Ihr Vertrieb hat den Auftrag im Prinzip. Dann kommt die E-Mail: „Bitte füllen Sie noch kurz unseren Lieferanten-Sicherheitsfragebogen aus.” Anhang: Excel mit 120 Fragen, 30 Tabs, Deadline in fünf Tagen. Deal-Volumen: 95.000 Euro. Der Geschäftsführer öffnet die Datei, liest „Do you have a formal ISMS?” – und geht mental schon dabei, den Auftrag abzusagen. Das ist in neun von zehn Fällen unnötig.
Der Großkonzern will nicht Ihr Zertifikat prüfen. Er will wissen, ob er Sie als Lieferanten einsetzen kann, ohne sich ein Sicherheitsrisiko einzukaufen. Das sind zwei verschiedene Dinge. Ein Zertifikat ist ein effizienter Weg, diese Frage zu beantworten – aber nicht der einzige. Wer saubere Antworten liefert, technische Maßnahmen nachweist und bei Lücken ehrlich ist, besteht den Prozess. Klingt hart, ist aber so: Die meisten GF verlieren den Deal nicht an der Frage, sondern an der Art, wie sie antworten.
Ich habe in den letzten Jahren rund hundert solcher Fragebögen gesehen – mal als Zulieferer selbst, mal als Berater. Das Muster ist fast immer gleich. Unternehmen, die scheitern, scheitern an Formalien: leere Felder, pauschale „Nein”-Antworten, Widersprüche zwischen Fragebogen und Anhang. Nicht an fehlenden Zertifikaten.
Bevor Sie anfangen zu tippen, lohnt ein Blick auf den Absender und das Template. Verschiedene Fragebogen-Formate erwarten unterschiedliche Antwort-Tiefen.
Wenn Sie einen Fragebogen eines Typs sauber ausgefüllt haben, können Sie rund drei Viertel der Antworten für den nächsten wiederverwenden. Deshalb lohnt sich der Aufwand beim ersten Mal.
Einkäufer bei Großkunden haben meistens Quartalsziele für abgeschlossene Supplier-Assessments. Wer unklar antwortet, landet in der Rückfragen-Schleife – und die kostet Wochen. Zwei Fehler sehen wir immer wieder:
Besser: Jedes Feld bekommt eine Antwort. Entweder „Yes” mit Verweis auf ein Dokument, oder „Partially implemented” mit Beschreibung, oder „Planned for [Datum]” mit Roadmap-Verweis.
Jeder Fragebogen zerfällt in fünf Blöcke. Wer die Struktur kennt, beantwortet einen 120-Fragen-Bogen in zwei bis drei Stunden statt in zwei Tagen.
Die folgende Tabelle zeigt Formulierungen, die in der Praxis funktionieren – ohne ISO-Zertifikat. Kopieren Sie sie nicht wörtlich, passen Sie sie an Ihre Realität an. Falsche Angaben sind gefährlicher als fehlende.
| Typische Frage im Fragebogen | Was zu tun ist | Musterantwort |
|---|---|---|
| Do you have a formal Information Security Management System (ISMS)? | Ehrlich, aber strukturiert | ”We operate under documented security policies aligned with BSI IT-Grundschutz principles. Full ISMS formalization per ISO 27001 scope is planned for Q4/2026.” |
| Are backups tested on a regular basis? | Konkret, mit Frequenz | ”Yes. Backups are performed daily via Veeam. Full restore tests are executed monthly; last successful restore test: [Datum]. Evidence available on request.” |
| Do you enforce MFA for all remote access? | Scope präzise benennen | ”MFA is enforced on all VPN, Microsoft 365 and privileged admin accounts via Microsoft Entra Conditional Access. No exceptions are permitted.” |
| Do you perform annual penetration tests? | Ehrlich, wenn kein Pentest stattfindet | ”External penetration test of internet-facing assets is scheduled annually (last: [Datum]). Internal network tested every 24 months. Reports available under NDA.” |
| Do you have documented incident response procedures? | Seitenzahl nennen beruhigt | ”Yes. A written Incident Response Plan (12 pages, last reviewed [Datum]) is in place and covers detection, containment, notification and post-incident review.” |
| Are employees trained on information security? | Mit Kadenz belegen | ”Mandatory security awareness training is conducted annually for all employees, with quarterly phishing simulations. Completion rate Q1/2026: 97 percent.” |
| Do you maintain an asset inventory? | CMDB oder Excel – beides zählt | ”Yes. A centrally maintained asset inventory covers all endpoints, servers and SaaS applications. Reviewed quarterly.” |
| Do you have a vulnerability management process? | Prozess und Tooling nennen | ”Automated vulnerability scanning runs weekly (Qualys / Nessus). Critical findings are remediated within 14 days, high within 30 days. SLA documented in internal Patch Management Policy.” |
| Do you encrypt data at rest? | Scope exakt angeben | ”All workstations and servers use full-disk encryption (BitLocker / LUKS). Database-level encryption is active for all customer data stores. Backup media encrypted with AES-256.” |
| Do you perform annual security awareness training? | Mit Nachweis | ”Yes. Annual training completion is tracked via LMS. Q1/2026 completion rate: 97 percent. Training plan available on request.” |
Wer im Lieferanten-Fragebogen Maßnahmen als „implementiert" angibt, die nicht existieren, riskiert zweierlei: bei einem späteren Sicherheitsvorfall Schadensersatzforderungen wegen arglistiger Täuschung (§ 123 BGB) – und gleichzeitig den Verlust des Cyber-Versicherungsschutzes, weil Falschangaben im Risikofragebogen zur Leistungsfreiheit führen können. Wo eine Kontrolle fehlt, immer „Planned" oder „Partially implemented" wählen. Ehrlichkeit gewinnt diesen Deal häufiger als Schönfärberei.
