Unternehmen schützen ihre eigene IT so gut wie möglich. Und trotzdem bleiben sie über die Lieferkette angreifbar. Software wird eingekauft, Cloud-Dienste werden genutzt, externe Dienstleister erhalten Zugriff auf interne Systeme, Hersteller liefern Updates aus, Outsourcing-Partner betreiben kritische Geschäftsprozesse. Damit verschiebt sich ein Teil des Cyberrisikos ausserhalb der eigenen Firma, bleibt aber trotzdem in der eigenen Verantwortung.

Cybersecurity Supply Chain Risk Management, kurz C-SCRM, beschäftigt sich genau mit dieser Herausforderung. Es geht darum, Cyberrisiken in der IT- und OT-Lieferkette zu erkennen, zu bewerten, zu steuern und regelmässig zu überprüfen. Das Bundesamt für Cybersicherheit BACS beschreibt diesen Ansatz als strategisches Vorgehen, bei dem Organisationen ihre Risiken kennen, Anforderungen an Lieferanten, Zulieferer und Provider festlegen und deren Einhaltung überprüfen sollen.

Die klassische Lieferantenbewertung reicht dafür nicht mehr aus. Preis, Qualität und Lieferfähigkeit bleiben wichtig, genügen aber nicht. Ein Dienstleister mit privilegiertem Zugriff, ein Softwarehersteller mit unsicheren Entwicklungsprozessen oder ein Cloud-Anbieter ohne klare Incident-Kommunikation kann ein erhebliches Risiko darstellen.

© Storyblocks, Registriert auf Andreas Wisler

 C-SCRM beginnt mit einer einfachen, aber unbequemen Frage: Von wem ist die Organisation abhängig? Viele Unternehmen kennen ihre direkten Lieferanten, aber nicht immer deren Bedeutung für die eigene Wertschöpfung. Noch weniger transparent sind Unterlieferanten, Softwarekomponenten, Wartungszugänge, Cloud-Abhängigkeiten oder die Frage, welche Dienstleister im Notfall tatsächlich betriebsrelevant sind.

Das BACS weist darauf hin, dass Lieferketten häufig über viele Unternehmen weltweit reichen. Um Risiken managen zu können, muss deshalb eine möglichst gute Transparenz über technische und nicht-technische Abhängigkeiten geschaffen werden.

Dabei ist nicht jeder Lieferant gleich kritisch. Ein Reinigungsdienstleister ohne Zugriff auf Systeme ist anders zu bewerten als ein externer IT-Partner, der Administratorrechte besitzt. Ein SaaS-Anbieter für ein Randthema ist anders zu behandeln als eine Plattform, über die Rechnungen, Kundendaten oder Produktionsaufträge verarbeitet werden. Sinnvoll ist deshalb eine Priorisierung nach Business Impact, Zugriffsmöglichkeiten, Datenarten und Abhängigkeit des Geschäftsprozesses.

Das BACS unterscheidet im Rahmen des Pilotprojekts mit Planzer Transport AG unter anderem Partner mit privilegiertem Zugriff auf interne Systeme, Anbieter von Hardware oder Software sowie Partner, welche wichtige Dienstleistungen bereitstellen. Besonders relevant ist dabei, welche Auswirkungen ein Ausfall oder eine Kompromittierung auf Vertraulichkeit, Integrität und Verfügbarkeit der Daten hätte.
NIST SP 800-161 Rev. 1 geht noch einen Schritt weiter. Die Publikation betrachtet Cyberrisiken in der Lieferkette nicht nur als Einkaufsthema, sondern als Teil des organisationsweiten Risikomanagements. NIST beschreibt Risiken durch Produkte und Dienstleistungen, die schadhafte Funktionen enthalten, gefälscht sein oder wegen mangelhafter Herstellungs- und Entwicklungspraktiken verwundbar sein können. Zudem betont NIST die reduzierte Transparenz darüber, wie eingekaufte Technologien entwickelt, integriert und betrieben werden.

Das ist ein wichtiger Punkt: C-SCRM ist nicht nur Lieferantenkontrolle. Es betrifft den ganzen Lebenszyklus. Bereits bei der Beschaffung muss klar sein, welche Sicherheitsanforderungen gelten. Während der Nutzung müssen Leistung, Sicherheitsniveau und Vorfälle überwacht werden. Bei Änderungen, neuen Schnittstellen oder Unterauftragnehmern muss neu beurteilt werden, ob das Risiko noch akzeptabel ist. Und bei Beendigung der Zusammenarbeit müssen Zugänge deaktiviert, Daten gelöscht oder zurückgegeben und offene Abhängigkeiten sauber aufgelöst werden.

In der Praxis beginnt ein pragmatisches C-SCRM mit einer Bestandesaufnahme. Welche Lieferanten gibt es? Welche Systeme, Daten und Prozesse sind betroffen? Wer hat Zugriff auf interne Systeme? Wo bestehen Fernwartungszugänge? Welche Anbieter sind für den Betrieb kritisch? Welche Softwarekomponenten werden eingesetzt? Welche Verträge enthalten bereits Sicherheitsanforderungen und wo fehlen diese vollständig?

