ISO 27001 & SOC 2 Compliance-Beratung
Enterprise-Käufer fordern immer häufiger ISO 27001 oder SOC 2 — insbesondere seit der NIS2-Durchsetzung in der EU verschärft wurde. Das Zertifikat öffnet Deals im Wert von Hunderttausenden von Euro, aber die Vorbereitung dauert Monate: Policy-Erstellung, Nachweissammlung und Auditor-Koordination. Wir erledigen alles davon.
Von “wir wollen das Zertifikat” zu “wir haben das Zertifikat”
Festpreis-Engagement für den gesamten Vorbereitungszyklus. Der Preis ändert sich nicht, wenn es länger dauert; wir tragen das Risiko für die Dauer.
Gap-Analyse
Detaillierte Bewertung Ihres aktuellen Stands gegenüber dem Kontroll-Framework. Priorisiert nach Audit-blockierendem Schweregrad. Sie sehen die vollständige Arbeitsliste vor der Unterzeichnung.
Policy-Erstellung
Die vollständige Policy-Suite, auf Ihr Unternehmen zugeschrieben: Informationssicherheit, akzeptable Nutzung, Zugangsverwaltung, Incident Response, Lieferantenmanagement, Change Management, Geschäftskontinuität, Disaster Recovery.
Kontrollenimplementierung
Technische Kontrollen deployed: MFA-Durchsetzung, Logging-Konfiguration, Schwachstellenmanagement, Verschlüsselung im Ruhezustand, Backup-Verifizierung, Vendor-Risiko-Assessment-Prozesse. Echte Implementierung in Ihrer Umgebung, mit Nachweisen, die wir laufend sammeln.
Nachweissammlung
Der Nachweisraum, den jeder Auditor anfordert: Zugangsprüfungen, Änderungsprotokolle, Vulnerability-Scan-Verlauf, Schulungsabschluss, Lieferanten-Reviews, Business-Continuity-Tests. Nach Kontrolle organisiert, übergabebereit.
Auditor-Liaison
Wir arbeiten direkt mit Ihrem gewählten Auditor zusammen. Wir koordinieren den Audit-Zeitplan, bereiten Ihr Team auf Interviews vor, beantworten Nachweisanfragen und verwalten die Befunde-Remediation zwischen Stage 1 und Stage 2 (oder SOC 2 Type I / Type II).
Jährliche Überwachung
Nach der Zertifizierung ist die Arbeit nicht vorbei. Jährliche Überwachungsaudits, kontinuierliche Monitoring-Nachweissammlung, Policy-Review-Rhythmus. Optionaler Retainer hält alles am Laufen.
Der Zertifizierungsvorbereitungsprozess
Gap-Analyse & Scoping
Wir beurteilen Ihre aktuellen Kontrollen gegenüber dem relevanten Framework (ISO 27001 Annex A oder SOC 2 Trust Services Criteria). Output: eine priorisierte Gap-Liste, eine Remediation-Timeline und ein Festpreisangebot für das gesamte Vorbereitungsengagement.
Remediation & Policy-Build
Wir erstellen die Policy-Suite, implementieren technische Kontrollen, führen das Schwachstellenmanagementprogramm durch und sammeln Nachweise parallel. Wöchentliche Status-Updates halten Sie in jeder Phase informiert.
Audit
Wir koordinieren den Audit mit Ihrer gewählten Zertifizierungsstelle oder CPA-Firma, verwalten den Nachweisraum, bereiten Ihr Team auf Auditor-Interviews vor und behandeln Stage 2- oder Type-II-Befunde. Wir bleiben bis zum Audit-Abschluss erreichbar.
Pen-Testing + ISO/SOC 2 in einem Engagement
ISO 27001 Kontrolle A.8.8 erfordert Schwachstellenmanagement. SOC 2 CC7.1 erfordert dasselbe. Beide verlangen Nachweise regelmäßiger externer Tests — was bedeutet, dass unser Penetration-Testing-Service bereits das Artefakt erstellt, das Ihr Auditor sehen möchte. Die Bündelung der beiden bedeutet, dass der Testzyklus, das Remediation-Tracking und die Audit-Nachweise alle in einem koordinierten Strom laufen.
Unser vCISO-Retainer rundet das Engagement typischerweise ab: jemand besitzt das Sicherheitsprogramm laufend, nimmt am Audit teil und vertritt Ihr Unternehmen vor dem Auditor. Die meisten Kunden führen Pen-Testing, ISO/SOC 2-Vorbereitung und den vCISO-Retainer als ein kombiniertes Programm.
