Richtlinien

Lieferanten-Sicherheitsrichtlinie: Anforderungen an Dritte formulieren

15 Min. Lesezeit
TL;DR
  • NIS2 Artikel 21 Nr. 4 fordert explizit Sicherheitsmaßnahmen in der Lieferkette. Die Verantwortung für Drittanbieter-Risiken liegt bei dir, nicht beim Lieferanten.
  • ISO 27001 adressiert das Thema über A.5.19 bis A.5.23: von der Richtlinie über vertragliche Vereinbarungen bis zum Monitoring und Management von Änderungen.
  • Jeder Lieferant wird nach seinem Zugang zu Daten und Systemen in Risikoklassen eingeteilt. Ein Reinigungsunternehmen braucht andere Vorgaben als ein Cloud-Provider.
  • Sicherheitsanforderungen müssen vertraglich verankert sein. Mündliche Zusagen und allgemeine AGB reichen nicht.
  • Regelmäßige Überprüfung der Lieferanten ist Pflicht: Sicherheitsfragebögen, Zertifikatsprüfung, anlassbezogene Audits.

Warum Lieferanten ein Sicherheitsrisiko sind

Die meisten Unternehmen investieren erheblich in ihre eigene IT-Sicherheit: Firewalls, Endpoint-Protection, Schulungen, Richtlinien. Gleichzeitig gewähren sie Dutzenden von Lieferanten und Dienstleistern Zugang zu internen Systemen, Daten und Netzwerken, oft ohne zu prüfen, welches Sicherheitsniveau diese Dritten tatsächlich mitbringen.

Der IT-Dienstleister hat Remote-Zugriff auf die Server. Der Cloud-Anbieter speichert Kundendaten. Die Personalberatung verarbeitet Bewerberdaten. Der Gebäudedienstleister hat Zutritt zu Räumen mit IT-Infrastruktur. Die Marketingagentur hat Zugangsdaten zum CMS und zu Social-Media-Konten.

Jeder dieser Zugänge ist ein potenzieller Angriffsvektor. Die Angriffe auf SolarWinds, Kaseya und MOVEit haben gezeigt, dass Supply-Chain-Angriffe auf Lieferantenketten längst ein bevorzugtes Angriffsmodell sind. Ein Angreifer, der bei deinem Dienstleister einbricht, kommt über die bestehende Vertrauensbeziehung in dein Netzwerk, oft ohne dass deine eigenen Sicherheitssysteme Alarm schlagen.

Die Lieferanten-Sicherheitsrichtlinie ist das Dokument, das diese Risiken adressiert. Sie definiert, welche Sicherheitsanforderungen du an Dritte stellst, wie du Lieferanten bewertest, welche vertraglichen Regelungen gelten und wie du die Einhaltung überwachst.

Regulatorische Anforderungen

NIS2

NIS2 Artikel 21 Absatz 2 Nr. 4 verlangt von betroffenen Unternehmen Maßnahmen zur „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern." Das ist keine vage Empfehlung, sondern eine konkrete Pflicht.

Die NIS2-Umsetzung in nationales Recht (NIS2UmsuCG) konkretisiert diese Anforderung und macht deutlich, dass Unternehmen die Risiken ihrer Lieferkette systematisch bewerten und steuern müssen.

ISO 27001

ISO 27001 widmet dem Thema gleich fünf Controls in Anhang A:

  • A.5.19 Information security in supplier relationships: Grundsätzliche Richtlinie für den Umgang mit Lieferantenrisiken
  • A.5.20 Addressing information security within supplier agreements: Sicherheitsanforderungen in Verträgen
  • A.5.21 Managing information security in the ICT supply chain: Spezielle Anforderungen für IT-Lieferanten
  • A.5.22 Monitoring, review and change management of supplier services: Laufende Überwachung
  • A.5.23 Information security for use of cloud services: Besondere Anforderungen bei Cloud-Diensten

Eine einzige Lieferanten-Sicherheitsrichtlinie kann alle fünf Controls adressieren, solange sie die jeweiligen Aspekte vollständig abdeckt.

Geltungsbereich und Lieferantenklassifizierung

Die Richtlinie beginnt mit der Festlegung, welche Lieferanten in den Geltungsbereich fallen. Die Antwort lautet: alle Dritten, die Zugang zu Informationen, Systemen, Räumen oder Netzwerken des Unternehmens haben oder im Auftrag des Unternehmens personenbezogene Daten verarbeiten.

