Artikel anhören:
Auf einen Blick
- 1.Prozessvideos sind sensibler als die meisten Office-Daten: Sie zeigen Anlagenlayouts, Prozessparameter und das Know-how, das Wettbewerber interessiert. Die Schutzbedarfsanalyse muss das einpreisen.
- 2.Der EU Cyber Resilience Act macht die SBOM (Software Bill of Materials) zur Pflicht für Produkte mit digitalen Elementen — wer heute SaaS einkauft, sollte sie schon jetzt anfordern können.
- 3.NIS2 verlagert Verantwortung in die Lieferkette: Betreiber wesentlicher Einrichtungen müssen die Sicherheit ihrer Dienstleister nachweislich bewerten — ein Anbieter ohne prüfbare Antworten wird zum Compliance-Risiko des Kunden.
- 4.Ein unabhängiger Penetrationstest durch einen etablierten Prüfer ist der härteste verfügbare Einzelnachweis — härter als jedes selbst ausgestellte Compliance-Badge.
Prozessvideos zeigen Anlagenlayouts, Parameter und Know-how. Wer sie in eine Cloud lädt, braucht bessere Antworten als ein Compliance-Logo im Footer — SBOM, Pentest-Praxis, NIS2 und die acht Fragen des Vendor-Assessments.
Wenn ein Werk Prozessvideos in eine SaaS-Plattform lädt, verlassen Daten das Haus, die nie für draußen gedacht waren: Kameraschwenks über Anlagen, eingeblendete Parameter, die Handgriffe, die ein Wettbewerber gern sähe. Die Frage an den Anbieter lautet deshalb nicht „Seid ihr sicher?“ — die beantwortet jeder mit Ja. Die Frage lautet: „Was könnt ihr nachweisen, und was passiert, wenn wir es prüfen?“ Dieser Artikel sortiert, was die Konzern-IT bei produktionsnaher SaaS prüfen sollte — und warum sich die Anforderungen durch NIS2 und den Cyber Resilience Act gerade grundlegend verschieben.
Warum Prozessvideos einen höheren Schutzbedarf haben als Office-Daten
Die Schutzbedarfsanalyse für SOP-Software wird oft wie für ein beliebiges Dokumentationstool geführt — das unterschätzt die Datenklasse. Ein Prozessvideo enthält drei Schichten schützenswerter Information: das sichtbare Anlagenlayout (relevant für Sabotage- und Spionageszenarien), Prozessparameter wie Drehmomente, Temperaturen und Prüfmaße (das eigentliche Fertigungs-Know-how) und Personen (DSGVO und Mitbestimmung).
Daraus folgen konkrete Anforderungen: Verschlüsselung at rest und in transit ist Grundrauschen. Entscheidend sind Mandantentrennung (sieht Werk A die Prozesse von Werk B?), Schlüsselverwaltung, EU-Datenresidenz mit belastbarer Auftragsverarbeitung und die Frage, ob Videodaten für das Training von KI-Modellen verwendet werden — und falls ja, mit welcher vertraglichen Zusicherung der Kunde das ausschließen kann.
NIS2 und Cyber Resilience Act: Die Lieferkette wird zur Prüfpflicht
Zwei EU-Rechtsakte verschieben gerade die Beweislast. NIS2 verpflichtet wesentliche und wichtige Einrichtungen — darunter weite Teile des verarbeitenden Gewerbes — die Cybersicherheit ihrer Lieferkette aktiv zu managen. Praktisch heißt das: Die IT muss die Sicherheit jedes SaaS-Anbieters bewerten und dokumentieren. Ein Anbieter, der auf Assessment-Fragen ausweichend antwortet, ist damit nicht mehr nur ein schlechter Vertragspartner, sondern ein Compliance-Risiko in der eigenen NIS2-Dokumentation.
Der Cyber Resilience Act ergänzt die Produktseite: Produkte mit digitalen Elementen brauchen künftig eine Software Bill of Materials — eine maschinenlesbare Stückliste aller Komponenten und Abhängigkeiten. Der Hintergrund ist die Erfahrung aus Log4Shell und den Supply-Chain-Angriffen der letzten Jahre: Ohne SBOM weiß im Ernstfall niemand, welche Systeme eine verwundbare Bibliothek überhaupt enthalten. Für den Einkauf bedeutet das: Ein Anbieter, der heute auf Anfrage keine SBOM liefern kann, hat sein Dependency-Management nicht im Griff — unabhängig davon, wann die Übergangsfristen formal greifen.
