Die ultimative SaaS-Sicherheits-Checkliste zur Bewertung jeder Plattform

In der heutigen SaaS-Landschaft ist Sicherheit kein technischer Nebengedanke mehr. Käufer müssen wachsam sein und sich mit den angegebenen Sicherheitsfunktionen und Compliance-Angaben einer Software auskennen.

Sehen Sie sich die Umfrage „Software Buying Trends 2025“ von Gartner an, die die wachsende Bedeutung von Sicherheit verdeutlicht. Die Zahl der Käufer, die das Management und die Vermeidung von Sicherheitsbedrohungen als zentrale geschäftliche Herausforderung nennen, stieg gegenüber dem Vorjahr um 46 Prozent. Die Minderung von Sicherheitslücken ist inzwischen das wichtigste Anliegen beim Softwarekauf.

Es spielt keine Rolle mehr, wie funktionsreich oder benutzerfreundlich eine Plattform ist. Wenn sie nicht sicher ist, werden Käufer nicht weitermachen.

Für Organisationen, die kein Cybersecurity-Spezialisten im Beschaffungsteam haben, wird es zunehmend entscheidend zu verstehen, welche Sicherheitsstandards wirklich zählen – und welche Aussagen nur Marketing-Gerede sind.

Wir haben eine umfassende SaaS-Sicherheits-Checkliste zusammengestellt, damit Sie den Lärm ausblenden können. Ob Sie eine Awards-Management-Software oder eine beliebige Cloud-Plattform prüfen: Diese Ressource hilft Ihnen zu verstehen, welche Cybersecurity-Funktionen Sie benötigen, was die Terminologie bedeutet und wie Sie jeden SaaS-Anbieter sicher bewerten.

Die ultimative SaaS-Sicherheits-Checkliste

Nutzen Sie die folgende Checkliste als praktischen Rahmen für die Bewertung jeder Plattform.

1. Datenverschlüsselung

Worauf Sie achten sollten: Verschlüsselung schützt Ihre Daten davor, von unbefugten Dritten gelesen zu werden – sowohl während der Übertragung als auch im Ruhezustand in einem Datenspeicher.

• Verschlüsselung bei der Übertragung: Alle Daten, die zwischen Systemen übertragen werden, sollten mit TLS 1.2 oder höher geschützt sein (TLS 1.3 ist der aktuelle Goldstandard). Achten Sie auf HTTPS auf jeder Seite und bei jeder Interaktion.
• Verschlüsselung im Ruhezustand: Auch Daten, die in den Datenbanken und Speicherdiensten der Plattform abgelegt sind, sollten verschlüsselt sein. AES-256 ist der Branchen-Benchmark.
• Zertifikatsintegrität: Mit SHA-256 signierte Zertifikate bieten eine zusätzliche Sicherheitsebene.

Warum das wichtig ist: Unverschlüsselte Daten während der Übertragung sind anfällig für Abfangen. Unverschlüsselte Daten im Ruhezustand können bei einem Sicherheitsvorfall offengelegt werden. Beides ist für Plattformen, die sensible Einreichungen, persönliche Daten oder kommerziell vertrauliche Informationen verarbeiten, inakzeptabel.

Mehr erfahren: Award Force schützt alle Daten bei der Übertragung mit TLS 1.3 sowie AES-256-Bit-Verschlüsselung und SHA-256-signierten Zertifikaten. Alle Daten im Ruhezustand werden standardmäßig verschlüsselt gespeichert. Erfahren Sie mehr über unseren Datenschutz.

2. Zugriffskontrollen und User-Berechtigungen

Worauf Sie achten sollten: Ein robustes rollenbasiertes Zugriffskontrollsystem (RBAC) stellt sicher, dass jeder User nur das sehen und tun kann, was er soll – und nichts darüber hinaus.

