Ihre Sicherheit ist nicht stärker als das schwächste Glied
Die Mehrheit der Organisationen hat Dutzende oder Hunderte von Lieferanten mit irgendeiner Form des Zugangs zu Systemen oder Daten. Jede solche Verbindung ist ein potenzieller Angriffsvektor. NIS2 erkennt dies an und stellt daher explizite Anforderungen an die Sicherheit der Lieferkette.
Es geht nicht darum, den Partnern zu misstrauen — es geht darum, systematisch ein Risiko zu managen, das sonst leicht übersehen wird.
Die Realität: Laut Ponemon Institute kommen 62% der Cyberangriffe über die Lieferantenkette. Angreifer wissen, dass es oft einfacher ist, über einen kleineren Lieferanten einzudringen als direkt über die Zielorganisation.
Was verlangt NIS2?
NIS2 Artikel 21 — Lieferantensicherheit:
Organisationen sollen angemessene Maßnahmen ergreifen, um Sicherheitsrisiken in der Lieferkette zu handhaben, einschließlich:
- Sicherheitsbezogene Aspekte der Beziehung zu Lieferanten
- Sicherheitsqualität der Produkte und Dienstleistungen von Lieferanten
- Cybersicherheitsmethoden von Lieferanten, einschließlich ihrer Entwicklungsprozesse
- Schwachstellenmanagement und Berichterstattung
5-Stufen-Modell für Lieferantenbewertung
- Inventarisieren und kategorisieren Beginnen Sie damit, alle Lieferanten aufzulisten, die Zugang zu Systemen, Daten oder Räumlichkeiten haben. Kategorisieren Sie sie nach Kritikalität: Kritisch (Geschäftsauswirkung bei Ausfall), Hoch (erhebliche Auswirkung), Mittel, Niedrig. Fokussieren Sie sich zuerst auf die kritischen und hohen.
- Anforderungen pro Kategorie definieren Verschiedene Lieferanten erfordern verschiedene Stufen von Sicherheitsanforderungen. Ein kritischer Cloud-Anbieter erfordert umfassende Anforderungen, während ein Bürolieferant weniger benötigt. Erstellen Sie Anforderungsebenen, die proportional zum Risiko sind.
- Bewertung durchführen Verwenden Sie Fragebögen, fordern Sie Dokumentation an und führen Sie bei Bedarf Audits durch. Fokussieren Sie sich auf: Sicherheitsrichtlinien, Vorfallbehandlung, Zugriffskontrolle, Verschlüsselung, Backup und Geschäftskontinuität.
- Verträge aktualisieren Stellen Sie sicher, dass Verträge Sicherheitsanforderungen, Vorfallmeldung (Lieferant muss Sie bei Vorfällen benachrichtigen), Prüfungsrechte, Anforderungen für Unterlieferanten und Verantwortung bei Sicherheitsmängeln enthalten.
- Kontinuierlich nachverfolgen Lieferantenbewertung ist keine Einmalmaßnahme. Etablieren Sie regelmäßige Nachverfolgung, überwachen Sie den Sicherheitsstatus der Lieferanten und reagieren Sie auf Änderungen im Risikobild.
Was sollte bewertet werden?
Sicherheitsfähigkeiten
| Bereich | Zu stellende Fragen |
|---|---|
| Richtlinien | Gibt es dokumentierte Sicherheitsrichtlinien? Wie oft werden sie aktualisiert? |
| Zertifizierungen | Hat der Lieferant ISO 27001 oder ähnliches? Ist das Zertifikat gültig? |
| Vorfallbehandlung | Wie schnell können sie Vorfälle an Sie melden? Haben sie ihren Plan getestet? |
| Zugriffskontrolle | Wie wird der Zugang zu Ihren Systemen/Daten gehandhabt? Wird Zugriff protokolliert? |
| Verschlüsselung | Werden Daten in Transit und Ruhe verschlüsselt? Welche Standards werden verwendet? |
| Backup | Wie werden Ihre Daten gesichert? Wird die Wiederherstellung getestet? |
| Unterlieferanten | Welche Unterlieferanten werden verwendet? Wie werden sie kontrolliert? |
Rote Flaggen
Ein Lieferant, der keine grundlegenden Sicherheitsdokumentationen vorweisen kann, hat wahrscheinlich keine ausgereifte Sicherheitssteuerung.
Wenn ein Lieferant kategorisch Einblicke verweigert oder Fragen nicht beantwortet, ist das ein Warnsignal. Seriöse Lieferanten verstehen den Bedarf.
Wenn der Lieferant nicht beschreiben kann, wie er Sie bei einem Vorfall benachrichtigen würde, können Sie Ihre eigenen Meldepflichten nicht erfüllen.
Wenn der Lieferant viele Unterlieferanten ohne Kontrolle nutzt, verlängert sich die Risikokette unkontrolliert.
Checkliste für Lieferantenverträge
Sicherheitsanforderungen:
- Verweis auf die Sicherheitsrichtlinie der Organisation
- Spezifische technische Anforderungen (Verschlüsselung, Zugriffskontrolle, etc.)
