NIS2

Lieferkette und Third Party Security – Sicherheit endet nicht am eigenen Netz

Lieferkettensicherheit ist entscheidend: Schützen Sie Ihr Unternehmen durch umfassende Kontrolle und Zusammenarbeit mit Partnern vor Cyberangriffen.

Alexander Welsch
Okt 18, 2025

Die größte Schwachstelle moderner Unternehmen liegt oft nicht in der eigenen IT, sondern bei Partnern, Dienstleistern und Zulieferern.
Cyberangriffe über die Lieferkette – sogenannte Supply Chain Attacks – haben in den letzten Jahren drastisch zugenommen. Sie nutzen den wachsenden Grad an Vernetzung, Outsourcing und Cloud-Diensten aus, um über vertrauenswürdige Dritte ins Zielunternehmen einzudringen.

Deshalb ist Lieferkettensicherheit heute kein optionales Thema mehr, sondern ein zentraler Bestandteil jeder Informationssicherheitsstrategie.
Sie verbindet technische Maßnahmen, organisatorische Kontrolle und rechtliche Verantwortung – und wird von der NIS2-Richtlinie ausdrücklich gefordert.

Warum die Lieferkette das neue Angriffsziel ist

Digitale Ökosysteme funktionieren nur durch Zusammenarbeit: Cloud-Anbieter, Software-Hersteller, Wartungsdienstleister, externe Administratoren, Personalvermittler, Logistikpartner und viele mehr.

Diese Partner haben oft:

  • Zugriff auf Systeme oder Daten,

  • privilegierte Accounts oder Schnittstellen,

  • Einfluss auf Updates, Komponenten oder Prozesse.

Jede dieser Schnittstellen ist potenziell ein Einfallstor für Angreifer.
Ein einziger kompromittierter Dienstleister kann hunderte Unternehmen gleichzeitig treffen – Beispiele wie SolarWinds, MOVEit oder Kaseya zeigen das eindrucksvoll.

Das Risiko: Man vertraut jemandem, den man nicht wirklich kontrolliert.

Was NIS2 dazu verlangt

Die NIS2-Richtlinie verpflichtet betroffene Unternehmen, Sicherheitsanforderungen entlang der Lieferkette umzusetzen.
Das bedeutet konkret:

  • Risikobasierte Bewertung von Dienstleistern und Lieferanten.

  • Sicherheitsanforderungen als Bestandteil von Verträgen.

  • Nachweise über die Umsetzung technischer und organisatorischer Maßnahmen.

  • Überwachung und Überprüfung kritischer Dritter in regelmäßigen Abständen.

  • Verpflichtung zur Meldung von Sicherheitsvorfällen auch durch Lieferanten.

Das Ziel:
Jeder Akteur in der Wertschöpfungskette soll nach denselben Grundprinzipien handeln – Transparenz, Verantwortung, Resilienz.

Die drei Schichten der Lieferkettensicherheit

Ein wirksames Third-Party-Security-Management besteht aus drei Schichten, die aufeinander aufbauen:

1. Strategische Ebene – Governance und Verantwortung

  • Die Geschäftsleitung bleibt verantwortlich, auch für ausgelagerte Prozesse.

  • Es gibt eine Richtlinie für Lieferkettensicherheit, die Verfahren, Zuständigkeiten und Prüftiefe festlegt.

  • Ein Verantwortlicher oder Gremium (z. B. CISO, Compliance, Einkauf) koordiniert die Bewertung und Kontrolle von Dritten.

  • Risiken aus der Lieferkette werden in das unternehmensweite Risikomanagement integriert.

Ohne klare Governance bleibt jede Prüfung folgenlos.

2. Taktische Ebene – Bewertung und Verträge

Hier entscheidet sich, welche Anforderungen gelten und wie sie durchgesetzt werden.

Risikobasierte Bewertung:

  • Identifizieren Sie alle Dienstleister mit Zugriff auf Systeme, Daten oder Netzwerke.

