Lieferantenmanagement – Ein Blick in die Praxis und in die Zukunft 

Springe direkt zu:

Navigation aller Website-Bereiche

Praxis und Erfahrung

Erfolgreich umgesetzt - Kundenprojekte und Erfahrungswerte

Lieferantenmanagement – Ein Blick in die Praxis und in die Zukunft 

Lieferantenmanagement spielt eine zentrale Rolle in der Wertschöpfung eines Unternehmens und ist entscheidend für die Informationssicherheit. Sicherheitsvorfälle bei Lieferanten können erhebliche materielle Schäden und Imageschäden verursachen. Unternehmen müssen Maßnahmen ergreifen, um diese Risiken zu minimieren und Schwachstellen im Lieferantenmanagement aufzudecken. Erfahren Sie mehr darüber, welche Maßnahmen helfen können, dieses Risiko zu minimieren und die Cyberresilienz des eigenen Unternehmens durch ein qualifiziertes Lieferantenmanagement zu stärken. 

Lieferanten spielen für die Wertschöpfung eines Unternehmens eine wichtige Rolle und sollten anhand entsprechender Kriterien bewertet werden, um die Sicherheit vor Cyber-Attacken zu gewährleisten. Sicherheitsvorfälle wie Malware oder Ransomware-Attacken nehmen zu und können durch menschliches Fehlverhalten verursacht werden, was erhebliche materielle Schäden und Imageschäden zur Folge haben kann. 

Durch die komplexen Abhängigkeiten in der Lieferkette kann ein Sicherheitsvorfall beim Lieferanten weitreichende negative Folgen im eigenen Unternehmen haben. Betriebsunterbrechungen beim Lieferanten können zu Engpässen in der eigenen Produktion führen. Wenn der Lieferant an die eigenen Systeme angeschlossen ist, kann ein Cyberangriff auch das eigene Netzwerk betreffen. Das Thema Lieferantenmanagement gewinnt zunehmend an Bedeutung und ist in Standards wie ISO 27001 und Gesetzen wie der NIS-2 Richtlinie verankert. 

Best-Practice Methode 

Zum Aufbau eines qualifizierten Lieferantenmanagements werden Lieferanten in unterschiedliche Risikogruppen unterteilt. Die Bewertung erfolgt durch verschiedene Methoden, die individuell kombiniert werden können, um einen risikobasierten Ansatz zu verfolgen. Unsere Best-Practice Methode entspricht den Anforderungen der NIS-2 Richtlinie und ISO 27001. Voraussetzung ist eine Business Impact Analyse, um schützenswerte Informationen zu identifizieren. Basierend darauf werden Lieferanten nach Zugriff auf diese Informationen oder der Verfügbarkeit der bereitgestellten Systeme in Risikogruppen eingeteilt: 

Abbildung 1: Best-Practice Methode Lieferantenbewertung - Risikobasierter Ansatz Abbildung 1: Best-Practice Methode Lieferantenbewertung - Risikobasierter Ansatz

Bewertungsmethoden zur Beurteilung der Risikogruppen 

Die Beurteilung der Risikogruppen für Lieferanten kann anhand von Kriterien aus der Informationssicherheit, dem Datenschutz und der Wichtigkeit des Lieferanten für das Unternehmen erfolgen.  

Basierend auf den Risikogruppen können unterschiedliche Bewertungsmethoden für die Lieferanten vorgenommen werden. Diese können individuell kombiniert werden. Als erstes sollten die Lieferanten der höchsten Risikogruppe bewertet werden, da sie das höchste Risiko für das Unternehmen in Bezug auf die Informationssicherheit darstellen. 

Für Lieferanten der verschiedenen Risikogruppen können die folgenden Methoden verwendet werden: 

2.1 Internes Assessment von Lieferanteninformationen 

Das interne Assessment erfolgt über die Sammlung und Auswertung von Lieferanteninformationen mittels einer standardisierten Vorgehensweise und einer Cyber-Risikobewertung. Dabei werden mögliche Bedrohungen oder Schwachstellen, die vom Lieferanten ausgehen könnten, betrachtet. Grundlage kann eine Checkliste der Lieferantenrisiken sein. Bei nicht ausreichenden Informationen sollten weitere Bewertungsmethoden genutzt werden. 

2.2 Lieferantenselbstauskunft und Fragebogen 

Der Lieferant füllt ein Informationsblatt zur Selbstauskunft aus, das die Informationssicherheitsleitlinie und etablierte Rahmenbedingungen umfasst. Je nach Risikogruppe werden weitere Fragen zur Umsetzung von Informationssicherheitsanforderungen gestellt. Die Antworten werden bewertet und ergeben ein Gesamtbild der Cyber-Resilienz des Lieferanten. Die Anforderungen an Lieferanten mit einer höheren Risikogruppe sind entsprechend höher als die Anforderungen an Lieferanten, die einer niedrigeren Risikogruppe zugeordnet wurden. Weitere Prüfungen können in persönlichen Gesprächen erfolgen. 

Beispiele für Fragenbereiche: 

  • Zertifizierungen im Bereich der Informationssicherheit: 
  1. Keine gültigen Zertifikate 
  2. Richtlinien und Prozesse vorhanden 
  3. Etabliertes ISMS nach bekanntem Standard 
  4. Ein Zertifikat vorhanden 
  5. Mehrere Zertifikate vorhanden 
  • Schulungen zur Informationssicherheit: 
  1. Keine Schulungen 
  2. Unregelmäßige Informationen 
  3. Jährliche Schulungen für alle Mitarbeiter 
  4. Zusätzliche zielgruppenorientierte Schulungen 
  5. Zusätzliche Sicherheitstrainings (z. B. Phishing) 

2.3 Lieferantenaudits 

Lieferantenaudits prüfen Lieferanten individuell und tragen zur Zuverlässigkeit der Informationssicherheit in der Lieferkette bei. Sie fördern ein vertrauensvolles Verhältnis und minimieren Risiken. Audits sind besonders bei risikobehafteten Lieferanten empfehlenswert. Ein Vor-Ort-Audit prüft Prozesse, Aufzeichnungen und die Einhaltung vertraglicher Anforderungen. Der persönliche Austausch kann die Zusammenarbeit fördern und die Umsetzung von Maßnahmen überwachen. 

2.4 Externe Lieferantenbewertung 

Für Lieferanten in der höchsten Risikogruppe können externe Bewertungen durchgeführt werden. Externe Dienstleister bewerten Lieferanten anhand von Webauftritt, standardisierten Assessments und Risiko Rating Scores. Dies bietet Transparenz und Vergleichbarkeit. Bei festgestellten Risiken erhält der Lieferant Hinweise zur Umsetzung von Maßnahmen, was die Widerstandsfähigkeit des Unternehmens stärkt. 

Ein Beispiel ist das Cyber-Risk Rating durch KSV1870, das gemeinsam mit dem Kompetenzzentrum sicheres Österreich (KSÖ) einen Standard für das Lieferantenmanagement in Österreich definiert hat, der den Vorgaben der NIS- und NIS-2-Richtlinie entspricht. 

Eine Risikobewertung eines Lieferanten kann dort so aussehen:  

Abbildung 2: Beispiel Cyber-Risk Rating vom KSV1870 Abbildung 2: Beispiel Cyber-Risk Rating vom KSV1870

In diesem Fall wurde das Cyber-Risk Rating der Konica Minolta Business Solutions Austria erstellt. Dies ist die Ansicht, die andere Unternehmen ebenfalls auf der Website öffentlich einsehen können. Für Unternehmen, die dort bereits gelistet sind, können die Informationen über den Lieferanten dort direkt bezogen werden. Ziel des KSÖ und des KSV1870 ist es, eine flächendeckende Abbildung der Unternehmen in Österreich zu erreichen und somit die Cyber-Resilienz der österreichischen Unternehmen zu stärken. Je mehr Dienstleister eine standardisierte Risikobewertung vornehmen, umso geringer wird der Aufwand der Lieferantenbewertungen, die sonst jedes Unternehmen neu erstellen müsste. 

