Home » Fachbeiträge » KRITIS » Best Practices für ein risikobasiertes Lieferantenmanagement

So sichern Unternehmen ihre Lieferkette ab: Best Practices für ein risikobasiertes Lieferantenmanagement

Wie können Unternehmen sicherstellen, dass ihre Lieferanten die gleichen Sicherheitsstandards einhalten? Unsere Autorinnen stellen in ihrem Beitrag eine selbst entwickelte Methode zur Lieferantenbewertung vor, die Unternehmen dabei hilft, die neuen Anforderungen der NIS-2-Richtlinie oder der ISO 27001 an das Lieferantenmanagement zu erfüllen.

12 Min. Lesezeit
Frau erklärt vom Screen Statistiken
Foto: ©AdobeStock/Gorodenkoff

Lieferanten spielen eine zentrale Rolle für die Informationssicherheit von Unternehmen. Aufgrund der komplexen Abhängigkeiten in der Lieferkette kann ein Sicherheitsvorfall bei einem Dienstleister weitreichende Auswirkungen und negative Folgen für das eigene Unternehmen haben.

Zum Schutz vor diesen Risiken ist der Aufbau eines qualifizierten Lieferantenmanagements unerlässlich. Dafür können Unternehmen den hier vorgestellten Best-Practice-Ansatz nutzen. Um eine risikobasierte Lieferantenbewertung zu erstellen, werden die Lieferanten zuerst in verschiedene Risikogruppen eingeteilt. Voraussetzung dafür ist, dass im Unternehmen bereits eine Business-Impact-Analyse durchgeführt wurde beziehungsweise die schützenswerten Informationen und Geschäftsprozesse bekannt und dokumentiert sind. Darauf aufbauend kann der Zugang der Anbieter zu diesen Informationen beziehungsweise die Verfügbarkeit der vom Anbieter bereitgestellten Systeme als Kriterium für die Einstufung in die verschiedenen Risikogruppen herangezogen werden.

Einteilung in Risikogruppen

In unserem Best-Practice-Ansatz unterscheiden wir die folgenden fünf Gruppen:

  • Risikogruppe 1: Lieferanten und Dienstleister haben lediglich Zugriff auf die öffentlichen Daten des Unternehmens und verarbeiten demnach keine besonders schützenswerten Informationen aus Sicht der Informationssicherheit. Da das Risiko eines Angriffs oder einer Schwachstelle bei diesen Lieferanten für die Informationssicherheit des Unternehmens sehr gering ist, wird diese Risikogruppe im weiteren Verfahren zunächst nicht weiter betrachtet. Beispiele für diese Lieferantengruppe sind: Dienstleister für Bürozubehör, Handelswaren, Lebensmittel etc.
  • Risikogruppe 2: Lieferanten und Dienstleister haben Zugriff auf und/oder verarbeiten schützenswerte Informationen der Vertraulichkeitsstufe intern. Beispiele für solche Dienstleister sind Unternehmen, die bei internen Unternehmensabläufen unterstützen, wie zum Beispiel Beiträge im Intranet.
  • Risikogruppe 3: Lieferanten und Dienstleister der Risikogruppe 3 haben Zugriff auf und/oder verarbeiten schützenswerte Informationen der Vertraulichkeitsstufe vertraulich. Beispiele für solche Dienstleister sind Beratungsunternehmen, die bei strategischen Projekten unterstützen, wie beispielsweise bei der Einführung neuer Produkte.
  • Risikogruppe 4: Lieferanten und Dienstleister dieser Risikogruppe haben Zugriff auf und/oder verarbeiten schützenswerte Informationen der Vertraulichkeitsstufe streng vertraulich oder stellen Systeme bereit, die für das Unternehmen eine hohe Verfügbarkeit aufweisen müssen. Beispiele hierfür sind Beratungsunternehmen, die bei strategischen, streng vertraulichen Projekten, insbesondere in der Geschäftsführung unterstützen. Beispiele dafür können Arbeiten an Prototypen oder Patenten sein. Außerdem sind Lieferanten betroffen, die Systeme bereitstellen, deren Verfügbarkeit für das Unternehmen geschäftskritisch ist, zum Beispiel Stromversorger oder Internetanbieter.
  • Risikogruppe 5: Lieferanten und Dienstleister der Risikogruppe 5 haben administrativen Zugriff auf die IT-Infrastruktur des Unternehmens. Beispiele für solche Dienstleister können IT-Dienstleister sein, die Firewalls warten, Netzwerkinfrastrukturen verwalten oder einzelne IT-Anwendungen betreuen und für diese Tätigkeit administrative Zugriffsrechte besitzen. Auch Fernwartungszugänge zu Anlagen können bei produzierenden Unternehmen dieser Risikogruppe zugeordnet werden.

