Zum Hauptinhalt springen
HubSecure
Menü

Blog

Lieferanten-Sicherheitscheckliste: Was Sie jeden SaaS-Anbieter vor der Vertragsunterzeichnung fragen sollten

Jedes SaaS-Tool, das Sie einsetzen, verarbeitet Ihre Unternehmensdaten und möglicherweise die Ihrer Kunden. Diese Checkliste gibt Ihnen die Fragen, die Sie stellen sollten — und die Antworten, bei denen Sie das Gespräch beenden — bevor Sie sich an einen Softwareanbieter binden.

· Von HubSecure Security

Die Anmeldung bei einem neuen SaaS-Tool dauert Minuten. Die Sorgfaltspflicht, die dieser Entscheidung vorausgehen sollte, dauert oft kürzer als die Anmeldung selbst. Für die meisten kleinen und mittleren Unternehmen bedeutet die Lieferantensicherheitsbewertung: Preisseite ansehen, eine Rezension lesen — und nichts weiter.

Das schafft echte Risiken. Jeder SaaS-Anbieter, den Sie einsetzen, verarbeitet Geschäftsdaten. Für jedes Tool, das personenbezogene Daten Ihrer Kunden oder Mitarbeiter berührt, tragen Sie die rechtliche Verantwortung für den Umgang des Anbieters damit. Unter der DSGVO sind Sie der Verantwortliche; der Anbieter ist der Auftragsverarbeiter; und Sie sind dafür verantwortlich, dass der Auftragsverarbeiter ausreichende Garantien bietet.

„Das ist ein bekanntes Unternehmen” ist kein Sorgfaltspflichtsverfahren. Diese Checkliste schon.

Vor der Bewertung: Definieren Sie, welche Daten das Tool berühren wird

Stufe 1 — Hohe Sensibilität: das Tool verarbeitet personenbezogene Daten von Kunden, Mitarbeitern oder anderen Personen. Beispiele: CRM, HR-Software, E-Mail-Marketing, Helpdesk, Dokumentenverwaltung, Finanzsoftware, Cloud-Speicher.

Stufe 2 — Mittlere Sensibilität: das Tool verarbeitet Geschäftsdaten, aber keine personenbezogenen Daten.

Stufe 3 — Geringe Sensibilität: das Tool verarbeitet keine vertraulichen Daten.

Stufe-1-Tools erfordern die vollständige Checkliste. Stufe-2-Tools erfordern die Abschnitte 1–3.

Abschnitt 1: Rechtliche und vertragliche Anforderungen

Diese sind für jeden Stufe-1-Anbieter nicht verhandelbar.

Auftragsverarbeitungsvertrag

  • Bietet der Anbieter einen Auftragsverarbeitungsvertrag (AVV) an?
  • Enthält der AVV die Pflichtklauseln nach Artikel 28 DSGVO?
  • Können Sie auf den AVV zugreifen und ihn vor dem Abonnement unterzeichnen?

Wenn ein Anbieter keinen AVV für ein Tool anbietet, das personenbezogene Daten verarbeitet, fahren Sie nicht fort.

Unterauftragsverarbeiter

  • Legt der Anbieter offen, welche Unterauftragsverarbeiter er nutzt?
  • Gibt es ein Verfahren zur Benachrichtigung über Änderungen?
  • Verlangt der AVV vom Anbieter, gleichwertige Pflichten an Unterauftragsverarbeiter weiterzugeben?

Grenzüberschreitende Übermittlungen

  • Wo ist der Anbieter ansässig?
  • Wo werden Daten gespeichert und verarbeitet?
  • Welcher Übermittlungsmechanismus gilt bei Transfers außerhalb Ihrer Jurisdiktion?
  • Ist eine Transfer-Folgenabschätzung verfügbar?

Abschnitt 2: Sicherheitskontrollen

Zertifizierungen

  • Hat der Anbieter eine ISO-27001-Zertifizierung?
  • Ist ein SOC-2-Typ-II-Bericht verfügbar? (Fordern Sie den Bericht an, nicht nur eine Bestätigung)
  • Für Cloud-Infrastruktur: gibt es eine CSA-STAR-Zertifizierung?

Verschlüsselung

  • Sind Daten im Ruhezustand verschlüsselt? Mit welchem Standard? (AES-256 ist das Minimum)
  • Sind Daten bei der Übertragung verschlüsselt? (TLS 1.2 oder höher)
  • Sind Backups verschlüsselt?
  • Wer hält die Verschlüsselungsschlüssel?

