SaaS-Sicherheit: Was KMU prüfen sollten (Checkliste)

SaaS-Sicherheit: Was KMU prüfen sollten (Checkliste)

12 Sicherheitsfragen, die jedes KMU vor dem Kauf eines SaaS-Tools stellen sollte – von ISO 27001 bis zum Datenspeicherort.

22.01.2025

Doğan Ucar
Doğan Uçar
Geschäftsführer

Wenn Sie ein SaaS-Tool einführen, vertrauen Sie dem Anbieter Ihre Unternehmensdaten an. Doch wie sicher sind diese Daten wirklich? Viele KMU prüfen bei der SaaS-Auswahl nur Funktionen und Preis – die Sicherheit wird stillschweigend vorausgesetzt. Diese Checkliste mit 12 Fragen hilft Ihnen, SaaS-Sicherheit systematisch zu bewerten.

Die 12-Punkte-Sicherheitscheckliste

  1. Zertifizierungen: Verfügt der Anbieter über ISO 27001, SOC 2 oder vergleichbare Sicherheitszertifizierungen?
  2. Datenspeicherort: Wo werden Ihre Daten gespeichert? EU oder außerhalb? Gibt es die Möglichkeit, den Speicherort zu wählen?
  3. Verschlüsselung: Sind Daten sowohl bei der Übertragung (TLS 1.2+) als auch im Ruhezustand (at rest) verschlüsselt?
  4. Zugriffsmanagement: Unterstützt das Tool Multi-Faktor-Authentifizierung (MFA), Single Sign-On (SSO) und rollenbasierte Zugriffskontrolle?
  5. Audit-Logs: Werden alle Zugriffe und Änderungen protokolliert? Sind die Logs für Sie einsichtbar?
  6. Datenlöschung: Was passiert mit Ihren Daten nach Vertragsende? Werden sie vollständig gelöscht? Gibt es einen Datenexport?
  7. SLA und Verfügbarkeit: Welche Verfügbarkeit garantiert der Anbieter? Was passiert bei Nichteinhaltung?
  8. Backups: Wie oft werden Backups erstellt? Wie schnell kann im Ernstfall wiederhergestellt werden?
  9. Penetrationstests: Führt der Anbieter regelmäßig externe Penetrationstests durch? Sind die Ergebnisse einsehbar?
  10. Auftragsverarbeitung: Bietet der Anbieter einen AVV (Auftragsverarbeitungsvertrag) gemäß DSGVO Art. 28 an?
  11. Subunternehmer: Welche Subunternehmer verarbeiten Ihre Daten? Haben Sie ein Widerspruchsrecht bei neuen Subunternehmern?
  12. Incident Response: Wie schnell informiert der Anbieter bei einem Sicherheitsvorfall? Gibt es einen dokumentierten Incident-Response-Plan?

Bewertungsschema: Ergebnis interpretieren

ErgebnisBewertungEmpfehlung
10-12 Punkte erfülltSehr gutTool kann bedenkenlos eingesetzt werden
7-9 Punkte erfülltAkzeptabelFehlende Punkte vertraglich regeln
4-6 Punkte erfülltBedenklichNur für unkritische Daten verwenden
0-3 Punkte erfülltUngenügendNicht verwenden

Besondere Vorsicht bei sensiblen Daten

Wenn Ihr SaaS-Tool personenbezogene Daten, Gesundheitsdaten, Finanzdaten oder Geschäftsgeheimnisse verarbeitet, gelten verschärfte Anforderungen. In diesen Fällen sollten Sie mindestens 10 der 12 Punkte mit Ja beantworten können. Andernfalls riskieren Sie DSGVO-Verstöße und Vertrauensverlust bei Kunden.

Wir unterstützen KMU bei der Bewertung von SaaS-Sicherheit im Rahmen unserer IT-Security-Reviews und Audits. Kontaktieren Sie uns für eine professionelle Einschätzung Ihrer SaaS-Landschaft.

Fazit

SaaS-Sicherheit ist kein Nice-to-have, sondern eine Grundvoraussetzung. Mit unserer 12-Punkte-Checkliste können Sie die Sicherheit jedes SaaS-Anbieters systematisch bewerten und fundierte Entscheidungen treffen. Investieren Sie 30 Minuten in die Prüfung – es schützt Ihr Unternehmen vor teuren Überraschungen.

Jetzt Anfragen!