Einbindung des Qualitätsmanagementsystems in die Lieferantenbewertung 

Ein etabliertes Qualitätsmanagement sollte in die Lieferantenbewertung, -auswahl und -überwachung integriert werden. Dies umfasst die Evaluierung, Qualifizierung, Genehmigung und laufende Überwachung der Lieferantenqualität als gelenkten und dokumentierten Prozess. Dabei arbeiten Fachabteilung, Einkauf, IT und Qualitätsmanagement zusammen, um die richtigen Anforderungen für potenzielle Lieferanten festzulegen. Bei der Erstellung der Anforderungen zur IT-Sicherheit sollten aktuelle Best Practices berücksichtigt werden. 

Nachstehend sind mögliche Vorgaben zur Informationssicherheit genannt, die in Lieferantenverträgen und Qualitätsmanagementvereinbarungen enthalten sein sollten: 

Lieferantenverträge  Qualitätsmanagementvereinbarungen 
Verfügbarkeit der Systeme  Verknüpfung von branchenspezifischen Qualitätsstandards mit IT-Sicherheitsanforderungen an Daten und die Einbettung von IT-Sicherheitsprinzipien in das Qualitätsmanagement 
Erreichbarkeit der Mitarbeiter und Unterstützung bei Notfällen  
Datensicherheit zur Sicherung von vertraulichen Daten 
Umgang mit Sicherheitsvorfällen und deren Meldungen Festlegung von Leistungskennzahlen, sog. Key Performance Indicators (KPIs), die IT-Sicherheitsaspekte erfassen 
Zugriffskontrolle und Management von physischer Sicherheit sowie Schutzmaßnahmen zur Netzwerksicherheit Nachweis von Dokumentationen, die die IT-Sicherheitshandhabung belegen 
Umgang mit Informationssicherheitsrisiken sowie Business Continuity Management Risikobasierte Ansätze, um Auswirkungen von IT-Sicherheitsproblemen über die Fachabteilung hinaus sichtbar zu machen 
Management von Sicherheitspatches Standardverfahren zum Änderungsmanagement, die Qualitäts- und Sicherheitsänderungen beinhalten und den kontinuierlichen Verbesserungsprozess erfüllen 
Compliance mit Sicherheitsstandards und die Möglichkeit zur Überwachung durch Kunden und externe Prüfer Einbindung von branchenspezifischen Normen und IT-Sicherheitsnormen in die Anforderungen zur Lieferantenüberwachung 

Eine regelmäßige Lieferantenüberwachung in Form einer wiederholenden Requalifizierung der Lieferanten sollte das Unternehmen in einem Standardprozess vorweisen können, um sicherzustellen, dass die Systeme, Prozesse und Dienstleistungen der Lieferanten für den vorgesehenen Zweck geeignet bleiben. Der Prüfungsrhythmus sollte auf die Risikoeinstufung und Kritikalität des Lieferanten abgestimmt werden. 

Lieferantenmanagement 

Lieferantenmanagement1

Die Anforderungen an die Informationssicherheit sollten bei der Erstqualifizierung eines Lieferanten vertraglich vereinbart werden, um sicherzustellen, dass die vereinbarten Standards im laufenden Betrieb bestehen bleiben. Diese Vereinbarungen können in Technischen und organisatorischen Maßnahmen (TOM), Vertraulichkeitsvereinbarungen, Qualitätssicherungsvereinbarungen, Datentransfervereinbarungen oder anderen vertraglichen Dokumenten festgehalten werden. 

