⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DE EN BG CS DA EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
Compliance

Mehr als ein Handschlag: Lieferantensicherheit mit ISO 27001 und GDPR beherrschen

Igor Petreski
12 min read
#ISO 27001:2022 #GDPR #Lieferantenmanagement #Risikomanagement #Datenschutz #NIS2 #DORA

Ihre Lieferanten sind eine Erweiterung Ihres Geschäfts – und zugleich eine Erweiterung Ihrer Angriffsfläche. Schwache Lieferantensicherheit kann zu Datenschutzverletzungen, regulatorischen Bußgeldern und operativem Chaos führen; ein belastbares Management ist daher nicht verhandelbar. Dieser Leitfaden zeigt einen praxisnahen Weg, Lieferantensicherheit mit ISO 27001:2022 zu beherrschen und die GDPR-Pflichten für Auftragsverarbeiter durch wirksame Verträge und angemessene Aufsicht zu erfüllen.

Was auf dem Spiel steht

Im heutigen vernetzten Geschäftsökosystem agiert keine Organisation isoliert. Sie stützen sich auf ein Netzwerk von Lieferanten – von Cloud-Hosting und Softwareentwicklung über Marketinganalysen bis hin zur Lohn- und Gehaltsabrechnung. Dieses Outsourcing steigert zwar die Effizienz, führt aber auch zu erheblichen Risiken. Immer wenn Sie einem Dritten Zugriff auf Ihre Daten, Systeme oder Infrastruktur gewähren, vertrauen Sie darauf, dass er dieselben Sicherheitsstandards einhält wie Sie. Ist dieses Vertrauen fehl am Platz, können die Folgen erheblich sein und weit über eine bloße Serviceunterbrechung hinausgehen. Eine Sicherheitsverletzung in Ihrer Lieferkette bleibt Ihre Sicherheitsverletzung; die operativen, finanziellen und reputationsbezogenen Folgen treffen unmittelbar Ihre Organisation.

Die regulatorische Landschaft, insbesondere in Europa, lässt keinen Raum für Unklarheiten. Die GDPR stellt in Article 28 ausdrücklich klar, dass Verantwortliche für die Handlungen ihrer Auftragsverarbeiter rechenschaftspflichtig sind. Das bedeutet: Sie sind rechtlich verpflichtet, die erforderliche Sorgfalt anzuwenden und sicherzustellen, dass jeder Lieferant, der personenbezogene Daten verarbeitet, hinreichende Garantien für sein Informationssicherheits-Risikoprofil bietet. Die bloße Unterzeichnung eines Vertrags reicht nicht aus; erforderlich ist ein formaler, dokumentierter Auftragsverarbeitungsvertrag, der konkrete Sicherheitsmaßnahmen, Vertraulichkeitspflichten, Verfahren zur Meldung von Verletzungen und Auditrechte regelt. Versäumnisse können zu erheblichen Bußgeldern führen, doch der Schaden endet dort nicht. Vorgaben wie NIS2 und DORA erweitern diese Erwartungen und verlangen koordinierte Risikobeurteilungen sowie vertragliche Sicherheitsverpflichtungen über die gesamte IKT-Lieferkette hinweg, insbesondere in kritischen und finanziellen Sektoren.

Betrachten Sie ein kleines E-Commerce-Unternehmen, das eine externe Marketingagentur mit der Verwaltung seiner Kunden-E-Mail-Kampagnen beauftragt. Die Marketingagentur speichert die Kundenliste auf einem fehlerhaft konfigurierten Cloud-Server. Ein Bedrohungsakteur entdeckt die Schwachstelle, exfiltriert die personenbezogenen Daten von Tausenden Kunden und veröffentlicht sie online. Für das E-Commerce-Unternehmen ist die Auswirkung unmittelbar und gravierend. Es sieht sich einer GDPR-Untersuchung, möglichen Bußgeldern, einem Verlust des Kundenvertrauens, dessen Wiederaufbau Jahre dauern kann, sowie dem operativen Aufwand für Vorfallsreaktion und Benachrichtigung gegenüber. Die Ursache lag nicht in einem Fehler der eigenen Systeme, sondern darin, den Lieferanten nicht angemessen geprüft und nicht vertraglich an konkrete Sicherheitsstandards gebunden zu haben. Dieses Szenario verdeutlicht eine zentrale Erkenntnis: Ihre Informationssicherheit ist nur so stark wie Ihr schwächster Lieferant.

