Lieferantenbewertung mit Sicherheitsfragebogen: Vorlage und Vorgehen

Warum du deine Lieferanten bewerten musst

Die Sicherheit deines Unternehmens endet nicht an deiner Firewall. Jeder externe IT-Dienstleister, der Zugang zu deinen Systemen hat, jeder Cloud-Anbieter, der deine Daten verarbeitet, und jeder Zulieferer, dessen Software du einsetzt, ist ein potenzielles Einfallstor für Angreifer. Die Supply-Chain-Angriffe der letzten Jahre haben das drastisch gezeigt: SolarWinds, Kaseya, MOVEit, 3CX. In jedem dieser Fälle wurden nicht die Unternehmen selbst angegriffen, sondern ihre Lieferanten, und der Schaden traf Tausende von Kunden.

NIS2 hat darauf reagiert. Artikel 21 Absatz 2 Nr. 4 fordert von betroffenen Unternehmen ausdrücklich "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern." Das klingt abstrakt, bedeutet in der Praxis aber drei konkrete Pflichten: Du musst wissen, welche Lieferanten sicherheitsrelevant sind. Du musst deren Sicherheitsniveau bewerten. Und du musst Sicherheitsanforderungen vertraglich verankern.

Auch ohne NIS2-Verpflichtung ist die Lieferantenbewertung ein Standardbestandteil jedes ISMS nach ISO 27001. Control A.5.19 (Information security in supplier relationships) und A.5.20 aus ISO 27001 (Addressing information security within supplier agreements) adressieren genau dieses Thema.

Kritikalitätsstufen: Nicht jeder Lieferant ist gleich wichtig

Bevor du einen Fragebogen verschickst, musst du deine Lieferanten klassifizieren. Ein Unternehmen mit 100 Mitarbeitern hat leicht 50 bis 100 externe Dienstleister und Zulieferer. Alle mit demselben Aufwand zu bewerten wäre weder praktikabel noch sinnvoll. Die Lösung: Kritikalitätsstufen.

Stufe A: Kritische Lieferanten

Lieferanten der Stufe A haben direkten Zugang zu deinen IT-Systemen oder verarbeiten vertrauliche Daten in deinem Auftrag. Typische Beispiele sind der Managed-Service-Provider (MSP), der deine Server administriert, der Cloud-Anbieter, bei dem dein ERP oder CRM läuft, der externe IT-Security-Dienstleister mit Zugang zu deinem SIEM oder deiner Firewall, der Lohnabrechnungsdienstleister, der Personaldaten verarbeitet, und der Anbieter deiner Branchensoftware, wenn diese per SaaS betrieben wird.

Für Stufe-A-Lieferanten gilt die volle Prüftiefe: ausführlicher Sicherheitsfragebogen, Prüfung von Zertifizierungen und Audit-Berichten, vertragliche Sicherheitsklauseln und jährliche Neubewertung.

Stufe B: Wichtige Lieferanten

Lieferanten der Stufe B haben keinen direkten Systemzugang, sind aber für den Geschäftsbetrieb relevant oder verarbeiten weniger sensible Daten. Dazu gehören Anbieter von Standardsoftware (Lizenzen, Updates), Telekommunikationsanbieter, Hardwarelieferanten, Dienstleister für Facility-Management mit Zugang zu Serverräumen und externe Berater mit projektbezogenem Datenzugang.

Für Stufe-B-Lieferanten reicht ein verkürzter Fragebogen oder die Prüfung vorhandener Zertifizierungen. Die Neubewertung erfolgt alle zwei Jahre oder anlassbezogen.

Stufe C: Unkritische Lieferanten

Lieferanten der Stufe C haben keinen Zugang zu IT-Systemen oder Daten und sind für den Geschäftsbetrieb nicht unmittelbar kritisch. Das sind Büromateriallieferanten, der Getränkelieferant, Reinigungsdienstleister ohne Zugang zu gesicherten Bereichen und ähnliche.

