Lieferanten sind längst nicht mehr nur ein Einkaufs- oder Preis-Thema. Wer Software einkauft, Cloud-Dienste nutzt, externe Administratoren einbindet oder kritische Dienstleistungen auslagert, holt sich immer auch ein Stück Risiko ins Haus. Das BSI formuliert es sehr klar: Mit der zunehmenden Digitalisierung von Lieferketten steigt die Gefahr durch Cyberangriffe, und ein kompromittierter Zulieferer kann Systeme lahmlegen, Datenlecks verursachen und den Geschäftsbetrieb stören.
Die kurze Antwort
Sichere Lieferanten entstehen nicht dadurch, dass man einmal im Vertrag "bitte sicher arbeiten" hineinschreibt. Ein belastbarer Ansatz heißt: Lieferanten kennen, Risiken bewerten, Anforderungen festlegen, Nachweise einfordern, vertraglich absichern und die Zusammenarbeit laufend überwachen. NIST beschreibt Supply-Chain-Risikomanagement genau als Identifizieren, Bewerten und Behandeln von Cyberrisiken über die gesamte Lieferkette hinweg.
Warum Lieferanten überhaupt ein Sicherheitsproblem sein können
Viele Unternehmen sichern die eigenen Systeme ordentlich ab und übersehen dabei die Außenkante. Genau dort sitzen aber oft Dienstleister mit Fernzugriff, Cloud-Anbieter mit Datenzugriff, Softwarelieferanten mit Update-Kanälen oder Wartungspartner mit privilegierten Rechten. Die NIS-2-Richtlinie nennt in Artikel 21 ausdrücklich die Sicherheit der Lieferkette und sicherheitsbezogene Aspekte der Beziehungen zwischen Einrichtungen und ihren direkten Anbietern oder Diensteanbietern als Teil der Risikomanagementmaßnahmen.
NIS-2 macht aus Best Practice ein Pflichtthema
Was früher oft als "wäre sinnvoll" durchging, wird unter NIS-2 deutlich ernster. § 30 Abs. (1) Ziff. 4 BSIG besagt ausdrücklich, dass besonders wichtige und wichtige Einrichtungen die Sicherheit ihrer Lieferkette gewährleisten müssen. Der BSI-Onepager zur sicheren Lieferkette ordnet dafür den Ansatz des Cyber-Supply Chain Risk Managements (C-SCRM) als Unterstützung zur Erfüllung der NIS-2-Anforderungen und zur Stärkung der Geschäftsresilienz ein.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Unser Lieferant ist groß und bekannt, also wird das schon passen." Größe ersetzt keine Sicherheitssteuerung. Lieferkettensicherheit ist deshalb als eigenes Risikofeld: Auch etablierte Lieferanten können Schwachstellen, schlechte Prozesse oder unklare Sicherheitsverantwortung mitbringen. Entscheidend ist nicht, wie bekannt ein Anbieter ist, sondern wie gut Sie seine Sicherheitsrelevanz verstanden und abgesichert haben.
Erst wissen, mit wem Sie überhaupt kritisch verbunden sind
Der erste Schritt ist erstaunlich banal und wird trotzdem oft ausgelassen: Sie müssen wissen, welche Lieferanten und Dienstleister für Ihre Informationssicherheit überhaupt relevant sind. Die BSI-Checkliste zu Lieferketten fordert ausdrücklich, direkte Zulieferer und Dienstleister inklusive Kontaktdaten und bezogener Lieferungen zu dokumentieren. Ohne diese Übersicht ist Lieferantensicherheit meistens nur ein Bauchgefühl.
Nicht jeder Lieferant ist gleich kritisch
Ein Büromaterial-Lieferant ist etwas anderes als ein Hosting-Provider, ein MSP, ein SaaS-Anbieter oder ein externer Entwickler mit Zugriff auf Quellcode und Produktionsdaten. Wirksame Gegenmaßnahmen sind nur dann proportional und sinnvoll, wenn man die Risiken der eigenen Lieferkette überhaupt versteht. Genau deshalb braucht es eine Priorisierung: Welche Lieferanten sind für Betrieb, Daten, Verfügbarkeit oder privilegierte Zugriffe wirklich kritisch?
Anforderungen müssen vor der Zusammenarbeit klar sein
Lieferantensicherheit beginnt nicht erst nach Vertragsunterschrift. Wer erst im laufenden Betrieb feststellt, dass ein Dienstleister keine vernünftigen Zugriffsregeln, kein brauchbares Incident Handling oder keine nachvollziehbaren Sicherheitsprozesse hat, ist bereits zu spät dran. Daher empfiehlt es sich, Anforderungen an die Lieferkette früh festzulegen und Sicherheit ausdrücklich in Beschaffung und Vertragsgestaltung einzubauen.
Verträge sind kein Selbstzweck, aber unverzichtbar
Vertragliche Regelungen ersetzen keine Sicherheitsarbeit, aber ohne vertragliche Grundlage fehlt Ihnen oft das Druckmittel. Daher sollten sicherheitsrelevante Anforderungen in Verträgen verankert werden, einschließlich Berichtspflichten, Einhaltung von Risikomanagementvorgaben, ggf. dem Recht auf Lieferantenaudits und Anforderungen an Unterauftragnehmer. Ebenso sollten Verträge regeln, wie Informationen und Assets bei Vertragsende zurückgegeben oder gelöscht werden.
Nachweise schlagen schöne Versprechen
Ein Lieferant muss nicht jede Frage mit Zertifikaten erschlagen. Aber bloße Selbstauskünfte ohne belastbare Nachweise sind schwach. C-SCRM ist ausdrücklich als Teil des organisatorischen Risikomanagements zu verstehen - mit Policies, Plänen und risikobezogenen Bewertungen für Produkte und Dienstleistungen. In der Praxis heißt das: Sie sollten je nach Kritikalität Nachweise, Sicherheitsinformationen, Auditberichte, Testberichte oder andere belegbare Informationen einfordern.
