Zum Hauptinhalt springen

So bestehen Sie ein SOC 2 CC6-Audit — Kontrollmechanismen für privilegierten Zugriff. Ein praktischer Leitfaden

· 6 Min. Lesezeit
VaultPAM Team
VaultPAM Team
Security Engineering

SOC 2 Type II-Bereitschaft ist ein Marathon. Die meisten Organisationen arbeiten sich durch Richtliniendokumentation, Lieferantenrisikobefragungen und Netzwerksegmentierungsdiagramme ohne größere Probleme. Dann stoßen sie auf CC6 — Logische und Physische Zugangskontrollmechanismen — und das Audit wird schwierig.

CC6 ist der Ort, wo Prüfer die meiste Zeit verbringen und wo Unternehmen am häufigsten Ausnahmen erhalten. Es umfasst wer Zugriff auf Ihre Systeme hat, wie dieser Zugriff kontrolliert wird, wie er überwacht wird und wie er überprüft wird. Wenn Ihre Antwort auf privilegiertes Zugriffsmanagement lautet „wir verwenden VPN plus RDP mit gemeinsam genutzten Administratorzugangsdaten", werden Sie das Audit nicht bestehen.

Hier erfahren Sie genau, was CC6 verlangt, wonach Prüfer fragen und wie Sie Nachweise liefern.

CC6.1, CC6.2, CC6.3, CC6.6 — was jeder Punkt in einfacher Sprache verlangt

CC6.1 — Sicherheit des logischen Zugriffs

Anforderung: Logischer Zugriff auf Ihre Systeme, Infrastruktur und Daten ist auf autorisierte Benutzer beschränkt.

In der Praxis bedeutet das:

  • Jeder Benutzer mit Zugriff auf ein Produktionssystem hat einen dokumentierten Grund für diesen Zugriff
  • Zugriff wird durch einen definierten Prozess zugewiesen (nicht ad hoc)
  • Zugriff wird unverzüglich entfernt, wenn ein Benutzer das Unternehmen verlässt oder die Rolle wechselt
  • Privilegierter Zugriff (Admin, Root, DBA) wird separat verfolgt und unterliegt höheren Standards

Nachweise, die Prüfer wollen: Vollständiges Inventar, wer privilegierten Zugriff auf was hat, wie er zugewiesen wurde und wann er zuletzt überprüft wurde.

CC6.2 — Identifizierung und Authentifizierung

Anforderung: Benutzer werden vor dem Zugriff auf Systeme authentifiziert, und die Authentifizierung ist für die Empfindlichkeit der Ressource ausreichend stark.

In der Praxis bedeutet das:

  • MFA ist für alle Konten mit privilegiertem Zugriff erforderlich
  • Passwörter erfüllen Komplexitäts- und Rotationsanforderungen
  • Gemeinsam genutzte Konten (gemeinsamer Administrator, gemeinsamer root) werden eliminiert oder streng kontrolliert
  • Service-Konten sind inventarisiert und der Zugriff wird überprüft

Nachweise, die Prüfer wollen: Screenshots der MFA-Registrierung, Konto-Inventar-Exporte, Nachweise der Eliminierung gemeinsamer Administratorkonten oder vorhandene Ausgleichsmechanismen.

CC6.3 — Entfernung des Zugriffs

Anforderung: Zugriff wird entfernt, wenn er nicht mehr benötigt wird (Beendigung des Arbeitsverhältnisses, Rollenwechsel, Projektende).

In der Praxis bedeutet das:

  • Sie haben einen dokumentierten Offboarding-Prozess, der den Entzug privilegierten Zugriffs umfasst
  • Der Zugriffsentzug erfolgt innerhalb definierter Zeitrahmen (24–48 Stunden für Produktionszugriff)
  • Sie können nachweisen, dass beendete Benutzer keine aktiven Sitzungen oder Zugangsdaten mehr haben

Nachweise, die Prüfer wollen: Offboarding-Tickets mit Schritten zum Zugriffsentzug, Screenshots der Zugriffsrechte vor und nach.