Für Stufe-C-Lieferanten ist keine Sicherheitsbewertung erforderlich. Eine einfache Erfassung im Lieferantenregister genügt.

Wie klassifizierst du?

Für die Klassifizierung helfen drei Fragen: Hat der Lieferant Zugang zu deinen IT-Systemen oder Netzwerken? Verarbeitet der Lieferant vertrauliche oder personenbezogene Daten in deinem Auftrag? Wäre ein Ausfall des Lieferanten geschäftskritisch (könnte dein Unternehmen ohne ihn innerhalb von 48 Stunden nicht mehr arbeiten)?

Wenn du mindestens eine dieser Fragen mit Ja beantwortest, ist der Lieferant mindestens Stufe B. Wenn zwei oder drei Fragen mit Ja beantwortet werden, ist er Stufe A.

Der Sicherheitsfragebogen: 35 Fragen in 7 Kategorien

Der folgende Fragebogen ist für Stufe-A-Lieferanten konzipiert. Für Stufe-B-Lieferanten kannst du die mit einem Stern (*) markierten Fragen weglassen, um den Umfang zu reduzieren.

Jede Frage hat drei mögliche Antworten: Ja (vollständig umgesetzt), Teilweise (in Umsetzung oder nur teilweise umgesetzt) und Nein (nicht umgesetzt). Bei "Ja" und "Teilweise" sollte der Lieferant eine kurze Erläuterung oder einen Nachweis beifügen.

Kategorie 1: Organisation und Governance (5 Fragen)

1.1 Verfügt Ihr Unternehmen über ein dokumentiertes Informationssicherheits-Managementsystem (ISMS)?

1.2 Gibt es einen benannten Informationssicherheitsbeauftragten (ISB) oder eine vergleichbare Rolle?

1.3 Werden Mitarbeiter regelmäßig (mindestens jährlich) zu Informationssicherheit und Datenschutz geschult?

1.4 Verfügt Ihr Unternehmen über eine aktuelle Informationssicherheitsrichtlinie, die von der Geschäftsleitung freigegeben ist?

1.5* Wird Ihr ISMS regelmäßig durch interne oder externe Audits überprüft?

Kategorie 2: Zugangsmanagement (6 Fragen)

2.1 Ist der Zugang zu Systemen und Daten nach dem Least-Privilege-Prinzip geregelt?

2.2 Wird Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf kritische Systeme und Remote-Zugänge eingesetzt?

2.3 Gibt es einen dokumentierten Prozess für das Anlegen, Ändern und Löschen von Benutzerkonten (User Lifecycle Management)?

2.4 Werden Berechtigungen regelmäßig (mindestens jährlich) überprüft und bei Bedarf angepasst?

2.5 Ist der administrative Zugang zu Systemen separat gesichert (z.B. durch Privileged Access Management)?

2.6* Werden geteilte Accounts (Shared Accounts) vermieden und ist jeder Zugriff einer Person zuordenbar?

Kategorie 3: Netzwerksicherheit (5 Fragen)

3.1 Ist Ihr Netzwerk in Sicherheitszonen segmentiert (z.B. DMZ, internes Netz, Management-Netz)?

3.2 Werden Firewalls an allen Netzübergängen eingesetzt und die Regelwerke regelmäßig überprüft?

3.3 Werden Systeme und Anwendungen regelmäßig mit Sicherheitsupdates versorgt (Patch-Management)?

3.4 Werden Schwachstellen-Scans oder Penetrationstests regelmäßig durchgeführt?

3.5* Werden Remote-Zugänge ausschließlich über verschlüsselte Verbindungen (VPN, SSH) mit MFA bereitgestellt?