- Anforderungen zur Personalschulung
- Anforderungen zur Meldung von Sicherheitsvorfällen
Vorfallbehandlung:
- Verpflichtung, Vorfälle innerhalb von [X] Stunden zu melden
- Kontaktwege und Eskalationsprozess
- Verpflichtung zur Unterstützung bei Untersuchungen
- Verantwortung für Kosten bei Vorfällen
Audit und Transparenz:
- Recht zur Durchführung von Sicherheitsaudits
- Zugang zu relevanten Logs und Berichten
- Verpflichtung zur Information über Änderungen
- Anforderung zur Bereitstellung von Zertifikaten und Bescheinigungen
Unterlieferanten:
- Anforderung zur Genehmigung von Unterlieferanten
- Gleiche Sicherheitsanforderungen sollen in der Kette nach unten gelten
- Liste genehmigter Unterlieferanten
Beendigung:
- Wie Daten zurückgegeben oder vernichtet werden
- Zeitrahmen für Übergang
- Fortgesetzte Vertraulichkeit nach Beendigung
Fragen an Lieferanten
Erste Überprüfung
- Haben Sie eine dokumentierte Informationssicherheitsrichtlinie?
- Haben Sie eine Sicherheitszertifizierung (ISO 27001, SOC 2, etc.)?
- Wie behandeln Sie Sicherheitsvorfälle?
- Wie schützen Sie Daten, die Sie im Auftrag von Kunden verarbeiten?
- Welche Unterlieferanten nutzen Sie?
Vertiefte Bewertung (kritische Lieferanten)
- Können wir Kopien relevanter Richtlinien und Verfahren erhalten?
- Wann wurde der letzte Penetrationstest durchgeführt? Können wir den Bericht sehen?
- Wie handhaben Sie Schwachstellen-Patching? Welche SLAs haben Sie?
- Wie wird der Zugriff auf unsere Systeme/Daten protokolliert und überwacht?
- Was sind Ihre RTO und RPO für Dienstleistungen an uns?
- Haben Sie im letzten Jahr Vorfallübungen durchgeführt?
Häufige Herausforderungen und Lösungen
Lösung: Priorisieren Sie basierend auf Kritikalität und Risiko. Beginnen Sie mit den 10-20 wichtigsten. Nutzen Sie Selbstauskünfte für niedrigere Risikostufen.
Lösung: Bewerten Sie alternative Lieferanten. Wenn ein Wechsel nicht möglich ist, implementieren Sie kompensierende Kontrollen und dokumentieren Sie die Risikoakzeptanz.
Lösung: Automatisieren Sie wo möglich. Nutzen Sie Standardfragebögen und Tools für Lieferantenmanagement.
Lösung: Fordern Sie Transparenz bei Unterlieferanten und stellen Sie Anforderungen, dass derselbe Standard in der Kette nach unten gilt.
Wie Securapilot helfen kann
Securapilots Lieferantenmanagement-Modul optimiert den gesamten Prozess:
- Lieferantenregister — Zentralisierter Überblick über alle Lieferanten
- Risikoeinstufung — Automatische Kategorisierung basierend auf Kritikalität
- Fragebögen — Standardisierte Bewertungsformulare
- Nachverfolgbarkeit — Vollständige Historie über Bewertungen und Entscheidungen
- Erinnerungen — Automatische Erinnerungen für Nachverfolgung
- Berichte — Export des Status für Management und Audit
Demo buchen und sehen Sie, wie wir Ihnen helfen können, die Kontrolle über Lieferantenrisiken zu übernehmen.
Häufig gestellte Fragen
Welche Lieferanten müssen wir nach NIS2 prüfen?
Konzentrieren Sie sich auf Lieferanten, die Zugang zu Ihren Systemen haben, Ihre Daten verarbeiten oder Dienstleistungen erbringen, die für Ihren Betrieb kritisch sind. Dazu gehören IT-Lieferanten, Cloud-Services, Betriebspartner und andere mit privilegiertem Zugang.
Was sollte in Lieferantenverträgen nach NIS2 enthalten sein?
Verträge sollten risikobasierte Sicherheitsanforderungen, Vorfallmeldepflichten, Prüfungsrechte, Anforderungen zur Kontrolle von Unterlieferanten und klare Verantwortlichkeiten bei Sicherheitsvorfällen enthalten.
Wie oft sollten Lieferanten geprüft werden?
Die Häufigkeit hängt von Kritikalität und Risiko ab. Kritische Lieferanten sollten jährlich geprüft werden, andere in längeren Intervallen. Alle Lieferanten sollten eine Erstbewertung vor Vertragsabschluss durchlaufen.
Was tun wir, wenn ein Lieferant die Anforderungen nicht erfüllt?
Beginnen Sie mit Dialog und Maßnahmenplan. Wenn der Lieferant sich nicht verbessern kann oder will, erwägen Sie einen Anbieterwechsel oder implementieren Sie kompensierende Kontrollen. Dokumentieren Sie Ihre Entscheidungen und Risikoakzeptanz.
