SaaS-Sicherheitscheckliste 2026 — 52 Punkte für die Enterprise-Lieferantenbewertung

Authentifizierung und Zugriffskontrolle

8 Punkte

Multi-Faktor-Authentifizierung (MFA) für alle Admin- und privilegierten Konten erzwungen
Passwort-Richtlinie: mindestens 12 Zeichen, Komplexität erforderlich, Prüfung gegen Breach-Listen
Sitzungs-Timeout: Inaktive Sitzungen laufen nach ≤ 30 Minuten ab
Kontosperrung nach 5 fehlgeschlagenen Anmeldeversuchen mit progressiven Verzögerungen
Rollenbasierte Zugriffskontrolle (RBAC) implementiert und dokumentiert
Prinzip der geringsten Berechtigung auf alle Service-Konten angewendet
OAuth-/SSO-Integration auf Token-Leaks und Redirect-URI-Validierung getestet
API-Schlüssel mindestens jährlich rotiert, niemals in die Versionskontrolle eingecheckt

7 Punkte

Alle Daten im Ruhezustand verschlüsselt (AES-256 oder gleichwertig)
Alle Daten bei der Übertragung verschlüsselt (TLS 1.2+ erzwungen, TLS 1.0/1.1 deaktiviert)
SSL/TLS-Zertifikatsgültigkeit und -erneuerung überwacht
Datenbank-Zugangsdaten in einem Secrets Manager gespeichert (nicht in Umgebungsdateien oder Code)
Backups verschlüsselt und zugriffskontrolliert
Personenbezogene Daten klassifiziert und Zugriffe protokolliert
Datenresidenz dokumentiert (EU/US/andere — DSGVO-relevant)

10 Punkte

7 Punkte

API-Authentifizierung für alle nicht-öffentlichen Endpunkte erforderlich
Rate Limiting implementiert zur Verhinderung von Brute Force und DoS
API-Versionierung vorhanden; veraltete Versionen haben Sunset-Daten
API-Antworten legen keine internen IDs, Stack-Traces oder Debug-Informationen offen
GraphQL-Introspection in Produktion deaktiviert
Webhook-Signaturen vor der Verarbeitung verifiziert
API-Dokumentation enthält keine Zugangsdaten oder sensible Beispiele

8 Punkte

Cloud-Konten mit MFA für Root-/Admin-Benutzer geschützt
Infrastrukturzugang durch IP-Allowlist oder VPN beschränkt
Produktionsumgebung von Entwicklung und Staging isoliert
Security Groups / Firewall-Regeln: Nur erforderliche Ports geöffnet (kein 0.0.0.0/0 auf sensiblen Ports)
Container-Images vor dem Deployment auf Schwachstellen gescannt
Kubernetes RBAC konfiguriert; Pods laufen standardmäßig nicht als Root
Cloud-Audit-Logs (CloudTrail / GCP Audit Logs) aktiviert und ≥ 90 Tage aufbewahrt
WAF (Web Application Firewall) auf öffentlichen Endpunkten aktiv

6 Punkte

Sicherheitsvorfall-Reaktionsplan dokumentiert und getestet
Meldeverfahren bei Datenverletzungen konform mit der DSGVO-72-Stunden-Regel
Anwendungslogs zentralisiert mit Manipulationsschutz
Anomalie-Erkennungswarnungen konfiguriert (fehlgeschlagene Anmeldungen, ungewöhnliche Datenexporte)
Verfügbarkeits-SLA definiert und überwacht
Sicherheits-Kontaktseite und Responsible-Disclosure-Richtlinie veröffentlicht

7 Punkte

Datenschutzerklärung veröffentlicht und DSGVO-konform (Rechtsgrundlage dokumentiert)
Auftragsverarbeitungsvertrag (AVV) für Enterprise-Kunden verfügbar
Unterauftragnehmer-Liste gepflegt und auf Anfrage offengelegt
Sicherheitsschulung der Mitarbeiter jährlich durchgeführt
Sicherheitsrichtlinie dokumentiert und für das Team zugänglich
Penetrationstest oder automatisiertes Sicherheitsaudit in den letzten 12 Monaten durchgeführt
CVE-/Schwachstellenmanagement-Prozess dokumentiert (SLA nach Schweregrad)