Alle Praxisnotizen
Vendor Security10 Min. Lesezeit

Vendor Security Questionnaires: Praxisleitfaden für SaaS

Praxisleitfaden für Vendor Security Questionnaires in SaaS-Teams: von Eingang und Zuständigkeit bis zu Nachweisen, Ausnahmen und Freigabe.

Illustration zum Thema Vendor Security Questionnaires: Praxisleitfaden für SaaS

Ein Vendor Security Questionnaire ist eine strukturierte Anfrage zu Sicherheit, Datenschutz, Widerstandsfähigkeit und Governance eines Anbieters. Kunden nutzen ihn, um zu beurteilen, ob der Einsatz eines SaaS-Produkts Risiken schafft, die sie nicht akzeptieren können oder gezielt behandeln müssen. Für den Anbieter besteht die Aufgabe nicht darin, möglichst beruhigend zu antworten. Gefragt ist eine korrekte, klar abgegrenzte und belegte Auskunft, die der Kunde tatsächlich bewerten kann.

Gute SaaS-Teams behandeln solche Fragebögen als kompakten Assurance-Prozess und nicht als Vertriebsbroschüre. Der Vertrieb koordiniert Frist und Kontext, Kontrollverantwortliche bestätigen Fakten, Security oder Compliance steuert die Antwort, Recht und Datenschutz prüfen relevante Zusagen und eine autorisierte Person gibt die Abgabe frei. Diese Aufteilung hält den Prozess zügig, ohne aus Bequemlichkeit unbelegte Versprechen zu erzeugen.

Warum Kunden Vendor Security Questionnaires versenden

Mit der Auslagerung eines Dienstes verschwinden nicht automatisch die damit verbundenen Risiken. Ein Kunde muss möglicherweise wissen, wo Daten verarbeitet werden, wer Zugriff auf Produktionssysteme erhält, wie Schwachstellen behandelt werden, was bei einem Sicherheitsvorfall geschieht und ob sich der Anbieter von einer Störung erholen kann. Die Tiefe der Prüfung sollte von Dienst, Daten, Zugriffsmöglichkeiten, Abhängigkeit und möglicher Auswirkung abhängen.

Das NIST Cybersecurity Framework 2.0 ordnet das Management von Cyberrisiken in der Lieferkette der Funktion „Govern“ zu. NIST SP 800-161 Rev. 1 vertieft die Identifikation, Bewertung und Behandlung solcher Lieferkettenrisiken. Beide Quellen machen aus einem Fragebogen keine universelle Bestehensprüfung. Sie unterstützen eine risikobasierte Beziehung, in der Anforderungen, Zuständigkeiten und Nachweise sichtbar werden.

Bei personenbezogenen Daten kann der Fragebogen außerdem Informationen für die Prüfung eines Auftragsverarbeiters liefern. Artikel 28 der EU-Datenschutz-Grundverordnung verlangt, dass Verantwortliche nur Auftragsverarbeiter mit hinreichenden Garantien für geeignete technische und organisatorische Maßnahmen einsetzen. Der Fragebogen kann hierzu beitragen; die eigentliche Bewertung hängt zusätzlich von Dienst, Vertrag, Verarbeitungskontext und Unterlagen ab. Dieser Beitrag ist keine Rechtsberatung.

Vor der ersten Antwort den Kontext klären

Viele Verzögerungen entstehen, weil ein Fragebogen ohne eindeutigen Geltungsbereich eingeht. Bevor jemand eine Tabellenzelle ausfüllt, sollten die Informationen vorliegen, von denen die passenden Antworten abhängen:

  • Kunde und verantwortliche Person für die Verkaufschance;
  • geprüftes Produkt, Tarif und Bereitstellungsmodell;
  • Datenarten und voraussichtliche betroffene Personen;
  • Hosting- und Verarbeitungsregionen;
  • Integrationen, privilegierte Zugriffe oder kritische Abhängigkeiten;
  • geplanter Starttermin und Abgabefrist;
  • vom Kunden genannter vertraglicher oder regulatorischer Kontext;
  • Vertraulichkeitsvereinbarungen und zulässige Empfänger;
  • verlangte Anhänge, Portalzugang und Antwortformat.

Wenn die Anfrage mehrere Produkte oder Umgebungen betrifft, müssen diese getrennt betrachtet werden. Eine Enterprise-Bereitstellung mit kundeneigenem Identitätsanbieter kann andere Antworten haben als eine Testumgebung. Eine übergreifende Richtlinie mag überall gelten, eine technische Funktion dagegen nicht. Ein „Ja“ ohne Umfang ist häufig weniger hilfreich als eine qualifizierte Antwort, die beschreibt, wo und wie eine Maßnahme greift.

