Was ist ein Sicherheitsfragebogen?

Ein Sicherheitsfragebogen ist ein standardisierter Fragenkatalog, den Enterprise-Einkäufer an Lieferanten senden, um deren Sicherheitslage vor dem Software- oder Dienstleistungskauf zu bewerten. Er deckt typischerweise Datenschutz, Zugangskontrolle, Incident-Response, Compliance-Zertifizierungen und Infrastruktursicherheit ab. NIS2 Artikel 21(2)(d) und DORA Artikel 28–44 erhöhen den Druck auf Käufer, Lieferantenbewertungen nachvollziehbar zu dokumentieren.

Welche Sicherheitsfragebogen-Formate gibt es 2026?

Die drei meistgenutzten Formate sind: SIG (Standardized Information Gathering) von Shared Assessments — über 800 Fragen, indiziert zu DSGVO, ISO 27002, NIST und EBA-Leitlinien, Jahreslizenz ab ca. 7.000 USD; CAIQ (Consensus Assessments Initiative Questionnaire) der Cloud Security Alliance — 295 Fragen für Cloud-Sicherheit, kostenlos; und VSA (Vendor Security Alliance) — ca. 100 Fragen in acht Sicherheitsdomänen, jährlich aktualisiert, kostenlos. Individuelle Fragebögen enthalten typischerweise 50–300 Fragen mit 70–80 % Überschneidung mit Standardformaten.

Wie lange dauert die Bearbeitung eines Sicherheitsfragebogens ohne Automatisierung?

Ohne Automatisierung dauert ein typischer Sicherheitsfragebogen 5–15 Werktage. Der vollständige SIG-Fragebogen mit 800+ Fragen kann 20–40 Stunden Aufwand über Sicherheits-, Technik-, Rechts- und Compliance-Teams erfordern. Mit KI-gestützter Automatisierung und einer gepflegten Wissensdatenbank sinkt die Bearbeitungszeit auf 1–3 Tage, mit 70–90 % automatisch beantworteten Fragen.

Kann ein Trust Center Sicherheitsfragebögen ersetzen?

Ein Trust Center reduziert das Fragebogenvolumen erheblich, ersetzt es aber nicht vollständig. Durch proaktive Veröffentlichung von Sicherheitsdokumentation, Zertifizierungen und Compliance-Status beantwortet ein Trust Center die Mehrheit der Standardfragen, bevor sie gestellt werden. Unternehmen mit reifen Trust Centern berichten von 40–70 % weniger eingehenden Fragebögen. Käufer aus regulierten Branchen — insbesondere unter DORA- und NIS2-Anforderungen — werden jedoch häufig weiterhin ausgefüllte Fragebögen als Teil ihres formellen Drittparteien-Risikobewertungsprozesses anfordern.

Wie beeinflusst NIS2 das Fragebogenvolumen?

NIS2 Artikel 21(2)(d) verlangt von wesentlichen und wichtigen Einrichtungen die Umsetzung von Lieferkettensicherheitsmaßnahmen, einschließlich dokumentierter Lieferantenbewertungen. NIS2 schreibt kein festes Fragebogenformat vor, erhöht aber den Bedarf an strukturierter Lieferantendokumentation erheblich. Unternehmen, die NIS2-getriebene Fragebögen erhalten, können detailliertere Fragen zu Incident-Response-Fristen, Datenresidenz und Cybersicherheitszertifizierungen erwarten.

Welche Ausfüllquote kann ich von KI-Automatisierung erwarten?

KI-Fragebogen-Tools erzielen typischerweise 70–90 % Ausfüllquoten bei wiederkehrenden Fragentypen. Aktuelle Forschungsergebnisse zeigen, dass Organisationen die Bearbeitungszeit für Sicherheitsfragebögen durch Automatisierung um bis zu 87 % reduzieren können. Die verbleibenden 10–30 % der Fragen erfordern typischerweise menschliche Überprüfung für Genauigkeit und kontextspezifische Formulierung.

