IKS Design und ISAE 3402 Prüfung für SaaS-Betriebe: ein kompletter Leitfaden

Du betreibst eine SaaS-Plattform und deine Kunden fragen zunehmend nach einem ISAE 3402-Testat. Oder ein Enterprise-Kunde hat eine Auditoren-Anfrage weitergeleitet und du weißt noch nicht, wo du anfangen sollst. Dieser Leitfaden zeigt dir, was ein IKS-Design für SaaS-Betriebe konkret bedeutet, wie die ISAE 3402-Prüfung aufgebaut ist und warum es sich lohnt, beides aus einer Hand zu managen.

ISAE 3402 steht für "International Standard on Assurance Engagements 3402", entwickelt vom IAASB und veröffentlicht unter dem Dach der IFAC. Der Standard wurde speziell dafür entwickelt, die internen Kontrollsysteme von Dienstleistern zu prüfen, deren Prozesse sich auf die Finanzberichterstattung ihrer Kunden auswirken. 

Für SaaS-Anbieter ist das genau dann relevant, wenn du Buchhaltungssoftware, Zahlungsabwicklung, Lohnverarbeitung, ERP-Module oder andere finanzrelevante Dienste betreibst. Deine Kunden lagern kritische Prozesse an dich aus. Deren eigene Wirtschaftsprüfer wollen nachvollziehen können, dass deine Systeme und Prozesse ordentlich funktionieren. Das ISAE 3402-Testat ist der Nachweis dafür. 

BDO bezeichnet ISAE 3402 als "strategisches Qualitätssiegel im digitalen Wandel" und stellt fest, dass der Standard zunehmend auch bei Cloud-nativen Modellen relevant wird, die über klassisches IT-Outsourcing hinausgehen. 

Es gibt zwei Berichtstypen: 

• Typ 1 prüft das Design deines IKS zu einem bestimmten Stichtag. Er zeigt, ob deine Kontrollen konzeptionell korrekt aufgestellt sind, sagt aber nichts über ihre tatsächliche Wirksamkeit aus. 

• Typ 2 bewertet die operative Wirksamkeit deiner Kontrollen über einen definierten Zeitraum, der in der Regel 6 bis 12 Monate umfasst. Weil er nachweist, dass Kontrollen nicht nur vorhanden, sondern auch dauerhaft wirksam sind, liefert er validere Aussagen und genießt bei Kunden und Abschlussprüfern entsprechend höheres Ansehen. 

Für die meisten SaaS-Betriebe ist Typ 2 das eigentliche Ziel. Typ 1 kann als erster Schritt sinnvoll sein, wenn du noch kein belastbares IKS hast und zunächst das Design dokumentieren willst, bevor der Beobachtungszeitraum startet. 

Ein internes Kontrollsystem (IKS) ist die Gesamtheit aller Prozesse, Regeln und Maßnahmen, mit denen dein Unternehmen sicherstellt, dass die eigenen Abläufe zuverlässig, korrekt und nachvollziehbar funktionieren. Im Kontext von ISAE 3402 geht es nicht ums Gesamtunternehmen, sondern um die Prozesse und IT-Systeme, die direkt mit dem ausgelagerten Dienst zusammenhängen. 

Für einen SaaS-Betrieb bedeutet das konkret: Du definierst, welche Systeme und Abläufe in den Prüfungsscope fallen, legst Kontrollziele fest und beschreibst die dazugehörigen Kontrollen. Das Ergebnis ist eine dokumentierte Kontrollstruktur, oft als Risk-Control-Matrix (RCM) dargestellt. 

Typische Kontrollbereiche im SaaS-IKS: 

• Zugriffsmanagement: Wer hat Zugriff auf welche Systeme, und wie wird das gesteuert und überwacht? 

• Change Management: Wie werden Softwareänderungen geplant, getestet, genehmigt und eingespielt? 

• Datensicherung und Wiederherstellung: Sind Backups vorhanden, getestet und dokumentiert? 

• Incident Management: Wie erkennst du Störungen, wie reagierst du, und wie dokumentierst du das? 

