Blog

Sichere Lieferketten – eine methodische Unterstützung.

Dieses Methodenkonzept unterstützt Organisationen dabei, ihre Cybersicherheit in der Lieferkette durch strukturierte Risikobewertung, Anforderungserstellung und Überwachung zu stärken.
Die Methode gliedert sich in drei Bereiche:
  • Risiken verstehen – Sicherheitsrisiken in der Lieferkette erfassen und analysieren.
  • Kontrolle gewinnen – Sicherheitsanforderungen für Lieferanten definieren und aufrechterhalten.
  • Resilienz aufbauen – Kontinuierliche Sicherheitsverbesserungen und Vorfallmanagement entwickeln.

1. Risiken verstehen

Eine Risikoanalyse hilft Ihrer Organisation, Sicherheitsrisiken in der Lieferkette zu identifizieren und zu verstehen. Die Risikobewertung sollte geschäftskritische Lieferanten, Informationsflüsse und mögliche rechtliche Risiken umfassen.

1.1 Was geschützt werden muss und warum

In dieser Phase wird eine Übersicht über Ihre Informationen und Systeme erstellt, die schützenswert sind, sowie die Gründe dafür. Welche Lieferanten und Systeme stellen die größte Bedrohung für Ihre Geschäftstätigkeit dar? Eine Risikomatrix kann helfen, Risiken anhand von Wahrscheinlichkeit und Auswirkungen zu visualisieren und zu priorisieren.

Sie sollten erfassen:

  • Rechtliche Risiken, also mögliche Schwachstellen in den Verträgen mit Ihren Lieferanten.

  • Welche Informationen oder Vermögenswerte der Lieferant im Rahmen des Vertragszugriffs hat und verwaltet sowie deren Wert für Ihr Unternehmen.

  • Welche Schutzanforderungen Sie an Ihre Lieferanten stellen – sowohl hinsichtlich des Umgangs mit Ihren Informationen und Vermögenswerten als auch bezüglich der von ihnen gelieferten Produkte oder Dienstleistungen.

1.2 Lieferanten erfassen

Bewerten Sie die Risiken und Bedrohungen, die von Ihren Lieferanten ausgehen. Beginnen Sie mit der Einschätzung ihrer Resilienz und Kontinuitätsfähigkeit. Prüfen Sie, auf welche Informationen sie bei Ihnen Zugriff haben und ob sie geschäftskritische Produkte oder Dienstleistungen liefern. Welche Konsequenzen hätte es, wenn diese Informationen offengelegt, verloren oder in falsche Hände geraten?

Sie erfassen und spezifizieren:

  • Welche Lieferanten Sie haben. Berücksichtigen Sie, wie viele Stufen in der Lieferkette Sie zurückverfolgen müssen, um die gesamte Lieferung zu verstehen und zu vertrauen. Möglicherweise müssen Sie sich auf Ihre direkten Lieferanten verlassen, um Informationen über Unterlieferanten zu erhalten, was Zeit in Anspruch nehmen kann, um die gesamte Lieferkette zu erfassen.

  • Den Reifegrad und die Effektivität Ihrer Lieferanten hinsichtlich ihrer Sicherheitsfähigkeit und Cyberhygiene.

  • Welche Sicherheitsanforderungen Sie stellen. Sind diese realistisch in Bezug auf das, was der Lieferant liefert, und können Ihre Lieferanten diese erfüllen?

  • Überprüfen und stellen Sie sicher, dass die von Ihnen gestellten Anforderungen erfüllt werden.

  • Verstehen Sie den physischen und logischen Zugang Ihrer Lieferanten zu Ihren Systemen, Räumlichkeiten und Informationen sowie Ihre Kontrollmöglichkeiten.

  • Verstehen Sie, wie Ihre wichtigsten Lieferanten den Zugang zu und die Nutzung Ihrer Informationen und/oder Vermögenswerte – einschließlich Systeme und Räumlichkeiten – kontrollieren.

1.3 Sicherheitsrisiko einschätzen

Bewerten Sie die Risiken und ihre Auswirkungen auf Ihre Informationen oder Vermögenswerte sowie auf die zu liefernden Produkte oder Dienstleistungen. Dies gilt für die gesamte Lieferkette. Wichtig ist, aus einer geschäftsorientierten Risikoperspektive vorzugehen. Im öffentlichen Sektor entspricht dies dem Schutz der Marke. Eine Risikomatrix kann helfen, Risiken anhand von Wahrscheinlichkeit und Auswirkungen zu visualisieren und zu priorisieren.