„Planned for Q4/2026” ist eine legitime Antwort – wenn Sie wirklich einen Plan haben. Einkäufer akzeptieren Lücken, wenn sie sehen: Das Unternehmen weiß, wo es steht, und hat einen Weg definiert. Nicht akzeptabel ist ein Pauschal-„Planned”, das sich durch den gesamten Fragebogen zieht. Das ist offensichtlich Platzhalter-Text und wirkt unseriös. Faustregel: Maximal 15 Prozent Ihrer Antworten dürfen „Planned” sein, und jede davon braucht ein konkretes Quartal und einen internen Verantwortlichen.
Wer seinen Reifegrad belastbar einordnen will, startet mit einer strukturierten Sicherheitsbewertung oder einem Risikoregister nach BSI-Logik. Beides sind gleichzeitig Nachweise, die Sie später dem Einkäufer schicken können.
Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER – Der IT-Sicherheits-Guide für den deutschen Mittelstand” (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →
Wir haben Mandanten, die sitzen seit drei Tagen an einem 120-Fragen-Excel und sind überzeugt, der Deal ist weg. Dann gehen wir das Ding gemeinsam in zwei Stunden durch – und am Ende gewinnen sie den Auftrag. Ohne Zertifikat, nur mit sauberen Antworten und den richtigen Dokumenten. Der Unterschied ist nicht, was Sie haben. Der Unterschied ist, was Sie aufschreiben können.
Jens HagelIT-Sicherheitsexperte bei frag.hugo
Irgendwann kommt der Punkt, an dem Sie den dritten Fragebogen in einem Quartal ausfüllen, und die Fragen werden immer detaillierter. Dann ist die Zeit reif für den Sprung zur formellen Zertifizierung. Unsere Faustregeln aus der Beratungspraxis:
Darunter lohnen sich die formalen Wege selten. Besser: Ein sauber aufgebautes ISMS nach BSI-Grundschutz-Basis, ein ordentliches IT-Sicherheitskonzept und ein dokumentiertes Security-Awareness-Programm. Damit bestehen Sie 80 Prozent aller Lieferanten-Assessments – und haben die Grundlage, falls die Zertifizierung später nötig wird. Wer seine Lieferanten-Compliance systematisch managen will, findet in unserem Beitrag zu IT-Sicherheits-Compliance den passenden Rahmen.
Der nächste Enterprise-Fragebogen kommt. Spätestens mit NIS2 und den kaskadierenden Lieferanten-Anforderungen wird es zum Regelprozess. Sie haben zwei Optionen: bei jedem neuen Kunden in Panik vier Tage verbrennen – oder einmal eine saubere Antwort-Bibliothek aufbauen und danach in zwei Stunden antworten. Wir helfen beim zweiten Weg.
Nächster Fragebogen steht an? Mit Hugo Shield bereiten wir Sie auf Lieferanten-Audits vor, strukturieren Ihre Antwort-Bibliothek und schließen die Lücken, die im Audit auffallen würden. 15-Minuten-Erstgespräch: Termin buchen.
Inhaltsverzeichnis
Welche ISMS-Software passt für 50–250-MA-Mittelstand? verinice (Open Source), opus i (BSI), secjur (Premium), Hugo (Sweet-Spot). Praxis-Vergleich + Pricing.
Weiterlesen
VVT und ISMS getrennt zu pflegen kostet 80 % Doppel-Aufwand. Wie eine Cross-Modul-Bridge Asset-Vorschläge, Schutzbedarf und Lieferanten-Risiko automatisiert ableitet.
Weiterlesen
Datenschutzschulung planen: So erreichen Sie Mitarbeiter wirklich — mit Schulungsplan, Praxistipps und Hinweisen für Hamburger Unternehmen.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