CC6.6 — Einschränkungen des logischen Zugriffs

Anforderung: Datenübertragung ist verschlüsselt, und logische Zugriffsbeschränkungen sind implementiert, um unbefugten Zugriff zu verhindern.

In der Praxis bedeutet das:

  • Alle administrativen Verbindungen sind bei der Übertragung verschlüsselt
  • Zugriff auf sensible Systeme ist auf autorisierte Endpunkte oder Netzwerke beschränkt
  • Sitzungsaktivität wird überwacht und protokolliert

Nachweise, die Prüfer wollen: Netzwerkdiagramme mit verschlüsselten Kanälen, Sitzungsprotokolle mit administrativer Aktivität.

Was Prüfer tatsächlich fragen

Wenn ein SOC 2-Prüfer CC6 untersucht, fordert er typischerweise folgende Nachweise:

Für CC6.1 (Zugangsinventar):

  • Tabellenkalkulation oder System-Export aller Benutzer mit privilegiertem Zugriff, der Systeme auf die sie zugreifen und der geschäftlichen Begründung
  • Nachweis der Zugriffsgenehmigung (E-Mail, Ticket, Screenshot des Genehmigungsworkflows)
  • Zugriffsüberprüfungsunterlagen mit vierteljährlicher oder jährlicher Neuzertifizierung

Für CC6.2 (Authentifizierung):

  • Screenshot der MFA-Registrierung für Administratorkonten
  • Passwortrichtlinien-Dokumentation und Nachweis der Durchsetzung
  • Liste der Service-Konten und Nachweis der Inventarisierung

Für CC6.3 (Zugriffsentfernung):

  • Beispiel-Offboarding-Tickets (typischerweise 3–5 Beispiele aus dem Prüfzeitraum)
  • Nachweis des Entzugs privilegierten Zugriffs innerhalb des SLA
  • HR-System-Integration oder Unterlagen zur manuellen Überprüfung

Für CC6.6 (Sitzungsüberwachung):

  • Sitzungsprotokolle mit administrativer Aktivität (wer sich angemeldet hat, wann, in welchem System, was getan wurde)
  • Nachweis der Sitzungsaufzeichnung
  • Netzwerkdiagramm mit Verschlüsselung bei der Übertragung

Nachweise müssen den gesamten Prüfzeitraum abdecken (typischerweise 12 Monate für ein Type II-Audit). Prüfer werden Ereignisse aus dem gesamten Zeitraum stichprobenartig prüfen — Sie können sich nicht auf Nachweise aus den letzten zwei Wochen vor den Prüfungsarbeiten verlassen.

Häufige CC6-Fehler und wie man sie vermeidet

Gemeinsam genutzte Administratorzugangsdaten Der häufigste CC6-Befund. „Wir verwenden ein gemeinsames Administrator-Konto, weil einige Systeme keine individuellen Konten unterstützen" ist kein akzeptabler Kontrollmechanismus. VaultPAM löst dieses Problem: Benutzer verbinden sich über Proxy-Sitzungen, ohne die Zugangsdaten zu erhalten. Der Safe speichert das Passwort; Prüfprotokolle zeigen genau, welcher Benutzer jede Sitzung initiiert hat.

MFA nicht auf allen privilegierten Konten durchgesetzt Organisationen haben oft MFA auf Unternehmens-E-Mail, aber nicht auf direktem Server-Zugriff (RDP, SSH). Prüfer prüfen dies speziell. Jede privilegierte Sitzung muss MFA erfordern.

Fehlende Nachweise zur Zugriffsüberprüfung Viele Organisationen führen Zugriffsüberprüfungen informell durch. Prüfer wollen dokumentierte Nachweise: Wer hat überprüft, was wurde überprüft, wann und welche Maßnahmen wurden ergriffen. „Wir haben im Q3 eine Überprüfung durchgeführt" ohne Ticket, Tabellenkalkulation oder Bericht ist kein Nachweis.

