Registrieren Anmelden
RegistrierenAnmelden
Banner E-Learning IT-Sicherheit
Breadcrumb-Navigation
Free

Wie Unternehmen ihre Lieferanten sicher bewerten – Methoden der Risikoanalyse

Cyberangriffe über Drittanbieter und IT-Dienstleister zählen zu den häufigsten Ursachen für Sicherheitsvorfälle. Eine strukturierte Risikoanalyse hilft, Schwachstellen in der Lieferkette frühzeitig zu erkennen und gezielt zu minimieren.

Grundlagen und Definitionen
Lesezeit 7 Min.

Unternehmen sind heute stärker als je zuvor auf externe Dienstleister, Softwareanbieter und Cloud-Services angewiesen. Gleichzeitig steigt die Zahl und Komplexität von Angriffen über diese sogenannten Third Parties rasant. Die Bewertung und das Management von Lieferantenrisiken entwickeln sich deshalb zur Pflichtaufgabe für jede Geschäftsleitung. Wer seine Lieferkette systematisch überwacht, kann nicht nur regulatorische Vorgaben wie NIS-2, DORA oder den Cyber Resilience Act erfüllen, sondern auch Haftungsrisiken reduzieren und die eigene Cyber-Resilienz stärken.

Warum Lieferantenrisiken heute Chefsache sind

Die Zahl spektakulärer Supply-Chain-Attacken hat in den letzten Jahren deutlich zugenommen. Namen wie SolarWinds oder MOVEit stehen für Vorfälle, bei denen Angreifer über Dienstleister oder Software-Updates in Unternehmen eingedrungen sind. Diese Angriffe zeigen: Kein Unternehmen ist isoliert, und die Schwachstelle eines Partners kann zum Einfallstor für die gesamte Lieferkette werden.

Die Abhängigkeit von IT-Dienstleistern, Cloud-Providern und externen Software-Lieferanten ist heute Alltag. Dabei reicht ein einziges kompromittiertes Konto oder eine ungesicherte Schnittstelle, um kritische Daten und Prozesse ins Wanken zu bringen. Die Risiken betreffen nicht nur die IT-Abteilung, sondern die gesamte Organisation – vom Vorstand bis zum Einkauf.

Zudem wächst der regulatorische Druck erheblich. Mit der EU-Richtlinie NIS-2, dem Digital Operational Resilience Act (DORA) für den Finanzsektor und neuen Vorgaben wie dem Cyber Resilience Act müssen Unternehmen nachweisen, dass sie ihre externen Partner angemessen prüfen und Risiken steuern. Die Geschäftsleitung steht in der Verantwortung und muss nachweisen, dass sie ihrer Governance- und Sorgfaltspflicht nachkommt. Verstöße können zu empfindlichen Geldbußen und persönlicher Haftung führen.

Was ist eine Lieferantenrisikoanalyse?

Eine Lieferantenrisikoanalyse ist ein strukturierter Prozess zur systematischen Bewertung externer Risiken, die sich auf Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und Prozessen auswirken können. Ziel ist es, Schwachstellen in der Zusammenarbeit mit Drittparteien zu identifizieren und zu bewerten, um geeignete Maßnahmen zur Risikominimierung einzuleiten.

Im Unterschied zur allgemeinen Unternehmensrisikoanalyse konzentriert sich die Lieferantenrisikoanalyse gezielt auf externe Einflüsse. Diese Analyse ist besonders relevant für IT-Services, Cloud-Hosting, Wartung, Software-Updates, aber auch für physische Lieferanten, die Zugang zu sensiblen Bereichen haben.

Die Analyse ist kein einmaliges Projekt, sondern begleitet den gesamten Lebenszyklus der Lieferantenbeziehung – vom Onboarding über den laufenden Betrieb bis zum Offboarding. Dabei wird geprüft, welche Risiken mit dem jeweiligen Dienstleister verbunden sind, wie diese überwacht und wie Veränderungen im Risiko-Profil frühzeitig erkannt werden.

