Deutsch

Sicherheits- und Compliance-Prüfung für Mid-Market-SaaS-Käufer

Das Rechtsteam übergab den SOC-2-Bericht an die IT-Abteilung, IT bestätigte, dass das Badge aktuell war, und die Beschaffung markierte die Sicherheitsprüfung als abgeschlossen. Standardvorgehen. Der Vendor war ein gut finanziertes Series-B-Unternehmen mit einer angemessen wirkenden Sicherheitsseite und einem Logo-Bereich bekannter Kunden.

Elf Monate später legte ein Zero-Day-Exploit in der API-Middleware des Vendor 40.000 Kundendatensätze offen. Der SOC 2 hatte die Zugriffskontrollen, Änderungsmanagementverfahren und Verfügbarkeitsüberwachung des Vendor abgedeckt. Er hatte nicht die spezifische Drittanbieter-Komponente abgedeckt, die ausfiel. Und da der Vertrag eine weitreichende Haftungsbeschränkungsklausel enthielt, war der rechtliche Schadenersatz für das Unternehmen minimal.

Niemand war fahrlässig gewesen. Der SOC 2 war echt. Aber eine Zertifizierung, die Ihnen sagt, dass ein Vendor zum Prüfungszeitpunkt gute Kontrollen hatte, sagt Ihnen nicht, ob diese Kontrollen das spezifische Risiko abdecken, das sich in Monat elf materialisiert.

Dieser Leitfaden ist die Sicherheitsprüfung, die über das Badge hinausgeht.

Key Facts: SaaS-Sicherheitsprüfung 2026

  • Rund 67 % der B2B-SaaS-Vendor halten einen aktuellen SOC-2-Type-II-Bericht gemäß Vantas State of Trust Benchmark 2024, aber weniger als 30 % umfassen Vertraulichkeits- oder Datenschutzkriterien im Scope.
  • Eine durchschnittliche Enterprise-SaaS-Sicherheitsprüfung dauert 41 Tage end-to-end (IANS Research, 2024), weshalb Mid-Market-Teams Workarounds einsetzen, bevor die Prüfung abgeschlossen ist.
  • Etwa 54 % der Drittanbieter-Sicherheitsverletzungen im Jahr 2024 gingen auf einen SaaS- oder Cloud-Vendor im Stack des Käufers zurück (Verizon DBIR, 2024, Abschnitt Supply Chain).
  • Mid-Market-Unternehmen (200 bis 2.000 Mitarbeitende) umgehen die formale Sicherheitsprüfung bei 38 % der SaaS-Käufe, weil die Beschaffung die Ausgabe nicht als Software markiert hat (Gartner, 2024).
  • Die mediane Benachrichtigungsklausel bei Datenpannen in SaaS-Verträgen beträgt 30 Tage, zehnmal länger als der 72-Stunden-DSGVO-Standard, den die meisten Käufer als selbstverständlich voraussetzen.

Warum Zertifizierungen Ausgangspunkte sind, keine Ziellinie

Sicherheitszertifizierungen erfüllen eine wichtige Funktion: Sie schaffen eine dokumentierte Aufzeichnung, dass ein Vendor zu einem bestimmten Zeitpunkt bestimmte Kontrollen angewendet hat, verifiziert durch Dritte. Das ist bedeutsam. Die Erläuterung der AICPA zu SOC-Berichten klärt genau, was jeder Berichtstyp bestätigt und was er explizit nicht bestätigt.

Aber Zertifizierungen haben strukturelle Einschränkungen:

Sie sind rückwärtsgewandt. Ein SOC-2-Type-II-Bericht deckt einen 6- bis 12-monatigen Beobachtungszeitraum ab, der vor Ihrer Unterzeichnung endete. Die Sicherheitslage des Vendor heute kann sich von dem unterscheiden, was der Bericht widerspiegelt, aufgrund von Personalwechseln, Infrastrukturmigrationen oder neuen Drittanbieter-Abhängigkeiten. Eine klare Erläuterung zu SOC 2, ISO 27001 und DSGVO sowie deren Überschneidungen finden Sie im Compliance-Framework-Leitfaden für Käufer.