Bei Bedarf kann man die Risikogruppen um weitere Parameter erweitern oder in der Anzahl an die Gegebenheiten des eigenen Unternehmens anpassen.

Bewertungsmethoden für Lieferanten einer Risikogruppe

Nach der Definition der Risikogruppen muss man die jeweiligen Lieferanten in die entsprechenden Gruppen einordnen. Dazu können Kriterien aus den Bereichen Informationssicherheit, Datenschutz und Bedeutung des Lieferanten für das Unternehmen herangezogen werden. Für die Beurteilung der Risikogruppe gibt es verschiedene Methoden (siehe Abbildung 1), die sich individuell kombinieren lassen. Als erstes sollten Unternehmen die Lieferanten der höchsten Risikogruppe bewerten.

Abbildung 1: Bewertungsmethoden zur Beurteilung der Risikogruppe der Lieferanten

Bewertungsmethoden zur Beurteilung der Risikogruppe der Lieferanten

Zur Bewertung können die Verantwortlichen folgende Methoden anwenden:

1. Internes Assessment mittels Risikobewertung

Ein internes Assessment erfolgt durch die Sammlung und Auswertung bereits vorhandener Lieferanteninformationen mittels einer standardisierten Vorgehensweise, die mit einer internen Cyberrisikobewertung einhergeht. Dabei werden mögliche Bedrohungen oder das Vorhandensein von Schwachstellen, die vom Lieferanten ausgehen können, berücksichtigt. Grundlage kann eine Checkliste der Lieferantenrisiken sein, die bestimmte Szenarien aufzeigt, die intern für den Lieferanten bewertet werden. Wenn keine ausreichenden Informationen über den Lieferanten vorliegen, sollten Unternehmen darüber hinaus noch andere Bewertungsmethoden verwenden.

2. Lieferantenselbstauskunft und Lieferantenfragebogen mit Risikobewertung

Der Lieferant füllt ein Informationsblatt zur Selbstauskunft aus. Dies beinhaltet die Informationssicherheitsleitlinie zusammen mit den etablierten Rahmenbedingungen unter anderem die Einhaltung von Gesetzen (zum Beispiel EUNIS-Richtlinie, EU-DSGVO) oder die Anwendung von bestehenden allgemeinen oder branchenspezifischen Standards (zum Beispiel ISO 27001, VdS 10000). Je nach Risikogruppe des Lieferanten werden noch weitere explizite Fragen zur Umsetzung von Informationssicherheitsanforderungen und speziellen Maßnahmen zum Schutz vertraulicher und sensibler Informationen mittels Fragebogen an den Lieferanten gestellt.

Die Antwortmöglichkeiten sind bereits vorgegeben; der Lieferant muss sie nur noch passend auswählen. Für die verschiedenen Antworten werden Punkte vergeben. Diese Punkte werden für die Auswertung der Lieferantenselbstauskunft genutzt und ergeben ein Gesamtbild der Cyberresilienz des Lieferanten. Die Anforderungen an Lieferanten innerhalb einer hohen Risikogruppe sind entsprechend höher als an Lieferanten innerhalb einer niedrigeren Risikogruppe.

Je nach interner Risikobewertung der Selbstauskunftsinformationen sind weitere Prüfungen des Lieferanten erforderlich, die in einem persönlichen Gespräch vorgenommen werden können.

Beispiele für mögliche Fragen und Antwortmöglichkeiten sind:

  • Haben Sie Zertifizierungen im Bereich der Informationssicherheit?
  1. Keine gültigen Zertifikate vorhanden.
  2. Keine gültigen Zertifikate vorhanden, aber notwendige Richtlinien und Prozesse, die eine Informationssicherheit im Unternehmen etablieren.
  3. Keine gültigen Zertifikate vorhanden, aber ein etabliertes Informationssicherheitsmanagementsystem (ISMS) nach einem bekannten Standard ist etabliert.
  4. Ein Zertifikat ist vorhanden. Bitte geben Sie das Zertifikat an.
  5. Mehrere Zertifikate sind vorhanden. Bitte geben Sie die Zertifikate an.
  • Schulen Sie Ihre Mitarbeiter regelmäßig zum Thema Informationssicherheit?
  1. Es finden keine Schulungen der Mitarbeiter zur Informationssicherheit statt.
  2. Mitarbeiter werden unregelmäßig über Informationssicherheitsthemen informiert.
  3. Es gibt Informationssicherheitsschulungen, die von allen Mitarbeitern mindestens einmal jährlich durchgeführt und dokumentiert werden müssen.
  4. Es gibt Informationssicherheitsschulungen einschließlich zielgruppenorientierter Schulungen, die von allen Mitarbeitern mindestens einmal jährlich durchgeführt und dokumentiert werden müssen.
  5. Es gibt Informationssicherheitsschulungen, einschließlich zielgruppenspezifischer Schulungen, die von allen Mitarbeitern mindestens einmal jährlich durchgeführt und dokumentiert werden müssen. Es finden zusätzliche Sicherheitstrainings statt, zum Beispiel zum Thema Phishing.

