Security Questionnaire
Ein Security Questionnaire ist ein Fragenkatalog, den ein Buyer an einen Supplier sendet, um zu bewerten, wie dieser Daten schützt und Informationssicherheitsrisiken steuert. Der Supplier füllt ihn im Rahmen der Vendor Due Diligence aus, meist vor Vertragsunterzeichnung und danach regelmäßig.
On this page
Was ist ein Security Questionnaire?
Ein Security Questionnaire, in den USA häufig als Vendor Security Questionnaire und im Vereinigten Königreich als Supplier Security Questionnaire bezeichnet, ist das Instrument, mit dem ein Buyer prüft, ob ein aktueller oder potenzieller Supplier seine Sicherheits- und Datenschutzstandards erfüllt, bevor er ihm Systeme, Daten oder Infrastruktur anvertraut. Der Umfang reicht von einer kurzen Checkliste mit fünfzehn oder zwanzig Punkten bis hin zu einem detaillierten Dokument mit mehreren hundert Fragen über ein Dutzend Control Domains. Für den Supplier ist eine vollständige und fristgerechte Beantwortung häufig eine formale Voraussetzung, um einen neuen Vertrag zu gewinnen oder einen bestehenden zu halten, und für viele Enterprise- und regulierte Buyer reicht eine unvollständige oder nicht überzeugende Response aus, um einen Procurement-Prozess zu verzögern oder zu beenden.
Warum verschicken Unternehmen Security Questionnaires?
Organisationen, die mit Daten arbeiten, sind rechtlich und operativ dafür verantwortlich, diese zu schützen, einschließlich der Datenanteile, die von Drittanbietern verarbeitet werden. Der Security Questionnaire ist das Instrument, mit dem ein Buyer Third-Party-Risk-Management betreibt: Er schafft eine dokumentierte Grundlage dafür, dass der Buyer die Security Posture eines Suppliers geprüft hat, bevor Zugriff gewährt wird.
Diese Praxis ist vor allem in Software und Technologie, Finanzdienstleistungen, Gesundheitswesen und anderen regulierten Branchen verbreitet, in denen die Folgen von Datenpannen gravierend sind und Aufsichtsbehörden ausdrücklich Nachweise für die Kontrolle von Drittparteien verlangen. Vorschriften wie DORA (der EU Digital Operational Resilience Act, gültig ab Januar 2025) und NIS2 verpflichten regulierte Unternehmen, Lieferantenrisiken zu steuern und zu dokumentieren. Das hat zu einem deutlichen Anstieg des Fragebogenvolumens in europäischen Lieferketten geführt. Security Questionnaires werden typischerweise während der ersten Lieferantenbewertung ausgelöst, unmittelbar vor dem Onboarding und anschließend in regelmäßigen Abständen (häufig jährlich) über die gesamte Geschäftsbeziehung hinweg.
Was umfasst ein Security Questionnaire?
Der Umfang eines Security Questionnaire spiegelt die Bereiche wider, in denen Schwächen eines Lieferanten den Käufer einem Risiko aussetzen können. Typische Abdeckungsbereiche sind:
- Zugriffskontrolle und Authentifizierung, und beschreibt, wie der Anbieter Benutzerkonten, Passwörter, Multi-Faktor-Authentifizierung und privilegierte Zugriffe verwaltet.
- Datenschutz und Verschlüsselung, beschreibt, wie Daten klassifiziert, bei der Übertragung und im Ruhezustand verschlüsselt sowie aufbewahrt oder gelöscht werden.
- Netzwerk- und Anwendungssicherheit, einschließlich Perimeterschutz, Schwachstellenmanagement, Patch-Management und Penetrationstests.
- Business Continuity und Incident Response, umfasst Notfallwiederherstellungspläne, Recovery Time Objectives und den Prozess zur Benachrichtigung von Kunden nach einem Incident.
- Compliance und Zertifizierungen, und umfasst die Frage, ob der Anbieter anerkannte Zertifizierungen durch Dritte wie ISO/IEC 27001 besitzt oder ein SOC 2 Audit abgeschlossen hat und wie er seine Kontrollen auf relevante Vorschriften abbildet.
- Subunternehmer- und Lieferkettenrisiko, und zwar welche Fourth-Party-Provider der Anbieter einsetzt und wie er diese prüft.
Viele Einkäufer verlangen zu den Antworten passende Nachweise. Ein SOC 2 Type II Report, ein ISO 27001 Zertifikat oder eine Executive Summary eines Penetrationstests kann große Teile eines Standardfragebogens vorab beantworten und das Hin und Her zwischen Einkäufer und Anbieter deutlich reduzieren.
Welche gängigen Security Questionnaire Frameworks gibt es?
Anstatt individuelle Fragen komplett neu zu formulieren, verlassen sich viele Einkäufer auf gemeinsame Frameworks, die standardisierte Kontrollbereiche abdecken. Das reduziert den doppelten Aufwand für beide Seiten: Ein Anbieter, der einen SIG Security Questionnaire für einen Kunden beantwortet hat, kann einen Großteil dieser Arbeit für einen anderen wiederverwenden.
| Framework | Vollständiger Name | Verantwortlich |
|---|---|---|
| SIG | Standardisiertes Information Gathering | Shared Assessments |
| CAIQ | Consensus Assessments Initiative Questionnaire | Cloud Security Alliance |
| VSA | Vendor Security Alliance Fragebogen | Vendor Security Alliance (Branchenkoalition) |
SIG (Standardized Information Gathering)
Der SIG-Fragebogen wird von Shared Assessments gepflegt, einer Mitgliederorganisation mit Fokus auf Best Practices im Third-Party-Risikomanagement. Er ist in zwei Versionen verfügbar: als schlankere SIG Lite (die die wichtigsten Kontrollbereiche abdeckt) und als umfassende SIG Full (die 18 oder mehr Domänen mit Hunderten von Fragen abdeckt). Der SIG ist so aufgebaut, dass er auf eine breite Palette regulatorischer und branchenspezifischer Frameworks abbildet. Das macht ihn besonders beliebt bei Finanzdienstleistern und großen Enterprise-Procurement-Teams, die gleichzeitig unter mehreren Compliance-Vorgaben arbeiten.