Sie decken definierte Scopes ab. Der SOC 2 eines Vendor deckt möglicherweise sein Kernprodukt ab, schließt aber bestimmte Drittanbieter-Integrationen, Datenverarbeitungspartner oder Infrastrukturkomponenten explizit aus. Das Lesen des Scope-Abschnitts eines SOC-2-Berichts offenbart oft Überraschungen.

Sie sagen Ihnen nicht, was passiert, wenn etwas schiefgeht. Eine Zertifizierung informiert Sie über Kontrollen und Prozesse. Sie sagt Ihnen nicht, wie schnell der Vendor Sie bei einer Datenpanne benachrichtigt, wie ihr Incident-Response-Playbook aussieht oder wie sie Sicherheitsvorfälle historisch gehandhabt haben.

AI-fähige Tools sammeln mehr. Traditionelle SaaS-Tools verarbeiteten die Daten, die Sie ihnen gaben. AI-fähige Tools verarbeiten zunehmend abgeleitete Daten (Muster, Verhaltensweisen, aggregierte Signale über Kunden hinweg) auf Weisen, die möglicherweise nicht von bestehenden Zertifizierungsrahmen abgedeckt werden.

Die fünfschichtige Prüfung unten adressiert all diese Lücken.

Die proportionale Sicherheitsprüfung

Die proportionale Sicherheitsprüfung ist ein Käufer-Prinzip: Passen Sie die Tiefe Ihrer Prüfung an die Sensitivität der Daten an, die der Vendor verarbeiten wird, nicht an den Vertragswert oder die Prestige-Logos des Vendor. Ein 6-USD-Seat-Tool, das Kunden-PII aufnimmt, verdient eine tiefere Prüfung als ein 60-USD-Seat-Tool, das nur aggregierte Nutzungsmetriken sieht, und die meisten Mid-Market-Prüfungsrückstände entstehen, weil Teams denselben 200-Fragen-Fragebogen gegen jeden Vendor schicken, unabhängig vom Daten-Expositionsgrad. Stufen Sie Vendor in minimale (keine Kundendaten), Standard- (interne Daten) und erhöhte (regulierte oder Kundendaten) Prüfungspfade ein, bevor der Fragebogen herausgeht.

Schicht 1: Zertifizierungen: Den Bericht lesen, nicht das Badge

SOC 2 Type II

Der Standardanspruch für jedes SaaS-Tool, das Geschäfts- oder Kundendaten verarbeitet. Bestätigen Sie:

  • Berichtszeitraum. Der Bericht sollte die 6 bis 12 Monate unmittelbar vor Ihrer Prüfung abdecken. Ein SOC 2 von vor 18 Monaten ist nicht aktuell.
  • Enthaltene Trust Service Criteria. SOC 2 hat fünf Kriterien: Sicherheit (CC), Verfügbarkeit (A), Verarbeitungsintegrität (PI), Vertraulichkeit (C) und Datenschutz (P). Die meisten Vendor decken nur Sicherheit und Verfügbarkeit ab. Bestätigen Sie, welche Kriterien abgedeckt sind, und prüfen Sie, ob die für Ihren Anwendungsfall relevanten enthalten sind.
  • Scope. Lesen Sie den Scope-Abschnitt sorgfältig. Welche Systeme, Produkte und Infrastruktur sind enthalten? Was ist ausgeschlossen?
  • Qualified Opinion. Wenn der Bericht Ausnahmen oder eingeschränkte Prüfungsurteile enthält, verstehen Sie, was diese sind. Eine geringfügige Ausnahme im Änderungsmanagement ist etwas anderes als eine Ausnahme bei Zugriffskontrollen.