4.1 Erweiterte Maßnahmen zur Sicherstellung der Informationssicherheit 

Wenn einer der Lieferanten die vorab geforderten Anforderungen der Informationssicherheit nicht vollumfänglich erfüllt, die Zusammenarbeit jedoch weiterhin bestehen soll, gibt es die Möglichkeit, gemeinsam mit dem Lieferanten alternative Maßnahmen zur Behandlung der entstehenden Risiken zu definieren. Dies können technische, organisatorische und das Verhalten der Mitarbeiter betreffende Maßnahmen sein.  

4.2 Zusammenfassung des Prozesses der Lieferantenbewertung 

Der Prozess der Lieferantenbewertung beginnt mit der Einteilung der Lieferanten in geeignete Risikogruppen. Diese Einteilung basiert auf der Sensibilität der Informationen, auf die der Lieferant Zugriff hat, und der Verfügbarkeit der Systeme, die er bereitstellt. Je nach Risikogruppe wird ein passendes Bewertungsverfahren genutzt. Da das Risiko eines Angriffs oder einer Schwachstelle bei Lieferanten der Risikogruppe 1 für die Informationssicherheit des Unternehmens sehr gering ist, wird diese Risikogruppe im weiteren Verfahren zunächst nicht weiter betrachtet: 

  • Risikogruppe 2: Ein internes Assessment wird durchgeführt, um Risikobereiche zu identifizieren, die für die Informationssicherheit des Unternehmens relevant sind. Falls Risiken festgestellt werden, müssen diese mit dem Lieferanten besprochen und Maßnahmen zur Risikobehandlung definiert werden. 
  • Risikogruppe 3 und 4: Eine Lieferantenselbstauskunft oder eine externe Lieferantenbewertung wird durchgeführt. Bei gefundenen Schwachstellen, hohen Risiken oder Abweichungen von den Vorgaben kann zusätzlich ein Lieferantenaudit durchgeführt werden. 
  • Risikogruppe 5: Externe Lieferantenbewertungen oder eine Lieferantenselbstauskunft sind erforderlich. Besondere Aufmerksamkeit wird auf die Einhaltung der Mindestanforderungen gelegt. Ein Vor-Ort-Audit kann hilfreich sein, um die Umsetzung der Informationssicherheit des Lieferanten zu überprüfen. Falls der Lieferant keine Zertifizierung in der Informationssicherheit nachweisen kann, sind zusätzliche, spezifisch angepasste Anforderungen ratsam. 

Nach der Bewertung der Lieferanten wird überprüft, ob die Anforderungen der Informationssicherheit erfüllt sind. Gegebenenfalls werden erweiterte Maßnahmen vorgenommen. Anschließend werden die Verträge mit den Lieferanten überprüft und alle Anforderungen dokumentiert, um die Einhaltung zu gewährleisten. 

 

Ausblick in die Zukunft des Lieferantenmanagements 

Lieferantenmanagement2

Ein Beispiel für ein etabliertes Lieferantenmanagement bietet die Automobilindustrie. Der Verband der Automobilindustrie hat mit dem Trusted Information Security Assessment Exchange (TISAX) einen Prüf- und Austauschmechanismus für die Informationssicherheit geschaffen. Jeder Lieferant muss sich nach dem VDA.ISA Katalog zertifizieren lassen. Mit dem TISAX-Zertifikat kann ein Lieferant jeden Automobilhersteller und dessen Lieferkette beliefern. Dies betrifft mittlerweile auch IT-Dienstleister und Beratungen. 

Das Beispiel der Automobilindustrie zeigt, wohin es für Unternehmen in Deutschland und Europa gehen kann. Mit der NIS-2 Richtlinie, die strengere Informationssicherheitsmaßnahmen fordert, wird das Thema Informationssicherheit gesetzlich verankert. Die Richtlinie soll europaweit einheitliche Anforderungen schaffen und die Cyber-Resilienz stärken. Selbst Unternehmen, die nicht direkt unter die NIS-2 Richtlinie fallen, müssen bestimme Anforderungen an die Informationssicherheit erfüllen, wenn sie betroffene Unternehmen beliefern. 