Nicht jeder Lieferant stellt das gleiche Risiko dar. Der Büromateriallieferant hat keinen Systemzugang, der Managed-Service-Provider schon. Die Richtlinie muss deshalb eine Klassifizierung vorsehen, die das Risikoprofil des Lieferanten berücksichtigt.

Risikoklassen

Klasse A (Hohes Risiko): Lieferanten mit direktem Zugang zu kritischen Systemen oder vertraulichen Daten. Cloud-Provider, Managed-Service-Provider, IT-Dienstleister mit Administratorzugang, Entwicklungspartner, Rechenzentren. Anforderungen: umfassende Sicherheitsanforderungen, vertragliche Vereinbarungen, regelmäßige Überprüfung, ggf. Auditrecht.

Klasse B (Mittleres Risiko): Lieferanten mit eingeschränktem Zugang zu internen Daten oder Systemen. Personaldienstleister, Steuerberater, Rechtsanwälte, Marketingagenturen mit Systemzugang, externe Berater. Anforderungen: definierte Sicherheitsanforderungen, vertragliche Regelungen, periodische Überprüfung.

Klasse C (Niedriges Risiko): Lieferanten ohne direkten Zugang zu Systemen oder vertraulichen Daten. Büromateriallieferant, Reinigungsdienst (ohne Zugang zu IT-Räumen), Catering. Anforderungen: Basis-Sicherheitsanforderungen (z.B. Verschwiegenheit), ggf. Zutrittsregelungen.

Die Klassifizierung erfolgt bei der Erstbewertung des Lieferanten und wird bei wesentlichen Änderungen der Geschäftsbeziehung oder des Leistungsumfangs überprüft.

Sicherheitsanforderungen an Lieferanten

Die Richtlinie definiert Sicherheitsanforderungen, die an Lieferanten gestellt werden. Diese Anforderungen sind nach Risikoklasse abgestuft.

Basisanforderungen (alle Lieferanten)

  • Einhaltung geltender Gesetze und Vorschriften, insbesondere Datenschutz (DSGVO)
  • Vertraulichkeitsvereinbarung (NDA) für alle Mitarbeitenden mit Zugang zu Unternehmensinformationen
  • Unverzügliche Meldung von Sicherheitsvorfällen, die Daten oder Systeme des Auftraggebers betreffen könnten
  • Rückgabe oder nachweisliche Vernichtung aller Unternehmensdaten bei Vertragsende

Erweiterte Anforderungen (Klasse A und B)

  • Dokumentiertes Informationssicherheitsmanagement (ISMS nach ISO 27001, TISAX, SOC 2 oder gleichwertig)
  • Zugangskontrolle nach dem Least-Privilege-Prinzip
  • Verschlüsselung von Daten bei Übertragung und Speicherung
  • Regelmäßige Sicherheitsschulungen für eigene Mitarbeitende
  • Patch-Management mit definierten Fristen
  • Backup und Disaster Recovery für Systeme, die im Auftrag betrieben werden
  • Incident-Response-Fähigkeit mit dokumentiertem Prozess
  • Bereitschaft zur Beantwortung von Sicherheitsfragebögen
  • Meldepflicht bei wesentlichen Änderungen der Sicherheitslage (z.B. eigener Sicherheitsvorfall, Wechsel von Subunternehmern)

Zusätzliche Anforderungen für Klasse-A-Lieferanten

  • Nachweis einer aktuellen Zertifizierung (ISO 27001, SOC 2 Type II, TISAX oder vergleichbar)
  • Recht des Auftraggebers auf Sicherheitsaudits oder Einsicht in aktuelle Auditberichte
  • Regelmäßige Penetrationstests durch unabhängige Dritte mit Berichterstattung an den Auftraggeber
  • Keine Weitergabe an Subunternehmer ohne vorherige Zustimmung
  • Benennung eines Sicherheitsansprechpartners

Die Richtlinie darf nicht in einen Wunschkatalog ausarten, den kein Lieferant erfüllen kann. Sie muss realistisch sein und das Risikoprofil der Lieferantenbeziehung widerspiegeln. Vom lokalen Handwerksbetrieb eine ISO-27001-Zertifizierung zu verlangen, ist weder verhältnismäßig noch durchsetzbar.