CAIQ (Consensus Assessments Initiative Questionnaire)
Der CAIQ wird von der Cloud Security Alliance veröffentlicht und ist speziell für Cloud-Service-Provider konzipiert. Er basiert auf der Cloud Controls Matrix (CCM), einem Rahmenwerk von Sicherheitskontrollen, die auf cloudrelevante Vorschriften und Standards abgebildet sind. Ausgefüllte CAIQ-Antworten können im CSA STAR-Register eingereicht werden, einem öffentlich zugänglichen Verzeichnis, in dem potenzielle Käufer die vom Anbieter selbst eingeschätzte Sicherheitslage prüfen können, bevor sie ihre eigene Bewertung starten. Dadurch ist der CAIQ häufig der erste Anlaufpunkt für Käufer, die SaaS- und Infrastruktur-Anbieter bewerten.
VSA (Vendor Security Alliance Fragebogen)
Die Vendor Security Alliance ist ein Zusammenschluss von Technologieunternehmen, der einen gemeinsamen Fragebogen entwickelt hat, um den Aufwand für das Beantworten hunderter sich überschneidender Assessments zu reduzieren. Der VSA Questionnaires ist in einer vollständigen Version und in einer kürzeren Core-Version verfügbar. Durch seinen mitgliedergetriebenen Ursprung spiegelt er die praktischen Prioritäten von Technologieeinkäufern wider und wird im Enterprise-Software-Sektor breit eingesetzt.
Selbst wenn diese Frameworks genutzt werden, senden viele Käufer weiterhin ihre eigenen, individuell erstellten Spreadsheets oder portalbasierten Questionnaires. Für Lieferanten bedeutet das, dass sie dieselben zugrunde liegenden Fragen immer wieder beantworten, nur jeweils anders formuliert und über mehrere parallele Anfragen verteilt. Eine anerkannte Zertifizierung wie ISO/IEC 27001 oder ein aktueller SOC 2 Report reduziert diese Belastung spürbar, da geprüfte Nachweise einen großen Teil der standardisierten Control-Domain-Fragen vorab beantworten.
Worin unterscheidet sich ein Security Questionnaire von einem DDQ?
Ein Due Diligence Questionnaire (DDQ) ist eine umfassendere Lieferantenbewertung, die finanzielle Stabilität, rechtlichen Status, Datenschutz, Governance und Informationssicherheit abdeckt. Ein Security Questionnaire ist die informationssicherheitsbezogene Komponente dieser umfassenderen Bewertung und wird häufig entweder als eigenständiges Dokument oder eingebettet in ein DDQ versendet.
Die Begriffe werden in der Praxis recht locker verwendet und überschneiden sich. Manche Einkäufer senden ein kombiniertes Dokument und nennen es DDQ, andere trennen den Security-Teil ab und versenden ihn separat, häufig an ein anderes internes Team weitergeleitet (Security oder IT statt Einkauf). In Investment- und Private-Equity-Kontexten bezieht sich „DDQ“ typischerweise auf einen Due-Diligence-Fragebogen für Fondsmanager, der von institutionellen Investoren genutzt wird. Das ist ein eigenes Dokument mit anderer inhaltlicher Spannbreite. Die hier im Eintrag beschriebene Bedeutung im Sinne von Supplier Security ist die gebräuchlichere Verwendung im B2B-Einkauf.
Wie beantworten Lieferanten einen Security Questionnaire?
Lieferanten antworten aus einer gepflegten Bibliothek freigegebener Antworten und Nachweise. Jede eingehende Frage wird einer bestehenden Antwort zugeordnet, und vor dem Absenden behält eine qualifizierte prüfende Person die Kontrolle. Die eigentliche Herausforderung ist operativ: das Volumen eingehender Questionnaires, die Vielzahl an Formaten und dieselbe Frage, die in Dutzenden Buyer-Templates jeweils mit eigener Deadline anders formuliert ist. Wir beleuchten diesen Response-Prozess End-to-End im Questionnaire Response Process Guide und auf unserer Security Questionnaire Response-Seite.
Wo SEQUESTO passt
Security Questionnaires haben zwei Seiten: Der Käufer verschickt sie, um einen Anbieter zu bewerten, und der Anbieter füllt sie aus, um das Geschäft zu gewinnen oder zu halten. Das SEQUESTO aOS ist für die Anbieterseite dieses Prozesses gebaut.
Wenn Ihr Team Security Questionnaires beantwortet, hilft Ihnen das SEQUESTO aOS, schneller aus einer vertrauenswürdigen, wiederverwendbaren Wissensdatenbank zu antworten, hält jede Antwort präzise, belegt und prüfbar und stellt sicher, dass vor dem Absenden immer ein Mensch das letzte Wort hat. Es verarbeitet eingehende Questionnaires in jedem Format, nutzt Reference Mapping, um jede Frage mit Ihren freigegebenen Antworten und Nachweisen abzugleichen, und erstellt zitierte Antwortentwürfe, die ein Reviewer nur noch freigeben muss, statt sie komplett neu zu schreiben.
Erfahren Sie mehr über Security Questionnaire Response und Security Questionnaire Automatisierung.