Sicherheitsfragebogen-Leitfaden: Beantworten, Verwalten und Automatisieren 2026

Published 9. Apr. 2026

By Orbiq Team

Sicherheitsfragebogen-Leitfaden: Beantworten, Verwalten und Automatisieren 2026

Der vollständige Leitfaden zu Sicherheitsfragebögen — Formate (SIG, CAIQ, VSA), Antwortstrategien, KI-Automatisierung und wie ein Trust Center das Eingangsvolumen um 40–70 % reduziert.

sicherheitsfragebogen

lieferantenrisikomanagement

trust-center

compliance-automatisierung

nis2

dora

Sicherheitsfragebogen-Leitfaden: Beantworten, Verwalten und Automatisieren 2026

Sicherheitsfragebögen sind standardisierte Fragenkataloge, die Enterprise-Einkäufer an Lieferanten senden, um deren Sicherheitslage zu bewerten. Im Jahr 2026 sind sie häufiger denn je — angetrieben durch NIS2, DORA, ISO 27001 und breitere Drittparteien-Risikomanagement-Anforderungen — und für empfangende Unternehmen belastender als je zuvor.

Wachsende Unternehmen erhalten 50–200+ Fragebögen pro Jahr [1]. Jeder nimmt ohne Automatisierung 5–15 Werktage in Anspruch [2]. Das Sicherheitsteam trägt den größten Teil der Last. Gleichzeitig nutzen 64 % der Organisationen jetzt eine dedizierte TPRM-Softwareplattform, was einem Anstieg von 19 % gegenüber dem Vorjahr entspricht [3] — mehr Ihrer Einkäufer haben strukturierte Prozesse für den Versand und die Verfolgung von Fragebögen.

Dieser Leitfaden erklärt, was Sicherheitsfragebögen abfragen, welche Formate Sie antreffen werden, wie Sie ein effizientes Antwortprogramm aufbauen und wie KI-Automatisierung und Trust Center die Dynamik grundlegend verändern.

Die wichtigsten Erkenntnisse

NIS2 und DORA treiben das Fragebogenvolumen — beide erhöhen den Bedarf an dokumentierten Lieferantenbewertungen, die viele Käufer über Fragebögen und Evidenzanfragen abbilden.
70–90 % Ausfüllquoten sind mit KI-Automatisierung bei gepflegter Wissensdatenbank erreichbar.
SIG kostet ca. 7.000 USD/Jahr für die Lizenz; CAIQ und VSA sind kostenlos — Wahl basierend auf Ihrer Käuferbasis.
Trust Center reduzieren das eingehende Fragebogenvolumen um 40–70 % durch proaktive Beantwortung.
DORA Artikel 28–44 schaffen Due-Diligence-, Vertrags- und Überwachungspflichten für Finanzunternehmen, die IKT-Drittanbieter bewerten.

Warum das Fragebogenvolumen wächst

Drei regulatorische Treiber beschleunigen das Fragebogenvolumen in Europa:

NIS2 — Anforderungen an die Lieferkettensicherheit

Die NIS2-Richtlinie (EU) 2022/2555, seit Oktober 2024 durchsetzbar, verpflichtet wesentliche und wichtige Einrichtungen zur Umsetzung von Lieferkettensicherheitsmaßnahmen gemäß Artikel 21(2)(d). Damit sind Tausende europäischer Unternehmen verpflichtet, ihre eigenen Lieferanten strukturiert zu bewerten.

In der Praxis bilden viele Käufer diese Pflicht über Fragebögen, Evidenzanfragen und formalisierte Lieferantenprüfungen ab. Nationale Umsetzung und aufsichtsrechtliche Erwartungen unterscheiden sich jedoch weiterhin je nach Land, sodass Fragebögen oft lokale Melde-, Governance- und Dokumentationsanforderungen widerspiegeln.

