Orbiq LogoOrbiq
Sicherheitsfragebögen: Was sie sind, wie man sie bearbeitet und wie man Antworten automatisiert
2026-03-07
By Orbiq Team

Sicherheitsfragebögen: Was sie sind, wie man sie bearbeitet und wie man Antworten automatisiert

Ein praxisnaher Leitfaden zu Sicherheitsfragebögen — was sie sind, warum Käufer sie versenden, was sie typischerweise fragen, wie man effizient antwortet und wie Automatisierung und Trust Centers den manuellen Fragebogenprozess ersetzen.

Sicherheitsfragebogen
Lieferantenbewertung
Trust Center
B2B-Vertrieb
Compliance
KI-Automatisierung

Sicherheitsfragebögen: Was sie sind, wie man sie bearbeitet und wie man Antworten automatisiert

Sicherheitsfragebögen sind die Formulare, die Unternehmenskäufer an Anbieter senden, um die Sicherheitslage während der Beschaffung zu bewerten. Wenn Sie B2B-Software verkaufen, erhalten Sie sie. Wenn Sie B2B-Software kaufen, versenden Sie sie.

Der Prozess ist ineffizient. Anbieter verbringen jährlich Tausende von Stunden damit, sich wiederholende Fragen zu beantworten. Käufer warten wochenlang auf Antworten, die inkonsistent oder veraltet sein können. Dieselben Informationen werden immer wieder in verschiedenen Formaten angefordert.

Dieser Leitfaden behandelt, was Sicherheitsfragebögen fragen, wie man effizient antwortet und wie moderne Ansätze — Trust Centers, KI-Automatisierung und proaktive Sicherheitsoffenlegung — den Prozess transformieren.

Warum Käufer Sicherheitsfragebögen versenden

Sicherheitsfragebögen dienen drei Zwecken in der Unternehmensbeschaffung:

1. Risikobewertung

Käufer müssen die Sicherheitsrisiken der Nutzung Ihres Produkts verstehen. Fragebögen helfen ihnen zu bewerten:

  • Wie Sie ihre Daten schützen
  • Ob Sie ihre regulatorischen Anforderungen erfüllen
  • Welche Kontrollen Sie für Zugriff, Verschlüsselung und Incident Response haben
  • Wie Sie Unterauftragsverarbeiter und Fourth-Party-Risiken managen

2. Compliance-Pflichten

Unternehmenskäufer haben oft eigene Compliance-Anforderungen, die sich auf Lieferanten erstrecken:

  • ISO 27001 erfordert Lieferanten-Sicherheitsbewertung (A.5.19-A.5.22)
  • NIS2 schreibt Lieferkettensicherheitsmaßnahmen vor (Artikel 21(2)(d))
  • DORA erfordert IKT-Drittparteien-Risikomanagement (Artikel 28-44)
  • SOC 2 enthält Lieferantenmanagement-Kontrollen (CC9)

Fragebögen liefern dokumentierte Nachweise, dass eine Lieferanten-Risikobewertung durchgeführt wurde.

3. Due-Diligence-Dokumentation

Für regulierte Branchen (Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor) sind Sicherheitsbewertungen von Lieferanten oft gesetzlich vorgeschrieben. Ausgefüllte Fragebögen werden Teil des Audit-Trails, der die Sorgfaltspflicht bei der Lieferantenauswahl nachweist.

Gängige Fragebogenformate

SIG (Standardized Information Gathering)

Entwickelt von Shared Assessments, stark genutzt im Finanzsektor:

  • SIG Core — Umfassende Version mit 800+ Fragen in 19 Risikodomänen
  • SIG Lite — Komprimierte Version mit ~170 Fragen für Anbieter mit geringerem Risiko
  • Abdeckung: Zugriffskontrolle, Anwendungssicherheit, Business Continuity, Compliance, Datenschutz, Endpunktsicherheit, Incident Management, Netzwerksicherheit und mehr

CAIQ (Consensus Assessments Initiative Questionnaire)

Entwickelt von der Cloud Security Alliance (CSA):

  • ~260 Fragen mit Fokus auf Cloud-Sicherheit
  • Organisiert um die CSA Cloud Controls Matrix (CCM)
  • Besonders relevant für SaaS- und Cloud-Infrastruktur-Anbieter
  • Antworten können im CSA STAR Registry veröffentlicht werden

VSA (Vendor Security Alliance)

Ein modernes, kompaktes Format, beliebt bei Technologieunternehmen:

  • ~100 Fragen über zentrale Sicherheitsdomänen
  • Designed für mehr Effizienz als SIG oder CAIQ
  • Fokus auf praktische Sicherheitskontrollen statt erschöpfende Dokumentation
  • Kostenlos nutzbar und regelmäßig aktualisiert

Kundenspezifische Fragebögen

Viele Unternehmen erstellen eigene Fragebögen, oft basierend auf:

  • Internen Risikobewertungs-Frameworks
  • Branchenspezifischen regulatorischen Anforderungen
  • Einem Mix aus Fragen verschiedener Standardformate
  • Typischerweise 50-300 Fragen

Die Überschneidung zwischen kundenspezifischen und Standardfragebögen ist erheblich — ungefähr 70-80% der Fragen sind Variationen derselben Kernthemen.

