ooligo
DE
English en Español es Português (Brasil) pt-BR 日本語 ja Français fr Deutsch de
Abonnieren
Tools Vergleiche Workflows Stacks Lernen
Branchen
RevOps Legal Ops Recruiting & TA
Sprache
English Español Português (Brasil) 日本語 Français Deutsch
GitHub Abonnieren
ENTRY TYPE · framework

Vendor-Due-Diligence-Workflow

Last updated 2026-05-03 Legal Ops

Vendor Due Diligence ist der Prozess, die Sicherheits-, Datenschutz-, Finanz- und Compliance-Lage eines Drittanbieters vor der Vertragsunterzeichnung zu bewerten — und sie danach regelmäßig neu zu bewerten. In gemeinsamer Verantwortung von Legal Ops, Security, IT und Procurement liegt er zwischen dem Antrag, einen neuen Vendor aufzunehmen, und der eigentlichen MSA-Unterzeichnung. Gut gemacht ist er für das Unternehmen unsichtbar; schlecht gemacht wird er zu einem 90-tägigen Procurement-Engpass.

Der fünfstufige Workflow

StufeVerantwortlichErgebnis
1. IntakeBusiness-AntragstellerVendor-Name, Anwendungsfall, Datentypen, erwarteter ARR
2. TriageProcurement / Legal OpsRisiko-Tier (niedrig / mittel / hoch), erforderliche Diligence-Tiefe
3. Diligence-ErfassungVendorSIG/CAIQ-Fragebogen, SOC-2-Bericht, Versicherungszertifikate, Jahresabschlüsse
4. ReviewSecurity + Legal + ITRisikobefunde, erforderliche Mitigationsmaßnahmen, DPA- und MSA-Bedingungen
5. Genehmigung / UnterzeichnungAbteilungsleiter + ProcurementUnterzeichnetes MSA, Vendor in Vendor-Management-Kadenz aufgenommen

Die Gesamtzykluszeit sollte für Niedrig-Risiko-Vendors 5–15 Werktage und für Hoch-Risiko-Vendors 30–60 Tage betragen. Alles darüber ist ein Prozessfehler, kein Vendor-Fehler.

Risiko-Tiering

Drei oder vier Tiers, basierend auf Datenzugang und Integrationstiefe:

  • Niedrig. Keine personenbezogenen Daten, kein Zugang zu Produktionssystemen, ARR unter 25.000 USD. Beispiele: Marketing-Bildanbieter, einmaliger Design-Contractor. Diligence: Standard-MSA, Vendor-Profil.
  • Mittel. Begrenzte personenbezogene Daten (Mitarbeiternamen/-E-Mails), kein Zugang zu Produktionssystemen, ARR 25.000–250.000 USD. Beispiele: Projektmanagement-Tool, Terminierungssoftware. Diligence: SIG-Lite-Fragebogen, aktueller SOC 2.
  • Hoch. Erhebliche personenbezogene Daten oder Zugang zu Produktionssystemen, ARR 250.000 USD+. Beispiele: CRM, Customer-Support-Plattform, KI-Vendors, die Kundeninteraktionen verarbeiten. Diligence: vollständiger SIG, SOC 2 + Penetrationstest, DPA, Versicherungsnachweis, Finanzprüfung.
  • Kritisch. Kritische Infrastruktur, Zugang zu regulierten Daten, Single Points of Failure. Beispiele: primärer Cloud-Infrastruktur-Provider, Zahlungsabwickler, EHR im Gesundheitswesen. Diligence: vollständiger SIG plus Vor-Ort-Audit, Business-Continuity-Plan, Escrow-Vereinbarung, Executive Sponsor.

Zu niedrig klassifizierte Vendors sind die Quelle der meisten materiellen Vendor-Risikoereignisse. Im Zweifelsfall den höheren Tier wählen.

Was ein SIG / CAIQ enthält

Der Standardized Information Gathering (SIG)-Fragebogen und der Consensus Assessments Initiative Questionnaire (CAIQ) der Cloud Security Alliance sind die zwei dominanten Vendor-Security-Fragebögen. SIG ist breiter (deckt operative, regulatorische, Business-Continuity-Dimensionen ab); CAIQ ist enger und Cloud-fokussiert.