Die Lieferantenrisikoanalyse ist ein zentraler Baustein jeder Resilienzstrategie und sollte eng mit dem Informationssicherheits-Managementsystem (ISMS) verzahnt werden.

Vorgehensmodell in vier Schritten

Ein bewährtes Vorgehensmodell für die Bewertung von Lieferantenrisiken umfasst vier Stufen:

  1. Identifikation: Im ersten Schritt werden alle Drittparteien und Dienstleister erfasst und den relevanten Geschäftsprozessen zugeordnet. Oft unterschätzen Unternehmen die Zahl ihrer externen Partner – eine vollständige Übersicht ist aber Grundvoraussetzung.
  2. Bewertung: Jeder Lieferant wird anhand definierter Kriterien analysiert. Dabei geht es um Fragen wie: Hat der Dienstleister Zugang zu sensiblen Daten? Ist er für kritische Prozesse verantwortlich? Welche Sicherheitsmaßnahmen sind dort etabliert?
  3. Behandlung: Die identifizierten Risiken werden mit konkreten Maßnahmen adressiert. Dazu zählen technische und organisatorische Kontrollen, vertragliche Anforderungen oder die Einführung von Monitoring-Lösungen.
  4. Überwachung: Risiken und Kontrollen werden kontinuierlich überprüft. Dazu gehören regelmäßige Re-Assessments, Audits und die Auswertung aktueller Bedrohungslagen.

Dieses Vorgehen muss in das ISMS eingebettet sein. Nur so ist gewährleistet, dass alle Schritte dokumentiert und die notwendige Nachweisführung für Audits und Zertifizierungen erbracht wird.

Bewertungsansätze: qualitativ oder quantitativ?

Unternehmen können Risiken auf zwei Arten bewerten: qualitativ und quantitativ. Oft kommen auch kombinierte Modelle zum Einsatz.

  • Qualitative Ansätze basieren auf Experteneinschätzungen. Sie nutzen Modelle wie Ampelsysteme („rot-gelb-grün“) oder Reifegradskalen. Vorteile sind die schnelle Umsetzung und die Einbindung von Erfahrungswissen. Nachteilig sind jedoch subjektive Einflüsse und die eingeschränkte Vergleichbarkeit.
  • Quantitative Ansätze arbeiten mit Kennzahlen, Wahrscheinlichkeiten und monetären Schadensabschätzungen. Diese Modelle bieten eine höhere Nachvollziehbarkeit und Vergleichbarkeit, hängen aber stark von der Verfügbarkeit und Qualität der Daten ab.

In der Praxis werden häufig beide Ansätze kombiniert: Erst erfolgt eine qualitative Bewertung, deren Ergebnisse durch quantitative Gewichtungen ergänzt werden. Grenzen entstehen dort, wo Daten fehlen oder sich Risiken schwer monetarisieren lassen – etwa bei Reputationsschäden oder Datenschutzverletzungen.

Die Auswahl des Bewertungsmodells sollte sich an den Anforderungen des ISMS, der Branche und den verfügbaren Ressourcen orientieren.

Scoring-Modelle und Kritikalitätsklassen

Um Risiken transparent und vergleichbar zu machen, nutzen viele Unternehmen Scoring-Modelle. Hierbei werden Lieferanten nach festen Kriterien bewertet und in Kritikalitätsklassen eingestuft.

Ein typisches Bewertungsschema reicht von 1 bis 5 oder von A bis E. Die Gewichtung erfolgt nach der Kritikalität der Dienstleistung und dem Zugang zu sensiblen Informationen. Beispielhafte Kategorien sind:

  • Strategisch kritisch: Dienstleister ist für zentrale Geschäftsprozesse unverzichtbar oder verarbeitet besonders schützenswerte Daten.
  • Geschäftsrelevant: Der Lieferant beeinflusst wichtige Abläufe, ist aber nicht existenziell.
  • Unkritisch: Kein Zugang zu relevanten Daten, keine Auswirkungen auf die Kernprozesse.