Kategorie 4: Datenschutz und Datensicherheit (5 Fragen)

4.1 Werden personenbezogene und vertrauliche Daten bei der Übertragung verschlüsselt (z.B. TLS 1.2+)?

4.2 Werden personenbezogene und vertrauliche Daten bei der Speicherung verschlüsselt (Encryption at Rest)?

4.3 Gibt es ein dokumentiertes Löschkonzept, das sicherstellt, dass Daten nach Vertragsende oder Ablauf der Aufbewahrungsfrist sicher gelöscht werden?

4.4 Ist die Verarbeitung personenbezogener Daten im Auftrag durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geregelt?

4.5* Werden Daten ausschließlich in Rechenzentren innerhalb der EU/des EWR verarbeitet? Falls nein: Welche Garantien bestehen für Drittlandtransfers?

Kategorie 5: Incident Management (5 Fragen)

5.1 Gibt es einen dokumentierten Incident-Response-Plan für Sicherheitsvorfälle?

5.2 Wird der Auftraggeber bei Sicherheitsvorfällen, die dessen Daten oder Systeme betreffen, unverzüglich (innerhalb von 24 Stunden) informiert?

5.3 Werden Sicherheitsvorfälle systematisch erfasst, analysiert und mit Lessons Learned aufgearbeitet?

5.4 Gibt es ein 24/7-erreichbares Notfallteam oder einen definierten Eskalationsweg für kritische Sicherheitsvorfälle?

5.5* Werden regelmäßig (mindestens jährlich) Übungen oder Simulationen von Sicherheitsvorfällen durchgeführt?

Kategorie 6: Business Continuity Management (5 Fragen)

6.1 Gibt es ein dokumentiertes Datensicherungskonzept mit regelmäßigen Backups?

6.2 Werden Restore-Tests regelmäßig (mindestens quartalsweise) durchgeführt und dokumentiert?

6.3 Existiert ein Business-Continuity-Plan, der die Fortführung kritischer Dienste bei einem Ausfall regelt?

6.4 Sind die Recovery-Time-Objectives (RTOs) und Recovery-Point-Objectives (RPOs) für die von Ihnen bereitgestellten Dienste definiert und dem Auftraggeber mitgeteilt?

6.5* Verfügt Ihr Rechenzentrum über redundante Stromversorgung (USV, Generator) und Klimatisierung?

Kategorie 7: Compliance und Zertifizierungen (4 Fragen)

7.1 Verfügt Ihr Unternehmen über eine ISO-27001-Zertifizierung oder eine vergleichbare Sicherheitszertifizierung (SOC 2 Typ II, BSI C5, TISAX)?

7.2 Wird die Einhaltung relevanter gesetzlicher Anforderungen (DSGVO, NIS2, branchenspezifische Vorgaben) regelmäßig überprüft?

7.3 Werden Unterauftragnehmer, die an der Leistungserbringung beteiligt sind, hinsichtlich ihrer Informationssicherheit bewertet?

7.4* Sind Sie bereit, dem Auftraggeber auf Anfrage Audit-Berichte, Zertifikate oder Testergebnisse zur Verfügung zu stellen?

Auswertung und Scoring

Ein Fragebogen ohne klare Auswertungsmethodik führt zu subjektiven Bauchentscheidungen. Deshalb brauchst du ein transparentes Scoring-System.

Punktevergabe

Jede Frage wird mit 0, 1 oder 2 Punkten bewertet. "Ja" mit nachvollziehbarem Nachweis ergibt 2 Punkte. "Teilweise" mit plausiblem Umsetzungsplan ergibt 1 Punkt. "Nein" ohne Planung ergibt 0 Punkte.

Die maximale Punktzahl beträgt 70 (35 Fragen x 2 Punkte). Für Stufe-B-Lieferanten mit dem verkürzten Fragebogen (26 Fragen ohne die mit Stern markierten) beträgt das Maximum 52 Punkte.

Bewertungsstufen

Grün (75-100%): Der Lieferant erfüllt die Sicherheitsanforderungen. Keine sofortigen Maßnahmen erforderlich. Nächste Bewertung im regulären Turnus.