Vertragliche Verankerung

Sicherheitsanforderungen, die nicht vertraglich vereinbart sind, sind im Streitfall wertlos. Die Richtlinie muss daher festlegen, dass Sicherheitsanforderungen Bestandteil aller relevanten Verträge werden.

Instrumente der vertraglichen Absicherung

Vertraulichkeitsvereinbarung (NDA): Basis für jede Geschäftsbeziehung mit Zugang zu nicht-öffentlichen Informationen.

Auftragsverarbeitungsvertrag (AVV): Gemäß Art. 28 DSGVO zwingend, wenn der Lieferant personenbezogene Daten im Auftrag verarbeitet. Der AVV enthält bereits viele sicherheitsrelevante Regelungen, muss aber um ISMS-spezifische Anforderungen ergänzt werden.

Sicherheitsanhang zum Vertrag: Ein dedizierter Anhang, der die technischen und organisatorischen Sicherheitsanforderungen zusammenfasst. Dieser Anhang wird Teil des Hauptvertrags und ist rechtlich bindend.

Service Level Agreements (SLA): Für IT-Dienstleister, die Systeme betreiben, müssen SLAs die Sicherheitsanforderungen operationalisieren: Reaktionszeiten bei Sicherheitsvorfällen, Verfügbarkeitsgarantien, Patch-Zeitfenster, Backup-Verpflichtungen.

Was vertraglich geregelt sein muss

Die Richtlinie gibt vor, welche Punkte mindestens vertraglich adressiert werden müssen – konkrete Musterformulierungen liefert der Artikel zu IT-Sicherheitsklauseln in Verträgen:

  • Art und Umfang des Zugangs zu Informationen und Systemen
  • Sicherheitsanforderungen gemäß der Risikoklasse des Lieferanten
  • Meldepflichten bei Sicherheitsvorfällen und Fristen
  • Recht auf Auditierung und Einsicht in Sicherheitsnachweise
  • Regelungen für den Einsatz von Subunternehmern
  • Pflichten bei Vertragsbeendigung (Datenrückgabe, -löschung, Zugangsentzug)
  • Haftungsregelungen bei Sicherheitsverstößen
  • Gerichtsstand und anwendbares Recht

Bewertung von Lieferanten

Die Richtlinie muss definieren, wie Lieferanten bewertet werden: bei der Erstauswahl und im laufenden Betrieb.

Erstbewertung

Bevor ein neuer Lieferant der Klasse A oder B beauftragt wird, durchläuft er eine Sicherheitsbewertung. Die Richtlinie legt den Prozess fest:

  1. Risikoklassifizierung: Einstufung des Lieferanten anhand des geplanten Zugangs zu Daten und Systemen.
  2. Sicherheitsfragebogen: Der Lieferant beantwortet einen standardisierten Fragebogen zu seinen Sicherheitsmaßnahmen. Für Klasse-A-Lieferanten ist der Fragebogen umfangreicher als für Klasse B.
  3. Nachweisprüfung: Vorlage von Zertifikaten (ISO 27001, SOC 2), Penetrationstest-Berichten, Auditberichten.
  4. Risikobewertung: Auf Basis der gesammelten Informationen bewertet der ISB (ggf. in Abstimmung mit der IT) das Risiko und gibt eine Empfehlung ab.
  5. Freigabe: Die Freigabe eines Klasse-A-Lieferanten erfolgt durch die Geschäftsführung. Klasse-B-Lieferanten werden vom ISB freigegeben.

Laufende Überwachung

Die Erstbewertung ist nicht ausreichend. Die Sicherheitslage eines Lieferanten kann sich ändern: durch Personalwechsel, technische Änderungen, eigene Sicherheitsvorfälle oder veränderte Geschäftsbedingungen.

Die Richtlinie legt fest:

  • Jährliche Überprüfung aller Klasse-A-Lieferanten (Sicherheitsfragebogen, Zertifikatsprüfung)
  • Zweijährliche Überprüfung aller Klasse-B-Lieferanten
  • Anlassbezogene Überprüfung bei bekannt gewordenen Sicherheitsvorfällen, wesentlichen Änderungen der Leistung oder negativen Medienberichten
  • Überprüfung bei Vertragsverlängerung als fester Bestandteil des Verlängerungsprozesses

Die Ergebnisse der Überprüfung werden dokumentiert. Bei festgestellten Mängeln werden Maßnahmen vereinbart und deren Umsetzung nachverfolgt. Wenn ein Lieferant die Mindestanforderungen nicht erfüllt und keine Bereitschaft zur Verbesserung zeigt, muss die Richtlinie einen Eskalationsprozess bis hin zur Vertragsbeendigung vorsehen.