  • Klassifizieren Sie sie nach Kritikalität:

    • Hoch: IT-Dienstleister, Hosting, Cloud, Managed Services.

    • Mittel: Personal, Logistik, spezialisierte Fachpartner.

    • Niedrig: Lieferanten ohne Systemzugriff oder Datenaustausch.

  • Je kritischer ein Partner, desto umfangreicher die Prüfung und Kontrolle.

Vertragliche Anforderungen:

  • Sicherheitsmaßnahmen nach Stand der Technik.

  • Verpflichtung zu Multi-Faktor-Authentifizierung, Logging, Verschlüsselung.

  • Meldepflicht bei Sicherheitsvorfällen innerhalb festgelegter Fristen.

  • Nachweispflicht (Zertifikat, Auditbericht, Fragebogen).

  • Regelungen zu Subunternehmern und Kettenverantwortung.

  • Kündigungs- oder Sanktionsmechanismen bei Verstößen.

Praxis-Tipp:
Nutzen Sie standardisierte Anhänge für Informationssicherheit (z. B. basierend auf ISO 27036 oder TISAX-Anforderungen). So schaffen Sie Vergleichbarkeit und reduzieren juristischen Aufwand.

3. Operative Ebene – Überwachung und Zusammenarbeit

Ein Vertrag allein schafft noch keine Sicherheit.
Wirklich wirksam wird Lieferkettensicherheit erst durch laufende Kontrolle und Kommunikation.

Typische Instrumente:

  • Sicherheitsfragebögen oder Selbstauskünfte vor Vertragsabschluss.

  • Risiko-Scoring oder Assessments auf Basis von Fragebögen und Nachweisen.

  • Regelmäßige Überprüfungen (jährlich oder risikobasiert häufiger).

  • Audits oder Remote-Assessments bei besonders kritischen Partnern.

  • Automatisierte Monitoring-Lösungen, die öffentlich verfügbare Sicherheitsinformationen (z. B. Zertifikatsstatus, Darknet-Leaks) auswerten.

Wichtig:
Ein kooperativer Ansatz wirkt besser als Misstrauen.
Ziel ist nicht Kontrolle um der Kontrolle willen, sondern ein gemeinsames Sicherheitsniveau.

Typische Risiken in der Lieferkette

Ein Blick in die Praxis zeigt wiederkehrende Schwachstellen:

  • Fehlende Multi-Faktor-Authentifizierung bei Dienstleisterzugängen.

  • Unverschlüsselte Datenübertragungen zwischen Unternehmen und Partner.

  • Veraltete Software in ausgelagerten Systemen.

  • Unklare Verantwortlichkeiten bei gemeinsam genutzten Infrastrukturen.

  • Fehlende Meldewege bei Sicherheitsvorfällen.

  • Abhängigkeit von einzelnen Schlüsselpartnern ohne Backup-Lösung.

Diese Risiken sollten regelmäßig überprüft und dokumentiert werden – sie gehören in das Sicherheits- und Risikoreporting.

Vorgehensmodell für Third-Party-Security

Ein bewährtes Modell besteht aus sechs Schritten:

  1. Identifizieren:
    Alle externen Partner mit IT- oder Datenbezug erfassen.

  2. Klassifizieren:
    Kritikalität und Risikostufe zuordnen.

  3. Bewerten:
    Sicherheitsreife anhand von Fragen, Zertifikaten und Audits prüfen.

  4. Vertraglich absichern:
    Sicherheitsanforderungen, Meldepflichten und Nachweise festschreiben.

  5. Überwachen:
    Regelmäßig prüfen, ob Anforderungen eingehalten werden.

  6. Verbessern:
    Ergebnisse aus Vorfällen oder Audits in Schulungen, Verträge und Prozesse zurückführen.

So entsteht ein geschlossener Kreislauf – vom Risiko zur Maßnahme und zurück.