Zugriffskontrollen

  • Erzwingt der Anbieter Mehrfaktor-Authentifizierung für Mitarbeiterzugang zu Kundendaten?
  • Ist der Zugang zu Kundendaten auf benötigtes Personal beschränkt?
  • Werden privilegierte Zugriffsaktivitäten protokolliert und überwacht?

Infrastruktur

  • Welche Cloud-Anbieter hosten den Dienst?
  • Wie hoch ist das Verfügbarkeits-SLA und die historische Verfügbarkeit?
  • Gibt es dokumentierte Business-Continuity- und Disaster-Recovery-Pläne?

Penetrationstests

  • Führt der Anbieter jährliche Penetrationstests durch?
  • Ist eine Zusammenfassung des letzten Tests verfügbar?
  • Gibt es eine Richtlinie zur Schwachstellenoffenlegung?

Abschnitt 3: Incident-Response und Datenpannen-Benachrichtigung

  • Wie erkennt der Anbieter Sicherheitsvorfälle?
  • Welche vertragliche Verpflichtung besteht, Sie bei einer Datenpanne zu benachrichtigen?
  • Ist die Benachrichtigungsfrist im AVV mit Ihren eigenen regulatorischen Pflichten vereinbar (72 Stunden unter DSGVO)?
  • Hat der Anbieter eine Cyberhaftpflichtversicherung?

Die Benachrichtigungsverpflichtung ist kritisch. Wenn ein Anbieter an einem Samstag betroffen ist und Sie am folgenden Mittwoch benachrichtigt, haben Sie möglicherweise Ihre eigene 72-Stunden-Frist verpasst. Der AVV sollte eine Benachrichtigung innerhalb von 24–48 Stunden zusichern.

Abschnitt 4: Datenverwaltung

  • Wie lautet die Datenhaltungsrichtlinie des Anbieters?
  • Können Sie Ihre Daten jederzeit löschen, auch während eines Vertrags?
  • Was passiert mit Ihren Daten bei Vertragsende? Wird die Löschung schriftlich bestätigt?
  • Können Sie alle Ihre Daten in einem portablen, maschinenlesbaren Format exportieren?
  • Wie lange nach Vertragsende hält der Anbieter Daten vor der Löschung?
  • Gibt es ein Zugriffsprotokoll für Ihre Daten?

Abschnitt 5: Vertragliche Schutzbestimmungen

  • Begrenzt der Vertrag die Haftung des Anbieters so, dass für Sie erhebliche Risiken entstehen?
  • Bestehen Prüfrechte zur Überprüfung der Sicherheitskontrollen?
  • Können Sie ohne Strafe kündigen, wenn der Anbieter seine Datenschutz- oder Sicherheitspraktiken wesentlich ändert?

Die Fragen für das Verkaufsgespräch

„Können Sie uns Ihren aktuellen AVV zusenden, bevor wir eine Demo planen?” Ein zögernder Anbieter signalisiert etwas über seine Compliance-Kultur.

„Welche Unterauftragsverarbeiter nutzen Sie und wie werden Sie uns über Änderungen informieren?” Ein gut vorbereiteter Anbieter hat eine klare Antwort.

„Wann wurden Sie zuletzt penetrationsgetestet und können wir eine Zusammenfassung sehen?” Vorsicht bei Anbietern, die nie penetrationsgetestet wurden.

Die Antworten, die Sie zum Abbruch veranlassen sollten

  • „Wir haben keinen AVV” (für jedes Stufe-1-Tool)
  • „Daten werden in unserem eigenen Rechenzentrum gespeichert” ohne Details zu Sicherheitskontrollen
  • „Wir wurden noch nie gehackt” als Ersatz für Sicherheitsdokumentation
  • „Unsere Bedingungen erlauben uns, Ihre Daten zur Modellverbesserung zu nutzen” für jedes Tool mit Kundenpersonaldaten

Nach der Unterzeichnung: laufendes Anbietermanagement

Mindestens jährlich: Unterauftragsverarbeiterlisten prüfen, aktualisierte SOC-2-Berichte anfordern, sicherstellen, dass der AVV noch die aktuellen Verarbeitungstätigkeiten widerspiegelt, Benachrichtigungskontaktdaten bestätigen.