Zugriff nicht unverzüglich entzogen Die Lücke zwischen dem Ausscheiden eines Mitarbeiters und dem Entzug seines Zugriffs ist ein wiederkehrender Befund. Wenn Ihr Offboarding-Prozess eine Woche dauert und privilegierter Zugriff in derselben Warteschlange behandelt wird, haben Sie ein CC6.3-Problem.

Sitzungsprotokolle unvollständig oder nicht verfügbar Sitzungsprotokoll-Aufbewahrung ist nur die halbe Antwort. Prüfer wollen sehen, dass Sie bestimmte Ereignisse abrufen können und dass die Protokolle vollständig und manipulationssicher sind. Protokolle in verteilten Silos (Windows-Ereignisprotokoll auf jedem Server, SSH-Auth-Protokolle auf jeder Linux-Box) ohne zentrale Aggregation sind schwer als Nachweise zu präsentieren.

Wie VaultPAM automatisch prüfungsfertige CC6-Nachweise produziert

VaultPAM ist mit der Annahme konzipiert, dass Ihr Prüfer Ihnen über die Schulter schaut. Die Nachweise, die es produziert, bilden sich direkt auf das ab, was CC6 verlangt:

CC6-KontrollmechanismusWas VaultPAM produziert
CC6.1 — ZugangsinventarVollständiger Bericht aller Benutzer, Ziele, Zugriffsrichtlinien und Genehmigungen — als CSV exportierbar oder über API abrufbar
CC6.2 — MFA-DurchsetzungTOTP und WebAuthn auf Sitzungsebene durchgesetzt — jede privilegierte Sitzung erfordert Authentifizierung; MFA-Registrierungsstatus im Admin-Dashboard sichtbar
CC6.2 — Keine gemeinsamen ZugangsdatenSitzungs-Proxying — Benutzer greifen auf Ziele zu, ohne Passwörter zu erhalten; Safe speichert das Zugangsdaten, nicht der Benutzer
CC6.3 — ZugriffsentfernungBenutzerentzug in VaultPAM beendet sofort die Fähigkeit, neue Sitzungen zu initiieren; aktive Sitzungen können erzwungen beendet werden
CC6.6 — SitzungsüberwachungVollständige Sitzungsaufzeichnung (Video + Aktivitätsprotokoll) für jede RDP-, SSH-, VNC- und HTTP-Sitzung; manipulationssicher durch BLAKE3-Hash-Chain; durchsuchbar nach Benutzer, Ziel und Zeitraum
CC6.6 — Verschlüsselung bei der ÜbertragungAlle Sitzungen über mTLS proxied; keine direkt eingehenden Ports auf Zielsystemen

Der Zugriffsüberprüfungsprozess wird durch VaultPAM-Prüfprotokoll-Exporte unterstützt: Sie können einen vollständigen Bericht jeder privilegierten Sitzung aus dem letzten Quartal, sortiert nach Benutzer und Ziel, in Minuten generieren. Präsentieren Sie dies dem Prüfer zusammen mit der Zugriffsrichtlinien-Konfiguration und dem Screenshot der MFA-Registrierung — das ist Ihr CC6-Nachweispaket.

Auf dem Weg zur SOC 2 Type II-Bereitschaft? VaultPAM produziert automatisch prüfungsfertige Nachweise für CC6-Kontrollmechanismen — Sitzungsaufzeichnungen, Zugriffsprotokolle, MFA-Durchsetzung und Richtlinienkonfiguration sind von einem einzigen Dashboard aus berichtbar.

Laden Sie unsere SOC 2 Compliance-Zusammenfassung herunter für das vollständige Mapping der VaultPAM-Kontrollmechanismen zu den SOC 2 Trust Service Criteria.