinem SOC-2-Prüfer akzeptiert?
Der Sentinel-Bericht enthält die Elemente, auf die Prüfer achten: dokumentierter Scope und Methodik, Befunde mit CVSS-Bewertung, Exploit-Nachweis und Behebungsverfolgung, abgebildet auf die relevanten Trust Services Criteria. Er dient als starker Nachweis für CC4.1 und CC7.1. Für besonders prüfungsintensive Examinations möchten manche Prüfer zusätzlich einen identifizierbaren Tester, der die Beauftragung unterzeichnet; üblich ist kontinuierliches Sentinel-Testen plus eine periodische, von Menschen geführte Beauftragung, wobei die Sentinel-Berichte den laufenden Nachweis liefern.
Vertiefen — verwandte Artikel aus unserem Blog
Erhalten Sie SOC-2-fähige Penetrationstest-Nachweise
Erfüllen Sie CC4.1 und CC7.1 und beantworten Sie den Sicherheitsfragebogen mit einem aktuellen Bericht. Matproof Sentinel liefert OWASP-konforme Prüfung, Mandantenisolations-Checks und prüfungssichere Dokumentation — ab 149 €, mit kostenlosem Scan zum Start.
Kostenlosen Pentest-Scan starten