Diese neuen Anforderungen sind besonders für kleine und mittlere Unternehmen (KMU) herausfordernd, da viele keine Zertifizierung im Bereich der Informationssicherheit nachweisen können. Um KMU zu unterstützen, hat das BSI gemeinsam mit dem Bundesverband mittelständischer Wirtschaft die DIN SPEC 27076, bekannt als Cyber-Risiko-Check, erstellt. Diese umfasst 27 Anforderungen aus sechs Themenbereichen der Informationssicherheit und ermöglicht KMU eine Bewertung ihrer eigenen Informationssicherheit. 

Eine weitere Möglichkeit für KMU bietet die VdS Schadenverhütung mit der VdS-Richtlinie 10000 – ein Maßnahmenkatalog, der auf KMU angepasst ist und den Informationssicherheitsstatus eines Unternehmens prüft. Der Cyber Trust Europe bietet ein Label für Informationssicherheit basierend auf dem Cyber Risk Rating, das die Umsetzung der NIS-2 Anforderungen überprüft. 

Diese Beispiele zeigen, dass ein effektives Lieferantenmanagement für die IT-Sicherheit unerlässlich ist. Die Abhängigkeit von IT-Dienstleistern und Lieferanten birgt Risiken. Durch Methoden wie unsere Best Practice Methode zur Lieferantenbewertung können Unternehmen sicherstellen, dass ihre Lieferanten hohe Sicherheitsstandards einhalten und somit die eigene Cyber-Resilienz erhöhen. Dies erfordert einen kontinuierlichen Austausch mit den Lieferanten, um potenzielle Bedrohungen frühzeitig zu erkennen und zu mitigieren. 

Über die Autorinnen

Von links nach rechts: Michaela Sommer ist Senior Quality Managerin bei der AiCuris Anti-infective Cures AG. Kathrin Schauberger arbeitet als IT-Managerin bei der Affimed GmbH. Lea Calmano ist Managerin Security Consulting bei Materna und Dozentin für Cyber Security Management an der FOM-Hochschule.

Die Autorinnen

Alle Artikel dieser Ausgabe

Enterprise Architecture Management im Fokus

Mehr

Enterprise Architecture Management im Fokus (verweist auf: Enterprise Architecture Management)

Interview zum Thema EAM

Mehr

Interview zum Thema EAM (verweist auf: EAM - ein Interview)

Menschen bei Materna

Mehr

Menschen bei Materna (verweist auf: Menschen bei Materna)

Ready for AI - dank Data Economy

Mehr

Ready for AI - dank Data Economy (verweist auf: Ready for AI)

Interview zum Thema Mobile App-Entwicklung

Mehr

Interview zum Thema Mobile App-Entwicklung (verweist auf: Mobile App-Entwicklung )

Potenziale der Data Economy

Mehr

Potenziale der Data Economy (verweist auf: Data Economy )

Lieferantenmanagement – Ein Blick in die Praxis

Mehr

Lieferantenmanagement – Ein Blick in die Praxis und in die Zukunft (verweist auf: Lieferantenmanagement)

IT-Sicherheit für RheinEnergie

Mehr

IT-Sicherheit für RheinEnergie (verweist auf: RheinEnergie)

Usability und digitale Barrierefreiheit

Mehr

Usability und digitale Barrierefreiheit (verweist auf: Usability und digitale Barrierefreiheit)

Cyber Security: KI sicher und ethisch einsetzen

Mehr

Cyber Security: KI sicher und ethisch einsetzen (verweist auf: KI und Regulatorik)

Automatisieren mit DevOps Copilot

Mehr

Automatisieren mit DevOps Copilot (verweist auf: DevOps Copilot )

Blätterfunktion