Das Vendor-Assessment: 8 Fragen, die belastbare Antworten verlangen
Die folgenden acht Punkte trennen in der Praxis Anbieter mit gelebter Sicherheitsarbeit von Anbietern mit Compliance-Folien. Die jeweils zweite Spalte nennt den Nachweis, den die IT anfordern sollte — nicht die Selbstauskunft.
| Prüfpunkt | Belastbarer Nachweis |
|---|---|
| Identity & Access | SSO über Entra ID / SAML / OIDC, SCIM-Provisioning, erzwungene MFA für Admin-Zugänge |
| Verschlüsselung | TLS 1.2+ in transit, AES-256 at rest, dokumentiertes Schlüsselmanagement |
| Datenresidenz | EU-Rechenzentren, AVV nach Art. 28 DSGVO, dokumentierte Subprozessoren-Liste |
| Mandantentrennung | Architektur-Beschreibung der Tenant-Isolation, idealerweise im Pentest mitgeprüft |
| SBOM | Maschinenlesbare SBOM (CycloneDX / SPDX) auf Anfrage, gepflegter Dependency-Prozess |
| Unabhängiger Pentest | Bericht eines etablierten Prüfers, Scope und Re-Test der Findings einsehbar (NDA üblich) |
| Audit-Logging | Vollständiger, exportierbarer Audit-Trail über Zugriffe, Änderungen, Freigaben |
| Exit & Portabilität | Dokumentierter Datenexport in offenen Formaten, vertragliche Löschfristen |
Woran man einen ernst gemeinten Penetrationstest erkennt
„Wir machen regelmäßig Pentests“ ist die häufigste und zugleich leerste Antwort im Vendor-Assessment. Belastbar wird sie durch drei Merkmale: Erstens den Prüfer — ein etabliertes, unabhängiges Testhaus mit Reputation, nicht der Scan-Dienst des eigenen Hosters. Zweitens den Scope — Webanwendung, APIs und Infrastruktur inklusive Mandantentrennung, nicht nur ein automatisierter Schwachstellenscan. Drittens den Umgang mit Ergebnissen — Findings, Behebung und Re-Test müssen für Kunden nachvollziehbar sein; die Bereitstellung des Berichts unter NDA ist im B2B-Umfeld der übliche und seriöse Weg.
Soperion hat diesen Weg kürzlich selbst durchlaufen: einen mehrwöchigen Penetrationstest durch die SySS GmbH, eines der etabliertesten unabhängigen Testhäuser Deutschlands, über Anwendung, APIs und Infrastruktur. Den Ergebnisbericht stellen wir Kunden-IT-Abteilungen im Assessment unter NDA zur Verfügung — aus unserer Sicht die einzige Form, in der die Aussage „wir wurden getestet“ überhaupt einen Prüfwert hat.
Der unterschätzte Stakeholder: Betriebsrat und DSGVO
Produktionsnahe SaaS scheitert selten an der Technik und öfter an der Mitbestimmung. Wo Videos am Arbeitsplatz entstehen, sind §87 BetrVG und die DSGVO berührt — und damit der Betriebsrat zustimmungspflichtig. Wer das Thema erst nach der Tool-Auswahl adressiert, verliert Monate. Die Anbieter-seitige Antwort darauf ist technisch wie organisatorisch: automatische Gesichtsanonymisierung by default, keine Leistungs- oder Verhaltensauswertung einzelner Personen, und vorbereitete Unterlagen für die Betriebsvereinbarung, die die IT nicht selbst schreiben muss.
Häufig gestellte Fragen
- Was sollte die IT von einem SaaS-Anbieter für die Produktion mindestens verlangen?
- Acht Nachweise: SSO mit Entra ID/SAML inkl. SCIM, Verschlüsselung at rest und in transit, EU-Datenresidenz mit AVV, dokumentierte Mandantentrennung, SBOM auf Anfrage, einen unabhängigen Pentest-Bericht (unter NDA), exportierbares Audit-Logging und vertraglich geregelte Datenportabilität. Entscheidend ist jeweils der prüfbare Nachweis, nicht die Selbstauskunft.
- Warum ist eine SBOM beim Software-Einkauf wichtig?
- Die Software Bill of Materials listet alle Komponenten und Abhängigkeiten eines Produkts maschinenlesbar auf. Bei einer Schwachstelle wie Log4Shell entscheidet sie, ob in Stunden oder Wochen klar ist, welche Systeme betroffen sind. Der EU Cyber Resilience Act macht sie für Produkte mit digitalen Elementen zur Pflicht — Anbieter, die heute keine liefern können, haben ihr Dependency-Management nicht im Griff.
- Hat Soperion einen unabhängigen Penetrationstest durchführen lassen?
- Ja — einen mehrwöchigen Penetrationstest durch die SySS GmbH, eines der etabliertesten unabhängigen Testhäuser Deutschlands, über Anwendung, APIs und Infrastruktur. Der Ergebnisbericht steht Kunden-IT-Abteilungen im Vendor-Assessment unter NDA zur Verfügung.