Was Sie fragen sollten:

  • Kann ich den vollständigen SOC-2-Type-II-Bericht unter NDA erhalten?
  • Welche Trust Service Criteria deckt Ihr Bericht ab?
  • Was war der Prüfungszeitraum und wann ist Ihre nächste Prüfung geplant?
  • Gibt es Ausnahmen oder eingeschränkte Prüfungsurteile im aktuellen Bericht?

ISO 27001

Relevant, wenn Sie in internationalen Märkten oder regulierten Branchen tätig sind. ISO 27001 deckt ein Informationssicherheits-Managementsystem (ISMS) ab, was nicht dasselbe ist wie SOC 2 und kein Ersatz dafür ist. Ein Vendor mit ISO 27001, aber ohne SOC 2, hat ein anderes Profil als einer mit SOC 2, aber ohne ISO 27001.

Prüfen Sie den Zertifizierungs-Scope: Er sollte mit den Produkten und der Infrastruktur übereinstimmen, die Sie kaufen.

Penetrationstests

Fragen Sie nach Datum und Scope des letzten Penetrationstests, wer ihn durchgeführt hat und welche wesentlichen Befunde es gab. Vendor, die noch nie einen Pen-Test durchgeführt haben oder sich weigern, Zusammenfassungsergebnisse zu teilen, sind ein bedeutsames Risikosignal.

Eine glaubwürdige Antwort: „Wir führen jährliche Pen-Tests mit [externer Firma] durch. Der aktuellste war [Datum] und der Zusammenfassungsbericht ist unter NDA verfügbar. Wesentliche Befunde wurden behoben."

Schicht 2: Datenverarbeitung und Datenspeicherort

Diese Schicht befasst sich damit, was mit Ihren Daten passiert, sobald sie in den Systemen des Vendor sind.

Geographischer Datenspeicherort

Wo Ihre Daten gespeichert werden, beeinflusst Ihre Compliance-Verpflichtungen, Ihre Exposition gegenüber Datenanfragen ausländischer Regierungen und Ihre Rechte nach Datenschutzvorschriften wie der DSGVO.

Fragen, die Sie stellen sollten:

  • Wo werden Produktionsdatenbanken geographisch gehostet?
  • Wo werden Backups gespeichert?
  • Bieten Sie eine Datenspeicherort-Option für US/EU/spezifische Region an, falls erforderlich?
  • Wenn Sie AWS, Azure oder GCP verwenden: welche Regionen?

Datenspeicherung und -löschung

  • Wie lange werden Kundendaten während eines aktiven Vertrags gespeichert?
  • Wie lange werden Kundendaten nach Vertragsende gespeichert?
  • Wie läuft der Löschprozess ab, und können Sie eine Bestätigung der erfolgten Löschung bereitstellen?
  • Werden Backups auf demselben Zeitplan wie Produktionsdaten gelöscht?

Drittanbieter-Sub-Processor

Jeder SaaS-Vendor nutzt Drittanbieter für Infrastruktur, Analytics, Support und AI-Provider. Jeder dieser Provider ist ein potenzieller Datengefährdungspunkt. Fordern Sie eine aktuelle Liste der Sub-Processor an und prüfen Sie, ob einer von ihnen in Jurisdiktionen mit erheblichen Datenschutzbedenken ansässig ist.

AI-Trainingsdaten (kritisch für AI-fähige Tools)

Wenn das Tool des Vendor AI-Funktionen enthält, wird dies zur wichtigsten Datenverarbeitungsfrage:

  • Werden Kundendaten zum Training von Vendor-AI-Modellen verwendet? (Gemeinsames Modell oder pro Kunde isoliert?)
  • Falls ja, können Kunden sich abmelden?
  • Werden Inferenzergebnisse aus Kundendaten mit anderen Kunden geteilt?
  • Was ist der Data Processing Addendum für AI-spezifische Verarbeitung?

Schicht 3: Zugriffskontrollmodell

Wie der Vendor den Zugang zu Ihren Daten (und zu seiner eigenen Infrastruktur) kontrolliert, ist ein direkter Indikator für Sicherheitsreife.