• Mandantentrennung und Datenintegrität: Wie wird sichergestellt, dass Kundendaten sauber getrennt und vollständig sind? 

• Physische und logische Sicherheit der Infrastruktur: Gilt auch bei Cloud-Hosting über AWS, Azure, GCP. 

Das IKS-Design ist nicht nur eine Vorbereitung auf die Prüfung, es ist die strukturelle Grundlage, die du dauerhaft betreiben und weiterentwickeln musst. Ein gut designtes IKS reduziert den Aufwand in jeder Folgeprüfung erheblich. 

Ein realistischer Zeitplan für ein erstes ISAE 3402 Typ-2-Projekt kann ungefähr so aussehen, wobei die tatsächliche Dauer immer davon abhängt, wie eng wir zusammenarbeiten, wie schnell Rückfragen geklärt werden und wie komplex deine Umgebung ist. Der folgende Zeitplan ist eine Schätzung, die je nach Projektbedarf angepasst wird: 

Phase 1: Scoping, IKS-Design und Implementierung (8–12 Wochen) 

Zuerst wird der Prüfungsscope festgelegt: Welche Dienste, Prozesse und Systeme sind betroffen? Risiken werden identifiziert, Kontrollen dokumentiert und in einer Risk-Control-Matrix erfasst. Fehlende Kontrollen werden neu implementiert. Abgeschlossen wird diese Phase mit einem Walkthrough, bei dem die Kontrollen vorab getestet und mögliche Lücken vor der eigentlichen Prüfung geschlossen werden. 

Phase 2: Prüfung auf Angemessenheit, Typ 1 (4–6 Wochen) 

Der Wirtschaftsprüfer bewertet, ob die implementierten Kontrollen konzeptionell korrekt aufgestellt sind und die Anforderungen erfüllen. Das Ergebnis ist die Wirtschaftsprüferbescheinigung zur Angemessenheit deines IKS. 

Phase 3: Betrieb und Beobachtungszeitraum (mindestens 6 Monate) 

Die Kontrollen laufen im operativen Betrieb, und alle Aktivitäten werden nachweisbar dokumentiert. Dieser Zeitraum ist der Kern der Typ-2-Prüfung. Kein Testat ohne ihn. 

Phase 4: Prüfung auf Wirksamkeit, Typ 2 (4–6 Wochen) 

Der Wirtschaftsprüfer prüft anhand deiner Dokumentationen und Nachweise, ob die Kontrollen über den gesamten Beobachtungszeitraum wirksam waren. Das Ergebnis ist der ISAE 3402 Typ-2-Report, den du deinen Kunden und deren Auditoren vorlegen kannst. 

Viele SaaS-Unternehmen beauftragen eine Unternehmensberatung mit dem IKS-Aufbau und suchen dann separat einen Wirtschaftsprüfer für die Prüfung. Das erzeugt doppelte Arbeit: Kontext muss neu aufgebaut werden, Ansprechpartner wechseln, und die Planung wird schwieriger. 

Beides bei einem Anbieter zu bündeln bringt klare Vorteile. Die Planung ist durchgängig, Verantwortlichkeiten sind klar, und du hast einen Ansprechpartner für den gesamten Prozess. Du musst denselben Kontext nicht zweimal erklären. 

Dabei gilt jedoch eine wichtige Voraussetzung: IKS-Aufbau und Prüfung müssen von unterschiedlichen Personen durchgeführt werden. Wer das IKS designed hat, darf den Typ-1- oder Typ-2-Report nicht selbst erstellen, weil er sonst seine eigene Arbeit prüfen würde. Ein gut dokumentiertes IKS kann von einer anderen Person geprüft werden, ohne dass Qualität verloren geht. Entscheidend ist, dass der Anbieter diese Rollentrennung intern sauber umsetzt. 

ISAE 3402 und IDW PS 951 sind inhaltlich sehr nah beieinander. Wenn deine Kunden international aufgestellt sind, ist ISAE 3402 der richtige Standard. Wenn du primär im deutschen Banken- und Versicherungsumfeld tätig bist, wirst du oft speziell nach IDW PS 951 gefragt. Mehr dazu, welcher Standard für SaaS-Anbieter am besten passt, siehst du hier: Software as a Service. 