Die Einstufung berücksichtigt unter anderem die Korrelation zwischen Verfügbarkeit, Datenschutz, Compliance-Anforderungen und potenziellen Reputationsschäden. Die Ergebnisse werden im Risikoregister oder in Dashboards dokumentiert und dienen als Grundlage für Management-Entscheidungen.

Kennzahlen und Bewertungsfaktoren

Eine objektive Bewertung von Lieferantenrisiken benötigt klare Kennzahlen und Bewertungsfaktoren. Typische Felder, die in der Analyse betrachtet werden:

  • Informationssicherheits-Level: Gibt es Zertifikate wie ISO 27001 oder TISAX? Welche technischen und organisatorischen Kontrollen sind implementiert? Werden regelmäßig Penetrationstests durchgeführt?
  • Datenschutz-Compliance: Erfüllt der Dienstleister die Anforderungen der DSGVO? Gibt es vertragliche Vereinbarungen zur Auftragsverarbeitung?
  • Technische Sicherheit: Wie werden Patch-Management, Netztrennung und Zugriffsrechte umgesetzt?
  • Organisation und Prozesse: Existiert ein Notfallmanagement? Werden Mitarbeitende regelmäßig geschult? Gibt es Awareness-Programme?
  • Finanzielle Stabilität: Ist der Dienstleister wirtschaftlich solide und langfristig handlungsfähig?
  • Geopolitische Risiken und Standort: Gibt es Risiken durch politische Instabilität oder rechtliche Besonderheiten im Sitzland des Dienstleisters?

Zur laufenden Überwachung eignen sich KPIs wie Auditquote, Zeit bis zur Risikobewertung oder die Anzahl offener Maßnahmen. Diese Kennzahlen helfen, den Reifegrad der Lieferantenbewertung zu messen und Schwachstellen frühzeitig zu erkennen.

Verbindung zu ISMS und Compliance

Die Lieferantenrisikoanalyse ist eng mit dem ISMS verknüpft. Internationale Standards wie ISO 27001, ISO 27005 und ISO 27036 fordern explizit die Identifikation, Bewertung und Steuerung externer Risiken.

Wichtige Schnittstellen bestehen nicht nur zum Datenschutz, sondern auch zum Business Continuity Management (BCM), zum Einkauf und zur Rechtsabteilung. Die Integration in die übergeordneten Risikomanagement-Prozesse ist entscheidend, um Redundanzen zu vermeiden und Synergien zu nutzen.

Für Audits und Zertifizierungen muss das Unternehmen nachweisen, dass alle relevanten Prozesse dokumentiert und die Anforderungen aus NIS-2, DORA oder TISAX erfüllt sind. Die Lieferantenbewertung wird damit zum zentralen Nachweis der eigenen Sorgfaltspflicht.

Best Practices und kontinuierliche Verbesserung

Lieferantenrisikomanagement ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Zu den bewährten Methoden zählen:

  • Wiederkehrende Risikobewertung: Die Analyse wird regelmäßig wiederholt und an neue Bedrohungslagen angepasst.
  • Automatisiertes Monitoring: Moderne Tools und Threat-Intelligence-Feeds unterstützen die kontinuierliche Überwachung.
  • Lessons Learned: Nach Sicherheitsvorfällen werden Schwachstellen ausgewertet und Prozesse angepasst.
  • Schulungen: Einkauf und Fachbereiche werden regelmäßig zu aktuellen Risiken und Anforderungen fortgebildet.
  • Reifegradmodell: Unternehmen entwickeln ihr Third-Party Risk Management schrittweise weiter und passen es an neue Vorgaben an.

Die Kombination aus Technik, Organisation und Kultur ist entscheidend. Nur wer die Zusammenarbeit zwischen Fachbereichen, IT und Compliance fördert, kann Risiken dauerhaft beherrschen.