Zugriffskontrolle auf Vendor-Seite:

  • Wer beim Vendor hat Zugang zu Kundendaten? (Support, Engineering, Datenbereiche?)
  • Wie ist der Genehmigungsprozess für den Zugang von Vendor-Mitarbeitenden zu Produktionsdaten?
  • Wird der Zugang protokolliert und geprüft?
  • Ist Multi-Faktor-Authentifizierung für Vendor-Mitarbeitende, die auf Produktionssysteme zugreifen, erforderlich?

Zugriffskontrolle auf Kundenseite:

  • Unterstützt das Produkt rollenbasierte Zugriffskontrolle (RBAC)?
  • Ist Single Sign-On (SSO) verfügbar, und ist es in der Basisstufe enthalten oder ein Add-on?
  • Ist Multi-Faktor-Authentifizierung für Endnutzer erforderlich, verfügbar oder optional?
  • Was passiert mit dem Datenzugang, wenn ein Nutzer deprovisioniert wird?

Das SSO-Steuer-Problem: Viele SaaS-Vendor berechnen extra für SSO, einer Sicherheitskontrolle, die Standard sein sollte. Diese Praxis ist in der Sicherheitsgemeinschaft weithin dokumentiert. Wikipedias Übersicht zu Single Sign-On erklärt, warum Identitätsföderation eine grundlegende Sicherheitskontrolle ist und kein Premiumfeature. Wenn Ihr Unternehmen einen IdP (Okta, Azure AD, Google Workspace) nutzt, ist SSO eine bedeutsame Sicherheitsanforderung. Finden Sie heraus, ob SSO enthalten ist, bevor Sie den Preis dafür im Bestellformular sehen. Dieses versteckte Kostenmuster ist genau das, was die TCO-Modellierung für SaaS in der Integrationskostenzeile der Kategorie 3 erfasst.

Schicht 4: Datenpannen-Benachrichtigungsrichtlinie

Wenn etwas schiefgeht (und statistisch gesehen wird bei jedem Vendor, den Sie lange genug nutzen, etwas schiefgehen), ist es von erheblicher Bedeutung, was Sie zu wissen berechtigt sind und wann.

Fragen, die Sie stellen sollten:

  • Was ist Ihre vertragliche Verpflichtung bei Datenpannen-Benachrichtigungszeiträumen? (72 Stunden ist der DSGVO-Standard; viele Verträge bieten 30 Tage, was viel zu langsam ist)
  • Was stellt laut Ihrer Definition eine meldepflichtige Datenpanne dar, verglichen mit einem Sicherheitsvorfall?
  • Hatten Sie in den letzten zwei Jahren eine meldepflichtige Datenpanne? Falls ja, was ist passiert und was war das Ergebnis?
  • Wie sieht Ihre Incident-Response-Prozedur aus, und wer ist der designierte Ansprechpartner?
  • Deckt Ihre Cyber-Haftpflichtversicherung Kosten für Kundenbenachrichtigungen ab?

Vertraglicher Mindeststandard: Holen Sie eine SLA für die Datenpannen-Benachrichtigung schriftlich ein. 72 Stunden ab Entdeckung für alles mit Personenbezug ist der Standard, auf den Sie verhandeln sollten. Das entspricht der Anforderung aus Artikel 33 der DSGVO. Wenn der Vendor Widerstand leistet, verstehen Sie warum.

Schicht 5: Schwachstellen-Offenlegungshistorie

Vergangene Sicherheitsvorfälle, gut gehandhabt, sind Belege für Reife, kein Ausschlusskriterium. Ein Vendor, der nie eine Schwachstelle offengelegt hat, wurde entweder nicht angegriffen (unwahrscheinlich) oder hat kein Offenlegungsprogramm (ein Problem). Das NIST Cybersecurity Framework definiert verantwortungsvolle Offenlegung und Schwachstellenmanagement als Kernpraktiken der „Respond"- und „Recover"-Funktionen. Vendor, die darauf nicht Bezug nehmen können, operieren wahrscheinlich nicht auf diesem Reifegrad. Für AI-fähige Tools erstrecken sich diese Fragen auf Model Inference und Training-Data-Exposition, was der Evaluierungsleitfaden für AI-fähige SaaS detailliert behandelt.

