Projekt Hibiskus

StartMaßnahmenLieferantenmanagement

Organisatorische Maßnahme

Lieferanten- & Dienstleistermanagement

Priorität: Hoch Supply Chain · NIS2 · Vertragsklauseln · Risikobewertung
Warum Lieferanten ein Risiko sind
Viele erfolgreiche Angriffe beginnen nicht beim Zielunternehmen selbst, sondern bei einem seiner Dienstleister oder Lieferanten. Ein kompromittierter IT-Dienstleister mit Fernzugriff auf Ihre Systeme kann Ihnen mehr schaden als jeder direkte Angriff.

Risikobasierte Kategorisierung

Nicht alle Lieferanten sind gleich kritisch. Priorisieren Sie nach Zugriff und Abhängigkeit:

Kritisch

Direkter Systemzugriff

IT-Dienstleister, Managed Service Provider, Cloud-Anbieter mit Zugriff auf Produktivdaten. Höchste Anforderungen, regelmäßige Audits.

Wichtig

Indirekter Zugriff

Softwareanbieter, Steuerberater, Anwaltskanzleien mit Zugang zu vertraulichen Informationen. Mittlere Anforderungen, jährliche Überprüfung.

Standard

Kein Datenzugriff

Büromaterial, Catering, allgemeine Dienstleister ohne IT-Berührungspunkte. Standardvertrag mit allgemeinen Sicherheitsklauseln ausreichend.

Sicherheitsanforderungen in Verträgen

Diese Klauseln sollten in Verträge mit kritischen und wichtigen Lieferanten aufgenommen werden:

  • Mindest-Sicherheitsstandards – Pflicht zur Einhaltung gängiger Standards (ISO 27001, BSI Grundschutz oder gleichwertig)
  • Meldepflicht bei Vorfällen – unverzügliche Information bei Sicherheitsvorfällen, die Ihre Daten betreffen könnten
  • Auditrecht – das Recht, Sicherheitsmaßnahmen des Lieferanten zu prüfen oder prüfen zu lassen
  • Datenlöschung bei Vertragsende – sichere Löschung aller Unternehmensdaten nach Vertragsende
  • Unterauftragnehmer – Pflicht zur Information und gleiche Anforderungen an Sub-Dienstleister
  • Haftungsregelung – Schadensersatz bei Sicherheitsverletzungen durch den Lieferanten

Sicherheitsfragebogen für Lieferanten

Praxistipp
Entwickeln Sie einen standardisierten Fragebogen für neue Lieferanten. Fragen Sie nach: Zertifizierungen, Passwortrichtlinien, MFA-Einsatz, Backup-Verfahren, Incident-Response-Plan und wann zuletzt ein Sicherheitsaudit durchgeführt wurde. Die Antworten allein zeigen schon viel.

NIS2 und die Lieferkette

Die NIS2-Richtlinie schreibt explizit vor, dass betroffene Unternehmen die Sicherheit ihrer gesamten Lieferkette berücksichtigen müssen. Auch wenn Sie selbst nicht unter NIS2 fallen: Wenn Sie Zulieferer einer betroffenen Einrichtung sind, werden deren Anforderungen an Sie weitergegeben.

Zugriffskontrolle für Externe

  • Separates WLAN oder VPN-Segment für externe Dienstleister
  • Nur die minimal notwendigen Zugriffsrechte einräumen (Least Privilege)
  • Zeitlich begrenzte Zugänge – nach Projektende sofort deaktivieren
  • Fernzugriffe protokollieren und überwachen
  • Keine gemeinsamen Konten – jeder externe Dienstleister erhält eigene Zugangsdaten

Checkliste: Lieferantenmanagement