Umgang mit Subunternehmern

Viele Lieferanten setzen ihrerseits Subunternehmer ein. Dein IT-Dienstleister beauftragt einen Spezialisten für Netzwerk-Monitoring, dein Cloud-Anbieter nutzt die Infrastruktur eines Rechenzentrumsbetreibers. Die Richtlinie muss dieses Thema adressieren.

Genehmigungspflicht: Für Klasse-A-Lieferanten legt die Richtlinie fest, dass der Einsatz von Subunternehmern, die Zugang zu deinen Daten oder Systemen haben, vorab genehmigt werden muss.

Durchreichung von Anforderungen: Der Lieferant muss sicherstellen, dass seine Subunternehmer mindestens die gleichen Sicherheitsanforderungen erfüllen wie er selbst.

Transparenz: Der Lieferant muss offenlegen, welche Subunternehmer eingesetzt werden und welche Leistungen sie erbringen.

Incident-Management bei Lieferanten

Wenn ein Lieferant einen Sicherheitsvorfall erleidet, der deine Daten oder Systeme betrifft, zählt jede Stunde. Die Richtlinie muss definieren, welche Meldepflichten der Lieferant hat und wie dein Unternehmen mit solchen Meldungen umgeht.

Meldepflicht des Lieferanten: Unverzügliche Meldung, spätestens innerhalb von 24 Stunden nach Kenntniserlangung. Die Meldung muss eine Ersteinschätzung des Vorfalls, der betroffenen Daten und der eingeleiteten Gegenmaßnahmen enthalten.

Kommunikationskanal: Die Richtlinie definiert, an wen beim Auftraggeber die Meldung erfolgt (ISB oder definierte Kontaktstelle) und über welchen Kanal.

Mitwirkungspflicht: Der Lieferant ist verpflichtet, bei der Analyse und Behebung zu kooperieren und alle relevanten Informationen zur Verfügung zu stellen.

Auswirkung auf die Bewertung: Ein Sicherheitsvorfall beim Lieferanten löst eine außerplanmäßige Neubewertung aus und kann zur Verschärfung der Anforderungen oder zur Vertragsbeendigung führen.

Vertragsbeendigung und Offboarding

Die Richtlinie muss regeln, was bei Beendigung einer Lieferantenbeziehung passiert:

  • Zugangsentzug: Alle Zugänge zu Systemen, Netzwerken und Räumlichkeiten werden sofort gesperrt.
  • Datenrückgabe und -löschung: Der Lieferant gibt alle Unternehmensdaten zurück und bestätigt die vollständige Löschung seiner Kopien schriftlich.
  • Wissenstransfer: Relevantes Wissen über betriebene Systeme wird an den Nachfolger oder die interne IT übergeben.
  • Protokollierung: Das Offboarding wird dokumentiert, einschließlich der Bestätigung, dass alle Pflichten erfüllt wurden.

Beispielgliederung für eine Lieferanten-Sicherheitsrichtlinie

  1. Zweck und Geltungsbereich
  2. Begriffe und Definitionen - Lieferant, Subunternehmer, Risikoklasse
  3. Normative Grundlagen - ISO 27001 A.5.19-A.5.23, NIS2 Art. 21 Nr. 4, DSGVO
  4. Lieferantenklassifizierung - Risikoklassen A, B, C mit Kriterien
  5. Sicherheitsanforderungen - Basis, erweitert und Klasse-A-spezifisch
  6. Vertragliche Regelungen - NDA, AVV, Sicherheitsanhang, SLA
  7. Erstbewertung neuer Lieferanten - Prozess, Fragebogen, Freigabe
  8. Laufende Überwachung - Häufigkeit, Methoden, Eskalation
  9. Subunternehmer - Genehmigung, Anforderungen, Transparenz
  10. Incident-Management - Meldepflichten, Kooperation
  11. Vertragsbeendigung und Offboarding - Zugang, Daten, Wissenstransfer
  12. Verantwortlichkeiten - ISB, Einkauf, IT, Fachabteilungen
  13. Ausnahmen und Risikoakzeptanz
  14. Überprüfung und Aktualisierung
  15. Inkrafttreten und Freigabe

Häufige Fehler und wie du sie vermeidest

Gleichbehandlung aller Lieferanten

Wenn du von jedem Lieferanten dasselbe Sicherheitsniveau verlangst, überforderst du kleine Dienstleister und unterforderst kritische IT-Partner. Die Risikoklassifizierung ist kein optionaler Luxus, sondern die Voraussetzung dafür, dass die Anforderungen verhältnismäßig und durchsetzbar sind.