Verantwortlichkeiten festlegen statt Tabellen weiterzuleiten

Eine Person sollte die Gesamtantwort koordinieren, aber nicht jede Fachfrage erraten. Legen Sie Zuständigkeiten nach Kontrollbereich und Vertretungen fest, bevor die Frist knapp wird.

BereichTypisch verantwortlicher BeitragWas bestätigt werden sollte
Security GovernanceSecurity- oder Compliance-LeitungRichtlinien, Risikoprozess, Verantwortungen, Prüfdaten
Produkt und ArchitekturEngineering- oder PlattformverantwortungProduktumfang, Mandantentrennung, Grenzen, technische Umsetzung
Identität und ZugriffIAM- oder InfrastrukturverantwortungAuthentifizierung, privilegierte Zugriffe, Lebenszyklus, Kontrollen
Datenschutz und DatenDatenschutz- oder RechtsexpertiseRollen, Zwecke, Datenorte, Unterauftragsverarbeiter, Löschregeln
ResilienzBetrieb oder Business ContinuitySicherungen, Tests, Wiederanlaufannahmen, Vorfallkoordination
Geschäftliche ZusagenVertrieb und rechtliche FreigabeKundensondertexte, Vertragswirkung, zukünftige Versprechen
SchlussfreigabeBenannte freigabeberechtigte PersonVollständigkeit, Konsistenz, Nachweise, zulässige Offenlegung

Die Koordination löst Konflikte und verfolgt die Fertigstellung. Die Fachperson bestätigt den zugrunde liegenden Sachverhalt. Die abschließende Freigabe akzeptiert die Antwort als Gesamtpaket. Durch diese Trennung definiert weder der Vertrieb versehentlich eine Sicherheitsmaßnahme noch schafft ein technischer Beitrag unbeabsichtigt eine Vertragszusage.

Jede Frage in vier Teilen beantworten

Ein praxistaugliches Muster lautet Antwort, Umfang, Nachweis, Ausnahme.

Antwort: Beginnen Sie direkt. Je nach Formular eignen sich „ja“, „nein“, „teilweise“, „nicht anwendbar“ oder ein kurzer Tatsachensatz.

Umfang: Nennen Sie Produkt, Umgebung, Daten, Benutzergruppe oder Zeitraum, für den die Aussage gilt. Wörter wie „immer“, „alle“ und „nie“ sollten nur verwendet werden, wenn die Nachweise sie tatsächlich tragen.

Nachweis: Verweisen Sie auf aktuelle Richtlinie, Kontrollunterlage, Prüfbericht, Testergebnis, Trust-Material, Architekturaufzeichnung oder Verfahren. Geschützte Unterlagen werden nicht automatisch angehängt, sondern entsprechend ihrer Klassifizierung und bestehender Vereinbarungen geteilt.

Ausnahme: Benennen Sie wesentliche Einschränkungen. Beschreiben Sie freigegebene kompensierende Maßnahmen, sofern vorhanden. Bei geplanter Verbesserung muss eine heute wirksame Kontrolle klar von einem zukünftigen Ziel getrennt bleiben. Ohne Autorisierung gehört kein Liefertermin in die Antwort.

Statt „Ja, alle Zugriffe werden geprüft“ könnte eine abgegrenzte Antwort erläutern, welche privilegierten Produktionszugriffe in welchem freigegebenen Intervall durch welche Rolle geprüft werden und welcher Datensatz die Durchführung belegt. Nur die zweite Variante gibt dem Kunden eine belastbare Bewertungsgrundlage.

Unser Schritt-für-Schritt-Leitfaden zum Beantworten von Sicherheitsfragebögen enthält weitere Formulierungsmuster für einzelne Fragen.

Ein Nachweispaket aufbauen, keinen Anhangsberg

Typische Unterlagen sind Richtlinien zu Sicherheit und Datenschutz, unabhängige Prüfberichte, Zertifikatsinformationen, Zusammenfassungen von Penetrationstests, Incident-Response-Dokumentation, Business-Continuity-Material, Angaben zu Unterauftragsverarbeitern, Datenflussbeschreibungen und eine Trust-Seite. Nicht jeder Kunde sollte jedes Dokument erhalten.