DORA — IKT-Risikobewertung im Finanzsektor

DORA (EU-Verordnung 2022/2554), anwendbar seit Januar 2025, verpflichtet Finanzunternehmen zur Durchführung von IKT-Drittparteien-Risikobewertungen gemäß Artikel 28–44. Für kritische IKT-Dienstleister umfasst dies detaillierte Due-Diligence-Anforderungen, die weit über einen Standardfragebogen hinausgehen.

ISO 27001 und SOC 2

ISO 27001:2022 verlangt die Lieferantensicherheitsbewertung (Kontrollen A.5.19–A.5.22). SOC 2 enthält Vendor-Management-Kontrollen (CC9). Beide Normen veranlassen Organisationen, ihre Lieferantenbewertungsprozesse zu formalisieren — typischerweise durch Fragebögen.

Die wichtigsten Sicherheitsfragebogen-Formate

SIG (Standardized Information Gathering)

Von Shared Assessments entwickelt, weit verbreitet im Finanzwesen:

SIG Full — 800+ Fragen in 21 Risikokontrollbereichen, indiziert zu DSGVO, ISO 27002:2022, NIST SP 800-53, EBA-Leitlinien, PCI DSS u. a. [4]
SIG Lite — ca. 150 Fragen für risikoärmere Lieferanten
Kosten: Jahreslizenz ab ca. 7.000 USD [4]
Aktualisierung: Jährlich aktualisiert

SIG ist der Standard im Finanzwesen und Banking. Wenn Ihre Kunden Finanzinstitute sind, erwarten Sie SIG.

CAIQ (Consensus Assessments Initiative Questionnaire)

Von der Cloud Security Alliance entwickelt:

CAIQ — 295 Fragen, organisiert nach der CSA Cloud Controls Matrix (CCM)
CAIQ-Lite — 71 Fragen für alle 16 CCM-Kontrolldomänen
Kosten: Kostenlos, öffentlich verfügbar unter cloudsecurityalliance.org
Anwendungsfall: Cloud- und SaaS-Anbieter

VSA (Vendor Security Alliance)

Ein modernes, kompaktes Format:

Ca. 100 Fragen in acht Sicherheitsdomänen inkl. Software-Lieferkette
Jährlich aktualisiert
Kosten: Kostenlos
Anwendungsfall: Technologieunternehmen mit modernem Sicherheitsansatz

Individuelle Fragebögen

Die meisten Enterprise-Einkäufer passen ihre Fragebögen an. Individuelle Fragebögen enthalten typischerweise 50–300 Fragen mit ca. 70–80 % Überschneidung mit Standardformaten [5] — eine gepflegte Wissensdatenbank beantwortet die Mehrheit automatisch.

Was Sicherheitsfragebögen abfragen

Datenschutz (DSGVO-Kontext)

Wo werden Kundendaten gespeichert? (Datenresidenz, Cloud-Regionen, EU-Hosting)
Wie werden Daten im Ruhezustand und bei der Übertragung verschlüsselt?
Wer verwaltet Verschlüsselungsschlüssel?
Welche Datenaufbewahrungs- und Löschungsrichtlinien bestehen?
Wie werden Daten nach Sensitivität klassifiziert?

Zugangskontrolle

Wird Multi-Faktor-Authentifizierung (MFA) für alle Benutzer durchgesetzt?
Wie ist rollenbasierte Zugangskontrolle (RBAC) implementiert?
Wie werden privilegierte Konten verwaltet?
Wie läuft der Prozess zur Gewährung und zum Entzug von Zugangsrechten ab?

Incident-Response

Gibt es einen dokumentierten Incident-Response-Plan?
Welche Benachrichtigungsfristen gelten bei Sicherheitsvorfällen? (NIS2 erwartet 24-Stunden-Frühwarnung)
Gab es Sicherheitsverletzungen in den letzten 12/24 Monaten?
Wie werden Vorfälle klassifiziert und eskaliert?