Diese Bestandesaufnahme darf nicht als einmaliges Projekt verstanden werden. Lieferketten ändern sich laufend. Neue SaaS-Lösungen werden eingeführt, Fachabteilungen beschaffen Tools direkt, Dienstleister wechseln Subunternehmer, Software erhält neue Module oder Cloud-Regionen. Deshalb braucht C-SCRM einen wiederkehrenden Prozess. Das BACS beschreibt hierfür einen Kreislauf mit mehreren Schritten: Lieferkette kennen, Lieferanten auswählen und priorisieren, Bestandesaufnahme durchführen, Lieferantengespräche führen, Prüfungen durchführen, Ergebnisse auswerten, Massnahmen festlegen und Verträge überprüfen oder anpassen.

Quelle: BACS, https://www.ncsc.admin.ch/supply-chain-de

Bei der Lieferantenprüfung ist Erfahrung entscheidend. Fragebogen können ein nützlicher Einstieg sein, ersetzen aber keine Risikoanalyse. Ein Lieferant kann einen Fragebogen korrekt ausfüllen und trotzdem operative Schwächen haben. Umgekehrt kann ein kleiner Dienstleister ohne Zertifizierung sehr solide Sicherheitsmassnahmen umgesetzt haben. Entscheidend ist, ob die Prüfung zum Risiko passt. Für kritische Dienstleister können Nachweise wie ISO/IEC 27001-Zertifikate, SOC-2-Berichte, Penetrationstest-Zusammenfassungen, Richtlinienauszüge, Notfallkonzepte oder Auditgespräche sinnvoll sein. Für weniger kritische Lieferanten genügt oft eine Selbstauskunft.

Das BACS hält fest, dass Selbstauskünfte eine Grundlage für weitere Überprüfungen wie Vor-Ort-Besuche oder Audits sein können. Gleichzeitig zeigen die Erfahrungen aus dem Pilotprojekt, dass Lieferanten Anforderungen häufig umsetzen möchten, dazu aber Unterstützung oder Anreize benötigen.

Das ist gerade für KMU relevant. Viele kleine und mittlere Unternehmen haben weder die Ressourcen noch die Marktmacht, um umfangreiche Audits bei allen Lieferanten durchzuführen. Trotzdem können sie wirksam vorgehen, wenn sie ihre kritischen Abhängigkeiten kennen und dort gezielt nachfragen. Ein kurzer, gut vorbereiteter Austausch mit einem wichtigen IT-Dienstleister bringt oft mehr als ein umfangreicher Standardfragebogen, der nicht ausgewertet wird.

Verträge sind ebenfalls wichtig. Sicherheitsanforderungen, Meldepflichten, Unterauftragnehmer, Audit- und Auskunftsrechte, Verschlüsselung, Zugriffsschutz, Backup, Wiederherstellungszeiten, Datenstandorte, Datenschutz, Schwachstellenmanagement und Exit-Regelungen sollten nicht erst nach einem Vorfall diskutiert werden. Das BACS betont, dass in diesen unter anderem informationssicherheits- und datenschutzrechtliche Vorgaben enthalten sein sollten.

Von besonderer Bedeutung sind klare Regelungen zur Meldung von Sicherheitsvorfällen. Wenn ein Dienstleister kompromittiert wird, ist die Zeit ein rares Gut. Die betroffene Organisation muss wissen, ob eigene Daten, Systeme oder Kunden betroffen sind. Unklare Kommunikationswege und fehlende Fristen führen im Ernstfall zu Verzögerungen. Gerade bei regulierten Unternehmen oder kritischen Dienstleistungen kann dies erhebliche rechtliche und operative Folgen haben.

NIST SP 800-161 Rev. 1 empfiehlt, C-SCRM in bestehende Risikomanagementprozesse zu integrieren und auf mehreren Ebenen zu betrachten. Dazu gehören unter anderem Strategie, Richtlinien, Pläne und Risikobeurteilungen für Produkte und Dienstleistungen. Für Organisationen mit einem Informationssicherheits-Managementsystem nach ISO/IEC 27001 ist das naheliegend. Die Lieferkette wird nicht als separates Sonderthema geführt, sondern in Asset Management, Risikobeurteilung, Lieferantenbeziehungen, Zugriffskontrolle, Incident Management, Business Continuity und interne Audits eingebunden.

Auch das NIST Cybersecurity Framework 2.0 passt in diesen Kontext. Es enthält mit Govern, Identify, Protect, Detect, Respond und Recover eine Struktur, mit der sich Cybersicherheit ganzheitlich betrachten lässt.