Gelb (50-74%): Der Lieferant erfüllt die Anforderungen teilweise. Es gibt Verbesserungsbedarf in einzelnen Bereichen. Es wird ein Maßnahmenplan vereinbart mit Fristen, und die Umsetzung wird bei der nächsten Bewertung geprüft.

Rot (unter 50%): Der Lieferant weist erhebliche Sicherheitsdefizite auf. Bei Stufe-A-Lieferanten sind sofortige Maßnahmen erforderlich: entweder ein verbindlicher Maßnahmenplan mit kurzen Fristen (3-6 Monate) oder die Prüfung alternativer Lieferanten. Bei Neubewertungen kann ein rotes Ergebnis auch zur Beendigung der Geschäftsbeziehung führen, wenn keine Verbesserung erkennbar ist.

Kategorie-spezifische Mindestanforderungen

Neben dem Gesamtscore empfiehlt es sich, kategoriespezifische Mindestanforderungen zu definieren. Ein Lieferant, der insgesamt 70% erreicht, aber in der Kategorie "Incident Management" bei 20% liegt, hat ein gravierendes Problem, das im Gesamtscore untergeht.

Eine sinnvolle Mindestregel: Kein Stufe-A-Lieferant darf in einer einzelnen Kategorie unter 40% liegen. Falls doch, wird diese Kategorie als Sofortmaßnahme behandelt, unabhängig vom Gesamtscore.

Umgang mit ausweichenden Antworten

In der Praxis wirst du erleben, dass manche Lieferanten den Fragebogen ungern oder unvollständig ausfüllen. Das kann verschiedene Gründe haben: Zeitmangel, Sorge vor negativen Ergebnissen oder schlicht fehlende Prozesse, die eine fundierte Antwort ermöglichen würden.

Unbeantwortete Fragen sollten mit 0 Punkten bewertet werden, das schafft einen Anreiz zur vollständigen Beantwortung. Wenn ein Lieferant den Fragebogen grundsätzlich verweigert, ist das an sich schon ein aussagekräftiges Ergebnis. Ein Lieferant, der nicht bereit ist, über seine Sicherheitsmaßnahmen Auskunft zu geben, hat entweder etwas zu verbergen oder hält Informationssicherheit nicht für wichtig. Beides ist bei einem Stufe-A-Lieferanten inakzeptabel.

Vertragsklauseln, die du brauchst

Die Bewertung per Fragebogen ist der erste Schritt. Der zweite und mindestens ebenso wichtige Schritt ist die vertragliche Verankerung von Sicherheitsanforderungen. Ein Fragebogen zeigt den Ist-Zustand, ein Vertrag definiert den Soll-Zustand und schafft Verbindlichkeit.

Sicherheitsstandards und Mindestanforderungen

Die Vertragsklausel sollte festlegen, welche Sicherheitsstandards der Lieferant einhalten muss. Das kann eine ISO-27001-Zertifizierung sein, die Einhaltung des BSI IT-Grundschutzes oder ein definiertes Set an Mindestmaßnahmen, das sich aus deinem Sicherheitsfragebogen ableitet.

Formulierungsbeispiel: "Der Auftragnehmer verpflichtet sich, ein angemessenes Informationssicherheitsniveau aufrechtzuerhalten, das mindestens den in Anlage X definierten Sicherheitsanforderungen entspricht. Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn er diese Anforderungen nicht mehr erfüllen kann."

Audit-Recht

Du brauchst das vertragliche Recht, die Sicherheitsmaßnahmen des Lieferanten zu überprüfen. Das muss nicht bedeuten, dass du jedes Jahr persönlich vor Ort auditierst. Es reicht, wenn du das Recht hast, den Sicherheitsfragebogen regelmäßig zu stellen, aktuelle Zertifizierungen und Audit-Berichte einzufordern und bei begründetem Verdacht (z.B. nach einem Sicherheitsvorfall) ein Vor-Ort-Audit durchzuführen oder durchführen zu lassen.