Klassifizieren Sie Nachweise nach Zielgruppe, Vertraulichkeit, Produktumfang, verantwortlicher Person, Version und Gültigkeit. Ein öffentliches Zertifikat kann direkt verlinkt werden. Ein detaillierter Penetrationstest verlangt möglicherweise eine Vereinbarung, einen kontrollierten Freigabeweg oder eine redigierte Zusammenfassung. Ein abgelaufener Bericht darf nicht als aktueller Beleg erscheinen.

Das CISA Vendor Supply Chain Risk Management Template verdeutlicht den Nutzen einer strukturierten Dokumentation von lieferantenbezogenen Risiken und Steuerungsaktivitäten. Offizielle Rahmenwerke können den eigenen Prozess strukturieren. Standardfragebögen sollten jedoch nicht ohne Prüfung ihrer Bedingungen kopiert und eine Konformität nicht ohne geklärten Umfang behauptet werden.

Nach Risiko prüfen, nicht nach Zeilenzahl

Ein Fragebogen mit 300 Zeilen ist nicht automatisch dreimal schwieriger als einer mit 100 Zeilen. Viele Positionen lassen sich vielleicht auf aktuelle und freigegebene Bausteine abbilden. Eine einzige mehrdeutige Frage zu Vorfällen, Datenstandort, Wiederherstellungszielen oder einer noch nicht umgesetzten Funktion kann mehr Aufmerksamkeit erfordern als Dutzende Routinefragen.

Definieren Sie verbindliche Auslöser für eine Eskalation. Typische Beispiele sind:

  • kein aktueller Nachweis vorhanden;
  • widersprüchliche Antworten oder Dokumente;
  • gewünschte rechtliche Auslegung;
  • Aussagen zu Zertifizierungen oder Prüfberichten;
  • Sicherheitsvorfälle oder Rechtsstreitigkeiten;
  • exakte Wiederanlauf- oder Reaktionszusagen;
  • Ausnahmen von Standardmaßnahmen;
  • vertrauliche Architektur- oder Testunterlagen;
  • Roadmap-Aussagen oder kundenspezifische Versprechen;
  • regional, tariflich oder technisch unterschiedliche Antworten.

Routinefragen mit einem aktuellen, freigegebenen und exakt passenden Baustein können einen leichteren Prüfweg nutzen. Hier hilft die Automatisierung von Security Questionnaires: Sie recherchiert kontrollierte Inhalte und leitet Ausnahmen weiter, während die verantwortliche Entscheidung sichtbar bleibt.

„Nein“, „teilweise“ und „nicht anwendbar“ sauber behandeln

Eine negative Antwort beendet nicht automatisch ein Geschäft. Eine falsche positive Antwort kann es gefährden. Fehlt die angefragte Maßnahme, beschreiben Sie das relevante Risiko, die bestehende Gestaltung, freigegebene kompensierende Maßnahmen und gegebenenfalls einen autorisierten Plan. Verstecken Sie ein „Nein“ nicht hinter einem Absatz zu einem anderen Thema.

„Nicht anwendbar“ benötigt eine Begründung. Verarbeitet das Produkt keine Zahlungskartendaten, sollte erklärt werden, weshalb die entsprechende Kontrollfrage außerhalb des Umfangs liegt. Setzt eine Frage lokale Infrastruktur voraus, während der geprüfte Dienst gehostet wird, wird die tatsächliche Verantwortungsgrenze erläutert.

Bei teilweiser Umsetzung ist anzugeben, welche Bestandteile bestehen. Der Kunde kann eine definierte Einschränkung bewerten, Mehrdeutigkeit dagegen nicht. Formulierungen, die vertragliche Verantwortung verändern könnten, sollten Recht und Vertrieb prüfen.

Vertrauliche Informationen im Prüfprozess schützen

Auch der Fragebogen selbst kann zu einem sensiblen Datensatz werden. Er bündelt möglicherweise Sicherheitsarchitektur, Kontrolllücken, Dienstleister, Kontaktdaten und Links zu geschützten Berichten. Speichern Sie ihn in einem zugriffsgesteuerten Arbeitsbereich, vermeiden Sie unkontrollierte E-Mail-Ketten und entfernen Sie interne Kommentare vor der Abgabe.

Häufige Fehler bei SaaS-Anbietern

Die Verkaufsverantwortung allein antworten lassen. Der geschäftliche Kontext ist wichtig, technische und rechtliche Fakten brauchen jedoch ihre Fachverantwortung.

Die letzte Tabelle unverändert übernehmen. Der vorherige Kunde hat möglicherweise ein anderes Produkt, eine andere Region, einen anderen Vertrag oder einen früheren Stand geprüft.

