Sicherheitsfragebogen richtig beantworten
Ein praxisnaher 7-Schritte-Prozess für den Mittelstand: von der NIS2-Lieferantenbewertung bis zum klassischen Kunden-Audit — strukturiert statt improvisiert beantwortet. Mit Praxisbeispielen und kostenloser Vorlage.
Kostenlose Vorlage
Eine leere Vorlage für Lieferanten-Sicherheitsfragebögen, um die eigene Antwort-Bibliothek von Grund auf zu strukturieren.
Der 7-Schritte-Prozess
1. Nachweise zentral sammeln, bevor es losgeht
Bevor die Tabelle überhaupt geöffnet wird: Sicherheitsrichtlinie, SOC-2-Bericht oder gleichwertiger Nachweis, Penetrationstest- Zusammenfassung, Liste der Subunternehmer/Auftragsverarbeiter und der Notfallplan gehören an einen zentralen Ort. Für viele mittelständische Unternehmen ist genau das der erste Engpass: Die Antworten wären eigentlich vorhanden, liegen aber verstreut in E-Mails, auf Laufwerken oder nur im Kopf einer einzelnen Person.
2. Eine Antwort-Bibliothek aufbauen statt aus dem Gedächtnis zu tippen
Wer jede Anfrage neu von vorne beantwortet, verliert Zeit, die nicht nötig wäre. Legen Sie eine laufende Sammlung aus Frage und Antwort an, jeweils mit Verweis auf das Nachweisdokument und dem Datum der letzten Prüfung. Kommt der nächste Fragebogen — sei es von einem Kunden oder im Rahmen der NIS2-Lieferantenbewertung — ist ein Großteil bereits beantwortet; es bleibt Abgleich und Bestätigung, nicht das Schreiben von Grund auf.
3. Die eingehende Tabelle zuerst verstehen, dann erst ausfüllen
Fragebögen kommen in sehr unterschiedlichen Formaten: mehrere Tabellenblätter, verbundene Kopfzellen, die eigentliche Fragen-Spalte irgendwo in der Mitte. Bevor die erste Antwort eingetragen wird, sollte klar sein, welche Spalte die Frage enthält und in welchem Format die Antwort erwartet wird (Freitext, Ja/Nein, eine bestimmte Auswahlliste). Nachträgliches Umformatieren ist meist die Ursache, wenn der Export beim Kunden am Ende kaputt aussieht.
4. Antworten auf Basis von Nachweisen formulieren, nicht aus dem Bauchgefühl
Jede Antwort sollte auf das konkrete Dokument und den Abschnitt verweisen, aus dem sie stammt — nicht auf einen allgemeinen Eindruck von „das machen wir eigentlich so“. Das hat zwei Effekte: Ein Prüfer kann die Antwort in Sekunden nachvollziehen, und Lücken werden früh sichtbar, wenn eine Aussage getroffen werden soll, die so gar nicht schriftlich belegt ist.
5. Was nicht belegt ist, offen kennzeichnen — nicht raten
Genau hier liegt der Unterschied zwischen einer schnellen und einer verlässlichen Antwort. Wenn die vorhandenen Nachweise eine Aussage nicht eindeutig stützen, sollte die Frage als „noch zu klären“ markiert werden — statt eine plausibel klingende Antwort zu formulieren, die im Ernstfall nicht standhält. Eine falsche Antwort in einem Sicherheitsfragebogen kann den Auftrag kosten, oder schlimmer: das Vertrauen des Kunden, wenn sie später auffliegt.
6. Jede Antwort durch eine Person gegenprüfen lassen
Egal, wer den ersten Entwurf schreibt — eine Kollegin, eine Vorlage oder ein KI-Assistent: Nichts sollte das Haus verlassen, ohne dass jemand mit echtem Verständnis der eigenen Systeme noch einmal gegenliest. Das ist der wirksamste einzelne Schritt im gesamten Prozess, weil hier veraltete Aussagen, falscher Geltungsbereich oder subtile Fehler auffallen.
7. Geprüfte Antworten zurück in die Bibliothek einpflegen
Ist der Fragebogen exportiert, sollte die Arbeit nicht verpuffen. Die final geprüften Antworten gehören mit Prüfdatum zurück in die Antwort-Bibliothek. Taucht in einem halben Jahr eine fast identische Frage in einem anderen Fragebogen auf — von einem neuen Kunden oder im Rahmen der nächsten NIS2-Bewertung — ist die Antwort bereits da: aktuell, belegt und einsatzbereit.
NIS2 und der Datenresidenz-Aspekt
Viele mittelständische Unternehmen bekommen Sicherheitsanfragen heute nicht mehr nur von einzelnen Kunden, sondern strukturiert über die Lieferkette: Ein größerer Auftraggeber, der selbst unter NIS2 oder DORA fällt, muss seine Zulieferer bewerten — und reicht diese Bewertung als Fragebogen weiter. Ironischerweise wird dabei häufig auch nach dem Verarbeitungsort der eigenen eingesetzten Werkzeuge gefragt. Wer für die Fragebogen-Bearbeitung selbst ein Tool nutzt, das Nachweisdokumente und Antworten in der EU verarbeitet — standardmäßig, nicht nur auf Nachfrage —, muss diesen Punkt nicht gesondert klären.