Wie ein guter Zielzustand aussieht

Robuste Lieferantensicherheit bedeutet nicht, undurchdringliche Mauern zu errichten; sie bedeutet, ein transparentes, risikobasiertes Rahmenwerk für das Management von Beziehungen zu Drittparteien zu schaffen. Ein ausgereiftes Programm, ausgerichtet an ISO 27001:2022, macht aus Lieferantenmanagement mehr als eine Beschaffungsformalität: Es wird zu einer strategischen Sicherheitsfunktion. Ausgangspunkt sind die Grundsätze aus Maßnahme A.5.19, die sich auf die Einrichtung und Aufrechterhaltung einer klaren Richtlinie zum Management von Informationssicherheit in Lieferantenbeziehungen konzentriert. Das bedeutet: Nicht jeder Lieferant wird gleich behandelt. Stattdessen werden Lieferanten anhand des von ihnen eingebrachten Risikos eingestuft – unter Berücksichtigung der Sensibilität der Daten, auf die sie zugreifen, der Kritikalität des bereitgestellten Dienstes und ihrer Integration in Ihre Kernsysteme.

Dieser risikobasierte Ansatz bestimmt unmittelbar die vertraglichen Anforderungen aus Maßnahme A.5.20, die die Berücksichtigung von Informationssicherheit in Lieferantenvereinbarungen regelt. Bei einem Lieferanten mit hohem Risiko, etwa einem Anbieter von Cloud-Infrastruktur, ist die Vereinbarung umfassend. Sie legt technische Maßnahmen wie Verschlüsselungsstandards fest, schreibt regelmäßige Sicherheitsprüfungen vor, definiert strenge Fristen zur Meldung von Verletzungen und sichert Ihr Recht, die Einhaltung zu überprüfen. Bei einem Lieferanten mit geringem Risiko, etwa einem Reinigungsdienst für Büroräume, können die Anforderungen so einfach wie eine Vertraulichkeitsklausel sein. Ziel ist, jede Lieferantenbeziehung durch klare, durchsetzbare Sicherheitsverpflichtungen zu steuern, die dem jeweiligen Risiko angemessen sind. Dieser strukturierte Prozess stellt sicher, dass Sicherheit bereits ab der ersten Prüfung eines neuen Lieferanten ein zentrales Kriterium ist und nicht erst nach Vertragsunterzeichnung nachträglich betrachtet wird. Unsere umfassende Kontrollbibliothek unterstützt dabei, diese spezifischen Maßnahmen für unterschiedliche Lieferantenstufen zu definieren.1

Stellen Sie sich ein wachsendes Fintech-Startup vor, das sensible Finanzdaten verarbeitet. Sein Lieferantensicherheitsprogramm ist ein Modell für effiziente Umsetzung. Wenn ein neuer Cloud-Anbieter für das Hosting der Kernanwendung beauftragt wird, wird der Anbieter als „kritisches Risiko“ eingestuft. Dies löst eine strenge Due-Diligence-Prüfung aus, einschließlich der Überprüfung seines ISO 27001-Zertifikats und SOC 2-Berichts. Der Auftragsverarbeitungsvertrag wird von Rechts- und Sicherheitsteams geprüft, um sicherzustellen, dass er die GDPR-Anforderungen an Datenresidenz und das Management von Unterauftragsverarbeitern erfüllt. Beauftragt das Unternehmen dagegen eine lokale Designagentur für ein einmaliges Marketingprojekt, wird diese als „geringes Risiko“ eingestuft. Sie unterzeichnet lediglich eine standardisierte Geheimhaltungsvereinbarung und erhält ausschließlich Zugriff auf nicht sensitive Marken-Assets. Dieser gestufte, methodische Ansatz ermöglicht es dem Startup, seine Ressourcen auf die höchsten Risiken zu konzentrieren und zugleich agil zu bleiben.