Alle verfügbaren Unterlagen versenden. Mehr Material ist nicht automatisch besser. Unnötige Offenlegung erhöht das Risiko und kann Widersprüche schaffen.

Ein Zertifikat als Universalantwort behandeln. Eine Zertifizierung hat einen definierten Umfang und Zeitraum. Produktspezifische, datenschutzrechtliche, vertragliche oder technische Fragen können trotzdem offenbleiben.

Zukünftige Maßnahmen beiläufig versprechen. Eine Roadmap-Absicht kann zu einer erwarteten Zusage werden. Sie gehört in die autorisierte Prüfung durch Produkt, Security, Recht und Vertrieb.

Die abgegebene Version nicht sichern. Archivieren Sie exakt, was versendet wurde. Verlängerungen, Rückfragen und spätere Korrekturen brauchen einen verlässlichen Stand.

Checkliste vor der Abgabe

Vor der Freigabe sollte bestätigt sein: Kunde und Produktumfang sind sichtbar; Pflichtfelder sind vollständig; positive Antworten sind belegt; Ausnahmen werden genannt; Datumsangaben, Regionen und Begriffe sind konsistent; Anhänge sind aktuell und freigegeben; interne Hinweise wurden entfernt; vorgeschriebene Fachpersonen haben geprüft; die finale Antwort wird mit ihren Nachweisverweisen archiviert. Freigegebene Korrekturen kommen nur kuratiert in die gemeinsame Bibliothek.

Für eine detaillierte Schreibfolge lesen Sie den Leitfaden zum Beantworten von Sicherheitsfragebögen. Einen praktischen Einblick in Nachweisrecherche und Prüfschwellen bietet die Demo von Compliance Concierge.

Häufige Fragen

Wer sollte einen Vendor Security Questionnaire verantworten?

Üblicherweise steuert eine Person aus Security, Compliance oder Assurance den Prozess. Benannte Kontrollverantwortliche bestätigen die Sachverhalte, eine autorisierte Person gibt die Antwort frei. Der Vertrieb liefert Kundenkontext und Termin, sollte aber nicht die alleinige fachliche Instanz sein.

Wie lange sollte die Bearbeitung dauern?

Es gibt keinen seriösen Universalwert. Die Dauer hängt von Umfang, Produktbezug, Reife der Nachweise, Ausnahmen, Kundenformat und notwendiger Fachprüfung ab. Messen Sie sowohl die Zeit vom Eingang bis zur Abgabe als auch Wartezeiten auf Klärung und Freigabe. So wird der tatsächliche Engpass sichtbar.

Können wir statt des Fragebogens nur einen SOC-2-Bericht senden?

Manche Kunden akzeptieren einen Prüfbericht oder ein Trust-Paket als Ersatz für Teile ihrer Prüfung. Das bleibt ihre Risikoentscheidung. Berichte besitzen einen definierten Umfang und Zeitraum und beantworten möglicherweise keine produktbezogenen, datenschutzrechtlichen, vertraglichen oder integrationsspezifischen Fragen.

Wie häufig sollten freigegebene Antworten geprüft werden?

Das Intervall richtet sich nach Veränderlichkeit der Maßnahme und Art des Nachweises. Wesentliche Änderungen an Produkt, Infrastruktur, Richtlinie, Lieferant, Regulierung oder Vorfalllage lösen eine frühere Prüfung aus. Ein einziges Jahresintervall für sämtliche Antworten ist einfach, kann schnell veränderliche Fakten aber veralten lassen.

Sollte KI den Fragebogen automatisch ausfüllen?

KI kann Fragen klassifizieren, kontrollierte Bausteine finden und Entwürfe erstellen. Sie sollte ihre Quellen zeigen, Unsicherheit offenlegen und bei fehlender Grundlage keine Antwort erfinden. Für sensible, abweichende oder folgenreiche Aussagen bleiben benannte Menschen verantwortlich.

Quellen und weiterführende Hinweise

Dieser Beitrag vermittelt operative Hinweise und ist keine Rechtsberatung. Wenden Sie den Prozess passend zu Dienst, Verträgen, Risikoprofil und den für Sie geltenden Anforderungen an.

Vom Wissen zum fertigen Ergebnis

Den nächsten Fragebogen mit Nachweisen beantworten.

Fragebogen und bestehende Richtlinien hochladen. Compliance Concierge erstellt vorsichtige, belegte Entwürfe; jede finale Entscheidung bleibt bei der menschlichen Prüfung.

Weiterlesen