Cyber Checks

IT-Sicherheit in der Lieferkette – Relevanz und Hürden

Firmen, die sich um ihre IT-Sicherheit kümmern, stehen oft schon vor vielen internen Herausforderungen. Der Fokus ist nicht unbegründet: man will zunächst vor der eigenen Tür kehren. Es gibt jedoch ein Einfallstor außerhalb des Unternehmens, das für eine Vielzahl von Angriffen verantwortlich ist: die Lieferkette.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren

Weitere Informationen

Es ist ein brisantes Thema. Nicht selten sind Lieferanten langjährige Geschäftspartner oder tief in die Unternehmensprozesse integriert. Es besteht die Sorge, gute laufende Prozesse umstellen zu müssen und Partnerschaften zu schädigen.

Andererseits gibt es nun Gesetze wie NIS-2 und DORA, die viele Unternehmen dazu zwingen, ihre Lieferketten genauer anzusehen. Jedoch ist dies generell zu empfehlen, ganz gleich, ob man dazu verpflichtet ist oder nicht. Lieferanten und Dienstleister fungieren schnell als „Superspreader“ für alle angeschlossenen Unternehmen, und die Beispiele sind zahlreich. Im Juli 2021 waren viele Unternehmen betroffen, die das Endpunktmanagement der Firma Kaseya verwendet hatten. Auch in die andere Richtung kann es problematisch werden, wie man Ende 2024 gesehen hat, als nahezu drei Milliarden Datensätze mit hochsensiblen Daten von Databrokern gestohlen wurden. Aber nicht nur aus Security-Sicht ist das Thema relevant. Im Jahr 2024 standen Flughäfen und Verwaltungen still, weil die Firma Crowdstrike ein Update automatisch auf allen angeschlossenen Systemen installiert hat, das zu Inkompatibilitäten führte.

Wie kann man Sicherheit in der Lieferkette garantieren?

Eine Garantie gibt es nicht, aber es gibt Risikobewertungen, die Unternehmen dabei helfen, passende Lieferanten auszuwählen oder wichtigen Lieferanten den Weg zu einer besseren Sicherheit zu weisen. Dafür bieten sich Audits an, in denen man die relevanten Themen oder einen ganzheitlichen Überblick abfragt. Solche Audits werden oft auch „Third-Party Security Assessment“ (TPSA) genannt. In diesem Artikel wird ein Überblick darüber gegeben, was für solche Audits zu bedenken ist – für beide Seiten.

Warum ist das relevant für mich?

Es ist ein wachsendes Problem. Von 2023 bis 2024 wurde ein Anstieg von 33 % bei Angriffen durch die Lieferkette festgestellt. Diese Angriffe sind selten auf die Unternehmen abgezielt, die am Ende betroffen sind (auch wenn es so etwas natürlich auch gibt). Daraus geht hervor, dass sie in der Regel vermeidbar sind. Eine kleine Überprüfung der relevanten Themen kann einem Unternehmen zumindest einen Eindruck davon geben, wie risikoreich die Interaktion mit einem Dienstleister oder Lieferanten ist. Unternehmen können sich mit dem Wissen entsprechend so vorbereiten, dass der Schaden einschätzbar wird und überschaubar bleibt.

Gerade bei sehr persönlichen Verbindungen zwischen Geschäftspartnern muss dies kein formaler Prozess sein, sofern es nicht durch ein Gesetz verlangt wird. Sich einmal für eine Stunde gemeinsam hinzusetzen und einen Leitfaden auszuarbeiten, kann oft allen Beteiligten sehr weiterhelfen. CyRiSo kann Sie dabei unterstützen, einen sinnvollen und leistbaren Leitfaden zu erstellen. Kontaktieren Sie uns für ein kostenloses Erstgespräch.

Wenn die Masse an Lieferanten zu groß ist, dann sind Automatisierungen und Selektierungen oft unumgänglich.

Welche Lieferantentypen sind relevant?

Eine Selektierung von Lieferanten kann helfen, den Fokus auf die relevanten Lieferanten zu lenken. Dies ist besonders dann wichtig, wenn die Menge von Lieferanten vollwertige Audits in einer annehmbaren Zeit nicht mehr zulässt. Besonders wenn NIS-2-Überprüfungen einfordert, besteht ein formaler Prozess, nach dem man die gefundenen Lücken auch nachträglich überprüfen muss. Der Zeitaufwand wächst in solchen Fällen oft sehr schnell an, da es mit dem Audit natürlich nicht getan ist. Lieferanten monatelang hinterherzurennen, um nicht erfüllte Ziele einzufordern und Roadmaps zu erstellen, ist die Aufgabe ganzer Abteilungen in Großkonzernen.