Ein typischer SIG-Lite umfasst 100–200 Fragen zu:

  • Informationssicherheitsrichtlinien und Governance
  • Zugriffskontrolle und Identity Management
  • Verschlüsselung (im Transit, at rest)
  • Incident Response und Breach Notification
  • Business Continuity und Disaster Recovery
  • Subprozessor-Management
  • Personalsicherheit (Hintergrundprüfungen, Schulungen)
  • Anwendungssicherheit (SDLC, Dependency Management)
  • Physische Sicherheit (Rechenzentrum, Büro)
  • Compliance-Attestierungen (SOC 2, ISO 27001, HIPAA, PCI je nach Anwendbarkeit)

Reife Vendors halten auf Anfrage vorab ausgefüllte SIG/CAIQ-Antworten bereit, was die Diligence-Zykluszeit erheblich verkürzt.

Wie man es operationalisiert

  1. Zentralisiertes Intake-Portal. Jede Vendor-Anfrage geht durch ein einziges Formular, nicht durch direkten Kontakt zwischen Business und Vendor. Das Formular erfasst die Daten, die für das Triage benötigt werden.
  2. Auto-Tierung beim Intake. Entscheidungsbaum-Logik routet Niedrig/Mittel/Hoch basierend auf Datentyp, ARR und Integrationstiefe. 10 % der Niedrig-Tier-Klassifizierungen quartalsweise stichprobenartig prüfen.
  3. Vendor-Portal für die Diligence-Erfassung. Der Vendor lädt SIG, SOC 2, Versicherung und Finanzberichte in ein kontrolliertes Portal hoch — nicht per E-Mail.
  4. KI-gestütztes Review. Claude oder Spellbook prüft SIG-Antworten gegen die Standards des Kunden, markiert Lücken und formuliert die Fragenliste zurück an den Vendor. Der menschliche Prüfer konzentriert sich auf Ermessensentscheidungen, nicht auf Textvergleich.
  5. Jährliche Rezertifizierung. Jeder Hoch-Tier-Vendor rezertifiziert jährlich; Mittel-Tier alle zwei Jahre. Subprozessor-Änderungen, SOC-2-Erneuerungen und Versicherungserneuerungen lösen Zwischenreviews aus.

Häufige Fallstricke

  • Diligence als Gatekeeper, nicht als Enabler. Wenn das Ziel zu „Gründe für Ablehnung finden” statt zu „Risiken zum Mitigieren finden” wird, umgeht das Business das Vendor-Management. Procurement-Bypass ist das schlechteste Ergebnis.
  • Kein Tiering — jeder Vendor bekommt den vollständigen SIG. Vergeudet Vendor-Goodwill, verlangsamt einfache Fälle und erhöht die Sicherheit bei schwierigen nicht.
  • Einmalige Diligence ohne Rezertifizierung. Die Lage eines Vendors ändert sich; die vorliegende Diligence veraltet. Nach Vorfällen neu tiern, auch wenn die Rezertifizierung noch nicht fällig ist.
  • Kein Tracking der Mitigationsmaßnahmen. Ein mit Bedingungen akzeptierter Vendor („muss MFA innerhalb von 90 Tagen implementieren”) braucht die Mitigation bis zum Abschluss nachverfolgt. Ohne Tracking sind die Bedingungen Theaterstück.
  • KI-Vendors als Standard behandeln. KI-Vendors stellen neuartige Diligence-Fragen — Verwendung von Trainingsdaten, Aufbewahrung von Modell-Outputs, Prompt-Logging. Standard-SIG deckt das nicht ab; ein KI-spezifisches Addendum hinzufügen.

Weiterführendes

  • DPA-Checkliste — das Datenschutz-Anhang, der für die meisten Vendors erforderlich ist
  • MSA-Redlining-Rubric — der übergeordnete Vertrag, den die Diligence vorbereitet
  • Contract-Review-SOP — der breitere Vertragsprozess rund um das Vendor-Onboarding
  • Was ist Legal Ops? — die Funktion, die Vendor-Diligence in Koordination mit Security verantwortet
Diese Seite auf GitHub bearbeiten