Praktischer Weg

Der Aufbau eines belastbaren Lieferantensicherheitsprogramms erfordert einen strukturierten, phasenweisen Ansatz, der Sicherheit über den gesamten Lebenszyklus eines Lieferanten hinweg integriert – von der Auswahl bis zum Offboarding. Es handelt sich nicht um ein einmaliges Projekt, sondern um einen fortlaufenden Geschäftsprozess, der Beschaffung, Recht und IT miteinander verzahnt. Wenn die Umsetzung in handhabbare Schritte unterteilt wird, lassen sich Fortschritte schnell erzielen und Nutzen nachweisen, ohne die Teams zu überlasten. Dieser Weg stellt sicher, dass Sicherheitsanforderungen definiert, Verträge belastbar ausgestaltet und Überwachung kontinuierlich betrieben werden. So entsteht ein Kontrollsystem, das Auditoren überzeugt und Risiken tatsächlich reduziert. Unser ISMS-Umsetzungsleitfaden, der Zenith Blueprint, bietet einen detaillierten Projektplan für den Aufbau dieser grundlegenden Prozesse.2

In der ersten Phase wird die Grundlage geschaffen. Dazu gehört, die bestehende Lieferantenlandschaft zu verstehen und die Spielregeln für alle künftigen Beziehungen festzulegen. Was nicht bekannt ist, kann nicht geschützt werden; daher ist ein vollständiges Inventar aller aktuellen Lieferanten der unverzichtbare erste Schritt. Dieser Prozess legt häufig Abhängigkeiten und Risiken offen, die bisher nicht dokumentiert waren. Sobald Transparenz besteht, können Richtlinien und Verfahren entwickelt werden, die das Programm steuern und sicherstellen, dass alle Beteiligten in der Organisation ihre Rolle bei der Aufrechterhaltung der Sicherheit der Lieferkette verstehen.

  • Woche 1: Bestandsaufnahme und Richtliniengrundlage
    • Erstellen Sie ein vollständiges Inventar aller aktuellen Lieferanten, einschließlich der bereitgestellten Dienste und der Daten, auf die sie zugreifen.
    • Entwickeln Sie eine Methodik zur Risikobeurteilung, um Lieferanten anhand von Datensensitivität, Servicekritikalität und Systemzugriff in Stufen einzuteilen (z. B. hoch, mittel, niedrig).
    • Entwerfen Sie eine formale Richtlinie zur Lieferantensicherheit, die die Anforderungen für jede Risikostufe definiert.
    • Erstellen Sie einen standardisierten Sicherheitsfragebogen und eine Vorlage für Auftragsverarbeitungsverträge, die mit GDPR Article 28 im Einklang steht.

Sind die grundlegenden Richtlinien etabliert, konzentriert sich die nächste Phase darauf, diese neuen Anforderungen in Beschaffungs- und Rechtsprozesse einzubetten. Hier wird das Programm von der Theorie in die Praxis überführt. Entscheidend ist, dass kein neuer Lieferant eingebunden werden darf, ohne die angemessene Sicherheitsprüfung zu durchlaufen. Dies erfordert eine enge Zusammenarbeit mit den Teams, die Lieferantenverträge und Zahlungen verwalten. Wird Sicherheit als verpflichtendes Gate im Beschaffungsprozess verankert, entstehen risikobehaftete Beziehungen gar nicht erst, und alle Vereinbarungen enthalten die erforderlichen rechtlichen Schutzmechanismen.

  • Woche 2: Integration und Due Diligence
    • Integrieren Sie den Prozess der Sicherheitsprüfung in Ihren bestehenden Beschaffungs- und Lieferanten-Onboarding-Workflow.
    • Beginnen Sie mit der Bewertung neuer Lieferanten anhand Ihres Sicherheitsfragebogens und Ihrer Risikomethodik.
    • Arbeiten Sie mit Ihrer Rechtsabteilung zusammen, um sicherzustellen, dass alle neuen Verträge, insbesondere solche mit Bezug zu personenbezogenen Daten, Ihren standardisierten Auftragsverarbeitungsvertrag und Sicherheitsklauseln enthalten.
    • Starten Sie die nachträgliche Bewertung Ihrer bestehenden Lieferanten mit hohem Risiko und schließen Sie vertragliche Lücken.