• Granulare, konfigurierbare User-Rollen (z. B. Administrator, Manager, Juror, Teilnehmende)
• Möglichkeit, den Zugriff auf bestimmte Daten, Module oder Funktionen rollenbasiert einzuschränken
• Audit-Trails, die protokollieren, wer wann auf was zugegriffen hat
• Kein Zugriff über unsichere Protokolle wie FTP

Warum das wichtig ist: Zu weit gefasste Zugriffsrechte sind eine der häufigsten Ursachen für interne Datenoffenlegung. Ob versehentlich oder böswillig: Das Risiko, dass ein User auf Daten außerhalb seines Zuständigkeitsbereichs zugreift, sollte durch das Design minimiert werden – nicht allein durch Vertrauen. Beim Einrichten von Rollen und Berechtigungen ist es wichtig, das Prinzip „Need to know“ zu berücksichtigen.

Mehr erfahren: Lesen Sie mehr über unsere granularen Kontrollen für User-Rollen und Berechtigungen.

3. Multi-Faktor-Authentifizierung (MFA)

Worauf Sie achten sollten: MFA fügt über ein Passwort hinaus eine zweite Ebene der Identitätsprüfung hinzu, z. B. einen Einmalcode, der an ein Mobilgerät gesendet oder von einer Authenticator-App generiert wird.

• MFA für alle User-Typen verfügbar
• Option, MFA organisationsweit zu erzwingen
• Unterstützung für gängige Authenticator-Apps (z. B. Google Authenticator, Microsoft Authenticator)

Warum das wichtig ist: Passwörter werden regelmäßig durch Phishing, Credential Stuffing oder Datenlecks kompromittiert. MFA reduziert das Risiko unbefugten Zugriffs erheblich – selbst wenn ein Passwort gestohlen wurde.

Mehr erfahren: Governance, Risk and Control: Integrierte Schutzmaßnahmen in Award-Programmen

4. Infrastruktur- und Hosting-Sicherheit

Worauf Sie achten sollten: Wo Ihre Daten liegen und wie diese Infrastruktur abgesichert ist, ist von enormer Bedeutung.

• Hosting bei einem renommierten, unternehmensgerechten Anbieter (z. B. Amazon Web Services, Microsoft Azure, Google Cloud)
• Server, die innerhalb einer Virtual Private Cloud (VPC) abgesichert sind
• SSH-Schlüsselbasierte Authentifizierung für Serverzugriff (keine Passwörter)
• VPN-kontrollierter Zugriff nur für autorisierte Mitarbeitende
• Klare Optionen zur Datenresidenz: Sie sollten wissen, in welchem Land oder welcher Region Ihre Daten gespeichert werden

Warum das wichtig ist: Cloud-Infrastruktursicherheit ist grundlegend. Plattformen, die auf gut konzipierten, unternehmensgerechten Cloud-Umgebungen basieren, übernehmen wesentliche Sicherheitskontrollen. Ebenso wichtig ist die Datenresidenz: Vorschriften wie GDPR, CCPA und Australiens Privacy Principles legen fest, wo Daten gespeichert werden dürfen und wo nicht.

Mehr erfahren: Datenresidenz: Was Sie wissen müssen

5. Zertifizierungen und unabhängige Audits

Hier werden Marketingaussagen bestätigt – oder entlarvt. Seriöse Cybersecurity-Zertifizierungen erfordern eine unabhängige Prüfung durch Dritte; sie können nicht einfach selbst erklärt werden.

Wichtige Zertifizierungen, nach denen Sie fragen sollten:

• ISO 27001 — Ein international anerkannter Standard für Informationssicherheits-Managementsysteme. Erfordert umfassende interne und externe Audits der Sicherheitsrichtlinien, Prozesse und Kontrollen einer Organisation.
• SOC 2 Type II — Ein Standard des American Institute of Certified Public Accountants (AICPA), der die Sicherheit, Verfügbarkeit und Vertraulichkeit einer Plattform über einen längeren Zeitraum (typischerweise sechs bis zwölf Monate) prüft. Type II ist strenger als Type I, der Kontrollen nur zu einem einzelnen Zeitpunkt bewertet.
• Cyber Essentials — Eine von der britischen Regierung unterstützte Zertifizierung unter Aufsicht des National Cyber Security Centre (NCSC). Sie bestätigt, dass eine Organisation grundlegende Cybersecurity-Schutzmaßnahmen umgesetzt hat, und unterliegt einer jährlichen Neubewertung.
• PCI DSS — Der Payment Card Industry Data Security Standard. Erforderlich für jede Plattform, die Kreditkartenzahlungen verarbeitet. Fragen Sie nach einem aktuellen Attestation-Zertifikat.
• HIPAA — Der US Health Insurance Portability and Accountability Act. Relevant, wenn die Plattform gesundheitsbezogene personenbezogene Daten verarbeitet. Achten Sie auf ein unterzeichnetes Business Associate Agreement (BAA).

