VendorKlar
Leitfaden

Vendor Assessment: Der vollständige Leitfaden für 2026

Wie Sie Vendoren systematisch bewerten: Von der Erstprüfung über Zertifikate bis zum kontinuierlichen Monitoring. Mit Checklisten und Best Practices.

VRVendorKlar Redaktion
Veröffentlicht: 20. Januar 2026
5 Min. Lesezeit

Vendor Assessments sind keine Option mehr – sie sind Pflicht. ISO 27001, SOC 2, DSGVO und NIS2 verlangen systematische Lieferantenbewertungen. Dieser Leitfaden zeigt, wie Sie Vendor Assessments effizient und compliant durchführen.

Was ist ein Vendor Assessment?

Ein Vendor Assessment ist die systematische Bewertung eines Lieferanten hinsichtlich:

  • Security – Wie schützt der Vendor Daten und Systeme?
  • Compliance – Welche Standards und Zertifizierungen hat er?
  • Datenschutz – Wie werden personenbezogene Daten verarbeitet?
  • Kontinuität – Wie stabil ist der Vendor als Geschäftspartner?
Warum Vendor Assessments?

Ihre Security ist nur so stark wie Ihr schwächstes Glied. Wenn ein Vendor kompromittiert wird, sind Ihre Daten betroffen – unabhängig von Ihrer eigenen Security-Posture.

Wann sind Vendor Assessments erforderlich?

Regulatorische Anforderungen

RegulationAnforderung
DSGVO Art. 28Auftragsverarbeiter müssen "hinreichende Garantien" bieten
ISO 27001 A.15Lieferantenbeziehungen müssen gemanagt werden
SOC 2 CC9.2Vendor Risk Management Kontrollen
NIS2Sicherheit der Lieferkette bewerten

Business-Anforderungen

  • Kundenanfragen – Enterprise-Kunden fragen nach Ihrem Vendor Management
  • Risikomanagement – Abhängigkeiten verstehen und steuern
  • Due Diligence – Vor Vertragsabschluss Risiken identifizieren

Der Vendor Assessment Prozess

Phase 1: Kategorisierung

Nicht jeder Vendor braucht das gleiche Assessment. Kategorisieren Sie nach:

Risiko-basierte Kategorien:

KategorieKriterienAssessment-Tiefe
KritischZugang zu sensiblen Daten, systemrelevantVolle Due Diligence
HochPersonenbezogene Daten, wichtige ProzesseStandardassessment
MittelIndirekte DatenverarbeitungKurzassessment
NiedrigKein Datenzugang, leicht ersetzbarBasis-Check

Phase 2: Informationsbeschaffung

Typische Dokumente für ein Vendor Assessment:

  1. Fragebögen

    • SIG (Shared Assessments Standard Information Gathering)
    • CAIQ (Consensus Assessment Initiative Questionnaire)
    • Individuelle Fragebögen (ISO 27001-basiert)

  2. Zertifikate

    • ISO 27001
    • SOC 2 Type II
    • ISO 9001
    • Branchenspezifisch (PCI-DSS, TISAX, etc.)

  3. Dokumentation

    • Security Policy
    • DPA (Auftragsverarbeitungsvertrag)
    • Incident Response Plan
    • Business Continuity Plan

Phase 3: Analyse

Die Analyse umfasst:

Zertifikats-Prüfung:

  • Ist das Zertifikat gültig (Ablaufdatum)?
  • Deckt der Scope den genutzten Service ab?
  • Wer ist der Auditor (akkreditiert)?

Fragebogen-Auswertung:

  • Welche Kontrollen sind implementiert?
  • Wo gibt es Lücken oder Schwächen?
  • Sind die Antworten plausibel und vollständig?

DPA-Review:

  • Entspricht der DPA DSGVO Art. 28?
  • Sind Sub-Prozessoren aufgeführt?
  • Sind Löschfristen definiert?
Zeitaufwand beachten

Ein vollständiges manuelles Assessment dauert 4-8 Stunden pro Vendor. Bei 50+ Vendoren pro Jahr wird das schnell zum Bottleneck.