Typische Bedrohungen in der Lieferkette

  • Cyberangriffe auf Lieferanten (z. B. Ransomware, Supply-Chain-Angriffe)

  • Insider-Bedrohungen und Social Engineering (unbefugter Zugriff durch Mitarbeiter)

  • Mangelnder Datenschutz und unzureichendes Vorfallmanagement

  • Unzureichende Überwachung von Unterlieferanten

Die richtige Abgrenzung finden

Das Verständnis der mit Ihrer Lieferkette verbundenen Risiken ist entscheidend, um sicherzustellen, dass Sicherheitsmaßnahmen und Anforderungen angemessen, effektiv und akzeptabel sind. Nutzen Sie dieses Verständnis, um die Schutzanforderungen zu definieren, die Sie von Lieferanten in Ihrer gesamten Lieferkette erwarten.

Aktionsplan

Dokumentieren Sie Ihre Arbeit und legen Sie eine "Supply-Chain-Policy" fest. Es kann sinnvoll sein, verschiedene Verträge oder Lieferanten in Risikoprofile zu gruppieren, basierend auf Überlegungen zu möglichen Verlusten, Schäden oder Unterbrechungen sowie der Fähigkeit möglicher Bedrohungen. Berücksichtigen Sie die Art der Dienstleistung/Produkte, die sie liefern, sowie die Art und Sensibilität der von ihnen verarbeiteten Informationen. Jedes Profil erfordert eine etwas andere Handhabung, um Ihre Sicht auf die damit verbundenen Risiken widerzuspiegeln.

Ein Vorschlag ist, eine Risiko- und Folgenanalyse durchzuführen und Ihre Lieferanten einzuteilen in:

  • Kritisch (Critical)

  • Grundlegend (Essential)

  • Wichtig (Important)

  • Sonstige (Other)

Gesetzeskonformität

NIS2, DORA und AI-Act stellen Anforderungen an die Sicherheit von Lieferanten. Organisationen sollten sicherstellen, dass ihre Lieferanten diese Vorschriften einhalten und grundlegende Cybersicherheitsmaßnahmen umsetzen.

2. Kontrolle gewinnen

Dieser Abschnitt hilft Ihnen, die Kontrolle über Ihre Lieferkette zu erlangen und zu behalten. Mit besserer Kontrolle können Sie strategische Risiken analysieren, zum Beispiel:

  • Lieferanten identifizieren, die Ihre Sicherheits- und Leistungsanforderungen nicht erfüllen.

  • Kritische Vermögenswerte und mögliche Überabhängigkeiten von einzelnen Lieferanten erkennen.

2.1 Mindestanforderungen festlegen

Um eine konsistente und robuste Cybersicherheit entlang der gesamten Lieferkette sicherzustellen, sollten Lieferanten klare, standardisierte Sicherheitsanforderungen während der gesamten Vertragslaufzeit erfüllen. Diese Anforderungen basieren auf etablierten internationalen Standards (z. B. ISO 27001, NIST CSF, CIS Controls) und werden an das Risikoprofil Ihres Unternehmens angepasst.

Der Vorteil standardisierter Kontrollen und unterstützender Systeme liegt in der Zeitersparnis für Sie und Ihre Lieferanten, die angesichts steigender gesetzlicher Anforderungen (NIS2, DORA, AI-Act etc.) wachsende Anforderungen erfüllen müssen.

Diese Anforderungen spiegeln Ihre Risikobewertung wider, berücksichtigen aber auch den Reifegrad der Sicherheitsmaßnahmen Ihrer Lieferanten und deren Fähigkeit, die geforderten Standards zu erfüllen. Stellen Sie sicher, dass die Mindestanforderungen gerechtfertigt, verhältnismäßig und erreichbar sind.

Für kritische Lieferanten kann es gerechtfertigt sein, tiefere Prüfungen und Sicherheitsaudits durchzuführen. Setzen Sie unterschiedliche Reifeanforderungen für verschiedene Lieferantentypen, basierend auf den mit ihnen verbundenen Risiken – vermeiden Sie es, von allen Lieferanten denselben Reifegrad zu verlangen, wenn dies nicht angemessen ist. Erklären Sie die Gründe für diese Anforderungen Ihren Lieferanten, damit sie verstehen, was von ihnen erwartet wird.