Das BSI greift diese Managementperspektive ebenfalls auf. Das Management-Blitzlicht des BSI zu C-SCRM bietet eine Übersicht zur Umsetzung eines wirksamen Cyber-Supply Chain Risk Managements und beschreibt, weshalb Lieferkettensicherheit eine Herausforderung ist. Zudem betont das BSI die regelmässige Evaluation der Wirksamkeit des C-SCRM und die Entwicklung geeigneter Metriken, um Massnahmen überprüfen zu können.

Metriken werden oft unterschätzt. Ohne Kennzahlen kann die Lieferkettensicherheit nur suboptimal im Auge behalten werden. Sinnvolle Kriterien sind zum Beispiel: 

  • Wie viele kritische Lieferanten wurden bewertet?
  • Wie viele Verträge enthalten aktuelle Sicherheitsanforderungen?
  • Wie viele offene Massnahmen aus Lieferantenprüfungen sind überfällig?
  • Wie schnell melden kritische Dienstleister relevante Vorfälle?
  • Wie viele Lieferanten haben privilegierten Zugriff?

Wie viele dieser Zugänge werden regelmässig überprüft?Solche Kennzahlen ersetzen keine fachliche Beurteilung, machen aber Fortschritte und Schwachstellen sichtbar. Sie helfen dem Management zu entscheiden, wo investiert werden muss. Ohne klare Zuständigkeit bleibt es häufig zwischen Einkauf, IT, Recht, Datenschutz und Fachbereichen liegen. Ein wirksames Modell definiert deshalb, wer Lieferanten klassifiziert, wer Sicherheitsanforderungen festlegt, wer Nachweise prüft, wer Verträge freigibt und wer bei Abweichungen entscheidet.

Ein weiterer Punkt ist die Software Supply Chain. Moderne Anwendungen bestehen aus vielen Komponenten, Bibliotheken, Containern, APIs und Build-Prozessen. Eine Schwachstelle in einer weit verbreiteten Komponente kann viele Organisationen gleichzeitig treffen. Deshalb gewinnen Themen wie Software Bill of Materials, sichere Entwicklungsprozesse, Schwachstellenmanagement und Integrität von Updates an Bedeutung. C-SCRM muss diese Aspekte berücksichtigen, sonst bleibt es auf Dienstleisterprüfungen beschränkt.

Ebenso wichtig ist der Umgang mit Konzentrationsrisiken. Viele Unternehmen nutzen dieselben Cloud-Plattformen, Identitätsdienste, Kommunikationslösungen oder Managed Service Provider. Ein Ausfall oder Angriff auf einen zentralen Anbieter kann mehrere Geschäftsprozesse gleichzeitig betreffen. Die Frage lautet deshalb nicht nur, ob ein Lieferant sicher ist, sondern auch, was passiert, wenn er ausfällt.

Für die Umsetzung empfiehlt sich ein pragmatischer Start. Zuerst sollten die kritischsten Lieferanten identifiziert werden. Danach werden Mindestanforderungen festgelegt, bestehende Verträge geprüft und offene Risiken bewertet. Anschliessend folgen Gespräche mit den wichtigsten Partnern. Der Fokus sollte auf realen Risiken liegen: Zugriff, Daten, Verfügbarkeit, Wiederherstellung, Meldewege, Unterauftragnehmer und Exit.

Ein umgesetztes C-SCRM erweitert diesen Ansatz. Neue Lieferanten werden vor Vertragsabschluss beurteilt. Kritische Anbieter werden regelmässig überprüft. Änderungen bei Dienstleistungen, Zugriffen oder Unterauftragnehmern lösen eine neue Risikobeurteilung aus. Sicherheitsanforderungen werden standardisiert, aber risikobasiert umgesetzt. Vorfälle bei Lieferanten werden in das eigene Incident Management eingebunden. Interne Audits prüfen, ob der Prozess funktioniert. Das Management erhält regelmässige Berichte über Risiken, Fortschritt und offene Entscheidungen.

Fazit

Cybersecurity Supply Chain Risk Management ist kein zusätzliches Formular im Einkauf, sondern ein Bestandteil eines wirksamen Informationssicherheits- und Risikomanagements. Unternehmen müssen wissen, von welchen Lieferanten, Dienstleistern, Softwarekomponenten und Plattformen sie abhängig sind. Danach können sie Risiken priorisieren, Anforderungen festlegen, Verträge anpassen und die Umsetzung überprüfen.

Die Ansätze von BACS, BSI und NIST zeigen in dieselbe Richtung: Lieferkettensicherheit braucht Transparenz, Managementverantwortung, risikobasierte Prüfungen und einen kontinuierlichen Verbesserungsprozess. Für ISO-27001-orientierte Firmen ist C-SCRM kein neues Thema, sondern eine sinnvolle Erweiterung in bestehende Prozesse.

Der wichtigste Schritt ist der Anfang. Wer seine kritischen Lieferanten kennt, deren Zugriff und Bedeutung versteht und die zentralen Anforderungen verbindlich regelt, reduziert bereits einen wesentlichen Teil des Risikos.

Quellen