Phase 4: Risikobewertung

Basierend auf der Analyse:

BewertungBedeutungAktion
GrünAkzeptables RisikoFreigabe, dokumentieren
GelbModerate RisikenMitigationsmaßnahmen definieren
RotKritische LückenEskalation, ggf. ablehnen

Phase 5: Dokumentation

Für Audit-Zwecke dokumentieren:

  • Wer hat bewertet (Name, Rolle)
  • Wann wurde bewertet (Datum, Version)
  • Was wurde geprüft (Dokumentenliste)
  • Ergebnis (Bewertung, Begründung)
  • Maßnahmen (bei Gelb/Rot)
  • Nächste Prüfung (Review-Datum)

Phase 6: Kontinuierliches Monitoring

Ein Assessment ist eine Momentaufnahme. Für kontinuierliche Compliance:

  • Jährliche Re-Assessments für kritische Vendoren
  • Zertifikats-Tracking (Ablaufdaten überwachen)
  • Change Management (bei Scope-Änderungen neu bewerten)
  • Incident Monitoring (Vendor-Breaches verfolgen)

Vendor Assessment Checkliste

Vor dem Assessment

  • Vendor kategorisiert (Kritisch/Hoch/Mittel/Niedrig)
  • Fragebogen angefordert (SIG/CAIQ/Individual)
  • Zertifikate angefordert
  • DPA angefordert
  • Verantwortlicher definiert
  • Deadline gesetzt

Während des Assessments

  • Zertifikate auf Gültigkeit geprüft
  • Scope der Zertifikate validiert
  • Fragebogen vollständig ausgewertet
  • Kritische Kontrollen identifiziert
  • Sub-Prozessoren dokumentiert
  • DPA auf DSGVO-Konformität geprüft

Nach dem Assessment

  • Risikobewertung abgeschlossen
  • Dokumentation vollständig
  • Bei Gelb/Rot: Maßnahmen definiert
  • Review-Termin gesetzt
  • Stakeholder informiert

Häufige Fehler vermeiden

1. Nur Zertifikate prüfen

Zertifikate sind wichtig, aber nicht ausreichend:

  • Der Scope kann den genutzten Service ausschließen
  • Zertifikate zeigen den Status zum Audit-Zeitpunkt
  • Nicht alle Risiken werden durch Standards abgedeckt

2. Einmalige Prüfung

Security ist ein kontinuierlicher Prozess. Jährliche Re-Assessments sind Minimum.

3. Keine Kategorisierung

Nicht jeder Vendor braucht dasselbe Assessment. Ressourcen gezielt einsetzen.

4. Fehlende Dokumentation

Ohne Audit-Trail ist das Assessment wertlos für Compliance-Nachweise.

5. Keine Eskalation

Gelbe und rote Bewertungen müssen Konsequenzen haben. Sonst ist das Assessment Theater.

Tools für Vendor Assessments

Manuelle Ansätze

  • Excel – Flexibel, aber nicht skalierbar
  • SharePoint – Dokumentenablage, keine Analyse
  • E-Mail – Funktioniert, aber chaotisch

Spezialisierte Tools

  • VendorKlar – KI-gestützte Fragebogen-Auswertung
  • OneTrust – Enterprise GRC Suite
  • Vanta – Compliance Automation (eigene Compliance + Vendor Risk)
  • SecurityScorecard – Externes Monitoring

Hybrid-Ansatz

Die meisten Teams kombinieren:

  1. VendorKlar für schnelle Fragebogen-Analyse
  2. Excel/Notion für die Gesamtübersicht
  3. GRC-Tool für Enterprise-Governance (optional)

Metriken für erfolgreiches Vendor Management

MetrikBenchmarkIhr Ziel
Assessment-Durchlaufzeit< 5 Tage_ Tage
Assessment-Coverage100% kritische Vendoren_ %
Re-Assessment-Rate100%/Jahr (kritisch)_ %
Offene Maßnahmen< 5% der Vendoren_ %
Abgelaufene Zertifikate0_

Fazit

Vendor Assessments sind keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess:

  1. Kategorisieren – Risiko-basierte Priorisierung
  2. Sammeln – Fragebögen, Zertifikate, DPAs
  3. Analysieren – Systematisch und dokumentiert
  4. Bewerten – Ampel-System mit klaren Konsequenzen
  5. Überwachen – Kontinuierliches Tracking

Der größte Fehler: Vendor Assessments als bürokratische Pflicht zu sehen. Sie sind ein echtes Risikomanagement-Instrument.

Vendor Assessments beschleunigen

VendorKlar analysiert Vendor-Fragebögen in Minuten statt Stunden. Testen Sie kostenlos mit 3 Assessments pro Monat.

Kostenlos starten
Stand: Januar 2026
© 2026 VendorKlar
Vendor Assessment Leitfaden 2026: Systematische Vendor-Bewertung | VendorKlar Ressourcen