Profi-Tipp: Fragen Sie nicht nur, ob ein Anbieter eine Zertifizierung hat – lassen Sie sich das Zertifikat zeigen. Seriöse Anbieter veröffentlichen herunterladbare Zertifikate auf ihren Sicherheits- oder Trust-Seiten. Wenn sie keine Dokumentation bereitstellen können oder wollen, werten Sie das als Warnsignal. Seien Sie außerdem vorsichtig, wenn Anbieter behaupten, ISO- oder SOC2-zertifiziert zu sein, tatsächlich aber nur ihr Hosting-Partner (AWS, Azure usw.) diese Zertifizierung besitzt.

Mehr erfahren: Award Force verfügt über alle oben genannten Zertifizierungen, darunter ISO 27001, SOC 2 Type II, Cyber Essentials, PCI DSS und HIPAA-Compliance – jeweils mit herunterladbaren Zertifikaten. Besuchen Sie unser Trust Centre.

6. Einhaltung von Datenschutzgesetzen

Worauf Sie achten sollten: Je nachdem, wo Ihre User ansässig sind, kann Ihre Organisation einer oder mehreren Datenschutzvorschriften unterliegen.

• GDPR (General Data Protection Regulation) — Gilt für jede Organisation, die personenbezogene Daten von Personen in der EU oder im Vereinigten Königreich verarbeitet
• CCPA (California Consumer Privacy Act) — Gilt für Organisationen, die Daten von Einwohnern Kaliforniens verarbeiten
• LGPD (Lei Geral de Proteção de Dados) — Brasiliens Datenschutzgesetz
• APP (Australian Privacy Principles) — Australiens föderaler Datenschutzrahmen
• Ein veröffentlichtes Data Protection Addendum (DPA) oder eine gleichwertige vertragliche Verpflichtung
• Eine Liste der Subprozessoren

Warum das wichtig ist: Ein Anbieter, der in Ihrem Auftrag personenbezogene Daten verarbeitet, wird in den meisten Datenschutzrahmen zu Ihrem Auftragsverarbeiter. Diese Beziehung muss durch einen formellen Vertrag geregelt sein. Wenn ein Anbieter kein DPA vorlegen kann, ist er wahrscheinlich nicht in der Lage, Ihre Compliance-Verpflichtungen zu unterstützen.

Mehr erfahren: Award Force GDPR-Funktionalität

7. Passwortrichtlinien und Zugangsdaten-Sicherheit

Worauf Sie achten sollten: Selbst mit MFA bleibt gute Passwort-Hygiene eine entscheidende Verteidigungslinie.

• Durchgesetzte Mindestanforderungen an die Passwortlänge (12 Zeichen oder mehr sind Best Practice)
• Passwörter werden mittels Einweg-Hashing gespeichert – das bedeutet, das ursprüngliche Passwort kann niemals gelesen oder wiederhergestellt werden
• Keine Speicherung von Passwörtern im Klartext
• Sichere Mechanismen zum Zurücksetzen von Passwörtern

Warum das wichtig ist: Schwache oder unsachgemäß gespeicherte Passwörter gehören zu den am häufigsten ausgenutzten Schwachstellen bei SaaS-Sicherheitsvorfällen. Der Umgang eines Anbieters mit Zugangsdaten spiegelt die Strenge seiner gesamten Sicherheitskultur wider.

8. Schwachstellen- und Penetrationstests

Worauf Sie achten sollten: Sicherheit ist kein einmaliger Erfolg; sie erfordert kontinuierliche Wachsamkeit.

• Regelmäßige automatisierte Sicherheits-Scans
• Regelmäßige Risikobewertungen
• Penetrationstests durch Dritte (Pen Testing), um Schwachstellen zu finden, bevor Angreifer es tun
• Ein klarer Prozess zum Patchen von Schwachstellen, sobald sie entdeckt werden
• Programme zur Offenlegung von Schwachstellen, damit ethische Hacker diese verantwortungsvoll melden können

Warum das wichtig ist: Der IBM Cost of a Data Breach Report zeigt immer wieder, dass Organisationen, die Sicherheitsvorfälle schnell erkennen und eindämmen, deutlich geringere Kosten haben. Ein Anbieter, der sich zu regelmäßigen Tests und Patches verpflichtet, zeigt proaktive statt reaktive Sicherheitsgewohnheiten.

9. Incident Response und Benachrichtigung bei Sicherheitsvorfällen

Worauf Sie achten sollten: Selbst die sichersten Plattformen sind nicht immun gegen Vorfälle. Entscheidend ist, wie schnell und transparent ein Anbieter reagiert.

• Ein dokumentierter Incident-Response-Plan
• Unverzügliche Benachrichtigung der Account-Inhaber im Falle eines Sicherheitsvorfalls oder Datenlecks
• Transparente Kommunikation über Art, Umfang und Behebung eines Vorfalls
• Eine öffentliche Statusseite, die die Systemverfügbarkeit in Echtzeit anzeigt
• Schulungs- und Testpraktiken für Vorfälle.

Warum das wichtig ist: Unter GDPR müssen Organisationen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden über ein Datenleck informieren. Der Benachrichtigungsprozess eines Anbieters wirkt sich direkt darauf aus, ob Sie diese Verpflichtung erfüllen können. Fragen Sie konkret: „Wenn Sie einen Vorfall hätten, der meine Daten betrifft – wie schnell würden Sie mich informieren und welche Informationen würden Sie bereitstellen?“

10. Zahlungssicherheit

Worauf Sie achten sollten: Wenn die Plattform kostenpflichtige Einreichungen, Registrierungen oder Transaktionen jeglicher Art verarbeitet, erfordert Zahlungssicherheit besondere Aufmerksamkeit.

• Integration mit renommierten Zahlungs-Gateways von Drittanbietern (z. B. Stripe, PayPal)
• Keine Speicherung von Kreditkartendaten in den eigenen Datenbanken der Plattform
• Aktuelles PCI DSS Attestation-Zertifikat

Warum das wichtig ist: Das Speichern von Kartendaten ist ein erhebliches Haftungsrisiko. Der sicherste Ansatz ist, dass eine Plattform Zahlungsdaten direkt an ein zertifiziertes Zahlungs-Gateway weiterleitet und sie niemals selbst speichert. Vergewissern Sie sich, dass dies der Fall ist.

11. Audit-Logs und Transparenz

Worauf Sie achten sollten: Ein Audit-Log ist ein unveränderbares, zeitgestempeltes Protokoll der innerhalb einer Plattform ausgeführten Aktionen. Es ist essenziell für Verantwortlichkeit, Compliance und die Untersuchung von Vorfällen.

• Umfassender, unveränderbarer Audit-Trail über die gesamte Plattform
• Aufbewahrung der Logs über einen sinnvollen Zeitraum
• Für Administratoren nahezu in Echtzeit zugänglich

Warum das wichtig ist: Im Falle eines Streitfalls, eines Sicherheitsvorfalls oder einer Compliance-Prüfung liefern Audit-Logs überprüfbare Nachweise. Gerade bei Award-Programmen, bei denen die Integrität von Juryentscheidungen überprüft werden kann, dient ein vollständiger Audit-Trail zudem als starkes Vertrauenssignal.

Mehr erfahren: Audit-Logs in Award Force

12. Datensicherung und Wiederherstellung

Worauf Sie achten sollten: Resilienz ist genauso wichtig wie Sicherheit. Eine Plattform muss sich nach Hardwareausfällen, versehentlichen Löschungen oder Ransomware-Angriffen schnell wiederherstellen können.

• Regelmäßige automatisierte Datensicherungen
• Verschlüsselte Backups, die geografisch getrennt gespeichert werden
• Dokumentierte Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
• Regelmäßig getestete Wiederherstellungsverfahren

Warum das wichtig ist: Cybersecurity für SaaS-Anwendungen dient sowohl der Vermeidung von Sicherheitsvorfällen als auch der Sicherstellung der Kontinuität. Ein Award-Programm mit kritischem Zeitplan kann sich keine Ausfallzeiten von mehreren Tagen leisten.