2.2 Anforderungen vertraglich festlegen

Integrieren Sie Ihre Mindestanforderungen in die Verträge mit Ihren Lieferanten und verlangen Sie, dass diese Anforderungen auch an Unterlieferanten weitergegeben werden. So können Sie sicherstellen, dass auch Unterlieferanten grundlegende Cyberhygiene einhalten.

Nachweise

Fordern Sie von potenziellen Lieferanten Nachweise über ihre systematische Arbeit im Bereich Cybersicherheit und ihre Fähigkeit, die festgelegten Mindestanforderungen während der Vertragsdauer einzuhalten.

Unterstützung bieten

Entwickeln Sie passende Leitfäden, Werkzeuge und Prozesse, um die Sicherheitsarbeit für Sie und Ihre Lieferanten auf allen Ebenen zu erleichtern.

Anforderungen klar kommunizieren

Definieren Sie klar die Anforderungen zur Handhabung und Meldung von Sicherheitsvorfällen im Vertrag. Legen Sie fest, wer für die Meldung zuständig ist und wie die Kommunikation erfolgen soll. Informieren Sie Ihre Lieferanten auch über die Unterstützung, die sie im Falle eines Vorfalls von Ihnen erwarten können, notwendige "Bereinigungsmaßnahmen", Entschädigungen etc. Die DSGVO schreibt kurze Fristen für die Meldung an Aufsichtsbehörden vor, auf die Sie und Ihre Lieferkette vorbereitet sein müssen. Bei NIS2 sind die Meldefristen sogar noch strenger.

Sie sollten:

  • darauf achten, dass die Sicherheitsanforderungen in Ihren Verträgen verhältnismäßig sind und zu den jeweiligen Phasen des Vertragsprozesses sowie zur Bedeutung und den Möglichkeiten des Lieferanten passen.

  • fordern, dass Sicherheitsaspekte vertraglich geregelt werden, und alle Beteiligten über deren Anwendung schulen.

  • sicherstellen, dass Ihre Leitfäden, Werkzeuge und Prozesse in der gesamten Lieferkette genutzt werden.

  • vertragliche Erneuerungen in angemessenen Abständen vorsehen und dabei eine Neubewertung der Risiken verlangen.

  • dafür sorgen, dass Ihre Lieferanten Ihre Sicherheitsanforderungen verstehen und unterstützen, und sie auffordern, erforderliche Maßnahmen zu ergreifen oder Informationen bereitzustellen.

  • vertraglich klare Anforderungen zur Rückgabe und Löschung Ihrer Informationen oder Vermögenswerte bei Vertragsbeendigung oder -übertragung festlegen.

2.3 Überwachung und Prüfung

Ein wesentlicher Bestandteil sicherer Lieferketten ist die Gewährleistung, dass Lieferanten die Sicherheitsanforderungen während der gesamten Vertragslaufzeit einhalten. Viele Sicherheitslücken entstehen erst nach Vertragsabschluss, weshalb kontinuierliche Überwachung und Audits entscheidend sind. Automatisierte Kontrollen und KPIs ermöglichen eine schnellere Erkennung von Sicherheitsmängeln.

Verfolgen Sie, ob Ihre Lieferanten ihre Cybersicherheitsfähigkeiten während der Vertragszeit aktiv und systematisch verbessern. Wenn ein Lieferant die Mindestanforderungen nicht erfüllt, fordern Sie einen Maßnahmenplan mit Zeitrahmen zur Behebung. Automatisierte Risikoanalysen und kontinuierliche Überwachung helfen, die Sicherheit langfristig zu gewährleisten. Der Einsatz von Zero-Trust-Prinzipien und digitalen Plattformen kann Transparenz und Sicherheit in der Lieferkette erhöhen.

Ziehen Sie regelmäßige Sicherheitsaudits bei kritischen Lieferanten in Betracht. Fordern Sie Nachweise, dass sie Ihre Mindestanforderungen erfüllen. Bei Vorliegen eines Zertifikats wie ISO27001 prüfen Sie den Geltungsbereich, ob er das gesamte Unternehmen abdeckt, und fordern Sie das Statement of Applicability (SOA) an, um den Umfang der Sicherheitsmaßnahmen zu verstehen. Dies ist besonders wichtig für Unternehmen, die von NIS2/DORA betroffen sind und Anforderungen für das gesamte Unternehmen erfüllen müssen.