Was Fragebögen typischerweise fragen

Datenschutz

  • Wo werden Daten gespeichert? (Datenresidenz, Cloud-Regionen)
  • Wie werden Daten at rest und in transit verschlüsselt?
  • Wer verwaltet die Verschlüsselungsschlüssel?
  • Welche Datenaufbewahrungs- und Löschrichtlinien bestehen?
  • Wie werden Daten basierend auf Sensitivität klassifiziert und behandelt?

Zugriffskontrolle

  • Wird Multi-Faktor-Authentifizierung durchgesetzt?
  • Wie wird rollenbasierte Zugriffskontrolle implementiert?
  • Wie werden privilegierte Konten verwaltet?
  • Was ist der Prozess für die Gewährung und den Entzug von Zugriffen?
  • Wie oft werden Zugriffsrechte überprüft?

Incident Response

  • Haben Sie einen dokumentierten Incident-Response-Plan?
  • Was sind Ihre Benachrichtigungsfristen bei Sicherheitsvorfällen?
  • Hatten Sie Sicherheitsverletzungen in den letzten 12/24 Monaten?
  • Wie werden Vorfälle klassifiziert und eskaliert?
  • Führen Sie Post-Incident-Reviews durch?

Compliance und Zertifizierungen

  • Sind Sie ISO 27001 zertifiziert? (Umfang, Zertifizierungsstelle, Ablaufdatum)
  • Haben Sie einen SOC 2 Type II Bericht? (Berichtszeitraum, Trust Services Criteria)
  • Wie erfüllen Sie die DSGVO? (AVV, Verarbeitungstätigkeiten, DSB)
  • Unterliegen Sie NIS2 oder DORA? Was ist Ihr Compliance-Status?
  • Welche weiteren Zertifizierungen oder Attestierungen haben Sie?

Infrastruktur

  • Welche Cloud-Anbieter nutzen Sie?
  • Wo befinden sich Ihre Rechenzentren?
  • Wie wird Netzwerksegmentierung implementiert?
  • Welche Schwachstellenmanagement-Prozesse bestehen?
  • Wie werden Patches und Updates verwaltet?

Business Continuity

  • Was ist Ihre Disaster-Recovery-Strategie?
  • Was sind Ihre RTO- und RPO-Ziele?
  • Wie oft wird der DR-Plan getestet?
  • Haben Sie einen Business-Continuity-Plan?
  • Was ist Ihr Uptime-SLA?

Personal und Prozesse

  • Werden Hintergrundüberprüfungen bei Mitarbeitern durchgeführt?
  • Welche Security-Awareness-Schulungen werden angeboten?
  • Wie werden Mitarbeiter sicher eingestellt und offgeboardet?
  • Gibt es ein Disziplinarverfahren für Sicherheitsverstöße?
  • Haben Sie ein Programm zur verantwortungsvollen Offenlegung?

Das Fragebogen-Problem

Für Anbieter

  • Volumen: Wachsende Unternehmen erhalten 50-200+ Fragebögen pro Jahr
  • Zeit: Jeder Fragebogen dauert 5-15 Arbeitstage zur Bearbeitung
  • Inkonsistenz: Verschiedene Personen beantworten dieselben Fragen im Laufe der Zeit unterschiedlich
  • Wiederholung: 70-80% der Fragen überschneiden sich zwischen Fragebögen
  • Opportunitätskosten: Sicherheitsteams verbringen Zeit mit Fragebögen statt mit der Verbesserung der Sicherheit

Für Käufer

  • Verzögerungen: Wochenlang auf Anbieterantworten warten verlangsamt die Beschaffung
  • Qualität: Selbstberichtete Antworten können ungenau oder aspirativ sein
  • Vergleichbarkeit: Verschiedene Anbieter antworten unterschiedlich, was Vergleiche erschwert
  • Aktualität: Antworten reflektieren einen Zeitpunkt und können bei der Prüfung veraltet sein
  • Verifizierung: Keine Möglichkeit, Fragebogenantworten unabhängig zu verifizieren

Moderne Ansätze für Sicherheitsfragebögen

Trust Centers

Ein Trust Center ist ein käuferzugewandtes Portal, das proaktiv Ihre Sicherheitsinformationen veröffentlicht:

  • Zertifizierungsstatus und -umfang (ISO 27001, SOC 2 etc.)
  • Sicherheitskontrollen und -praktiken
  • Compliance-Dokumentation
  • Unterauftragsverarbeiter-Liste
  • Datenverarbeitungsdetails
  • Zusammenfassungen von Penetrationstests

Auswirkung: Unternehmen mit Trust Centers berichten von 40-70% weniger eingehenden Fragebögen, weil Käufer Antworten finden, bevor sie fragen.