Dies muss natürlich vermieden werden. Der erste Schritt dazu ist die Erstellung einer Liste aller Lieferanten, die nach Typ sortierbar sein sollte. Das Ziel ist es, einen guten Überblick zu bekommen.

Im Anschluss daran sollte eine anfängliche Risikobewertung durchgeführt werden. Dabei sollte man die Verbindung zum Lieferanten und das Gelieferte genauer betrachten. Beispielsweise kann man sich folgende Fragen stellen:

  • Was passiert, wenn dieser Lieferant von einem Angriff betroffen ist?
    • Kann ich Vorkehrungen treffen, um den Schaden einzugrenzen?
  • Was für Zugriffe hat dieser Lieferant auf meine Daten?
    • Braucht er all diese Zugriffe?
  • Kann der Lieferant unbehelligt in Räumlichkeiten, die sensible oder vertrauliche Daten oder kritische Geräte enthalten?
    • Genügt es, ihn dabei personell zu überwachen?
  • Wie kritisch ist dieser Lieferant für meine Firma?
    • Kann ich ihn leicht ersetzen?
  • … etc

Wichtig ist dabei sich ein robustes Fragenschema zu überlegen, welches gut auf die Bedürfnisse des Unternehmens angepasst ist und die Bedenken gut widerspiegelt. Je quantifizierbarer die Ergebnisse der Fragen sind, desto besser.

Nun ist zu bedenken, dass man eventuell wirklich auch genauer hinsehen muss. Es ist bereits vorgekommen, dass bei der Wartung einer Klimaanlage sensible Dokumente gestohlen wurden. All solche Szenarien sollte man sich durchdenken.

Daraus könnte zum Beispiel eine solche Tabelle entstehen:

Name Typ Datenzugriff Bedrohung bei Ausfall Gesamt Bewertung
Firma X Papierlieferant Keinen Niedrig Nicht relevant
Firma Y Cloudspeicher Sensible Daten Kritisch Sehr relevant

Am Ende dieses Prozesses hat man nun eine Liste und einen Einblick darin, wie bedrohlich ein Lieferant für die Sicherheit des Unternehmens werden kann, wenn dieser angegriffen wird. Entsprechend kann nun der Fokus gesetzt werden, ob eine Sicherheitsüberprüfung stattfinden sollte und, wenn ja, wie akribisch sie ausfallen muss.

Gibt es Alternativen dazu so ein Audit selbst zu machen?

Oft ist ein solches Audit entweder nicht lohnend oder sogar komplett unmöglich. Man wird internationale Großkonzerne wie Microsoft und Google zum Beispiel nicht auditieren. In solchen Fällen helfen Zertifikate, Labels und Gütesiegel sehr. Doch was sagen diese einzelnen Zertifikate aus? Hier sind ein paar Beispiele:

  • Cyber Trust ist ein österreichisches Label, das auf den Audits der KSÖ basiert. CyRiSo bietet Unterstützung für die Vorbereitung auf Cyber Trust an. Es gibt unterschiedliche Labels, die auf unterschiedlichen Fragebögen und Auditmodalitäten beruhen:
    • Standard: ist ein kurzes Audit, das einen schnellen Überblick über die Gesamtlage der IT-Sicherheit eines Unternehmens liefert.
    • Silber und Gold sind eine Erweiterung des Standardlabels um einige Fragen, die tiefer greifen. Der Unterschied zwischen Silber und Gold ist, dass für Gold ein Auditor vor Ort ist, der sich die tatsächliche Umsetzung ansieht.
    • Platin ist ein eigenes Audit mit einem Auditor vor Ort.
  • ISO 27001:2022 ist ein international anerkannter ganzheitlicher Standard. Dabei geht es um den Aufbau eines Managementsystems für Informationssicherheit (ISMS), in dem eine holistische Grundlage gelegt wird, auf der man eine solide und umfassende Sicherheit aufbauen kann. Auf dem ISMS fußen dann die entsprechenden Richtlinien des Unternehmens, die durch Prozesse und entsprechende Kontrollen umgesetzt werden. CyRiSo bietet Unterstützung für die Vorbereitung auf ISO 27001:2022 an.
  • SOC2 Type II: ist primär für Dienstleister und Cloudanbieter gedacht. Das Audit hat einen großen Fokus auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz der Kundendaten.