3. Lieferantenaudits

Mit einem Lieferantenaudit lassen sich Lieferanten individuell überprüfen. Die Audits können zu einer besseren Zuverlässigkeit der Informationssicherheit in der Lieferkette beitragen, fördern ein vertrauensvolles Verhältnis zwischen den Partnern, verbessern das Verständnis der Prozesse der Lieferanten und minimieren das Auftreten von Risiken in der Lieferkette.

Audits bilden eine wichtige Maßnahme zur Qualitätssicherung und geben Einblicke in die Umsetzung der Informationssicherheit von Unternehmen. Die Durchführung regelmäßiger Audits ist insbesondere bei risikobehafteten Lieferanten empfehlenswert, die auffällige Sicherheitsvorfälle hatten oder nicht allen Mindestanforderungen der Informationssicherheit entsprechen. Ein Vor-Ort-Audit dient der Prüfung von bestehenden Prozessen, Aufzeichnungen sowie der Einhaltung von vertraglich festgelegten Anforderungen.

Der persönliche Austausch im Rahmen eines Audits kann insbesondere bei kritischen Abweichungen die Zusammenarbeit durch einen gezielten kommunikativen Austausch fördern. Die nachgelagerte Überwachung zur Umsetzung von korrigierenden und präventiven Maßnahmen lassen den Handlungsbedarf aus dem stattgefundenen persönlichen Kontakt zwischen Auftraggeber und Lieferant zielführend prüfen.

4. Digitale Gesamtlösung für externe Lieferantenbewertung

Für die Bewertung von Lieferanten der höchsten Risikogruppe können Unternehmen Lieferantenbewertungen auch extern durch Dienstleister durchführen lassen. Die Methoden reichen dabei von einer Analyse und Bewertung des Webauftritts des Lieferanten über standardisierte Assessments bis zu einem Risiko Rating Score, der dem Unternehmen Transparenz über die gelebte Informationssicherheit beim Lieferanten verschafft.

Das hat den Vorteil, dass der Lieferant einer standardisierten Kontrolle durch eine unabhängige Instanz unterzogen wird und die Bewertung des Lieferanten in einer transparenten Form erfolgt, die mit anderen Unternehmen verglichen werden kann. Bei festgestellten Risiken erhält der Lieferant eine Auswertung der Schwachstellen und Hinweise zur Umsetzung von Maßnahmen. Damit wird die Widerstandsfähigkeit des auftraggebenden Unternehmens ebenfalls gestärkt.

Ein Beispiel für eine externe Lieferantenbewertung ist das CyberRisk Rating durch ein Unternehmen des Gläubigerschutzverbands KSV1870. Dieser hat gemeinsam mit dem Kompetenzzentrum sicheres Österreich (KSÖ), einen Standard für das Lieferantenmanagement von Unternehmen in Österreich definiert, der den Vorgaben der NIS- und der NIS-2-Richtlinie entspricht.

Abbildung 2 stellt eine von der KSV1870 erstellte Risikobewertung für das Unternehmen Konica Minolta Business Solutions Austria dar. Die Grafik zeigt die Ansicht, die andere Firmen ebenfalls auf der Website öffentlich einsehen können. Für Unternehmen, die dort bereits gelistet sind, können die Informationen über den Lieferanten dort direkt bezogen werden. Ziel des KSÖ und des KSV1870 ist es, eine flächendeckende Abbildung der Unternehmen in Österreich zu erreichen. Je mehr Dienstleister eine standardisierte Risikobewertung vornehmen, umso geringer wird der Aufwand der Lieferantenbewertungen, die sonst jedes Unternehmen neu erstellen müsste.

