Vendor Lock-in bei Compliance-Software: Wie du die Kontrolle über dein ISMS behältst

Deine Risikobewertung gehört dir. Oder doch nicht?

Du hast zwei Jahre in dein ISMS investiert. Risiken bewertet, Maßnahmen definiert, Richtlinien geschrieben, Audits vorbereitet. Alles sauber dokumentiert in deiner Compliance-Software. Dann kommt die E-Mail: Preiserhöhung um 40 Prozent zum nächsten Vertragsjahr. Oder: Der Anbieter wird von einem größeren Konzern übernommen, und das Produkt wird "in die Plattform integriert", sprich: es gibt dein Tool in der bisherigen Form nicht mehr.

Du willst wechseln. Und dann stellst du fest, dass deine Daten in einem proprietären Format stecken, das kein anderes Tool lesen kann. Dass der Export nur eine hübsche PDF-Zusammenfassung liefert, aber keine strukturierten Daten. Dass dein Vertrag sich automatisch um 24 Monate verlängert hat, weil du die Kündigungsfrist verpasst hast.

Das ist Vendor Lock-in. Und bei Compliance-Software ist er gefährlicher als bei den meisten anderen Softwarekategorien.

Was Vendor Lock-in konkret bedeutet

Vendor Lock-in beschreibt eine Situation, in der du als Kunde so stark an einen Anbieter gebunden bist, dass ein Wechsel unverhältnismäßig teuer, aufwändig oder riskant wird. Bei Compliance-Software manifestiert sich das in vier Dimensionen.

Proprietäre Datenformate

Dein ISMS-Tool speichert Risikobewertungen, Maßnahmen, Controls, Richtlinien und Audit-Ergebnisse in einem internen Datenformat. Solange du das Tool nutzt, merkst du davon nichts. Das Problem tritt erst auf, wenn du die Daten herausbekommen willst.

Proprietäre Formate bedeuten: Die Datenstruktur ist nicht dokumentiert, kein anderes Tool kann sie lesen, und selbst wenn du an die Rohdaten herankommst, brauchst du erheblichen Aufwand, um sie in ein nutzbares Format zu überführen. Im schlimmsten Fall stecken deine Daten in einer Datenbank, auf die du keinen direkten Zugriff hast, weil sie in der Cloud des Anbieters läuft.

Fehlende oder unvollständige Exportfunktionen

Viele Anbieter werben mit "Datenexport", aber die Qualität variiert erheblich. Ein PDF-Export deiner Risikobewertung sieht schön aus, ist aber für eine Migration wertlos. Du brauchst strukturierte Daten: Risiken mit ihren Bewertungen, verknüpft mit Maßnahmen, verknüpft mit Controls, verknüpft mit Assets. Wenn der Export diese Verknüpfungen nicht erhält, verlierst du beim Wechsel die gesamte Beziehungslogik deines ISMS.

Typische Einschränkungen bei Exportfunktionen:

• Nur Teilexporte: Du kannst Risiken exportieren, aber nicht die zugehörigen Maßnahmen im selben Datensatz
• Keine Verknüpfungen: Die Beziehung zwischen Risiko, Maßnahme und Control geht beim Export verloren
• Kein Audit-Trail: Die Änderungshistorie, die für die Nachvollziehbarkeit entscheidend ist, lässt sich nicht exportieren
• Format-Einschränkungen: Export nur als PDF oder als proprietäres Excel-Format mit Makros
• Rate Limiting: Der Export ist auf wenige Datensätze begrenzt, sodass ein vollständiger Export praktisch unmöglich ist

Vertragliche Bindung

Neben der technischen gibt es die vertragliche Dimension. Automatische Verlängerung um 12 oder 24 Monate, Kündigungsfristen von 90 Tagen vor Vertragsende, Mindestvertragslaufzeiten von 36 Monaten, gestaffelte Preise die bei vorzeitiger Kündigung zu Nachzahlungen führen. All das sind Mechanismen, die einen Wechsel finanziell unattraktiv machen, selbst wenn du technisch wechseln könntest.

Hohe Wechselkosten

Selbst wenn du deine Daten exportieren kannst und der Vertrag es erlaubt: Der Wechsel selbst kostet. Daten müssen migriert, Mitarbeiter geschult, Prozesse angepasst werden. Bei Compliance-Software kommt ein weiterer Faktor hinzu: Timing. Ein Wechsel mitten im Audit-Zyklus kann die ISO-27001-Zertifizierung gefährden, weil der Auditor die Kontinuität der Dokumentation hinterfragt.

Warum Lock-in bei Compliance-Software besonders kritisch ist

Bei einem Projektmanagement-Tool oder einem CRM ist Vendor Lock-in ärgerlich. Bei Compliance-Software ist er potenziell geschäftsbedrohend. Drei Gründe.

Dein ISMS ist kein Randprozess

Ein ISMS durchdringt das gesamte Unternehmen. Es berührt jede Abteilung, jeden Geschäftsprozess, jedes IT-System. Die Daten in deinem ISMS-Tool sind nicht einfach eine Sammlung von Dokumenten, sie sind ein vernetztes System von Risiken, Maßnahmen, Controls, Assets und Verantwortlichkeiten. Diese Vernetzung nachzubauen kostet Wochen oder Monate.

Regulatorische Kontinuität

Wenn du unter NIS2 fällst oder eine ISO-27001-Zertifizierung hast, musst du jederzeit nachweisen können, dass dein ISMS funktioniert. Ein Anbieterwechsel erzeugt zwangsläufig eine Lücke in der Dokumentation. Die Risikobewertung aus dem alten Tool ist im neuen Tool nicht automatisch verfügbar. Maßnahmen, die als "umgesetzt" markiert waren, müssen im neuen System neu erfasst werden. Der Audit-Trail beginnt bei null.

Ein externer Auditor wird diese Lücke bemerken und Fragen stellen. Im besten Fall ist es Mehraufwand. Im schlechtesten Fall führt es zu einem Audit-Befund.

Sensibilität der Daten

Dein ISMS enthält eine detaillierte Karte deiner Sicherheitslücken. Schutzbedarfsfeststellungen, offene Risiken, bekannte Schwachstellen, Vorfallsberichte. Diese Daten sind für Angreifer Gold wert. Wenn du die Kontrolle über diese Daten verlierst, weil dein Anbieter sie in einem Format hält, das du nicht vollständig kontrollieren kannst, ist das ein eigenständiges Sicherheitsrisiko.

Reale Szenarien: Was schiefgehen kann

Die folgenden Szenarien sind keine hypothetischen Konstrukte. Sie passieren regelmäßig in der SaaS-Welt, auch bei Compliance-Software.

Szenario 1: Die 40-Prozent-Preiserhöhung

Ein mittelständisches Unternehmen mit 200 Mitarbeitern nutzt seit drei Jahren eine Cloud-basierte ISMS-Lösung. Die jährlichen Kosten lagen bei 8.000 Euro. Zum Vertragsjubiläum kommt die Ankündigung: Das Preismodell wird umgestellt, von einer Pauschale auf ein Modell pro Nutzer. Neue Kosten: 11.200 Euro pro Jahr, eine Steigerung um 40 Prozent. Der Vertrag verlängert sich automatisch, die Kündigungsfrist ist bereits verstrichen.

Das Unternehmen hat drei Optionen: Zahlen, verhandeln oder wechseln. Wechseln würde bedeuten, drei Jahre Dokumentation zu migrieren, mitten in der Vorbereitung auf das Überwachungsaudit. Die Entscheidung fällt auf Zahlen und parallel eine Exit-Strategie planen, für das nächste Vertragsjahr.

Szenario 2: Der Anbieter wird aufgekauft

Ein spezialisierter Compliance-Anbieter wird von einem großen GRC-Plattformanbieter übernommen. Zunächst heißt es: Für bestehende Kunden ändert sich nichts. Nach sechs Monaten kommt die Ankündigung, dass das Produkt in die Plattform des Käufers integriert wird. Das bedeutet: neue Oberfläche, neues Datenmodell, neue Preisstruktur. Die Migration auf die neue Plattform ist kostenlos, aber der Aufwand für Anpassung und Schulung liegt beim Kunden.

Einige Features, die das Unternehmen täglich nutzt, gibt es in der neuen Plattform nicht. Andere funktionieren anders. Die alte Version wird noch 18 Monate unterstützt, danach ist Schluss. Ein Wechsel zu einem anderen Anbieter ist technisch möglich, aber die Exportfunktion des alten Tools war nie besonders gut, und der neue Eigentümer hat wenig Motivation, sie zu verbessern.

Szenario 3: Feature-Streichung nach Strategiewechsel

Der Anbieter entscheidet, sich auf den Enterprise-Markt zu konzentrieren. Features, die für mittelständische Unternehmen relevant sind, werden zugunsten von Enterprise-Funktionen eingestellt. Das Dashboard, das der ISB jeden Montag als Grundlage für sein Status-Reporting nutzt, wird durch ein "flexibleres" aber deutlich komplexeres Reporting-Modul ersetzt. Die API, über die das Unternehmen automatisierte Maßnahmenberichte generiert, wird in ihrer freien Variante eingestellt und nur noch im Enterprise-Tier angeboten.

Keines dieser Szenarien wird als "Vendor Lock-in" kommuniziert. Aber in jedem Fall sitzt das Unternehmen fest, weil die Wechselkosten den Verbleib wirtschaftlich attraktiver machen als den Absprung.

Die 7 Warnzeichen für Vendor Lock-in

Bevor du dich für eine Compliance-Software entscheidest oder wenn du dein bestehendes Tool evaluierst, prüfe diese Warnzeichen systematisch. Je mehr davon zutreffen, desto höher ist dein Lock-in-Risiko.

1. Kein vollständiger Datenexport

Frage den Anbieter: Kann ich alle meine Daten in einem offenen, strukturierten Format exportieren, inklusive aller Verknüpfungen zwischen Risiken, Maßnahmen, Controls und Assets? Wenn die Antwort ausweichend ist ("Sie können jederzeit PDFs exportieren") oder der Export nur Teilbereiche abdeckt, ist das ein deutliches Warnzeichen.

2. Proprietäre Formate ohne Dokumentation

Frage: In welchem Format werden meine Daten gespeichert? Gibt es eine Dokumentation der Datenstruktur? Wenn der Anbieter ein eigenes Format nutzt und die Struktur nicht offenlegt, bist du im Ernstfall auf sein Wohlwollen angewiesen.

3. Keine API oder eingeschränkte API

Eine offene API erlaubt dir, Daten programmatisch zu extrahieren und in andere Systeme zu überführen. Wenn es keine API gibt oder die API nur Lesezugriff auf Teilbereiche bietet, schränkt das deine Optionen erheblich ein.

4. Automatische Vertragsverlängerung mit langer Frist

Prüfe die Vertragsbedingungen: Verlängert sich der Vertrag automatisch? Wie lang ist die Kündigungsfrist? Gibt es eine Mindestvertragslaufzeit? Bei SaaS-Verträgen sind 12 Monate Laufzeit mit 90 Tagen Kündigungsfrist üblich. 24 oder 36 Monate mit 6 Monaten Kündigungsfrist sind ein Warnsignal.

5. Preismodell mit versteckter Eskalation

Pro-Nutzer-Preise, die bei steigender Nutzerzahl nicht degressive werden, führen dazu, dass die Kosten mit dem Unternehmenswachstum überproportional steigen. Noch problematischer sind Modelle, bei denen nach einem günstigen Einstiegsjahr die regulären Preise greifen. Prüfe, was die Software in drei Jahren kostet, nicht nur im ersten Jahr. Der Kostenvergleich über den gesamten Lebenszyklus offenbart die tatsächliche finanzielle Belastung.

6. Keine Self-Hosted-Option

Wenn die Software ausschließlich als Cloud-Service verfügbar ist, bist du vollständig vom Fortbestand des Anbieters abhängig. Eine Self-Hosted-Option gibt dir die Möglichkeit, die Software auch dann weiterzubetreiben, wenn der Anbieter den Cloud-Dienst einstellt.

7. Fehlende Migrationsdokumentation

Kein Anbieter wird dir aktiv beim Wechsel helfen. Aber seriöse Anbieter dokumentieren ihre Datenformate und stellen Migrationshinweise bereit. Wenn es keinerlei Dokumentation dazu gibt, wie du deine Daten aus dem System herausbekommst, spricht das Bände.

Offene Formate als Versicherungspolice

Die effektivste Absicherung gegen Vendor Lock-in sind offene Datenformate. Wenn deine Daten in standardisierten, dokumentierten Formaten vorliegen, kann jedes andere Tool sie lesen und verarbeiten.

JSON: Das universelle Austauschformat

JSON (JavaScript Object Notation) ist das Standard-Austauschformat für strukturierte Daten. Jede moderne Programmiersprache kann JSON lesen und schreiben. Ein ISMS-Datenexport als JSON erhält die Struktur und die Verknüpfungen zwischen den Datenobjekten. Ein Risiko im JSON-Format enthält seine Bewertung, die verknüpften Maßnahmen-IDs, die zugehörigen Controls und die Asset-Referenzen, alles in einer maschinenlesbaren Struktur, die problemlos in ein anderes System importiert werden kann.

CSV: Das Fallback-Format

CSV (Comma-Separated Values) ist weniger ausdrucksstark als JSON, weil es keine verschachtelten Strukturen abbilden kann. Aber CSV ist universell: Jedes Tabellenkalkulationsprogramm kann es öffnen, und die Daten sind sofort menschenlesbar. Für flache Datenlisten wie Asset-Inventare, Maßnahmenlisten oder Schulungsnachweise ist CSV oft ausreichend.

PDF: Für die Dokumentation, nicht für die Migration

PDF-Exporte sind nützlich für die Archivierung und für die Weitergabe an Dritte, etwa an den Auditor. Für eine Datenmigration taugen sie nicht, weil die Daten nicht maschinenlesbar strukturiert sind. Ein PDF deiner Risikobewertung ist ein Screenshot, kein Datensatz.

Was ein guter Export leisten muss

Ein vollständiger Datenexport sollte folgende Anforderungen erfüllen:

Tools wie ISMS Lite exportieren alle Daten als JSON, inklusive sämtlicher Verknüpfungen zwischen Risiken, Maßnahmen und Controls, sodass du bei einem Wechsel keine Beziehungslogik verlierst.

Exit-Strategie planen: Bevor es zu spät ist

Eine Exit-Strategie ist kein Zeichen von Misstrauen gegenüber deinem Anbieter. Es ist professionelles Risikomanagement. Du planst ja auch für den Fall eines Serverausfalls, obwohl du deinem Hosting-Provider vertraust. Die Exit-Strategie für deine Compliance-Software gehört genauso in dein ISMS-Dokumentationspaket wie der Incident Response Plan.

Schritt 1: Datensouveränität prüfen

Beantworte folgende Fragen für dein aktuelles Tool:

• Kannst du alle Daten in einem offenen Format exportieren?
• Enthält der Export alle Verknüpfungen zwischen den Datenobjekten?
• Kannst du den Export jederzeit durchführen, ohne den Anbieter zu kontaktieren?
• Gibt es eine API für den programmatischen Datenzugriff?
• Wo liegen die Daten physisch, und wer hat Zugriff?

Wenn du eine oder mehrere dieser Fragen mit Nein beantwortest, hast du ein Lock-in-Risiko.

Schritt 2: Regelmäßige Testexporte durchführen

Führe mindestens vierteljährlich einen vollständigen Datenexport durch und prüfe die Ergebnisse. Nicht nur, ob der Export funktioniert, sondern ob die Daten vollständig und korrekt sind. Vergleiche die exportierten Daten stichprobenartig mit den Daten in der Anwendung. Speichere die Exports an einem unabhängigen Ort, der nicht vom Anbieter kontrolliert wird.

Diese regelmäßigen Exports dienen nicht nur der Lock-in-Absicherung, sondern sind auch ein eigenständiges Backup deiner ISMS-Daten.

Schritt 3: Vertragsbedingungen dokumentieren

Halte in einer zentralen Übersicht fest:

• Vertragslaufzeit und Verlängerungsbedingungen
• Kündigungsfristen und Kündigungsform
• Was nach Vertragsende mit deinen Daten passiert
• Welche Exportmöglichkeiten vertraglich zugesichert sind
• Service Level Agreements (SLAs) für Datenverfügbarkeit und Export

Schritt 4: Alternativszenario skizzieren

Definiere mindestens ein konkretes Alternativszenario: Welches Tool würdest du nutzen, wenn du morgen wechseln müsstest? Wie würde die Migration ablaufen? Welchen Zeitrahmen würdest du ansetzen? Diese Übung zwingt dich, die realen Wechselkosten einzuschätzen, und gibt dir eine Verhandlungsposition gegenüber dem aktuellen Anbieter.

Schritt 5: Exit-Strategie ins ISMS integrieren

Die Exit-Strategie ist Teil deines Lieferantenmanagements. Dokumentiere sie als eigenständiges Dokument oder als Abschnitt in deiner Lieferantenrichtlinie. Überprüfe sie jährlich im Rahmen des Management Reviews.

Checkliste: Lock-in-Risiko bei der Softwareauswahl minimieren

Wenn du gerade eine neue Compliance-Software evaluierst, nutze diese Checkliste als Teil deiner Evaluation.

Datenexport und Formate

• Vollständiger Datenexport in JSON oder CSV möglich
• Export enthält alle Verknüpfungen zwischen Datenobjekten
• Audit-Trail und Änderungshistorie exportierbar
• Export jederzeit ohne Anbieterkontakt durchführbar
• API für programmatischen Datenzugriff verfügbar
• Datenformat dokumentiert und offengelegt

Vertragsbedingungen

• Keine automatische Verlängerung oder maximal 12 Monate
• Kündigungsfrist maximal 3 Monate
• Datenherausgabe nach Vertragsende vertraglich geregelt
• Keine Nachzahlungspflicht bei vorzeitiger Kündigung
• Preisanpassungsklausel transparent und gedeckelt

Hosting und Infrastruktur

• Self-Hosted-Option verfügbar
• Bei Cloud: Serverstandort in der EU vertraglich zugesichert
• Bei Cloud: Kein Zugriff durch Drittstaaten-Behörden (CLOUD Act)
• Datenbankverschlüsselung und Schlüsselmanagement dokumentiert
• Subauftragsverarbeiter gelistet und auf EU beschränkt

Langfristige Perspektive

• Anbieter seit mindestens 3 Jahren am Markt
• Finanzierung transparent (kein reiner VC-Burn ohne Umsatz)
• Einmalkauf oder Lifetime-Option als Alternative zum Abo
• Community oder Open-Source-Komponenten als Fallback
• Referenzkunden in vergleichbarer Unternehmensgröße

Häufige Fehler beim Umgang mit Vendor Lock-in

Fehler 1: Lock-in wird erst beim Wechsel erkannt

Die meisten Unternehmen beschäftigen sich erst mit Lock-in, wenn der Wechsel ansteht, also genau dann, wenn die Verhandlungsposition am schlechtesten ist. Prüfe das Lock-in-Risiko vor der Beschaffung, nicht danach.

Fehler 2: Der PDF-Export wird für ausreichend gehalten

"Wir können ja jederzeit alles als PDF exportieren." Nein, ein PDF-Export ist kein Datenexport. Er ist eine Momentaufnahme für Menschen, nicht für Maschinen. Für eine Migration brauchst du strukturierte Daten.

Fehler 3: Nur auf den Preis im ersten Jahr geschaut

Ein günstiges erstes Jahr kann zu einer teuren langfristigen Bindung werden, wenn die regulären Preise ab Jahr zwei deutlich höher liegen. Rechne immer mit den Gesamtkosten über mindestens drei Jahre. Der TCO-Vergleich zwischen SaaS und Self-Hosted zeigt oft überraschende Unterschiede.

Fehler 4: Die Exit-Strategie wird nie getestet

Eine Exit-Strategie, die nur auf dem Papier steht, ist wertlos. Teste den vollständigen Datenexport mindestens einmal im Jahr. Prüfe, ob du die Daten tatsächlich in ein anderes System überführen könntest.

Fehler 5: Vertragliche Bindung wird unterschätzt

IT-Leiter fokussieren sich auf die technischen Aspekte des Lock-in und übersehen die vertraglichen. Lies den Vertrag vollständig, insbesondere die Abschnitte zu Laufzeit, Kündigung, Datenherausgabe und Preisanpassung. Lass im Zweifelsfall einen Juristen drüberschauen.

ISMS Lite: Designed gegen Lock-in

Wir haben ISMS Lite von Anfang an so konzipiert, dass Lock-in technisch und vertraglich ausgeschlossen ist. Das ist keine Nebenfunktion, sondern eine Grundsatzentscheidung.

JSON-Export jederzeit

Alle Daten in ISMS Lite lassen sich jederzeit als JSON exportieren: Risiken, Maßnahmen, Controls, Assets, Richtlinien, Audit-Ergebnisse, Schulungsnachweise, inklusive aller Verknüpfungen. Der Export enthält die vollständige Beziehungslogik, sodass du bei einer Migration nichts nachbauen musst. Du brauchst keine Genehmigung, keinen Support-Kontakt, keinen Enterprise-Plan. Der Export ist eine Standardfunktion, die jeder Nutzer jederzeit ausführen kann.

Docker-Image mitnehmen

ISMS Lite ist eine Self-Hosted-Lösung, die als Docker-Image ausgeliefert wird. Das bedeutet: Deine Daten liegen auf deiner Infrastruktur, nicht in unserer Cloud. Du kannst das Docker-Image auf jedem Server betreiben, der Docker unterstützt, egal ob eigenes Rechenzentrum, Hetzner, DigitalOcean oder eine VM bei deinem bevorzugten Provider. Wenn du den Server wechselst, nimmst du das Image und die Daten einfach mit.

Keine Vertragsbindung beim Einmalkauf

ISMS Lite gibt es als Einmalkauf für 2.500 Euro. Kein Abo, keine automatische Verlängerung, keine Mindestvertragslaufzeit. Du bezahlst einmal und nutzt die Software unbegrenzt. Wer laufende Updates bevorzugt, kann alternativ das Jahresabo für 500 Euro pro Jahr nutzen, monatlich kündbar. In beiden Fällen gilt: Keine versteckten Kosten, keine Preiseskalation, keine Nachzahlungspflichten.

Offene Datenstruktur

Die Datenstruktur von ISMS Lite ist dokumentiert. Du weißt genau, wie Risiken, Maßnahmen und Controls intern gespeichert werden. Wenn du dich aus irgendeinem Grund entscheidest, die Daten ohne den Exportmechanismus direkt aus der Datenbank zu extrahieren, kannst du das tun. Es sind deine Daten auf deinem Server.

Vergleich: ISMS Lite vs. typische SaaS-Lösung

Fazit: Kontrolle ist kein Nice-to-have

Die Frage ist nicht, ob du jemals den Anbieter wechseln wirst. Die Frage ist, ob du es könntest, wenn es nötig wäre. Bei Compliance-Software, die das Rückgrat deines ISMS bildet, ist diese Fähigkeit keine Komfortfunktion. Sie ist Teil deines Risikomanagements.

Prüfe dein aktuelles Tool mit der Checkliste aus diesem Artikel. Plane eine Exit-Strategie, bevor du sie brauchst. Und wenn du gerade auf der Suche nach einer neuen Lösung bist: Stelle die Frage nach dem Datenexport ganz an den Anfang der Evaluation, nicht ans Ende.

Weiterführende Artikel

• Self-Hosted vs. Cloud: Datensouveränität bei Compliance-Software
• ISMS-Software auswählen: Worauf es bei der Evaluation ankommt
• Build vs. Buy: Eigenentwicklung oder fertige Lösung für ISMS-Prozesse
• Was kostet ein ISMS? Budget, Aufwand und ROI realistisch einschätzen
• Lieferantenbewertung mit Sicherheitsfragebogen: Vorlage und Vorgehen