Fazit

Eine fundierte Lieferantenrisikoanalyse ist weit mehr als ein Audit-Fragebogen. Sie bildet die Grundlage für sichere Partnerschaften, gezieltes Outsourcing und die Nutzung von Cloud-Diensten. Wer Risiken methodisch bewertet, dokumentiert und kontinuierlich steuert, stärkt nicht nur die eigene Cyber-Resilienz, sondern auch das Vertrauen in die gesamte Lieferkette. Unternehmen, die Lieferantenrisiken als festen Bestandteil ihres ISMS verankern, erfüllen regulatorische Anforderungen und erhöhen ihre Widerstandsfähigkeit gegen Angriffe von außen.

(Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion inhaltlich und sprachlich geprüft.) 

Literaturverzeichnis

  1. Thomas Lo Coco: „Cyber-Resilienz durch Drittanbieterbewertung“, <kes> 2025#4, www.kes-informationssicherheit.de/print/titelthema-digitale-souveraenitaet-mehr-als-hoheit-ueber-daten/cyber-resilienz-durch-drittanbieterbewertung/
  2. Prof. Dr. Knut Haufe: „ISMS-Tools in der Praxis (1): Erfolgsfaktoren für die Nutzung von ISMS-Tools bei Aufbau und Betrieb eines ISMS“, <kes> 2024#5, www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/isms-tools-in-der-praxis-1/
  3. Prof. Dr. Knut Haufe: „ISMS-Tools in der Praxis (2): Unterstützung des ISMS-Betriebs durch dedizierte Tools“, <kes> 2024#6, www.kes-informationssicherheit.de/print/titelthema-festplatten-dietriche-zur-extraktion-verschluesselter-daten/isms-tools-in-der-praxis-2/
  4. Wolfgang Böhmer: „Risiken und ihre Begrifflichkeiten in Theorie und Praxis (1)“, <kes> 2024#3, www.kes-informationssicherheit.de/print/titelthema-zero-trust-privacyzentriert-und-foederiert/risiken-und-ihre-begrifflichkeiten-in-theorie-und-praxis-1/
  5. Aleksandra Sowa: „NIST SP 800-55: Cybersecurity braucht seriöse Buchhaltung“, <kes> 2025#2, www.kes-informationssicherheit.de/print/titelthema-metriken-und-kennzahlen/cybersecurity-braucht-serioese-buchhaltung/
  6. Gartner: „Third-Party Risk Management (TPRM): An Essential Guide“, www.gartner.com/en/legal-compliance/topics/third-party-risk-management-tprm
  7. American Institute of Certified Public Accountants (AICPA), Chartered Institute of Management Accountants (CIMA): „SOC 2 – SOC for Service Organizations: Trust Services Criteria“, www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
  8. Bundesamt für Sicherheit in der Informationstechnik (BSI): „IT-Grundschutz-Methodik im Kontext von Outsourcing“, Version 2.2, Dezember 2019, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Outsourcing_Kompendium.pdf
  9. International Organization for Standardization (ISO): ISO/IEC 27005:2022 „Information security, cybersecurity and privacy protection – Guidance on managing information security risks“, Oktober 2022, www.iso.org/standard/80585.html
  10. Deutsches Institut für Normung (DIN), ISO/IEC 27001:2022, Informationssicherheitsmanagementsysteme – Anforderungen, Januar 2024, https://dx.doi.org/10.31030/3479707
  11. Katherine Schroeder, Hung Trinh, Victoria Pillitteri: „Measurement Guide for Information Security, Volume 1 – Identifying and Selecting Measures“, NIST SP 800-55 Vol. 1, Dezember 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/final
  12. Katherine Schroeder, Hung Trinh, Victoria Pillitteri: „Measurement Guide for Information Security, Volume 2 – Developing an Information Security Measurement Program“, NIST SP 800-55 Vol. 2, Dezember 2024, https://csrc.nist.gov/pubs/sp/800/55/v2/final

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.