KI-gestützte Automatisierung

Moderne Fragebogen-Automatisierungsplattformen nutzen KI um:

  1. Eingehende Fragebögen zu analysieren — Fragen aus jedem Format extrahieren (Tabelle, PDF, Portal)
  2. Mit der Wissensdatenbank abzugleichen — Relevante Antworten aus früheren Antworten und Sicherheitsdokumentation finden
  3. Antwortentwürfe zu generieren — Kontextuell angemessene Antworten erstellen
  4. Lücken zu kennzeichnen — Fragen identifizieren, für die keine gute Antwort existiert
  5. Konsistenz sicherzustellen — Konsistente Antworten über alle Fragebögen aufrechterhalten
  6. Zu lernen und zu verbessern — Matching-Genauigkeit mit jedem bearbeiteten Fragebogen verbessern

Auswirkung: 70-90% der Fragen automatisch beantwortet, Bearbeitungszeit von Tagen auf Stunden reduziert.

Proaktive Offenlegung

Anstatt auf Fragebögen zu warten, proaktiv teilen:

  • Veröffentlichten SOC 2 Bericht oder ISO 27001 Zertifikat über sicheren Zugang
  • Sicherheits-Whitepaper, das Ihre Architektur und Kontrollen beschreibt
  • CAIQ-Antworten im CSA STAR Registry
  • Standardisierte Sicherheitsdokumentation in Ihrem Trust Center
  • Vorab ausgefüllter SIG Lite auf Anfrage verfügbar

Auswirkung: Verschiebt die Dynamik von reaktiv (Fragen beantworten) zu proaktiv (Nachweise bereitstellen). Baut Käufervertrauen auf und beschleunigt die Beschaffung.

Aufbau eines Fragebogen-Antwort-Programms

Schritt 1: Wissensdatenbank zentralisieren

Erstellen Sie eine einzige Informationsquelle für Sicherheitsinformationen:

  • Dokumentieren Sie alle Sicherheitskontrollen, Richtlinien und Verfahren
  • Erfassen Sie Antworten auf häufige Fragen mit unterstützenden Nachweisen
  • Ordnen Sie Antworten Standardframeworks zu (SIG, CAIQ, VSA)
  • Weisen Sie Verantwortliche zu, die Antworten aktuell halten

Schritt 2: Prozess standardisieren

Definieren Sie einen wiederholbaren Workflow:

  • Eingang und Triage eingehender Fragebögen
  • Zuweisung von Fragen an Fachexperten
  • Überprüfung und Genehmigung von Antworten
  • Verfolgung von SLAs und Antwortfristen
  • Archivierung abgeschlossener Fragebögen für künftige Referenz

Schritt 3: Wo möglich automatisieren

Implementieren Sie Automatisierung zur Reduzierung manuellen Aufwands:

  • Nutzen Sie KI zur Erstellung von Antwortentwürfen aus Ihrer Wissensdatenbank
  • Automatisches Ausfüllen von Antworten für Standardfragenformate
  • Generierung von Antworten, die auf Ihre Zertifizierungen und Ihr Trust Center verweisen
  • Benachrichtigung, wenn Wissensdatenbankeinträge aktualisiert werden müssen

Schritt 4: Proaktiv veröffentlichen

Reduzieren Sie das eingehende Fragebogenvolumen durch Vorabveröffentlichung:

  • Starten Sie ein Trust Center mit umfassenden Sicherheitsinformationen
  • Stellen Sie Zertifizierungen und Compliance-Dokumentation mit angemessenen Zugangskontrollen bereit
  • Bieten Sie vorab ausgefüllte Standardfragebögen an (SIG Lite, CAIQ)
  • Fügen Sie Sicherheitsdokumentation Ihren Vertriebsmaterialien bei

Wie Orbiq das Sicherheitsfragebogen-Management unterstützt

  • Trust Center: Veröffentlichen Sie Sicherheitsdokumentation, Zertifizierungen und Compliance-Status, um Käuferfragen zu beantworten, bevor sie gestellt werden
  • KI-gestützte Fragebögen: Automatischer Abgleich eingehender Fragen mit Ihrer Wissensdatenbank und Generierung von Antwortentwürfen mit 70-90% automatischer Ausfüllung
  • Nachweismanagement: Pflege einer zentralisierten Wissensdatenbank von Sicherheitskontrollen, abgebildet auf Fragebogen-Frameworks
  • Kontinuierliches Monitoring: Halten Sie Ihre Wissensdatenbank aktuell durch Verfolgung der Kontrollwirksamkeit und Kennzeichnung veralteter Informationen

Weiterführende Lektüre

Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.