Lieferantensteuerung endet nicht beim Onboarding
Ein weiterer häufiger Fehler: Der Lieferant wird einmal geprüft, kommt durch das Onboarding und danach passiert wenig. Genau das passt nicht zur Risikologik. Daher sind Lieferantenbeziehungen fortlaufend zu überprüfen und Assurance-Aktivitäten in das laufende Lieferantenmanagement einzubauen. Sicherheit in der Lieferkette ist also kein einmaliger Freigabeprozess, sondern eine dauerhafte Steuerungsaufgabe.
Besonders heikel: Software und externe IT-Dienstleister
Bei Softwarelieferanten und IT-Dienstleistern wird das Thema besonders scharf. CISA weist in seiner Supply-Chain-Guidance darauf hin, dass Sicherheitsprüfungen, Schutzmaßnahmen, sichere Softwareentwicklung und der laufende Umgang mit Schwachstellen in der Software-Lieferkette zentrale Punkte sind. Genau dort entstehen heute viele reale Risiken: unsichere Updates, kompromittierte Build-Prozesse, unklare Schwachstellenprozesse oder zu breite Fernzugriffe.
Dokumentation ist auch hier kein Luxus
Wenn später nachgefragt wird, ist es zu spät, die Lieferantensteuerung erst dann zu erfinden. Lieferkettensicherheit gehört zu NIS-2 dazu und die BSI-Checkliste nennt konkrete dokumentationsnahe Anforderungen wie dokumentierte Beschaffung, Lieferantenübersichten und autorisierte Strategien. Wer kritische Lieferanten nicht nachvollziehbar dokumentiert und steuert, wird bei Audit, Aufsicht oder Vorfall schnell dünn wirken.
Ein pragmatischer Start für Unternehmen
Wenn Sie das Thema sauber, aber ohne Theater angehen wollen, reicht für den Start oft schon diese Linie:
1. Kritische Lieferanten identifizieren
Zuerst klarziehen, welche Lieferanten oder Dienstleister für Daten, Betrieb, Adminzugriffe oder Verfügbarkeit wirklich sicherheitsrelevant sind.
2. Lieferanten inventarisieren
Wer liefert was, wer ist Ansprechpartner, welche Zugriffe und Abhängigkeiten bestehen? Genau diese Transparenz fordert die BSI-Checkliste ausdrücklich.
3. Anforderungen definieren
Sicherheitsanforderungen müssen vor und nicht erst nach dem Einkauf klar sein. Dazu gehören je nach Fall Zugriffsregeln, Meldepflichten, Mindeststandards, Nachweise und Umgang mit Unterauftragnehmern.
4. Vertraglich absichern
Verträge sollten Sicherheit nicht nur erwähnen, sondern konkret regeln, inklusive Berichtswegen, Audit-Rechten und Rückgabe oder Löschung von Informationen bei Vertragsende.
5. Laufend überwachen
Ein Lieferant bleibt nicht automatisch sicher, nur weil er einmal ausgewählt wurde. Sicherheitsleistung und Veränderungen in der Beziehung müssen beobachtet werden.
Was will der Auditor oder Prüfer sehen?
Ein Auditor will in diesem Thema nicht hören: "Unsere Lieferanten sind halt renommiert." Er will erkennen, dass Ihr Unternehmen Lieferantenrisiken kennt, bewertet, vertraglich adressiert und laufend steuert. Besonders überzeugend wirken eine klare Lieferantenübersicht, risikobasierte Einstufung, nachvollziehbare Anforderungen, saubere Vertragsklauseln und ein geregelter Umgang mit kritischen Dienstleistern.
FAQ
Weil sie oft Zugriff auf Systeme, Daten, Software-Updates oder kritische Dienstleistungen haben. Die NIS-2-Richtlinie nennt die Sicherheit der Lieferkette ausdrücklich als Teil der Risikomanagementmaßnahmen.
Ja. Das BSI schreibt ausdrücklich, dass wichtige und besonders wichtige Einrichtungen die Sicherheit ihrer Lieferkette gewährleisten müssen.
Nein. Assurance-Aktivitäten sollten Teil des laufenden Lieferantenmanagements sein. Lieferantensicherheit ist eine dauerhafte Steuerungsaufgabe.
Je nach Kritikalität zum Beispiel Zugriffsregeln, Meldepflichten bei Vorfällen, Mindeststandards, Nachweise, Audit-Rechte und Regeln für Unterauftragnehmer.
Nein. NCSC betont, dass die Maßnahmen proportional zum tatsächlichen Risiko sein sollen. Kritische Lieferanten brauchen mehr Tiefe als unkritische.
Zu glauben, Bekanntheit oder Größe eines Lieferanten ersetze eigene Risikosteuerung. Genau das tut sie nicht.
Unser Tipp
Sichere Lieferanten entstehen nicht durch Vertrauen allein, sondern durch saubere Steuerung. Wer kritische Lieferanten kennt, Risiken bewertet, Anforderungen klar macht, Verträge sinnvoll nutzt und Beziehungen laufend überwacht, reduziert nicht nur regulatorisches Risiko, sondern auch die Wahrscheinlichkeit unangenehmer Überraschungen im Betrieb. Unter NIS-2 ist das nicht mehr nur gute Praxis, sondern zunehmend Pflicht.
Interesse geweckt?
Wenn Sie Ihre Lieferanten nicht nur einkaufen, sondern sicher steuern wollen, dann lassen Sie uns sprechen oder Sie schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!