Zertifikate, Labels und Gütesiegel basieren auf Audits durch Drittanbieter und geben eine gute Auskunft über die Gesamtlage oder über spezifische Themengebiete eines Lieferanten. Ein Unternehmen muss nun noch entscheiden, ob zum Beispiel das Zertifikat den Ansprüchen des Unternehmens genügt.

Allerdings ist dies nicht immer die Lösung, da Zertifizierungen oder Audits für Labels mitunter sehr teuer werden können und in der Regel Security auch aus einer dokumentarischen Sicht betrachtet werden sollte. Es geht oft mehr um Richtlinien und Prozesse als tatsächliche „Abwehrkompetenz“ – schlichtweg aus dem Grund, dass es nahezu unmöglich ist, dies in einem standardisierten Audit sinnvoll und ganzheitlich zu überprüfen. Was geprüft wird, ist das Vorhandensein von Kontrollen. Dies bedeutet, dass neben den hohen Kosten auch noch eine massive administrative und bürokratische Last auf das Unternehmen zukommt, die sich dauerhaft auf die Ressourcen niederschlägt. Für einen Konzern ist das ein bewältigbares Problem. Für ein kleineres Unternehmen kann das zu einem großen Thema werden. Daher bieten sich diese Zertifizierungen nicht für jeden an und oft ist ein geschickt gestaltetes TPSA deutlich einfacher zu überwinden als ein Zertifizierungsaudit. CyRiSo unterstützt Unternehmen beim Aufbau und bei der Durchführung von TPSAs. Kontaktieren Sie uns für ein kostenloses Erstgespräch. Gerade KMUs werden es sich gut überlegen, welchen Weg sie hier wählen.

Zudem ist zu beachten, dass nicht alle Zertifikate etwas darüber aussagen, ob eine Firma auch gegen technische Probleme gewappnet ist. Man denke nur an Cloudflares Crash im November 2025. Es lohnt sich also in jedem Fall, Zertifikate zu wählen, die potenzielle technische Probleme oder den Umgang damit bedenken oder diese getrennt abzufragen, sollte es für einen Lieferanten relevant sein.

CyRiSo bietet hier umfassende Beratung an und hilft auch kleineren Unternehmen dabei, eine gute IT-Sicherheit aufzubauen, die langfristig wartbar und nutzbar bleibt. Wir nutzen vorhandene Bordmittel und unterstützen bei der Suche nach kosteneffizienten Lösungen. Gerne erzählen wir Ihnen mehr darüber.

TPSAs, was ist zu beachten?

Wenn ein Unternehmen sich dafür entscheidet, TPSAs durchzuführen, dann ist es wichtig, sich klarzumachen, was die Modalitäten und die Konsequenzen sind.

Die Modalitäten sollten klären, wie komplex das TPSA zu gestalten ist. Es ist durchaus möglich, je nach Kritikalität die Modalitäten zu staffeln. Ein Beispiel könnte so aussehen:

Modalität Aufwand Sinnvoll für Dauer
Fragebogen mit vollständig, teilweise, nicht implementiert Vollautomatische Auswertung möglich Alle relevanten Kurz (je nach Grad der Automatisierung)
Fragebogen und Erklärung Experteneinsicht notwendig Lieferanten, die Zugriff auf relevante Daten haben oder bei denen ein Sicherheitsmangel zu einem niedrigen oder mittleren Risiko für das Unternehmen werden kann. Mittel (ca. 1-2 h/Lieferant je nach Komplexität und Anzahl der Fragen)
Fragebogen, Erklärungen und Beweise Experteneinsicht notwendig Lieferanten, deren Sicherheitsmangel oder Ausfall zu einem hohen bis kritischen Risiko für das Unternehmen werden kann, und von NIS-2 betroffene Lieferanten. Hoch (3-4 h/Lieferant je nach Auswertbarkeit des Materials)

Zur Umsetzung von TPSAs gibt es viele Tools. In der Industrie sind Excel-Fragebögen heutzutage immer noch der allgemeine Standard, und auch hier kann viel automatisiert werden. CyRiSo bietet Ihnen dafür Muster und Plattformen an, mit denen Sie diese Kategorien ohne Mehraufwand abbilden und Ihre Lieferanten übersichtlich dokumentieren können. Kontaktieren Sie uns noch heute für ein kostenloses Erstgespräch.