Drei Beispielantworten im vorsichtigen Stil
Diese Beispiele zeigen ein Muster zum Übertragen auf die eigene Umgebung und die eigenen Nachweise — nicht zum wortgleichen Übernehmen. Entscheidend ist die Struktur: eine konkrete Aussage, ein Verweis auf das belegende Dokument, und ein klarer Hinweis darauf, was diese Aussage nicht abdeckt.
Frage: Werden Daten im Ruhezustand verschlüsselt?
Alle Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt [Beleg: Sicherheitsrichtlinie, Abschnitt 4.2 – Datenverschlüsselung]. Ist ein bestimmtes System oder Backup nicht ausdrücklich von diesem Abschnitt abgedeckt, wird die Aussage nicht einfach übertragen — stattdessen wird der Punkt separat markiert und beim zuständigen System-Owner bestätigt, bevor die Richtlinie entsprechend ergänzt wird.
Frage: Welche Subunternehmer/Auftragsverarbeiter setzen Sie ein, und wie werden wir über Änderungen informiert?
Wir führen eine aktuelle Liste der Auftragsverarbeiter [Beleg: Verzeichnis der Auftragsverarbeiter, vierteljährlich geprüft] und informieren über wesentliche Änderungen gemäß der im Auftragsverarbeitungsvertrag vereinbarten Frist. Fordert der Fragebogen eine längere Vorlauffrist als im Standard-AVV vorgesehen, sollte das explizit angesprochen werden — nicht stillschweigend als „passt schon" behandelt werden.
Frage: Wie sieht Ihr Prozess bei Sicherheitsvorfällen aus, und welche Meldefristen gelten?
Es existiert ein dokumentierter Notfallplan mit definierten Schweregraden [Beleg: Notfallplan, Abschnitt 2 – Einstufung der Schweregrade] und Ziel-Meldefristen je Kategorie. Fragt der Fragebogen nach einer konkreten Zeitangabe, die in der eigenen Richtlinie so nicht steht — etwa „Meldung innerhalb von X Stunden nach bestätigtem Vorfall" —, sollte diese Zahl nicht frei erfunden werden. Erst mit der zuständigen Stelle klären, dann mit der bestätigten Zusage antworten und künftig so zitieren.
Häufige Fragen
Warum bekommen wir als Mittelständler jetzt so viele Fragebögen?+
NIS2, DORA und ähnliche Regulierung verlagern Sicherheitsanforderungen entlang der Lieferkette: Große Auftraggeber müssen ihre Zulieferer bewerten, und diese Bewertung landet als Fragebogen auf Ihrem Tisch — oft unabhängig davon, ob Ihr Unternehmen selbst direkt unter NIS2 fällt. Wer als Lieferant für regulierte Kunden arbeitet, bekommt die Anforderung durchgereicht.
Reicht es, den letzten ausgefüllten Fragebogen wiederzuverwenden?+
Als Ausgangspunkt ja, als vollständige Antwort meist nicht. Prozesse ändern sich, Nachweise veralten, und jeder Fragebogen stellt die Fragen etwas anders. Eine gepflegte Antwort-Bibliothek mit Prüfdatum ist verlässlicher als das letzte fertige Dokument als Vorlage zu kopieren.
Dürfen SIG-Fragen einfach übernommen werden?+
Beim SIG-Fragebogen (Standardized Information Gathering) ist Vorsicht geboten — er ist ein lizenziertes Produkt von Shared Assessments, und Fragen oder Struktur ohne Lizenz zu übernehmen ist ein echtes Risiko. CAIQ (Cloud Security Alliance) und MVSP (Minimum Viable Secure Product) sind dagegen frei nutzbar als Referenzrahmen für die eigene Antwort-Bibliothek.
Warum spielt der Serverstandort der eingesetzten Tools eine Rolle?+
Wenn Sie selbst NIS2-, DORA- oder GDPR-Anforderungen an Ihre Lieferanten weiterreichen müssen, wird häufig auch nach dem Verarbeitungsort der eigenen Werkzeuge gefragt. Ein Tool, das Ihre Nachweisdokumente und Fragebögen standardmäßig in der EU verarbeitet — nicht nur optional auf Anfrage —, macht diese Antwort einfacher, statt sie selbst zum Diskussionspunkt zu machen.
In English: How to Answer Security Questionnaires. Weitere Leitfäden im Guides-Verzeichnis.
Put this process on autopilot
Upload your evidence and your next questionnaire — get cited drafts to review, not answers to blindly trust. Free for your first questionnaire.