Fragen, die Sie stellen sollten:

  • Haben Sie ein Bug-Bounty-Programm oder eine Richtlinie für verantwortungsvolle Offenlegung?
  • Haben Sie in den letzten zwei Jahren CVEs (Common Vulnerabilities and Exposures) offengelegt?
  • Falls ja, wie war der Zeitrahmen von der Entdeckung bis zum Patch und zur Offenlegung?
  • Von welchen Drittanbieter-Bibliotheken oder Komponenten ist Ihr Produkt abhängig, und wie verfolgen Sie Schwachstellen in diesen?

Der Sicherheitsprüfungs-Fragebogen (20 Fragen)

Senden Sie diesen Fragebogen vor dem Sicherheitsprüfungsgespräch. Er zeigt Lücken auf, bevor Sie Zeit damit verbringen.

Zertifizierungen

  1. Haben Sie einen aktuellen SOC-2-Type-II-Bericht? Welche Trust Service Criteria deckt er ab?
  2. Ist die ISO-27001-Zertifizierung für die Produkte, die wir kaufen, im Scope?
  3. Wann war Ihr letzter Penetrationstest, und ist eine Zusammenfassung verfügbar?

Datenverarbeitung 4. Wo werden Produktionsdaten geographisch gespeichert? Wo sind Backups? 5. Bieten Sie Datenspeicherort-Optionen für [unsere Region] an? 6. Was ist Ihre Datenaufbewahrungsrichtlinie während und nach Vertragsende? 7. Welche Sub-Processor verarbeiten unsere Daten und wo haben sie ihren Sitz? 8. Werden Kundendaten zum Training Ihrer AI-Modelle verwendet? Können Kunden sich abmelden?

Zugriffskontrolle 9. Wer in Ihrem Unternehmen kann auf Produktionskundendaten zugreifen, und wie ist der Genehmigungsprozess? 10. Wird Produktionszugang protokolliert und ist er prüfbar? 11. Ist SSO/SAML verfügbar und in der Basisstufe enthalten? 12. Unterstützt das Produkt rollenbasierte Zugriffskontrolle (RBAC)?

Datenpannen-Benachrichtigung 13. Was ist Ihr vertraglicher Datenpannen-Benachrichtigungszeitraum? 14. Hatten Sie in den letzten zwei Jahren eine meldepflichtige Datenpanne oder einen wesentlichen Sicherheitsvorfall? 15. Wer ist der designierte Sicherheitsansprechpartner im Falle eines Vorfalls?

Schwachstellenmanagement 16. Haben Sie ein Bug-Bounty- oder verantwortungsvolles Offenlegungsprogramm? 17. Haben Sie in den letzten 24 Monaten CVEs offengelegt? 18. Wie verfolgen und patchen Sie Drittanbieter-Bibliotheksschwachstellen?

Vertrag und Compliance 19. Kann ich das DPA und alle Datenverwaltungs-Addenda vor der Unterzeichnung erhalten? 20. Was ist Ihre Haftungsbeschränkung bei einer Sicherheitspanne, die unsere Kundendaten betrifft?