Compliance und Zertifizierungen

Sind Sie ISO 27001-zertifiziert? (Anwendungsbereich, Zertifizierungsstelle, Ablaufdatum)
Haben Sie einen SOC 2 Typ II-Bericht?
Wie erfüllen Sie DSGVO-Anforderungen? (AVV, Verarbeitungsverzeichnis, DSB)
Sind Sie NIS2 oder DORA unterworfen? Was ist Ihr Compliance-Status?

Infrastruktur

Welche Cloud-Anbieter nutzen Sie? (AWS, Azure, GCP — EU-Regionen?)
Wo befinden sich Ihre Rechenzentren?
Welches Schwachstellenmanagement-Verfahren besteht?

Unterauftragnehmer und Dritte

Wer sind Ihre Unterauftragnehmer? (Pflicht unter DSGVO Artikel 28)
Wie bewerten und überwachen Sie Ihre eigenen Unterauftragnehmer?

Das Fragebogen-Problem

Für Lieferanten

Volumen: Wachsende Unternehmen erhalten 50–200+ Fragebögen pro Jahr [1]
Zeit: 5–15 Werktage pro Fragebogen ohne Automatisierung [2]
Wiederholung: 70–80 % der Fragen überschneiden sich zwischen Fragebögen
Inkonsistenz: Unterschiedliche Personen beantworten dieselben Fragen unterschiedlich

Für Einkäufer

Verzögerungen: Wochenlange Wartezeiten auf Lieferantenantworten verlangsamen die Beschaffung
Qualität: Selbst berichtete Antworten können ungenau oder nur Absichtserklärungen sein
Skalierung: 49 % der TPRM-Teams können Risiken nicht in jeder Phase des Lieferantenlebenszyklus bewerten [3]

Moderne Ansätze: Effiziente Fragebogenbearbeitung

1. Zentrale Wissensdatenbank aufbauen

Die Grundlage effizienter Fragebogenantworten ist eine einzige Quelle der Wahrheit für Sicherheitsinformationen:

Alle Sicherheitskontrollen, Richtlinien und Verfahren dokumentieren
Antworten auf häufige Fragen mit unterstützenden Nachweisen erfassen
Antworten auf Standardformate (SIG, CAIQ, VSA) abbilden
Verantwortliche für die Aktualisierung festlegen
Vierteljährlich überprüfen und aktualisieren

2. Antwortprozess standardisieren

Definieren Sie einen wiederholbaren Workflow:

Eingang — Fragebogen protokollieren, Format identifizieren, Aufwand schätzen
Triage — Fragen ohne gute Wissensdatenbankeinträge markieren
Entwurf — Antworten aus der Wissensdatenbank generieren (manuell oder KI-gestützt)
Überprüfung — Sicherheitsteam prüft auf Genauigkeit
Freigabe — Rechts- oder Compliance-Freigabe für kritische Antworten
Zustellung — Über sicheren Kanal mit Versionsverfolgung
Archivierung — Ausgefüllte Fragebögen für zukünftige Referenzen speichern

3. KI-Automatisierung einsetzen

KI-gestützte Fragebogen-Automatisierung erzielt 70–90 % Ausfüllquoten [6]:

Analyse — Fragen aus beliebigem Format extrahieren (Tabelle, PDF, Web-Portal)
Abgleich — KI ordnet jede Frage dem relevantesten Wissensdatenbankeintrag zu
Generierung — Antwortentwürfe anhand Ihrer Sicherheitsdokumentation erstellen
Kennzeichnung — Lücken identifizieren, wo keine gute Antwort vorhanden
Konsistenz — Einheitliche Antworten über alle Fragebögen sicherstellen

Kennzahl: Organisationen mit KI-Automatisierung haben die Bearbeitungszeit um bis zu 87 % reduziert [6].