Die dritte Phase verlagert den Schwerpunkt auf laufende Überwachung und Überprüfung. Lieferantensicherheit ist keine Aktivität nach dem Prinzip „einrichten und vergessen“. Die Bedrohungslage verändert sich, Lieferantendienste entwickeln sich weiter, und das Informationssicherheits-Risikoprofil des Lieferanten kann sich mit der Zeit verschlechtern. Ein ausgereiftes Programm enthält Mechanismen für kontinuierliche Aufsicht, damit Lieferanten ihre vertraglichen Verpflichtungen über die gesamte Beziehung hinweg einhalten. Dazu gehören regelmäßige Abstimmungen, die Prüfung von Auditberichten und ein klarer Prozess für den Umgang mit Änderungen an den bereitgestellten Diensten.

  • Woche 3: Überwachung und Änderungsmanagement
    • Legen Sie einen Zeitplan für regelmäßige Überprüfungen von Lieferanten mit hohem Risiko fest (z. B. jährlich). Dies sollte die Anforderung aktualisierter Zertifizierungen oder Auditberichte umfassen.
    • Definieren Sie einen formalen Prozess für Änderungen an Lieferantendiensten. Jede wesentliche Änderung, etwa die Einführung eines neuen Unterauftragsverarbeiters oder eine Änderung des Ortes der Datenverarbeitung, muss eine erneute Risikobeurteilung auslösen.
    • Implementieren Sie ein System zur Nachverfolgung der Lieferantenleistung gegenüber sicherheitsbezogenen Service Level Agreements (SLAs) und vertraglichen Anforderungen.

Schließlich muss das Programm darauf vorbereitet sein, Sicherheitsvorfälle zu bewältigen und das Ende einer Lieferantenbeziehung sicher zu steuern. Unabhängig davon, wie gründlich Ihre Due Diligence ist, können Vorfälle dennoch eintreten. Ein klar definierter Incident-Response-Plan, der Ihre Lieferanten einbezieht, ist entscheidend für eine schnelle und wirksame Reaktion. Ebenso wichtig ist ein sicheres Offboarding-Verfahren. Wenn ein Vertrag endet, müssen Sie sicherstellen, dass alle Ihre Daten zurückgegeben oder sicher vernichtet werden und dass jeder Zugriff auf Ihre Systeme entzogen wird, damit keine Sicherheitslücken verbleiben.

  • Woche 4: Incident Response und Offboarding
    • Integrieren Sie Lieferanten in Ihren Incident-Response-Plan und klären Sie deren Rollen, Verantwortlichkeiten und Kommunikationsprotokolle im Fall einer Sicherheitsverletzung.
    • Entwickeln Sie eine formale Checkliste für das Lieferanten-Offboarding. Diese muss Schritte zur Datenrückgabe oder -vernichtung, zum Entzug sämtlicher physischer und logischer Zugriffe sowie zur abschließenden Kontenklärung enthalten.
    • Testen Sie den Kommunikationsplan für Lieferantenvorfälle, um sicherzustellen, dass er wie vorgesehen funktioniert.
    • Beginnen Sie, das Offboarding-Verfahren auf auslaufende Lieferantenbeziehungen anzuwenden.

Richtlinien, die dauerhaft wirken

Ein praxisnaher Umsetzungsplan ist wesentlich, doch ohne klare und durchsetzbare Richtlinien geraten selbst die besten Prozesse unter Druck ins Wanken. Richtlinien bilden das Rückgrat Ihres Lieferantensicherheitsprogramms: Sie übersetzen strategische Ziele in konkrete Regeln für tägliche Entscheidungen. Sie schaffen Klarheit für Mitarbeitende, setzen eindeutige Erwartungen an Lieferanten und erzeugen einen prüfbaren Nachweis Ihres Governance-Rahmenwerks. Eine gut formulierte Richtlinie beseitigt Interpretationsspielräume und stellt sicher, dass Sicherheits-Due-Diligence in der gesamten Organisation einheitlich angewendet wird – vom Beschaffungsteam, das einen neuen Vertrag verhandelt, bis zum IT-Team, das den Zugriff für einen Drittparteienberater bereitstellt.