Kennzahlen für Lieferkettensicherheit

Messbare Größen helfen, das Thema sichtbar und steuerbar zu machen.
Beispiele:

  • Anteil kritischer Dienstleister mit vollständiger Sicherheitsbewertung.

  • Anteil vertraglich abgesicherter Partner.

  • Durchschnittliche Zeit bis zur Reaktion auf Lieferantenmeldungen.

  • Anzahl durchgeführter Audits oder Re-Assessments pro Jahr.

  • Entwicklung des Risikoscoring-Durchschnitts über zwölf Monate.

Diese Kennzahlen gehören ins regelmäßige Management-Reporting.

Kultur und Kommunikation – der menschliche Faktor

Technische Prüfungen sind wichtig, aber Vertrauen entsteht durch Kommunikation.
Ein reifes Lieferkettenmanagement lebt von:

  • offener Sicherheitskultur zwischen Auftraggeber und Auftragnehmer,

  • gegenseitiger Transparenz, statt Schuldzuweisungen,

  • regelmäßigen Dialogen zu neuen Bedrohungen, Best Practices und Vorfällen.

Führungskräfte sollten den Austausch aktiv fördern. Wer seinen Partnern Sicherheit erklärt, bekommt selbst mehr Stabilität zurück.

Verbindung zu den anderen Themen der Serie

  • Governance und Verantwortung: Geschäftsleitung bleibt in der Pflicht – auch bei ausgelagerten Prozessen.

  • Risikomanagement: Externe Risiken fließen ins Gesamtportfolio ein.

  • Meldewesen: Klare Eskalations- und Kommunikationswege mit Partnern sichern Reaktionsfähigkeit.

  • Technische und organisatorische Maßnahmen: Anforderungen gelten auch für Dritte und müssen überprüfbar sein.

  • Awareness und Kultur: Sensibilisierung auch bei externen Partnern erhöht das Sicherheitsniveau entlang der gesamten Wertschöpfung.

Typische Fehler und wie man sie vermeidet

  1. Keine Übersicht über alle Dienstleister:
    Ohne vollständiges Register kann keine Risikoanalyse stattfinden.

  2. Blindes Vertrauen in Zertifikate:
    ISO oder TISAX-Zertifikate sind gut, aber kein Ersatz für eigene Bewertung.

  3. Unklare Meldepflichten:
    Ohne Fristen und Ansprechpartner geht wertvolle Zeit verloren.

  4. Einmalige Prüfungen:
    Sicherheit ist dynamisch – Bewertungen müssen regelmäßig aktualisiert werden.

  5. Fehlende interne Abstimmung:
    Einkauf, IT, Recht und Security müssen gemeinsam agieren – sonst entstehen Lücken.

Fazit

Lieferkettensicherheit ist mehr als Vertragsklauseln. Sie ist ein lebender Prozess aus Vertrauen, Kontrolle und Zusammenarbeit.
Wer seine Partner strukturiert bewertet, Anforderungen klar kommuniziert und regelmäßig überprüft, reduziert Risiken – und gewinnt gleichzeitig Resilienz und Verlässlichkeit.

Die NIS2-Richtlinie hat das Thema in den Fokus gerückt, aber kluge Unternehmen handeln aus eigenem Interesse:
Ein Angriff auf den Dienstleister ist auch ein Angriff auf das eigene Geschäft.

Sicherheit endet nicht an der Firewall – sie beginnt dort, wo Zusammenarbeit anfängt.

Im nächsten Beitrag der Serie geht es um Awareness und Kultur – wie Sie Sicherheitsbewusstsein im gesamten Unternehmen verankern und Informationssicherheit zu einem natürlichen Bestandteil des Alltags machen.
NIS2 Compliance Lieferkette & Third Party Business Continuity

Similar posts

Erhalten Sie alle wichtigen Neuigkeiten zu Audicius

Seien Sie unter den ersten, die neue Funktionen, Produkte und weitere Informationen erhalten.