11. März 2025

Sichere Lieferanten: Risiken vermeiden!

Von Joachim Reinke

März 11, 2025

NIS-2, Risikomanagement

Sichere Lieferanten: Risiken vermeiden: Ein wesentlicher Bestandteil der NIS-2-Richtlinie ist das Lieferantenmanagement. Unternehmen müssen sich fragen: Mit wem arbeiten wir eigentlich zusammen, und welche Risiken entstehen dadurch für unsere Informationssicherheit?

Warum ist Lieferantenmanagement wichtig?

Nicht nur klassische IT-Dienstleister haben Zugriff auf sensible Daten – auch scheinbar unbeteiligte Lieferanten können ein Risiko darstellen. Beispiele:

  • Reinigungsdienste: Arbeiten spät nachts, wenn niemand im Büro ist, und haben Zugang zu unverschlossenen Dokumenten oder Laptops.
  • IT-Dienstleister: Nutzen Remote-Tools wie AnyDesk und können tief ins Unternehmensnetzwerk eingreifen.
  • Cloud-Anbieter: Was passiert, wenn der Anbieter ausfällt oder kompromittiert wird?

Risiken in der Lieferkette erkennen

Ein Risiko entsteht nicht nur durch direkte Dienstleister, sondern auch durch deren Subunternehmer. Ein Beispiel:

  • Ein Unternehmen wechselt das Rechenzentrum, um bessere Sicherheit zu gewährleisten. Später stellt sich heraus, dass der neue Anbieter selbst Unteraufträge an das ungeliebte alte Rechenzentrum vergibt und die eigenen Ressourcen vielleicht unbewusst nach wie vor im alten Rechenzentrum sind.
  • In der Reinigungsbranche werden oft Subunternehmen eingesetzt und auch schnell gewechselt – wer genau betritt tatsächlich die Büroräume?

Vorgehensweise für sicheres Lieferantenmanagement

  1. Identifikation der kritischen Lieferanten: Wer hat Zugriff auf sensible Daten oder Systeme?
  2. Risikobewertung: Was passiert, wenn dieser Lieferant ausfällt oder kompromittiert wird oder einfach nur aus Unachtsamkeit etwas Falsches macht?
  3. Transparenz in der Lieferkette: Gibt es Subunternehmer? Lassen sich diese vertraglich ausschließen oder wenigstens überprüfen?
  4. Klare Anforderungen definieren: Lieferanten sollten verpflichtet werden, über eingesetzte Subunternehmer zu informieren.
  5. Regelmäßige Überprüfung und Anpassung: Risiken und Anforderungen müssen kontinuierlich aktualisiert werden.

Bestehende Standards nutzen

Glücklicherweise ist das Thema nicht neu. Unternehmen können auf bewährte Anforderungskataloge an Lieferantenmanagement aus ISO 27001 oder TISAX® zurückgreifen. Damit lässt sich auch nach außen beweisen, dass dieser Teil von NIS-2 eingehalten wird.

Unser Tipp

NIS-2 verlangt ein strukturiertes Lieferantenmanagement. Wer potenzielle Risiken kennt, kann gezielt Maßnahmen ergreifen, um sich vor Sicherheitslücken durch externe Partner zu schützen.

Interesse geweckt?

Möchten Sie mehr zum Thema Lieferantenmanagement? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

View Comments