Abbildung 2: Beispiel CyberRisk Rating vom KSV1870

Beispiel CyberRisk Rating vom KSV1870
Bild: KSV1870

Einbindung des Qualitätsmanagements

Wenn das Unternehmen ein Qualitätsmanagement etabliert hat, sollte dieses in den Prozess der Lieferantenbewertung, Lieferantenauswahl und Lieferantenüberwachung involviert werden, um das Qualifizierungs- und Managementprogramm von Lieferanten, bestehend aus der Evaluierung, Qualifizierung, Genehmigung und der laufenden Überwachung der Lieferantenqualität, als gelenkten und dokumentierten Prozess zu berücksichtigen.

In der Evaluierung gilt es, zusammen mit der Fachabteilung, dem Einkauf, der IT, der Informationssicherheit und der Qualitätsmanagementeinheit, die richtigen Anforderungen für potenzielle Lieferanten bereitzustellen. In Bezug auf die IT- Sicherheit sind bei der Erstellung der Lieferantenanforderungen Aspekte der aktuellen Best Practices, wie oben beschrieben, zu berücksichtigen.

In Tabelle 1 sind mögliche Anforderungen an die Informationssicherheit aufgeführt, die Unternehmen in Lieferantenverträge und Qualitätsmanagementvereinbarungen aufnehmen sollten.

Tabelle 1: Anforderungen an die Informationssicherheit

Anforderungen an die Informationssicherheit

Eine regelmäßige Lieferantenüberwachung in Form einer wiederholenden Requalifizierung der Lieferanten sollte das Unternehmen in einem Standardprozess vorweisen können, um sicherzustellen, dass die Systeme, Prozesse und Dienstleistungen der Lieferanten für den vorgesehenen Zweck geeignet bleiben. Der Prüfungsrhythmus sollte auf die Risikoeinstufung und Kritikalität des Lieferanten abgestimmt werden.

Lieferantenmanagement

Bei erfolgreicher Erstqualifizierung eines Lieferanten sollten die Anforderungen an die Informationssicherheit zusätzlich zur internen Genehmigungsdokumentation mit dem Lieferanten vertraglich vereinbart werden, damit die festgelegten Standards auch im laufenden Betrieb eingehalten werden. Die Vereinbarungen und Anforderungen können vertraglich beispielsweise in den Technischen und organisatorischen Maßnahmen (TOM), Vertraulichkeitsvereinbarungen, Qualitätssicherungsvereinbarungen, Datentransfervereinbarungen oder anderen an den Vertrag verknüpften Vereinbarungen dokumentiert werden.

Wenn einer der Lieferanten die vorab geforderten Anforderungen der Informationssicherheit nicht vollumfänglich erfüllt, die Zusammenarbeit jedoch weiterhin bestehen soll, gibt es die Möglichkeit, gemeinsam mit dem Lieferanten alternative Maßnahmen zur Behandlung der entstehenden Risiken zu definieren. Dies können technische, organisatorische und das Verhalten der Mitarbeiter betreffende Maßnahmen sein.

Der in diesem Beitrag beschriebene Prozess beginnt mit der Einstufung der Lieferanten in eine geeignete Risikogruppe. Die Einteilung basiert auf der Sensibilität der Informationen, auf die der Lieferant Zugriff erhält, und der Verfügbarkeit der Systeme, die er bereitstellt. Je nach Risikogruppe kann ein passendes Verfahren zur Lieferantenbewertung genutzt werden.

Für die Risikogruppe 2 bietet sich ein internes Assessment an, bei dem überprüft wird, ob es Risikobereiche bei dem Lieferanten gibt, die für die Informationssicherheit des eigenen Unternehmens wichtig sind. Sollte dies der Fall sein, müssen diese mit dem Lieferanten besprochen und eine Risikobehandlung definiert werden.

Für die Risikogruppe 3 und 4 kann man die Lieferantenselbstauskunft oder eine externe Lieferantenbewertung durchführen. Bei gefundenen Schwachstellen, hohen Risiken oder Abweichungen von den Vorgaben kann ein Lieferantenaudit zusätzlich durchgeführt werden.

Für Lieferanten der Risikogruppe 5 sollten externe Lieferantenbewertungen oder Lieferantenselbstauskünfte unter besonderer Berücksichtigung der Mindestanforderungen durchgeführt werden. Hier kann ein Lieferantenaudit vor Ort hilfreich sein, um die Umsetzung der Informationssicherheit des Lieferanten an Beispielen zu überprüfen. Wenn er bisher keine Zertifizierung nachweisen kann, sind eventuell zusätzliche Anforderungen – spezifisch angepasst auf den Lieferanten und die jeweilige Dienstleistung – ratsam.