Einmalbewertung ohne Follow-up

Viele Unternehmen prüfen Lieferanten bei der Beauftragung und vergessen sie dann. Die Sicherheitslage eines Lieferanten kann sich jederzeit ändern. Ohne regelmäßige Überprüfung wiegst du dich in falscher Sicherheit. Mindestens jährliche Reviews für Klasse-A-Lieferanten sind unverzichtbar. Ein Sicherheitsfragebogen vereinfacht die wiederkehrende Bewertung erheblich.

Sicherheitsanforderungen nur im NDA

Ein NDA regelt Vertraulichkeit, aber keine technischen Sicherheitsmaßnahmen. Sicherheitsanforderungen gehören in einen separaten Sicherheitsanhang oder in den Hauptvertrag, nicht nur in die Geheimhaltungsvereinbarung.

Fehlende Einbindung des Einkaufs

Wenn der Einkauf die Richtlinie nicht kennt oder als Hindernis wahrnimmt, werden Lieferanten beauftragt, ohne dass eine Sicherheitsbewertung stattfindet. Der Einkauf muss von Anfang an eingebunden sein und die Sicherheitsbewertung als festen Bestandteil des Beschaffungsprozesses betrachten, nicht als zusätzliche Hürde.

Keine Reaktion auf Lieferantenvorfälle

Wenn ein Lieferant einen Sicherheitsvorfall meldet und dein Unternehmen nicht reagiert, fehlt nicht nur die Schadensminimierung, sondern auch der Nachweis, dass du deine Sorgfaltspflichten ernst nimmst. Die Richtlinie muss einen definierten Prozess für den Umgang mit Lieferantenvorfällen vorsehen, inklusive Bewertung der Auswirkungen auf das eigene Unternehmen.

Von der Richtlinie zur gelebten Praxis

Eine Lieferanten-Sicherheitsrichtlinie entfaltet ihre Wirkung nur, wenn sie konsequent angewendet wird. Der Einkauf muss sie bei jeder neuen Beauftragung berücksichtigen, die IT muss Zugänge nur nach Freigabe einrichten, und der ISB muss die regelmäßigen Überprüfungen tatsächlich durchführen.

Der häufigste Grund für das Scheitern ist mangelnde Einbindung des Einkaufs. In ISMS Lite lässt sich der gesamte Lieferanten-Lifecycle von der Erstbewertung über die laufende Überwachung bis zum Offboarding abbilden und mit den zugehörigen Verträgen und Sicherheitsfragebögen verknüpfen. Wenn der Einkauf die Richtlinie nicht kennt oder sie als Hindernis empfindet, wird sie umgangen. Deshalb ist es wichtig, den Einkauf von Anfang an einzubeziehen und die Prozesse so zu gestalten, dass sie den Beschaffungsprozess ergänzen, nicht blockieren.

ISMS Lite unterstützt den gesamten Richtlinien-Lifecycle: von der Erstellung mit KI-Unterstützung über die Versionierung und den Freigabe-Workflow bis zur digitalen Kenntnisnahme durch alle Beteiligten. Die Geschäftsführung gibt die Richtlinie per Unterschrift frei, und du kannst jederzeit nachweisen, wer die Richtlinie wann zur Kenntnis genommen hat. So wird die Lieferanten-Sicherheitsrichtlinie zum gelebten Bestandteil deines ISMS.

Weiterführende Artikel

Lieferantensicherheit Supply Chain Security Richtlinien ISMS ISO 27001 NIS2 Drittanbieter

Lieferanten-Sicherheitsrichtlinie dokumentieren

ISMS Lite hilft dir, deine Lieferanten-Sicherheitsrichtlinie strukturiert zu erstellen und im Lifecycle zu verwalten. Mit KI-Unterstützung, Versionierung und Freigabe-Workflow.

Jetzt installieren