4. Trust Center: Proaktive Offenlegung

Der effektivste Weg, das Fragebogenvolumen zu reduzieren, ist die Beantwortung von Fragen, bevor sie gestellt werden. Ein Trust Center ist ein käuferorientiertes Portal, das veröffentlicht:

Zertifizierungsstatus und Anwendungsbereich (ISO 27001, SOC 2, NIS2-Compliance)
Sicherheitskontrollen und -praktiken
Liste der Unterauftragnehmer und Datenverarbeitungsdetails
Penetrationstest-Zusammenfassungen
Compliance-Dokumentation

Auswirkung: Unternehmen mit reifen Trust Centern berichten von 40–70 % weniger eingehenden Fragebögen [7]. Erfahren Sie, wie die Plattform funktioniert →

NIS2, DORA und Sicherheitsfragebögen

Wenn Ihre Kunden NIS2-regulierte Sektoren angehören (Energie, Transport, Banken, digitale Infrastruktur, Gesundheitswesen), haben sie eine Compliance-Verpflichtung zur Lieferantenbewertung. Ihre Fragebögen werden NIS2-spezifische Fragen enthalten:

Incident-Meldung: Erfüllen Sie die 24-Stunden-Frühwarnpflicht von NIS2?
Lieferkette: Wie bewerten Sie Ihre eigenen Unterauftragnehmer?
Zertifizierungen: Welche EU-Cybersicherheitszertifizierungen halten Sie?
Datenresidenz: Werden Daten innerhalb der EU verarbeitet?

Für DORA-regulierte Käufer (Finanzunternehmen, IKT-Anbieter für Finanzunternehmen) erwarten Sie Fragen, die auf DORA-Anforderungen zugeschnitten sind — insbesondere zum IKT-Risikomanagement (Artikel 5–16) und zur IKT-Drittparteien-Governance (Artikel 28–44).

Wie Orbiq das Sicherheitsfragebogen-Management unterstützt

Trust Center: Sicherheitsdokumentation, Zertifizierungen und Compliance-Status proaktiv veröffentlichen — eingehendes Fragebogenvolumen um 40–70 % reduzieren
KI-gestützte Fragebögen: Eingehende Fragen automatisch mit der Wissensdatenbank abgleichen und Antwortentwürfe mit 70–90 % Ausfüllquote generieren — mehr erfahren
Evidence Management: Zentrale Wissensdatenbank für Sicherheitskontrollen, zugeordnet zu SIG, CAIQ, VSA und individuellen Fragebogenformaten
Kontinuierliches Monitoring: Wissensdatenbank aktuell halten, veraltete Informationen kennzeichnen

Weiterführende Lektüre

Suchen Sie nach spezifischen Tools? Lesen Sie unseren Sicherheitsfragebogen-Software-Leitfaden 2026 — Preise, KI-Ausfüllquoten und die besten Tools für EU-regulierte Unternehmen.

Lieferantenrisikomanagement — Das übergeordnete Programm, das Fragebogenanforderungen antreibt
Was ist ein Trust Center? — Wie proaktive Sicherheitsoffenlegung das Fragebogenvolumen reduziert
ISO 27001-Zertifizierung — Die in Fragebögen am häufigsten abgefragte Zertifizierung

Quellen & Referenzen

Shared Assessments / Ponemon Institute, „Third-Party Risk Management Study," 2025
CheckFirst.io, „Security Questionnaire Automation: AI Cuts 87% of Manual Work," checkfirst.io/blog/security-questionnaire-automation-ai-2026
Secureframe, „100+ Essential Third-Party Risk Statistics and Trends [2026 Update]," secureframe.com/blog/third-party-risk-statistics
Shared Assessments, „Standardized Information Gathering (SIG) Questionnaire," sharedassessments.org
Bitsight, „CAIQ vs. SIG Questionnaires: What's the Difference?," bitsight.com/blog/caiq-vs-sig-top-questionnaires-vendor-risk-assessment
CheckFirst.io, „Security Questionnaire Automation: AI Cuts 87% of Manual Work," 2026
Orbiq Trust Center Platform, interne Kundendaten