Leitfaden

Was ist ein Sicherheitsfragebogen?

Alles, was Sie über Vendor Security Assessments wissen müssen — was sie sind, warum Sie sie erhalten und wie Sie sie beantworten, ohne Tage an Engineering-Zeit zu verlieren.

Was ist ein Sicherheitsfragebogen?

Ein Sicherheitsfragebogen (auch Vendor Security Assessment oder VSA) ist ein formales Dokument, das ein potenzieller oder bestehender Kunde an Sie — den Anbieter — sendet, um Ihre Sicherheitskontrollen zu bewerten, bevor sensible Daten geteilt oder Systemzugang gewährt wird.

Sicherheitsfragebögen sind nicht optional. Wenn Sie Software oder Dienstleistungen an Unternehmen verkaufen, werden Sie sie erhalten.

Warum senden Kunden sie?

Unternehmensorganisationen sind gesetzlich und vertraglich verpflichtet, Third-Party Risk Management (TPRM) durchzuführen. Vorschriften wie DSGVO, NIS2, HIPAA und SOC 2 verlangen, dass sie die Sicherheitslage jedes Anbieters dokumentieren, der auf ihre Daten zugreift.

  • Ihre Daten sind im Ruhezustand und bei der Übertragung verschlüsselt
  • Sie haben einen Incident-Response-Plan und melden Datenschutzverletzungen
  • Sie setzen Zugangskontrolle durch (MFA, Least Privilege, Offboarding)
  • Sie sind zertifiziert oder konform (ISO 27001, SOC 2, etc.)

Welche Themen werden abgedeckt?

🔒

Informationssicherheitsrichtlinie

Schriftliche Richtlinie, Überprüfungsfrequenz, Verantwortlichkeit.

🧑‍💻

Zugangskontrolle

MFA, Least Privilege, Benutzerlebenszyklus, privilegierter Zugang.

🔐

Datenschutz

Verschlüsselung im Ruhezustand und bei Übertragung, Schlüsselmanagement.

🚨

Incident Response

IR-Plan, Kundenmeldungen bei Datenpannen.

🏗️

Infrastruktur & Verfügbarkeit

Cloud-Anbieter, Uptime-SLA, DR/BCP, Penetrationstests.

Compliance & Zertifizierungen

ISO 27001, SOC 2, DSGVO, HIPAA — Zertifikate und Auditberichte.

🤝

Unterauftragsverarbeiter

Welche Drittanbieter nutzen Sie? Welche Sicherheitsstandards haben diese?

👥

Personelle Sicherheit

Hintergrundüberprüfungen, Sicherheitsschulung, Kündigungsverfahren.

Gängige Frameworks

SIG / SIG Lite

Shared Assessments

Der am häufigsten verwendete Enterprise-Vendor-Risk-Fragebogen. Vollständige SIG ~850 Fragen, SIG Lite ~135 Fragen für Anbieter mit geringerem Risiko.

CAIQ

Cloud Security Alliance

Für Cloud-Dienstleister konzipiert. Häufig wenn Sie ein SaaS- oder cloudgehostetes Produkt anbieten.

VSAQ

Vendor Security Alliance

Ein kompakteres, weit verbreitetes Framework in Technologie, Finanzen und Gesundheitswesen.

Eigene Excel-Fragebögen

Ad hoc

Viele Unternehmenssicherheitsteams schreiben ihre eigenen Fragebögen. Typischerweise 20–100 Fragen. Das häufigste Format in der Praxis.

Die wahren Kosten der manuellen Beantwortung

Ein einzelner mittelgroßer Fragebogen erfordert typischerweise:

  • 4–20 Stunden Engineering- oder Sicherheitsteamzeit
  • Teamübergreifende Koordination — Security, Engineering, Legal, HR
  • Kontextwechsel — Fragebögen kommen mitten in Sprints mit engen Fristen an
  • Nacharbeit — 60–70% der Fragen wurden bereits früher beantwortet, die Antworten sind jedoch in alten E-Mail-Threads vergraben

Effizient beantworten

Die wichtigste Erkenntnis: Die meisten Antworten existieren bereits irgendwo in Ihrer Organisation.

  1. Zentralisieren Sie Ihre Sicherheitsdokumentation.
  2. Erstellen Sie eine wiederverwendbare Antwortbibliothek.
  3. Nutzen Sie KI, um Entwürfe aus Ihren Dokumenten zu erstellen. Tools wie Secreply lesen Ihre vorhandene Dokumentation und schlagen Antworten mit Quellenangaben vor.
  4. Immer prüfen vor dem Absenden.

Möchten Sie das in der Praxis sehen?

Laden Sie unser Beispielpaket herunter und sehen Sie, wie Secreply einen realistischen Fragebogen automatisch ausfüllt.

Beispielpaket herunterladen (kostenlos)

Häufig gestellte Fragen

Wie lange dauert es, einen Sicherheitsfragebogen zu beantworten?

Manuell: 4 Stunden bis 3–4 Wochen. Mit Wissensbibliothek und KI-Unterstützung: meist unter 2 Stunden gesamte Teamzeit.

Ersetzen Zertifizierungen (ISO 27001, SOC 2) die Fragebögen?

Sie helfen sehr — Zertifizierungsberichte beantworten viele Standardfragen. Aber die meisten Unternehmen senden trotzdem ihren eigenen Fragebogen.

Hören Sie auf, Wochen mit Sicherheitsfragebögen zu verbringen

Laden Sie Ihre Sicherheitsdokumente einmalig hoch. Secreply beantwortet den nächsten Fragebogen automatisch — mit Quellenangaben zur Überprüfung.

Kostenlos Testen