3. Resilienz aufbauen

Während sich Ihre Lieferkette weiterentwickelt, müssen Sie die Sicherheit kontinuierlich verbessern und aufrechterhalten.

3.1 Prozesse für das Lieferkettenmanagement schaffen

  • Fordern Sie von sicherheitsrelevanten Lieferanten vertraglich auf, regelmäßig Berichte über ihre Sicherheitsleistung zu liefern und alle Risikomanagementrichtlinien und -prozesse einzuhalten.

  • Verankern Sie das Recht auf Audits in allen Verträgen, um Nachweise für die Angaben der Lieferanten zu verlangen. Nutzen Sie dieses Recht systematisch während der gesamten Vertragsdauer.

  • Integrieren Sie Sicherheitsanforderungen wie Sicherheitszertifikate, Penetrationstests, externe Prüfungen oder formelle Sicherheitszertifizierungen dort, wo es sinnvoll ist.

  • Setzen Sie Kennzahlen ein, um die Wirksamkeit Ihres Sicherheitsmanagements in der Lieferkette zu messen.

  • Bewerten Sie Ergebnisse und Erkenntnisse und ergreifen Sie entsprechende Maßnahmen.

  • Fördern Sie bei Ihren Lieferanten eine gute Cyberhygiene.

3.2 Kontinuierliche Verbesserung fördern

  • Ermutigen Sie Ihre Lieferanten, ihre Cybersicherheitsfähigkeiten und Cyberhygiene fortlaufend zu verbessern, und heben Sie hervor, wie dies ihnen helfen kann, sich bei zukünftigen Ausschreibungen bei Ihnen und anderen zu behaupten.

  • Bieten Sie Ihren Lieferanten Beratung und Unterstützung bei diesen Verbesserungen an.

  • Vermeiden Sie unnötige Hindernisse für Verbesserungen: Akzeptieren Sie bestehende Sicherheitsverfahren oder Zertifizierungen, die zeigen, wie Lieferanten Ihre Mindestanforderungen erfüllen.

  • Geben Sie Ihren Lieferanten ausreichend Zeit, um Sicherheitsverbesserungen umzusetzen, verlangen Sie jedoch Zeitpläne und Spezifikationen, die deren Umsetzung darlegen.

  • Hören Sie auf und reagieren Sie auf Probleme, die durch Überwachung, Vorfälle oder Berichte der Lieferanten aufgedeckt werden und auf mögliche Schwächen in den aktuellen Verfahren hinweisen.

3.3 Vertrauen bei Lieferanten aufbauen

Obwohl Sie erwarten können, dass Ihre Lieferanten Sicherheitsrisiken gemäß Vertrag managen, sollten Sie bereit sein, Unterstützung anzubieten, wenn Sicherheitsvorfälle Ihre Organisation oder die Lieferkette insgesamt gefährden könnten.

  • Streben Sie strategische Partnerschaften mit wichtigen Lieferanten an, teilen Sie Herausforderungen, fördern und schätzen Sie deren Beiträge. Gewinnen Sie deren Zustimmung zu Ihrer Cybersicherheitsstrategie in der Lieferkette und stellen Sie sicher, dass sie deren Bedürfnisse ebenso berücksichtigt wie Ihre eigenen.

  • Lassen Sie Ihre Lieferanten Unterlieferanten verwalten, verlangen Sie jedoch angemessene Berichterstattung, um die Sicherheit dieser Beziehungen transparent zu machen.

  • Pflegen Sie eine kontinuierliche und effektive Kommunikation mit Ihren Lieferanten.

  • Betrachten Sie das Lieferkettenmanagement als gemeinsame Aufgabe für Sie und Ihre Lieferanten.

Robert Willborg

Was digitale Souveränität wirklich bedeutet

Souveränität ist keine Frage des Ortes, sondern der Kontrolle.

Robert Willborg

Von der Unsicherheitsökonomie zum Vertrauen

Die Geschichte einer Branche, die die Orientierung verlor.

Robert Willborg

Lufttüchtigkeit für die digitale Gesellschaft

NIS2 will, dass wir sicher fliegen, nicht Papier ausfüllen.

Robert Willborg

EU Data Act

Wenn die EU "Notausgänge" in Ihre Datenkorridore baut (und noch niemand die Schilder gelesen hat).
Zur Blogseite