Häufig gestellte Fragen
Wie lange dauert die ISO 27001-Zertifizierung?
Vom Kickoff bis zur Zertifizierungsentscheidung dauert ISO 27001 typischerweise 4–9 Monate, abhängig von Ihrem Ausgangspunkt. Unternehmen ohne frühere Sicherheitskontrollen brauchen länger; solche mit bestehenden Sicherheitspraktiken und Dokumentation können schneller vorankommen. Unsere Gap-Analyse (Woche 1) gibt Ihnen vor Beginn des Hauptengagements eine genaue Timeline-Schätzung.
SOC 2 vs. ISO 27001 — was brauche ich?
SOC 2 wird hauptsächlich von US-Enterprise-Käufern gefordert und wird für SaaS-Unternehmen, die in den US-Markt verkaufen, zum Standard. ISO 27001 ist in der europäischen Enterprise-Beschaffung häufiger und wird zunehmend unter NIS2-Lieferkettenverpflichtungen gefordert. Wenn Sie an beide Märkte verkaufen oder Ihre Käufer große multinationale Unternehmen sind, benötigen Sie möglicherweise beide. Wir scopen kombinierte Engagements, die beide Frameworks mit einer gemeinsamen Nachweisbasis erfüllen — typischerweise 20–35% günstiger als zwei separate Programme.
Wie viel kostet SOC 2 / ISO 27001 Compliance?
Unser Festpreis-Engagement für ein einzelnes Framework (ISO 27001 oder SOC 2 Type I) beginnt ab €25,000. SOC 2 Type II oder ein duales ISO 27001 + SOC 2-Programm wird individuell kalkuliert. Der Engagement-Preis deckt Gap-Analyse, Policy-Erstellung, technische Kontrollenimplementierung, Nachweissammlung und Auditor-Liaison ab. Die Prüfungsgebühr der Zertifizierungsstelle oder CPA-Firma ist separat (typischerweise €5,000–€20,000 je nach Organisationsgröße).
Was ist der Unterschied zwischen SOC 2 Type I und Type II?
SOC 2 Type I ist ein Zeitpunkt-Assessment: Es bestätigt, dass Ihre Kontrollen zu einem bestimmten Datum korrekt gestaltet sind. SOC 2 Type II deckt einen Zeitraum ab (typischerweise 6–12 Monate) und bestätigt, dass Ihre Kontrollen während dieses Zeitraums effektiv betrieben wurden. Enterprise-Käufer und Beschaffungsteams bevorzugen überwiegend Type II, da es operative Konsistenz statt nur Designabsicht beweist. Wir empfehlen, direkt zu Type II zu gehen, es sei denn, Sie haben eine spezifische kurzfristige Deadline, die ein Type-I-Überbrückung erfordert.
Brauche ich ISO 27001 für GDPR-Compliance?
ISO 27001 ist nicht von der GDPR gefordert, unterstützt aber die GDPR-Compliance wesentlich. GDPR-Artikel 32 erfordert “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten — und ein ISO 27001-ISMS ist der überzeugendste Nachweis, dass diese Maßnahmen existieren. Viele Datenschutzbehörden betrachten die ISO 27001-Zertifizierung als starken Nachweis der GDPR-Compliance für die Sicherheitsverpflichtungen. Wenn Sie erhebliche Mengen personenbezogener EU-Daten verarbeiten, lohnt sich ISO 27001 allein aus Gründen des regulatorischen Risikomanagements.
Können Sie sowohl SOC 2 als auch ISO 27001 in einem Engagement abdecken?
Ja, und wir empfehlen es, wenn beide erforderlich sind. Die Kontroll-Frameworks überschneiden sich erheblich: Ungefähr 70% der ISO 27001 Annex A-Kontrollen entsprechen den SOC 2 Trust Services Criteria. Wir führen ein einheitliches Nachweissammlungsprogramm durch, das beide erfüllt, und reduzieren damit die Gesamtkosten und den Zeitaufwand im Vergleich zu zwei separaten Programmen. Wir beraten zur Reihenfolge basierend darauf, welches Zertifikat Ihre Käufer zuerst fordern.
Compliance, ohne die Beratungsfirma-Gebühr
Erzählen Sie uns, welches Zertifikat Sie anstreben und welche Nachweise Sie bereits haben — wir kommen zurück mit einem Scope und einem Festpreis.
Kontakt aufnehmen → Penetration Testing →