Der Grundpfeiler dieses Rahmenwerks ist die Richtlinie zur Lieferanten- und Drittparteiensicherheit.3 Dieses Dokument dient als zentrale verbindliche Referenz für alle sicherheitsrelevanten Themen im Zusammenhang mit Lieferanten. Es definiert formal die Verpflichtung der Organisation zum Management von Risiken in der Lieferkette und beschreibt den gesamten Lebenszyklus einer Lieferantenbeziehung aus Sicherheitssicht. Es legt die Methodik zur Risikostufung fest, spezifiziert die Mindestsicherheitsanforderungen je Stufe und weist klare Rollen und Verantwortlichkeiten zu. Diese Richtlinie stellt sicher, dass Sicherheit keine optionale Zusatzanforderung ist, sondern ein verpflichtender Bestandteil jeder Lieferantenbeauftragung. Sie schafft die Befugnis, Einhaltung durchzusetzen und Lieferanten abzulehnen, die Ihre Standards nicht erfüllen.

Ein mittelständisches Logistikunternehmen nutzt beispielsweise ein Dutzend unterschiedlicher Softwareanbieter – von der Routenplanung bis zur Lagerverwaltung. Seine Richtlinie zur Lieferanten- und Drittparteiensicherheit schreibt vor, dass jeder Anbieter, der Sendungs- oder Kundendaten verarbeitet, als „hohes Risiko“ einzustufen ist. Bevor das Finanzteam eine Rechnung für ein neues Softwareabonnement verarbeiten kann, muss der Beschaffungsmanager einen unterzeichneten Auftragsverarbeitungsvertrag und einen ausgefüllten Sicherheitsfragebogen in ein zentrales Repository hochladen. Der IT-Sicherheitsmanager wird automatisch benachrichtigt, um die Dokumente zu prüfen. Fehlen Dokumente oder sind die Antworten des Anbieters unzureichend, verhindert das System die Zahlungsfreigabe und stoppt damit den Onboarding-Prozess, bis die Sicherheitsanforderungen erfüllt sind. Dieser einfache, richtliniengesteuerte Workflow stellt sicher, dass kein risikobehafteter Anbieter unbemerkt durch den Prozess gelangt.

Checklisten

Um einen umfassenden und wiederholbaren Prozess für Lieferantensicherheit sicherzustellen, ist es hilfreich, die zentralen Aktivitäten in handlungsorientierte Checklisten zu unterteilen. Diese Listen führen Ihre Teams durch die kritischen Phasen des Programmaufbaus, des täglichen Betriebs und der Wirksamkeitsprüfung im Zeitverlauf. Sie helfen, den Ansatz zu standardisieren, das Risiko menschlicher Fehler zu reduzieren und Auditoren klare Nachweise dafür zu liefern, dass Ihre Kontrollen einheitlich umgesetzt werden.

Eine solide Grundlage ist für jedes wirksame Sicherheitsprogramm entscheidend. Bevor einzelne Lieferanten bewertet werden können, muss zunächst das interne Rahmenwerk aufgebaut werden, das den gesamten Prozess trägt. Dazu gehören die Definition Ihrer Risikobereitschaft, die Erstellung der erforderlichen Dokumentation und die Zuweisung klarer Verantwortung. Ohne diese Grundelemente bleiben die Maßnahmen unkoordiniert, uneinheitlich und mit wachsender Organisation schwer skalierbar. In dieser initialen Aufbauphase werden die Werkzeuge und Regeln geschaffen, die alle künftigen Aktivitäten zur Lieferantensicherheit steuern.

Aufbauen: Ihr Rahmenwerk für Lieferantensicherheit etablieren

  • Entwickeln und genehmigen Sie eine formale Richtlinie zur Lieferanten- und Drittparteiensicherheit.
  • Erstellen Sie ein umfassendes Inventar aller bestehenden Lieferanten und der Daten, auf die sie zugreifen.
  • Definieren Sie eine klare Methodik zur Risikobeurteilung sowie Kriterien für die Einstufung von Lieferanten.
  • Entwerfen Sie einen standardisierten Sicherheitsfragebogen für die Lieferanten-Due-Diligence.
  • Erstellen Sie eine rechtliche Vorlage für Auftragsverarbeitungsverträge, die mit GDPR Article 28 konform ist.
  • Weisen Sie klare Rollen und Verantwortlichkeiten für das Management der Lieferantensicherheit über Abteilungen hinweg zu.