Konsequenzen sind ein schwieriges Thema, da es natürlich in letzter Instanz auch darum gehen kann, dass man Partner ersetzt. Lange bevor es dazu kommt, sollte das erste Ziel eines TPSA eine Verbesserung der Situation für alle Beteiligten sein. Der Anspruch an Lieferanten muss daher realistisch angesetzt werden. Hier hilft es oft, sich Attribute einer Firma anzuschauen und diese abzugleichen. Kompetente Security kann auf vielen Ebenen existieren und nicht jede Art von Dienstleistung braucht ein Security Operation Center, um Sicherheitsrisiken gering zu halten. Ein kleineres Unternehmen, das gut aufgestellt ist und die Lage im Griff hat, ist mitunter einem großen Unternehmen mit langsamen Prozessen und vielen externen Dienstleistern, die ihre Aufmerksamkeit zwischen vielen Kunden aufteilen, vorzuziehen. Dies ist in der Risikobetrachtung und damit in den zu stellenden Fragen und zu erwartenden Antworten zu bedenken. Schließlich ist noch wichtig, dass aufgedeckte Probleme keine Frage von Akkordarbeit sind. „Man findet immer irgendwas“ ist die falsche Herangehensweise. Probleme sollten immer Substanz und Relevanz für das auditierende Unternehmen haben und dürfen keine Arbeitsbeschaffungsmaßnahme werden. Daher ist sicherzustellen, ob das Problem auch wirklich einen negativen Einfluss auf das eigene Unternehmen haben kann, oder ob es sich dabei um eine rein formale Schwäche handelt, bevor man es auf der Roadmap platziert. Formale Probleme können angemerkt werden, sollten aber keine Anforderung werden, denn jedes Item auf der Roadmap erschwert die Zusammenarbeit und das Audit. Es ist besser, wichtige Kernthemen grundlegend auszuarbeiten, als Nebenthemen anzusammeln. Es spart Zeit und hat für alle Beteiligten einen echten Mehrwert. Dieser Gedankengang ist schon bei der Gestaltung des Fragebogens relevant. Die einzige Frage, die dann noch zu stellen wäre, ist die Frage des akzeptierbaren Risikos. Ab wie vielen relevanten Problemen und welche bin ich als Firma bereit zu tolerieren oder sogar zu akzeptieren, bis dieser Lieferant zu gefährlich für mein Unternehmen wird? Dies muss jedes Unternehmen selbst für sich wissen. Ob es also zu Konsequenzen kommt und wie diese aussehen, obliegt daher auch dem Risikoappetit des Unternehmens und welche Maßstäbe angesetzt werden – es sei denn, es gibt gesetzliche Anforderungen.

NIS-2: auf was ist zu achten?

Sollte ein Unternehmen aktiv von NIS-2 betroffen sein, so gibt es nun sehr direkte Reglementierungen. Jedoch müssen sich auch passiv betroffene Unternehmen um ihre Lieferkette kümmern, da dies Teil des Audits des direkt betroffenen Kunden sein kann. TPSAs sind der einfachste Weg, eines der komplexeren Themen von NIS-2 abzuhaken. Die TPSAs müssen auf bestimmte Themen in bestimmter Weise dabei eingehen. Es lohnt sich hier mit

Wenn man sich dafür entschließt, Zertifikate und Labels zu nutzen, dann sollte man verstehen, dass nicht alle Zertifikate und Labels diese Themen unbedingt in gebührender Tiefe adressieren. Oft lohnt es sich, hier sicherzustellen, dass gewisse Anforderungen auch im Sinne von NIS-2 umgesetzt werden. Hier kann CyRiSo unterstützen. Kontaktieren Sie uns jetzt, um zu erfahren, wie wir Unternehmen ganzheitlich auf Zertifizierungen vorbereiten, sodass das Ergebnis auch NIS-2-konform ist.

Call to Action

Wenn Sie mehr über TPSAs erfahren wollen, dann zögern Sie nicht, uns für ein kostenloses Erstgespräch mit unseren Experten zu kontaktieren.

Schauen Sie auch bei unserer Cyber-Check-Plattform auf cyriso.io vorbei, um einen unserer kostenlosen Checks selbst durchzuführen oder sich von einem Experten begleiten zu lassen.

Das könnte Sie auch interessieren

Weitere Beiträge