Formulierungsbeispiel: "Der Auftraggeber ist berechtigt, die Einhaltung der vereinbarten Sicherheitsanforderungen zu überprüfen. Der Auftragnehmer wird hierzu auf Anfrage relevante Dokumentationen, Zertifizierungen und Audit-Berichte zur Verfügung stellen. Bei begründetem Verdacht auf Sicherheitsmängel ist der Auftraggeber berechtigt, Vor-Ort-Audits durchzuführen oder durch qualifizierte Dritte durchführen zu lassen."

Meldepflicht bei Sicherheitsvorfällen

Der Lieferant muss dich unverzüglich informieren, wenn ein Sicherheitsvorfall eintritt, der deine Daten oder Systeme betreffen könnte. Die Frist sollte konkret definiert sein, nicht nur "unverzüglich", sondern beispielsweise "innerhalb von 24 Stunden nach Kenntnis des Vorfalls." Diese Frist orientiert sich an der NIS2-Erstmeldefrist und gibt dir genug Zeit, um deine eigenen Meldepflichten einzuhalten.

Der Vertrag sollte auch regeln, welche Informationen die Meldung enthalten muss: Art des Vorfalls, betroffene Systeme und Daten, bereits ergriffene Maßnahmen und Ansprechpartner für die weitere Koordination.

Unterauftragnehmer

Viele IT-Dienstleister setzen ihrerseits Unterauftragnehmer ein. Dein Cloud-Anbieter hostet bei einem Rechenzentrumsbetreiber, dein MSP setzt Freelancer ein, dein Softwareanbieter nutzt Third-Party-Bibliotheken. Die Vertragsklausel muss regeln, dass Unterauftragnehmer denselben Sicherheitsanforderungen unterliegen, dass du über den Einsatz von Unterauftragnehmern informiert wirst und dass du bei neuen Unterauftragnehmern ein Widerspruchsrecht hast.

Haftung und Vertragsstrafen

Bei Stufe-A-Lieferanten sollte der Vertrag eine Haftungsklausel für Sicherheitsvorfälle enthalten, die auf Verstöße gegen die vereinbarten Sicherheitsanforderungen zurückzuführen sind. Das muss keine drakonische Vertragsstrafe sein, aber es sollte klar sein, dass Sicherheitsmängel Konsequenzen haben. In der Praxis wirkt allein die vertragliche Fixierung motivierend auf den Lieferanten.

Regelungen bei Vertragsende

Was passiert mit deinen Daten, wenn der Vertrag endet? Die Klausel sollte regeln, dass alle Daten in einem standardisierten Format zurückgegeben werden, dass der Lieferant nach der Rückgabe alle Kopien sicher löscht und einen Löschnachweis erbringt, und dass für den Übergangszeitraum definierte Fristen und Unterstützungspflichten gelten.

Regelmäßige Überprüfung: Kein One-Shot

Die Erstbewertung ist nur der Anfang. Sicherheit ist kein statischer Zustand, und was heute gut aussieht, kann in einem Jahr ganz anders sein. Ein Lieferant kann Personal wechseln, Prozesse ändern, Zertifizierungen verlieren oder selbst zum Opfer eines Angriffs werden.

Turnus

Stufe-A-Lieferanten werden jährlich bewertet. Stufe-B-Lieferanten alle zwei Jahre. Zusätzlich gibt es anlassbezogene Bewertungen bei Sicherheitsvorfällen beim Lieferanten, bei wesentlichen Änderungen im Leistungsumfang, bei bekannt gewordenen Schwachstellen in Produkten des Lieferanten und bei Änderungen in der Eigentümerstruktur des Lieferanten (Übernahmen, Fusionen).