Sobald das Rahmenwerk steht, verlagert sich der Schwerpunkt auf die operativen, täglichen Aktivitäten beim Management von Lieferantenbeziehungen. Dazu gehört, Sicherheitsprüfungen in die Standardprozesse der Organisation einzubetten, insbesondere in Beschaffung und Onboarding. Jeder neue Lieferant muss diese Sicherheits-Gates durchlaufen, bevor ihm Zugriff auf Ihre Daten oder Systeme gewährt wird. Diese operative Checkliste stellt sicher, dass die festgelegten Richtlinien in der Praxis bei jeder einzelnen Lieferantenbeauftragung konsistent angewendet werden.

Betreiben: Den Lieferantenlebenszyklus steuern

  • Führen Sie vor Vertragsunterzeichnung für alle neuen Lieferanten Sicherheits-Due-Diligence und eine Risikobeurteilung durch.
  • Stellen Sie sicher, dass in allen relevanten Lieferantenverträgen ein unterzeichneter Auftragsverarbeitungsvertrag und angemessene Sicherheitsklauseln enthalten sind.
  • Stellen Sie Lieferantenzugriffe nach dem Prinzip der minimalen Berechtigung bereit.
  • Verfolgen und steuern Sie sicherheitsbezogene Ausnahmen oder akzeptierte Risiken für bestimmte Lieferanten.
  • Führen Sie den formalen Offboarding-Prozess aus, wenn ein Lieferantenvertrag beendet wird, einschließlich Datenvernichtung und Entzug von Zugriffsrechten.

Ein Sicherheitsprogramm ist nur wirksam, wenn es regelmäßig überwacht, überprüft und verbessert wird. In der Phase „Überprüfen“ wird sichergestellt, dass die Kontrollen wie vorgesehen funktionieren und Lieferanten ihre Sicherheitsverpflichtungen dauerhaft erfüllen. Dazu gehören regelmäßige Prüfungen, formale Audits und die Verpflichtung, aus Vorfällen oder Beinahe-Vorfällen zu lernen. Diese kontinuierliche Verifizierungsschleife macht aus einem statischen Regelwerk eine dynamische und resiliente Sicherheitsfunktion.

Überprüfen: Lieferantensicherheit überwachen und auditieren

  • Planen und führen Sie regelmäßige Sicherheitsüberprüfungen von Lieferanten mit hohem Risiko durch.
  • Fordern Sie Nachweise der Einhaltung von Lieferanten an und prüfen Sie diese, etwa ISO 27001-Zertifikate oder Ergebnisse von Penetrationstests.
  • Führen Sie interne Audits des Lieferantensicherheitsprozesses durch, um die Einhaltung der Richtlinie sicherzustellen.
  • Überprüfen und aktualisieren Sie die Risikobeurteilungen für Lieferanten als Reaktion auf wesentliche Änderungen an Diensten oder an der Bedrohungslage.
  • Übernehmen Sie Erkenntnisse aus lieferantenbezogenen Sicherheitsvorfällen in Ihre Richtlinien und Verfahren.

Häufige Fallstricke

Selbst mit einem gut gestalteten Programm geraten Organisationen häufig in typische Fallen, die ihre Maßnahmen zur Lieferantensicherheit untergraben. Das Bewusstsein für diese Fallstricke ist der erste Schritt, sie zu vermeiden. Einer der häufigsten Fehler besteht darin, Lieferantensicherheit beim Onboarding als einmalige Abhakübung zu behandeln. Ein Lieferant kann bei Vertragsunterzeichnung ein hervorragendes Informationssicherheits-Risikoprofil haben, doch seine Situation kann sich ändern. Fusionen, Übernahmen, neue Unterauftragsverarbeiter oder auch einfache Abweichungen von der Baseline-Konfiguration können neue Schwachstellen einführen. Werden regelmäßige Überprüfungen, insbesondere bei Lieferanten mit hohem Risiko, unterlassen, beruhen Entscheidungen auf veralteten und potenziell unzutreffenden Annahmen über deren Sicherheit.