13. Sichere Integrationen und API-Sicherheit

Worauf Sie achten sollten: Die meisten modernen SaaS-Plattformen verbinden sich über APIs und Integrationen mit anderen Tools. Jede Verbindung ist eine potenzielle Angriffsfläche.

• Eine verfügbare Liste von Integrationen und Subprozessoren von Drittanbietern
• API-Zugriff über Authentifizierungs-Tokens gesteuert, nicht über offenen Zugriff
• Regelmäßige Überprüfung und Aktualisierung der Integrationssicherheit
• Keine unnötige Datenweitergabe an Dritte

Warum das wichtig ist: Eine Plattform kann isoliert betrachtet sehr sicher sein und dennoch Ihre Daten über eine schlecht abgesicherte Integration offenlegen. Bitten Sie Anbieter um eine Bestätigung, wie Verbindungen zu Drittanbietern authentifiziert und auditiert werden.

So nutzen Sie diese Checkliste bei der Anbieterbewertung

Das Zusammenstellen der obigen Checkliste ist nur der erste Schritt. So setzen Sie sie im Beschaffungsprozess effektiv ein.

Verlangen Sie Dokumentation, nicht nur Behauptungen. Jeder Anbieter kann auf einer Webseite schreiben: „Wir nehmen Sicherheit ernst“. Fragen Sie nach herunterladbaren Zertifikaten, veröffentlichten DPAs und Links zu unabhängigen Audit-Berichten. Seriöse Anbieter teilen diese gern.

Achten Sie auf eine eigene Trust- oder Sicherheitsseite. Reife Cybersecurity-SaaS-Produkte betreiben ein öffentliches Trust Centre, in dem Zertifizierungen, Compliance-Dokumentation und Subprozessor-Listen aktuell gehalten werden. Wenn ein Anbieter so etwas nicht hat, sagt das einiges aus. (Sehen Sie sich zum Beispiel unseres an)

Fragen Sie nach ihren Cybersecurity-Gewohnheiten, nicht nur nach ihren Funktionen. Sicherheitskultur lebt in Prozessen und Menschen – nicht nur in Produkten. Fragen Sie: Wie oft führen Sie Pen Testing durch? Wie schnell patchen Sie Schwachstellen? Welche Sicherheitsschulungen erhalten Mitarbeitende? Die Antworten zeigen, ob Sicherheit in der Organisation verankert ist oder nur fürs Marketing aufgesetzt wurde.

Prüfen Sie ihre Historie. Gab es nennenswerte Sicherheitsvorfälle? Wie haben sie reagiert? Ein Anbieter, der einen Sicherheitsvorfall erlebt und mit Transparenz, Geschwindigkeit und Abhilfe reagiert hat, kann tatsächlich mehr Vertrauen schaffen als einer ohne sichtbare Historie.

Stellen Sie sicher, dass die Datenresidenz-Optionen zu Ihren Compliance-Anforderungen passen. Wenn Ihre Teilnehmenden oder Juroren in der EU ansässig sind, benötigen Sie wahrscheinlich Daten, die innerhalb der EU gespeichert werden. Vergewissern Sie sich, dass dies nicht nur eine Marketingaussage ist, sondern eine konfigurierbare, dokumentierte Funktion.

Kurzüberblick: Die SaaS-Sicherheits-Checkliste auf einen Blick

Gehen Sie den nächsten Schritt

Sicherheit ist komplex – ihre Bewertung muss es aber nicht sein. Mit den richtigen Fragen und dieser Cybersecurity-Checkliste zur Hand kann jede Organisation eine sichere, fundierte Bewertung einer SaaS-Plattform durchführen – unabhängig davon, ob Sie ein Cybersecurity-Spezialisten in Ihrem Team haben.

Es ist wichtig, Sicherheit so früh wie möglich im Beschaffungsprozess zu bewerten, damit Sie bei Warnsignalen noch nicht zu tief drin sind, um alternative Lösungen in Betracht zu ziehen.

Wenn Sie eine Awards-Management-Software bewerten und sehen möchten, wie Award Force abschneidet, besuchen Sie unsere Sicherheitsseite, um unser vollständiges Zertifizierungsportfolio zu prüfen und die unterstützende Dokumentation herunterzuladen.