Vendor-Sicherheits-Scorecard

Nutzen Sie diese, um die Prüfung für eine nicht-technische Entscheidungsperson zusammenzufassen:

Bereich Punkte (1 bis 5) Hinweise
Aktualität und Scope der Zertifizierung
Transparenz der Datenverarbeitung
Reife der Zugriffskontrolle
Verpflichtung zur Datenpannen-Benachrichtigung
Schwachstellen-Offenlegungshistorie
AI-Datenverarbeitung (falls zutreffend)
Gesamt

Punktzahl 4 bis 5: Mit Standard-Vertragsüberprüfung fortfahren. Punktzahl 3: Mit spezifischen Sanierungsanforderungen im Vertrag fortfahren. Punktzahl unter 3: Vor dem Fortfahren an die IT-Führungsebene eskalieren; prüfen, ob dieser Vendor Ihre Anforderungen erfüllen kann.

Wie Rework die Sicherheitsprüfung angegangen ist, auf beiden Seiten des Tisches

Rework hält SOC 2 Type II (Sicherheits-, Verfügbarkeits- und Vertraulichkeitskriterien), mit Datenspeicherort-Optionen in US- und EU-Regionen und einer 72-Stunden-Datenpannen-Benachrichtigungsverpflichtung in unserem Standard-DPA, keine Verhandlung erforderlich, um den DSGVO-Standard zu erfüllen. Kundendaten werden niemals zum Training gemeinsamer AI-Modelle verwendet, Sub-Processor sind öffentlich aufgeführt, und SSO ist in jeder bezahlten Stufe enthalten, nicht hinter einem Enterprise-Add-on gesperrt.

Auf der anderen Seite des Tisches ist Rework Work Ops das Tool, das Mid-Market-IT- und Sicherheitsteams nutzen, um die Sicherheitsprüfung selbst als funktionsübergreifenden Prozess durchzuführen. Work Ops (ab 6 USD/Nutzer/Monat) bietet eine gemeinsame Eingangswarteschlange, in der die Beschaffung neue SaaS-Anfragen markiert, sie basierend auf der Datensensitivitätsstufe automatisch an IT oder Sicherheit weiterleitet, Fragebogenantworten gegen Vertragsunterzeichnungsfristen verfolgt und Rechtsabteilung, Finance und die anfragende Abteilung auf demselben Zeitplan hält. Es macht den durchschnittlichen 41-Tage-Überprüfungszyklus zu einem vorhersehbaren Workflow statt zu einem Slack-Thread, der nach der dritten Nachfrage einschläft.

Häufig gestellte Fragen

Häufig gestellte Fragen zur SaaS-Sicherheits- und Compliance-Prüfung

Welche Sicherheitszertifizierungen sollte jedes SaaS-Tool haben?

Für jedes Tool, das Kunden- oder Geschäftsdaten verarbeitet, ist SOC 2 Type II (Sicherheits- und Verfügbarkeitskriterien als Minimum) die Basislinie. Ergänzen Sie ISO 27001, wenn Sie in EU- oder regulierten Branchen tätig sind, und ein aktuelles DPA, wenn persönliche Daten durch den Vendor fließen. Zertifizierungen unterhalb von SOC 2 Type II, wie ein SOC-2-Type-I, ein selbst bestätigtes „Security Whitepaper" oder eine Trust-Center-Seite ohne zugrunde liegenden Bericht, sind keine gleichwertigen Alternativen und sollten als Lücke, nicht als Bestehen behandelt werden.

Wann sollte ich einen vollständigen Sicherheitsfragebogen verlangen?

Stufen Sie nach Datensensitivität ein. Minimale Prüfung (kurzer Fragebogen, öffentliche Trust-Center-Dokumente) für Tools, die keine Kundendaten sehen. Standardprüfung (30 bis 40 Fragen SIG Lite) für Tools mit internen Geschäftsdaten. Erhöhte Prüfung (vollständiger SIG oder CAIQ, plus SOC-2-Bericht unter NDA und DPA-Markierung) für alles, das Kunden-PII, Finanzdaten, Quellcode oder regulierte Daten berührt. Denselben 150-Fragen-Fragebogen gegen jeden Vendor zu schicken ist der Grund, warum Prüfungsrückstände schneller wachsen, als sie geschlossen werden.

Wie lange sollte eine SaaS-Sicherheitsprüfung dauern?