Ein weiterer erheblicher Fallstrick ist die unkritische Akzeptanz von Lieferantendokumenten. Große Anbieter, insbesondere in den Cloud- und SaaS-Märkten, legen ihre Standardverträge und Sicherheitsbedingungen häufig als nicht verhandelbar vor. Viele Organisationen, die ein Projekt schnell starten möchten, unterzeichnen diese Vereinbarungen ohne gründliche Prüfung durch Rechts- und Sicherheitsteams. Dies kann dazu führen, dass ungünstige Bedingungen akzeptiert werden, etwa eine extrem begrenzte Haftung im Fall einer Sicherheitsverletzung, unklare Klauseln zum Dateneigentum oder fehlende Auditrechte. Auch wenn Verhandlungen schwierig sein können, ist es entscheidend, Abweichungen von der eigenen Sicherheitsrichtlinie zu identifizieren und die Risikoakzeptanz formal zu dokumentieren, falls Sie dennoch fortfahren. Bedingungen einfach zu unterzeichnen, ohne die Auswirkungen zu verstehen, ist ein Versagen der Due Diligence.

Ein dritter häufiger Fehler ist unzureichende interne Kommunikation und Verantwortungszuweisung. Lieferantensicherheit liegt nicht allein in der Verantwortung der IT- oder Sicherheitsabteilung. Die Beschaffung muss Verträge steuern, die Rechtsabteilung muss Vertragsbedingungen prüfen, und die fachlichen Verantwortlichen, die auf den Dienst des Lieferanten angewiesen sind, müssen die damit verbundenen Risiken verstehen. Arbeiten diese Bereiche in Silos, entstehen zwangsläufig Lücken. Die Beschaffung könnte einen Vertrag verlängern, ohne die erforderliche erneute Sicherheitsbewertung auszulösen, oder ein Geschäftsbereich könnte einen neuen „kostengünstigen“ Anbieter beauftragen, ohne jegliche Sicherheitsprüfung. Ein erfolgreiches Programm erfordert ein funktionsübergreifendes Team mit klaren Rollen und einem gemeinsamen Verständnis des Prozesses.

Schließlich planen viele Organisationen das Ende der Beziehung nicht ausreichend. Offboarding ist ebenso kritisch wie Onboarding. Ein häufiger Fehler besteht darin, einen Vertrag zu beenden, aber den Zugriff des Lieferanten auf Systeme und Daten nicht zu entziehen. Verbleibende, ungenutzte Konten sind ein bevorzugtes Ziel für Angreifer. Ein formaler Offboarding-Prozess mit Checkliste zum Entzug aller Zugangsdaten, zur Rückgabe oder Vernichtung aller Unternehmensdaten und zur Bestätigung des Zugriffsentzugs ist wesentlich, damit solche Zombie-Konten nicht zu einem künftigen Sicherheitsvorfall werden.

Nächste Schritte

Sind Sie bereit, ein resilientes Lieferantensicherheitsprogramm aufzubauen, das regulatorischen Prüfungen standhält und Ihr Unternehmen schützt? Unsere umfassenden Toolkits bieten die Richtlinien, Kontrollen und Umsetzungshinweise, die Sie für den Einstieg benötigen.

Referenzen

  1. Zenith Controls ↩︎

  2. Zenith Blueprint ↩︎

  3. Richtlinie zur Lieferanten- und Drittparteiensicherheit ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Einstieg in ISO 27001:2022: Ein praxisnaher Leitfaden

Einstieg in ISO 27001:2022: Ein praxisnaher Leitfaden

Einführung

ISO 27001 ist die internationale Norm für Informationssicherheits-Managementsysteme (ISMS). Dieser umfassende Leitfaden führt Sie durch die wesentlichen Schritte zur Einführung von ISO 27001 in Ihrer Organisation – von der initialen Planung bis zur Zertifizierung.

Was ist ISO 27001?

ISO 27001 bietet einen systematischen Ansatz für den Umgang mit sensiblen Unternehmensinformationen und stellt sicher, dass diese angemessen geschützt werden. Die Norm berücksichtigt Menschen, Prozesse und IT-Systeme durch die Anwendung eines risikobasierten Managementansatzes.