Was sich zwischen den Bewertungen ändert

Zwischen den formalen Bewertungen solltest du ein leichtgewichtiges Monitoring aufrechterhalten. Dazu gehört die Überwachung öffentlicher Sicherheitsmeldungen des Lieferanten, die Prüfung, ob Zertifizierungen erneuert wurden, und die Auswertung von Sicherheitsvorfällen, die in der Zusammenarbeit aufgefallen sind (z.B. abgelaufene Zertifikate, ungepatchte Schwachstellen).

Dokumentation im ISMS

Alle Bewertungen, Ergebnisse, Maßnahmenpläne und Nachweise sollten zentral dokumentiert sein. ISMS Lite hilft dir, die Lieferantenbewertung in deinem ISMS zu verankern: mit den relevanten Controls für Lieferkettensicherheit, einem strukturierten Bewertungsprozess und Erinnerungen an fällige Überprüfungen. Ein Lieferantenregister, das für jeden Lieferanten die Kritikalitätsstufe, das letzte Bewertungsdatum, den Score, offene Maßnahmen und den nächsten Bewertungstermin enthält, ist das Minimum.

Umgang mit schlechten Ergebnissen

Nicht jeder Lieferant wird den Fragebogen mit Bestnoten bestehen. Das ist normal und kein Grund für sofortige Panik. Entscheidend ist, wie du mit den Ergebnissen umgehst.

Stufe 1: Gespräch und Maßnahmenplan

Bei einem gelben Ergebnis (50-74%) oder einem roten Ergebnis in einzelnen Kategorien führst du ein Gespräch mit dem Lieferanten. Erkläre, welche Defizite du identifiziert hast, warum sie für dich relevant sind und was du erwartest. Vereinbare einen konkreten Maßnahmenplan mit Fristen. Dokumentiere das Gespräch und den Plan.

In den meisten Fällen sind Lieferanten kooperativ, wenn sie verstehen, dass die Anforderungen nicht willkürlich sind, sondern aus gesetzlichen Pflichten (NIS2, DSGVO) und dem eigenen ISMS resultieren. Viele Lieferanten, besonders kleinere IT-Dienstleister, haben das Thema selbst noch nicht systematisch adressiert und sind dankbar für den Anstoß.

Stufe 2: Kompensierende Maßnahmen

Wenn der Lieferant kurzfristig nicht alle Anforderungen erfüllen kann, aber die Geschäftsbeziehung fortgeführt werden soll, definierst du kompensierende Maßnahmen auf deiner Seite. Das können verstärktes Monitoring des Lieferantenzugangs, Einschränkung der Berechtigungen auf das absolute Minimum, zusätzliche Verschlüsselung der Daten, die der Lieferant verarbeitet, oder kürzere Überprüfungsintervalle (quartalsweise statt jährlich) sein.

Diese kompensierenden Maßnahmen werden im ISMS als Risikobehandlung dokumentiert: Das Risiko ist identifiziert (Lieferant erfüllt Anforderungen nicht vollständig), die kompensierenden Maßnahmen senken das Risiko auf ein akzeptables Niveau, und die Risikoakzeptanz ist von der zuständigen Stelle genehmigt.

Stufe 3: Eskalation und Lieferantenwechsel

Bei einem roten Gesamtergebnis unter 50% bei einem Stufe-A-Lieferanten, insbesondere wenn keine Verbesserungsbereitschaft erkennbar ist, musst du eskalieren. Das bedeutet: Einbindung der Geschäftsführung, formale Mitteilung an den Lieferanten, dass die Geschäftsbeziehung gefährdet ist, und parallele Suche nach alternativen Lieferanten.

Ein Lieferantenwechsel ist aufwändig und teuer, weshalb er immer die letzte Option sein sollte. Aber ein Lieferant, der grundlegende Sicherheitsanforderungen nicht erfüllt und keine Bereitschaft zur Verbesserung zeigt, ist ein Risiko, das du nicht dauerhaft tragen kannst, erst recht nicht unter NIS2.