Bei einem gestuften Prozess dauert die minimale Prüfung 2 bis 5 Werktage, die Standardprüfung 10 bis 15 Werktage, die erhöhte 3 bis 6 Wochen. Der IANS-2024-Benchmark von 41 Tagen spiegelt ungestufte Prozesse wider, bei denen Tools mit geringem Risiko in derselben Warteschlange wie solche mit hohem Risiko sitzen. Wenn Ihre erhöhte Prüfung konstant über 8 Wochen dauert, ist der Engpass fast immer die Rechtsmarkierung des DPA, nicht der Sicherheitsfragebogen selbst.

Kann ein SaaS-Vendor SOC 2 überspringen und trotzdem sicher sein?

Frühphasen-Vendor (vor Series A, unter ca. 50 Mitarbeitende) operieren manchmal sicher ohne SOC 2, weil die Prüfungskosten ihr Budget noch nicht freigegeben haben. Für Anwendungsfälle mit geringer Sensitivität kann ein glaubwürdiger Vendor mit ISO 27001, einem veröffentlichten Pen-Test-Summary, einem klaren DPA und einem genannten SOC-2-Zeitplan mit ausgleichenden Vertragsformulierungen akzeptabel sein. Für alles mit Kunden-PII oder regulierten Daten ist „Wir arbeiten an SOC 2" kein Ersatz: Fordern Sie es vor dem Produktionseinsatz und schreiben Sie es als Meilenstein in den Vertrag.

Was ist das größte Warnsignal bei einer Sicherheitsprüfung?

Ein Vendor, der seinen SOC-2-Bericht nicht unter NDA teilen möchte. Das Badge auf der Website ist Marketing; der Bericht ist das Artefakt. Vendor, die mit „Unsere Rechtsabteilung erlaubt nicht, den Bericht zu teilen" ausweichen, vertreten entweder ihre Zertifizierung falsch, haben wesentliche Ausnahmen, die sie Käufern nicht zeigen wollen, oder haben einen Bericht-Scope, der das Produkt, das Sie kaufen, nicht abdeckt. Zweitgrößtes Warnsignal: Weigerung, sich auf eine Datenpannen-Benachrichtigung unter 30 Tagen zu verpflichten.

Wer ist für die Sicherheitsprüfung verantwortlich: IT, Sicherheitsteam oder Rechtsabteilung?

Im Mid-Market (200 bis 2.000 Mitarbeitende) liegt die Sicherheitsprüfung üblicherweise bei IT oder einer kleinen Sicherheitsfunktion, während die Rechtsabteilung DPA und Vertragsmarkierung verantwortet. Die Versagensmodus ist, wenn niemand die Übergabe verantwortet: IT bestätigt die Kontrollen, Rechtsabteilung bestätigt die Bedingungen, aber niemand prüft, ob die Vertragsformulierung das widerspiegelt, was IT verifiziert hat. Weisen Sie einen einzelnen Prüfungsverantwortlichen pro Vendor zu, üblicherweise IT für erhöhte Stufe, Beschaffung für Standard, und machen Sie die Rechtsabteilung zu einem Reviewer, nicht zu einem Gatekeeper.

Sollte ich bereits genehmigte Vendor erneut überprüfen?

Ja, nach einem risikostufenbasierten Rhythmus. Vendor der erhöhten Stufe jährlich (neuer SOC-2-Bericht, aktualisierte Sub-Processor-Liste, Pen-Test-Refresh). Vendor der Standardstufe alle 2 Jahre oder bei Verlängerung. Vendor der minimalen Stufe nur bei wesentlicher Änderung (Übernahme, Regionalexpansion, neues AI-Feature). Ein Vendor, der von einem größeren Unternehmen übernommen wird oder sich in eine neue Datenverarbeitungsregion ausdehnt, sollte unabhängig von der Stufe eine außerplanmäßige Prüfung auslösen.

Weiterführende Artikel