Was ist ein Sicherheitsfragebogen?
Ein Sicherheitsfragebogen (auch Vendor Security Assessment oder VSA) ist ein formales Dokument, das ein potenzieller oder bestehender Kunde an Sie — den Anbieter — sendet, um Ihre Sicherheitskontrollen zu bewerten, bevor sensible Daten geteilt oder Systemzugang gewährt wird.
Sicherheitsfragebögen sind nicht optional. Wenn Sie Software oder Dienstleistungen an Unternehmen verkaufen, werden Sie sie erhalten.
Warum senden Kunden sie?
Unternehmensorganisationen sind gesetzlich und vertraglich verpflichtet, Third-Party Risk Management (TPRM) durchzuführen. Vorschriften wie DSGVO, NIS2, HIPAA und SOC 2 verlangen, dass sie die Sicherheitslage jedes Anbieters dokumentieren, der auf ihre Daten zugreift.
- Ihre Daten sind im Ruhezustand und bei der Übertragung verschlüsselt
- Sie haben einen Incident-Response-Plan und melden Datenschutzverletzungen
- Sie setzen Zugangskontrolle durch (MFA, Least Privilege, Offboarding)
- Sie sind zertifiziert oder konform (ISO 27001, SOC 2, etc.)
Welche Themen werden abgedeckt?
Informationssicherheitsrichtlinie
Schriftliche Richtlinie, Überprüfungsfrequenz, Verantwortlichkeit.
Zugangskontrolle
MFA, Least Privilege, Benutzerlebenszyklus, privilegierter Zugang.
Datenschutz
Verschlüsselung im Ruhezustand und bei Übertragung, Schlüsselmanagement.
Incident Response
IR-Plan, Kundenmeldungen bei Datenpannen.
Infrastruktur & Verfügbarkeit
Cloud-Anbieter, Uptime-SLA, DR/BCP, Penetrationstests.
Compliance & Zertifizierungen
ISO 27001, SOC 2, DSGVO, HIPAA — Zertifikate und Auditberichte.
Unterauftragsverarbeiter
Welche Drittanbieter nutzen Sie? Welche Sicherheitsstandards haben diese?
Personelle Sicherheit
Hintergrundüberprüfungen, Sicherheitsschulung, Kündigungsverfahren.
Gängige Frameworks
SIG / SIG Lite
Shared AssessmentsDer am häufigsten verwendete Enterprise-Vendor-Risk-Fragebogen. Vollständige SIG ~850 Fragen, SIG Lite ~135 Fragen für Anbieter mit geringerem Risiko.
CAIQ
Cloud Security AllianceFür Cloud-Dienstleister konzipiert. Häufig wenn Sie ein SaaS- oder cloudgehostetes Produkt anbieten.
VSAQ
Vendor Security AllianceEin kompakteres, weit verbreitetes Framework in Technologie, Finanzen und Gesundheitswesen.
Eigene Excel-Fragebögen
Ad hocViele Unternehmenssicherheitsteams schreiben ihre eigenen Fragebögen. Typischerweise 20–100 Fragen. Das häufigste Format in der Praxis.
Die wahren Kosten der manuellen Beantwortung
Ein einzelner mittelgroßer Fragebogen erfordert typischerweise:
- 4–20 Stunden Engineering- oder Sicherheitsteamzeit
- Teamübergreifende Koordination — Security, Engineering, Legal, HR
- Kontextwechsel — Fragebögen kommen mitten in Sprints mit engen Fristen an
- Nacharbeit — 60–70% der Fragen wurden bereits früher beantwortet, die Antworten sind jedoch in alten E-Mail-Threads vergraben
Effizient beantworten
Die wichtigste Erkenntnis: Die meisten Antworten existieren bereits irgendwo in Ihrer Organisation.
- Zentralisieren Sie Ihre Sicherheitsdokumentation.
- Erstellen Sie eine wiederverwendbare Antwortbibliothek.
- Nutzen Sie KI, um Entwürfe aus Ihren Dokumenten zu erstellen. Tools wie Secreply lesen Ihre vorhandene Dokumentation und schlagen Antworten mit Quellenangaben vor.
- Immer prüfen vor dem Absenden.
Möchten Sie das in der Praxis sehen?
Laden Sie unser Beispielpaket herunter und sehen Sie, wie Secreply einen realistischen Fragebogen automatisch ausfüllt.
Beispielpaket herunterladen (kostenlos)Häufig gestellte Fragen
Wie lange dauert es, einen Sicherheitsfragebogen zu beantworten?
Manuell: 4 Stunden bis 3–4 Wochen. Mit Wissensbibliothek und KI-Unterstützung: meist unter 2 Stunden gesamte Teamzeit.
Ersetzen Zertifizierungen (ISO 27001, SOC 2) die Fragebögen?
Sie helfen sehr — Zertifizierungsberichte beantworten viele Standardfragen. Aber die meisten Unternehmen senden trotzdem ihren eigenen Fragebogen.