Dieses Dokument befindet sich in aktiver Entwicklung und ist noch nicht finalisiert.

Dienstleisterbewertung

Bewertungsprozess

Erstbewertung (vor Beauftragung)

Schritt	Beschreibung	Verantwortlich
1. Anforderungsprofil	Sicherheitsanforderungen basierend auf Schutzbedarf definieren	Fachbereich + ISB
2. Informationssammlung	Sicherheitsdokumentation, Zertifizierungen, Referenzen einholen	Einkauf
3. Bewertung	Prüfung gegen Bewertungskriterien	ISB
4. Risikobewertung	Restrisiko bestimmen, Maßnahmen festlegen	ISB
5. Entscheidung	Freigabe oder Ablehnung	ISB + Geschäftsleitung (bei kritischen Dienstleistern)

Bewertungskriterien (Scoring)

Kriterium	Gewichtung	Bewertungsskala
Sicherheitszertifizierungen (ISO 27001, SOC 2, BSI C5)	25%	0–3 (keine / in Arbeit / vorhanden / aktuell)
Incident-Response-Fähigkeit	20%	0–3 (kein Prozess / basic / dokumentiert / getestet)
Standort / Rechtsraum	15%	0–3 (unsicher / Drittland mit Garantien / EU / DE)
Vertragsgestaltung	15%	0–3 (Standard / angepasst / Audit-Rechte / vollständig)
Subunternehmer-Transparenz	10%	0–3 (keine Info / Liste / Genehmigungspflicht / vertraglich)
Track Record	15%	0–3 (unbekannt / < 1 Jahr / 1–3 Jahre / > 3 Jahre)

Mindestpunktzahl: 12/18 für Standarddienstleister, 15/18 für kritische Dienstleister.

Wiederbewertung

Dienstleisterkategorie	Bewertungsintervall
Kritische Infrastrukturdienstleister	Jährlich
Cloud- und SaaS-Anbieter	Jährlich
Softwarelieferanten	Bei Vertragsverlängerung
Supportpartner	Alle 2 Jahre
Anlassbezogen	Bei Sicherheitsvorfall oder wesentlicher Änderung beim Anbieter

Kategorisierung

Kategorie	Definition	Beispiele	Anforderungen
Kritisch	Ausfall beeinträchtigt Kerngeschäft	Hosting, primäre Cloud-Dienste	Höchste Sicherheitsanforderungen, jährliches Audit-Recht
Wichtig	Ausfall beeinträchtigt einzelne Dienste	SaaS-Tools, DNS-Provider	Hohe Anforderungen, Incident-Meldepflicht
Standard	Ausfall hat geringe Auswirkung	Beratung, Wartung	Grundlegende Anforderungen