Für SaaS-Anbieter im DACH-Raum kommen oft mehrere Standards in Frage. Hier ein direkter Vergleich: 

Ein paar Punkte, die in der Praxis dennoch zu Verzögerungen führen können: 

Dokumentation fehlt, wo Kontrollen eigentlich vorhanden sind. Viele SaaS-Teams machen vieles richtig, haben es aber nie dokumentiert. Die Kontrolle existiert, der Prozess ist etabliert und wird gelebt, aber die Dokumentation fehlt. Das Schreiben kann mehr Zeit kosten als erwartet. 

Der Scope wird zu groß definiert. Gerade beim ersten Testat lohnt es sich, den Scope bewusst eng zu halten. Ein überdimensioniertes IKS kostet Geld in der Implementierung und im jährlichen Betrieb. Startet mit dem Kern und erweitert dann. 

Evidence-Management wird unterschätzt. Typ-2-Prüfungen leben von Nachweisen. Screenshots, Logs, Protokolle, Tickets. Ihr braucht einen konsistenten Prozess oder Tooling-Unterstützung, um diese Evidence laufend zu sammeln und strukturiert abzulegen, nicht erst zwei Wochen vor dem Audit. 

Subdienstleister werden vergessen. Wenn ihr kritische Teile eurer Infrastruktur bei AWS, Azure oder einem anderen Cloud-Provider betreibt, müsst ihr deren Kontrollen in eure Betrachtung einbeziehen. Das geschieht über sogenannte Subservice Organization Controls, die im Testat explizit adressiert werden müssen. 

ISAE 3402 und ISO 27001 ergänzen sich gut, sind aber nicht austauschbar. ISO 27001 zertifiziert dein Informationssicherheits-Managementsystem (ISMS), also die Policies, Risikomanagementprozesse und Sicherheitsmaßnahmen auf Unternehmensebene. ISAE 3402 prüft konkret die Wirksamkeit von Kontrollen in einem definierten Servicekontext. 

Wer bereits eine ISO 27001-Zertifizierung hat, kann viele der bereits dokumentierten Kontrollen direkt ins ISAE 3402-IKS übernehmen. Das spart erheblich Zeit. Die beiden Zertifizierungen nebeneinander zu betreiben ist für SaaS-Anbieter im B2B-Markt kein Overhead, es ist oft das Minimum, was Enterprise-Kunden erwarten. 

Wer auch Cloud-Hosting anbietet oder im deutschen öffentlichen Sektor tätig ist, sollte zusätzlich den BSI C5-Standard auf dem Radar haben. Alle drei Standards lassen sich in einem koordinierten Projekt parallel aufbauen und prüfen, was Kosten und Zeitaufwand deutlich reduziert. 

Ein ISAE 3402 Typ-2-Testat ist kein Mammutprojekt, wenn man es richtig angeht. Wie dieser Leitfaden zeigt, sind die meisten Bausteine in SaaS-Betrieben bereits vorhanden. Es geht nicht darum, alles neu zu erfinden, sondern darum, das Vorhandene sichtbar zu machen, strukturiert zu dokumentieren und in einem klaren Prozess zu prüfen. 

Der Weg ist überschaubar: Gap-Analyse, IKS-Design, Implementierung, Beobachtungszeitraum, Prüfung. Wer diese Phasen mit dem richtigen Partner durchläuft kommt planbar ans Ziel. 

Das Testat ist am Ende mehr als ein Dokument für den nächsten Enterprise-Kunden. Es ist der Beweis, dass deine Plattform so funktioniert, wie du es deinen Kunden versprochen hast. Das ist ein Wettbewerbsvorteil, der bleibt. 

Wenn du wissen willst, wo du gerade stehst, ist ein Readiness-Check der sinnvollste erste Schritt. Er zeigt dir in kurzer Zeit, was prüfungsbereit ist und was nicht, ohne dass du direkt ein Vollprojekt starten musst. 

Jedes Unternehmen startet von einem anderen Punkt. Wenn du wissen willst, was das konkret für dich bedeutet, sprich uns einfach an.