Nach der Bewertung der Lieferanten sollte die Verantwortlichen überprüfen, ob die Anforderungen der Informationssicherheit erfüllt sind. Gegebenenfalls sollten erweiterte Maßnahmen ergriffen werden.

Anschließend sollten die Verträge mit den Lieferanten überprüft und alle Anforderungen dokumentiert und ergänzt werden, um diese schriftlich zwischen beiden Parteien festzuhalten und die Einhaltung zu gewährleisten.

Ausblick

Ein Beispiel für ein bereits etabliertes und gelebtes Lieferantenmanagement bietet die Automobilindustrie. Der Verband der Automobilindustrie hat einen eigenen Branchenstandard geschaffen und damit das Thema Informationssicherheit in der Lieferkette selbst in die Hand genommen. Mit dem Trusted Information Security Assessment Exchange (TISAX), einem Prüf- und Austauschmechanismus für die Informationssicherheit, beweisen sich Unternehmen untereinander die Einhaltung der von der Automobilindustrie vorgegebenen Mindestanforderungen der Informationssicherheit. Jeder Lieferant der Automobilindustrie muss sich nach dem VDA.ISA-Katalog zertifizieren lassen.

Mit dem TISAX-Zertifikat kann ein Lieferant jeden Automobilhersteller und dessen Lieferkette beliefern. Das fängt mit den direkten Zulieferern an und geht in der Lieferkette inzwischen immer weiter nach außen. So müssen auch IT-Dienstleister und Beratungen mittlerweile ein TISAX-Zertifikat nachweisen.

Das Beispiel der Automobilindustrie zeigt, wo es für Unternehmen in Deutschland und Europa hingehen kann. Mit der NIS-2-Richtlinie wird das Thema Informationssicherheit gesetzlich verankert; sie fordert in ihren Mindestanforderungen die Sicherheit der Lieferkette. Dem Thema Lieferantenmanagement kommt damit eine noch größere Bedeutung. Auch Unternehmen, die zunächst nicht unter die NIS-2-Schwellenwerte fallen, müssen, wenn sie ein Unternehmen beliefern, das gesetzlich zur Einhaltung der NIS-2-Richtlinie verpflichtet ist, die Anforderungen des von NIS-2 betroffenen Kunden an die Informationssicherheit im Unternehmen erfüllen und dies nachweisen.

Diese neuen Anforderungen sind besonders für kleine und mittlere Unternehmen (KMU) herausfordernd, da die wenigsten von ihnen derzeit eine Zertifizierung im Bereich der IT-Sicherheit nachweisen. Um genau diese Zielgruppe besser zu unterstützen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundesverband mittelständischer Wirtschaft
ein Konsortium gegründet und die DINSPEC 27076, besser bekannt unter Cyber-Risiko-Check, erstellt. Dieser umfasst 27 Anforderungen aus sechs Themenbereichen und ermöglicht KMU eine Bewertung und Einordnung der eigenen Informationssicherheit.

Abbildung 3: Prozess der Lieferantenbewertung

Abbildung 3: Prozess der Lieferantenbewertung

Eine weitere Möglichkeit eines Nachweises der Informationssicherheit für KMU bietet beispielsweise die VdS Schadenverhütung, eine GmbH des Gesamtverbandes der Deutschen Versicherungswirtschaft, mit der VdS-Richtlinie 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU). Darüber hinaus vergibt Cyber Trust Europe ein Informationssicherheits-Gütesiegel an Unternehmen, das auf dem oben vorgestellten CyberRisk Rating basiert und die Umsetzung der Anforderungen der NIS-2-Richtlinie überprüft.

Die Beispiele zeigen, dass ein effektives Lieferantenmanagement für die IT-Sicherheit von Unternehmen mittlerweile unerlässlich ist. Mithilfe der gezeigte Best-Practice-Methode zur Lieferantenbewertung können Unternehmen sicherstellen, dass ihre Lieferanten hohe Sicherheitsstandards einhalten und somit die eigene Cyberresilienz erhöhen. Das erfordert einen kontinuierlichen Austausch mit den Lieferanten, um potenzielle Bedrohungen frühzeitig zu erkennen und zu mitigieren.

Porträt Lea Calmano

Lea Calmano ist Managerin Security Consulting bei Materna und Dozentin für Cyber Security Management an der FOM-Hochschule.

Porträt Kathrin Schauberger

Kathrin Schauberger ist IT-Managerin bei der Affimed GmbH.

Porträt Michaela Sommer

Michaela Sommer ist Quality Managerin bei der Affimed GmbH.

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...