Pragmatischer Einstieg: So startest du

Wenn du bisher keine systematische Lieferantenbewertung durchführst, kann der Aufwand abschreckend wirken. Ein pragmatischer Einstiegsplan hilft, das Thema in drei Monaten aufzusetzen.

Monat 1: Inventar und Klassifizierung. Erstelle eine Liste aller Lieferanten mit IT-Bezug. Klassifiziere sie nach den drei Kritikalitätsstufen. Identifiziere die fünf bis zehn wichtigsten Stufe-A-Lieferanten.

Monat 2: Fragebogen und Erstbewertung. Passe den Fragebogen an dein Unternehmen an (nicht jede Frage ist für jede Branche gleich relevant). Versende ihn an die Stufe-A-Lieferanten mit einer Frist von vier Wochen. Werte die Ergebnisse aus und erstelle für jeden Lieferanten eine Bewertung.

Monat 3: Maßnahmen und Verträge. Führe Gespräche mit Lieferanten, die ein gelbes oder rotes Ergebnis haben. Vereinbare Maßnahmenpläne. Prüfe die bestehenden Verträge auf Sicherheitsklauseln und ergänze fehlende Regelungen bei der nächsten Vertragsverlängerung.

Ab dann läuft der Prozess im Regelbetrieb: jährliche Neubewertung der Stufe-A-Lieferanten, zweijährliche Neubewertung der Stufe-B-Lieferanten, anlassbezogene Bewertungen bei Vorfällen.

Häufige Einwände und wie du ihnen begegnest

"Unser Lieferant ist ISO-27001-zertifiziert, das reicht doch." Eine Zertifizierung ist ein guter Indikator, aber kein Ersatz für eine eigene Bewertung. Die Zertifizierung bestätigt, dass der Lieferant ein ISMS betreibt, sagt aber nichts über den Geltungsbereich (gilt die Zertifizierung für den Bereich, der deine Daten verarbeitet?), über spezifische Maßnahmen oder über die Qualität der Umsetzung. Außerdem kann die Zertifizierung abgelaufen sein, ohne dass du es mitbekommst.

"Unser Lieferant ist viel größer als wir, die werden sich von uns nichts sagen lassen." Große Anbieter wie Microsoft, AWS oder SAP wirst du tatsächlich nicht per individuellem Fragebogen bewerten können. Hier greifst du auf die veröffentlichten Compliance-Berichte (SOC 2 Typ II, ISO 27001, BSI C5) zurück und bewertest anhand dieser Dokumente. Den Fragebogen setzt du bei den Lieferanten ein, bei denen du tatsächlich eine Geschäftsbeziehung auf Augenhöhe hast, typischerweise bei mittelständischen IT-Dienstleistern und spezialisierten Softwareanbietern.

"Der Aufwand steht in keinem Verhältnis zum Nutzen." Der Aufwand lässt sich durch Automatisierung deutlich reduzieren. Ein digitalisierter Fragebogen, der jährlich verschickt und automatisch ausgewertet wird, kostet nach dem initialen Setup wenig laufenden Aufwand. Und der Nutzen zeigt sich spätestens dann, wenn ein Lieferant tatsächlich gehackt wird und du nachweisen musst, dass du deine Sorgfaltspflicht erfüllt hast.

Die Lieferantenbewertung ist kein bürokratischer Selbstzweck, sondern ein Schutzmechanismus, der dir hilft, Risiken in deiner Lieferkette frühzeitig zu erkennen. In einer Welt, in der Supply-Chain-Angriffe zu den effektivsten Angriffsvektoren gehören, ist das keine Kür, sondern Pflicht.

Weiterführende Artikel

• Supply-Chain-Angriffe: Wie du deine Lieferkette absicherst
• AVV prüfen und Dienstleister bewerten: Worauf du achten musst
• NIS2 für IT-Dienstleister und MSPs: Was sich ändert
• NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern