Dennis Wegner von easyfeedback GmbH stellt sich den offenen Fragen

Sicherheitsanforderungen an Feedback-Software: Warum Umfrage-Tools längst zur kritischen IT-Infrastruktur zählen.

Vorbei sind die Zeiten, in denen Marketing-Software im Unternehmen ein fröhliches Eigenleben führen konnte und durfte. Angesichts der verschärften Cyber-Sicherheitslage müssen auch Umfrage-Tools und Co. strengen Anforderungen genügen und voll in die IT-Sicherheitsarchitektur einer Firma eingebettet sein. Dennis Wegner, Gründer des Umfrage-Tool-Spezialisten easyfeedback GmbH aus Koblenz, erklärt, was das konkret bedeutet.

Herr Wegner, viele Unternehmen betrachten Feedback‑Software weiter vornehmlich als Marketinginstrument. Ist das aus Ihrer Sicht noch zeitgemäß oder sprechen wir längst über ein sicherheitsrelevantes System?

Feedback‑Software ist ganz eindeutig längst ein sicherheitsrelevantes System. Wer Feedback im Unternehmen sammelt, verarbeitet nicht nur Stimmungsbilder, sondern geschäftskritische Informationen: interne Einschätzungen, Hinweise auf Prozessfehler, Missverständnisse in der Kundenkommunikation, manchmal sogar vertrauliche Vorgänge.

Wenn offene Textantworten strategisch wertvoll sind und bei Umfragen als das „eigentliche Gold“ bezeichnet werden, wo genau entsteht daraus ein Sicherheitsrisiko?

Jedes „Gold“ stellt gleichzeitig ein Risiko dar, wenn es ungeschützt bleibt. Die Vorstellung, Feedback sei harmlos, weil es nur Meinungen abbilde, ist gefährlich. In Wahrheit entstehen in diesen Rückmeldungen Muster, die Rückschlüsse auf interne Abläufe, Schwachstellen oder Compliance‑Risiken zulassen. Wer Feedback‑Software einsetzt, ohne sie wie ein sicherheitskritisches System zu behandeln, öffnet Angriffsflächen – technisch wie organisatorisch.

Welche Daten landen denn tatsächlich in einem System wie easyfeedback?

Die Daten, die in einem Feedback‑System landen, sind immer ein Spiegel dessen, was Unternehmen abfragen. Standardmäßig ist jede Umfrage bei uns anonym, und wir speichern keine IP‑Adressen in lesbarer Form. Passwörter liegen ausschließlich als Hashes vor, und sämtliche Übertragungen sind verschlüsselt. Das ist die technische Seite. Die inhaltliche Seite ist oft brisanter: In offenen Antworten schildern Menschen Probleme, Missverständnisse, interne Abläufe oder Konflikte. Genau solche Themen tauchen in Feedbacks auf – und sie sind sensibel. Unternehmen müssen verstehen, dass sie nicht nur Daten speichern, sondern Interpretationen, Erwartungen und interne Realitäten.

Viele Unternehmen fragen sich, wie prüfbar die Sicherheit eines SaaS‑Anbieters überhaupt ist. Was lässt sich objektiv kontrollieren?

Sicherheit ist prüfbar, wenn ein Anbieter bereit ist, sich prüfen zu lassen. Wir arbeiten ausschließlich in deutschen Rechenzentren, die nach ISO 27001 zertifiziert sind; zudem sind wir selbst TISAX‑zertifiziert. Das ist ein Standard, der über die reine ISO‑Norm hinausgeht und besonders strenge Anforderungen an Informationssicherheit stellt. Das bedeutet in der unternehmerischen Praxis klare Prozesse, dokumentierte technische und organisatorische Maßnahmen, regelmäßige Audits, definierte Rollen und Berechtigungen, verschlüsselte Backups in getrennten Brandabschnitten sowie ein nachvollziehbares Schwachstellenmanagement. Ein seriöser Anbieter kann offenlegen, wie er Daten speichert, wie er sie schützt und wie er im Ernstfall reagiert. Wer das nicht kann oder will, ist kein Partner für sicherheitskritische Datenverarbeitung.

Was müssen Unternehmen prüfen, bevor sie ein Feedback‑Tool einsetzen?

Unternehmen müssen zunächst verstehen, welche Art von Daten sie erheben wollen und welche Risiken damit verbunden sind. Zurück zum Ausgangspunkt: Viele unterschätzen die Sensibilität offener Antworten. Danach geht es um die technische Integrität des Anbieters: Wo stehen die Server, wie wird verschlüsselt, wie werden Backups gehandhabt, wie sind Zugriffsrechte geregelt, wie wird dokumentiert? Ebenso wichtig ist die Frage, ob der Anbieter auditierbar ist. Ein Feedback‑System, das keine nachvollziehbaren Logs, keine klaren Verantwortlichkeiten und keine dokumentierten Prozesse hat, ist ein Risiko. Und schließlich müssen Unternehmen prüfen, ob der Anbieter datenschutzrechtlich sauber arbeitet. Nicht nur formal, sondern tatsächlich. Ein unterschriebener Vertrag ersetzt keine gelebte Compliance-Struktur.

Viele Unternehmen sammeln Feedback, werten es aber kaum aus. Welche Rolle spielt Sicherheit in diesem Zusammenhang?

Sicherheit ist die Voraussetzung dafür, dass Feedback ehrlich entsteht. Wenn Menschen das Gefühl haben, dass ihre Antworten nicht geschützt sind, bleiben sie an der Oberfläche. Nur Sicherheit schafft Vertrauen, und Vertrauen erzeugt Tiefe.

Was raten Sie Unternehmen, die ein Feedback‑Tool einführen wollen?

Unternehmen sollten Feedback‑Software nicht als Werkzeug für Marketing oder Stimmungsbilder betrachten, sondern als Infrastruktur für Erkenntnisse. Wer diese Infrastruktur aufbaut, muss sie wie ein sicherheitskritisches System behandeln: mit klaren Prozessen, mit dokumentierten Standards, mit echter Transparenz. Und er muss bereit sein, die Antworten auszuhalten.

Über den Autor

Dennis Wegner ist Gründer und Geschäftsführer der easyfeedback GmbH. Das Unternehmen entwickelt seit 2010 Softwarelösungen für Online-Befragungen und Feedbackprozesse.