RiLi-Lieferkettensicherheit

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Under construction icon-blue.png Diese Seite ist derzeit noch ein Entwurf.

Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite.


Richtlinie zur Lieferkettensicherheit und zur Absicherung von IT‑bezogenen Lieferketten

Diese Richtlinie legt verbindliche organisatorische und technische Anforderungen zur Absicherung von Lieferketten mit Fokus auf IT- und Informationssicherheit fest. Sie umfasst alle Phasen des Lebenszyklus von der Auswahl über die Beauftragung und Überwachung bis zur Aussonderung von Lieferanten und Dienstleistern. Ziel ist die Minimierung von Cyberrisiken, die Sicherstellung der Verfügbarkeit sowie die Einhaltung regulatorischer Vorgaben wie der NIS-2-Richtlinie.

Ziel und Zweck der Richtlinie

Die Richtlinie zur Lieferkettensicherheit definiert organisatorische, technische und prozessuale Mindestanforderungen zur Absicherung von Lieferketten mit Bezug zu Informations‑ und Kommunikationstechnologien. Ziel ist es, Cyber‑, Integritäts‑ und Verfügbarkeitsrisiken in der Zusammenarbeit mit Lieferanten und Dienstleistenden zu vermeiden oder auf ein akzeptables Restrisiko zu reduzieren.

Konkret verfolgt die Richtlinie folgende Zwecke:

  • Sicherstellung, dass Informationssicherheits‑ und Resilienzanforderungen gemäß ISO/IEC 27001, NIS‑2‑Richtlinie und nationalem Recht (z.B. BSIG § 8a, KRITIS‑Dachgesetz) in allen Phasen der Lieferantenbeziehung berücksichtigt werden.
  • Gewährleistung, dass sicherheitsrelevante Abhängigkeiten zu externen Parteien identifiziert, bewertet und über den gesamten Lebenszyklus überwacht werden.
  • Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, IT‑Systemen und Betriebsprozessen auch im Falle ausgelagerter Leistungen.
  • Förderung einer einheitlichen Vorgehensweise zur Bewertung und Steuerung extern bezogener Komponenten, Systeme und Dienstleistungen.
  • Schaffung einer verbindlichen Grundlage für Verträge, Audits und Sicherheitsbewertungen externer Leistungserbringender.

Diese Richtlinie ist Teil des Informationssicherheits‑Managementsystems (ISMS)

Geltungsbereich

Die Richtlinie gilt unternehmensweit für alle Organisationseinheiten, Standorte und Tochtergesellschaften, die Leistungen von externen Lieferanten, Dienstleistenden oder Partnern beziehen oder solche beauftragen. Sie betrifft insbesondere:

  • Beschaffung und Nutzung von IT‑Diensten, Cloud‑Services, Hosting‑ und Outsourcing‑Leistungen, Wartungs‑ und Support‑Verträgen
  • Bezug von Hard‑ und Softwarekomponenten, die in kritische Systeme, Produkte oder Dienstleistungen integriert werden
  • Zusammenarbeit mit Beratern, Entwickelnden, Integratoren oder Subunternehmenden, die Zugriff auf vertrauliche Informationen oder IT‑Infrastrukturen erhalten

Die Richtlinie findet auch Anwendung auf Lieferantenbeziehungen, die im Auftrag von Tochter‑ oder Beteiligungsgesellschaften geführt werden, sofern diese auf IT‑Systeme oder Daten des Unternehmens zugreifen.

Nicht in den sachlichen Geltungsbereich dieser Richtlinie fallen rein nicht‑technische oder rein logistische Lieferkettenaspekte, die ausschließlich durch die Nachhaltigkeits‑ oder Menschenrechtsvorgaben des Lieferkettensorgfaltspflichtengesetzes (LkSG) geregelt sind; Schnittstellen werden durch die jeweiligen Verantwortlichen abgestimmt.

Die Einhaltung der Richtlinie ist für alle internen Organisationseinheiten verbindlich und Voraussetzung für die Aufnahme oder Fortführung einer Lieferantenbeziehung. Geschäftsführungen, ISB und Beschaffungsverantwortliche stellen sicher, dass entsprechende Anforderungen in Ausschreibungen, Verträgen und Nachweisen dokumentiert sind.

Rechtsgrundlagen

Rechtsgrundlagen mit direktem Bezug zur Lieferkettensicherheit ergeben sich überwiegend aus europäischen und nationalen Regelwerken, welche Cybersicherheits- und Risikomanagementanforderungen definieren. Reine Nachhaltigkeits- oder Menschenrechtsvorgaben (z. B. LkSG) bleiben hier unberücksichtigt.

EU-Richtlinie (EU) 2022/2555 – NIS‑2‑Richtlinie

Zentrale europäische Rechtsgrundlage für Informationssicherheit in Lieferketten. Sie verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen zur Implementierung von Maßnahmen zur Cybersicherheit und Resilienz ihrer Informationssysteme.

Die Richtlinie verlangt vertragliche und organisatorische Absicherungen gegenüber IT‑Dienstleistern, eine kontinuierliche Risikoüberwachung sowie Verfügbarkeits- und Notfallstrategien.

Relevante Artikel:

  • Art. 21 Abs. 2 und 3: Sicherheit der Lieferkette und der Beziehung zu Anbietern und Dienstleistenden
  • Art. 20–23: Pflichten von Leitungsorganen, Risiko- und Sicherheitsmanagement
  • Pflicht zur Berücksichtigung der Cybersicherheitspraktiken von Lieferanten und zur Sicherstellung sicherer Entwicklungsprozesse.

Cyber Resilience Act (CRA, EU‑Verordnung, voraussichtlich 2026)

Diese europäische Verordnung ergänzt NIS‑2 durch Anforderungen an die Sicherheit von Produkten mit digitalen Elementen über den gesamten Lebenszyklus.

Sie verpflichtet Hersteller, Importeure und Integratoren,

  • Sicherheitsstandards und Schwachstellenmanagement in der Lieferkette sicherzustellen,
  • Sicherheitsupdates bereitzustellen und
  • die Integrität von Software-Lieferketten nachweisbar zu gewährleisten.

IT‑Sicherheitsgesetz 2.0 / BSI‑Gesetz (§ 8a BSIG)

Deutsche Umsetzung ergänzender Anforderungen an Betreiber kritischer Infrastrukturen (KRITIS) und deren Dienstleistende:

  • Nachweis geeigneter organisatorischer und technischer Maßnahmen zur Informationssicherheit
  • Pflicht zur Berücksichtigung externer IT‑Abhängigkeiten und deren Resilienz
  • Audit‑ und Berichtspflichten gegenüber dem BSI.

KRITIS‑Dachgesetz (Deutschland, in Umsetzung zu NIS‑2)

Geplantes nationales Rahmengesetz zur Umsetzung der NIS‑2‑Richtlinie.

Es wird Anforderungen zur „Sicherheit der Lieferkette“ in nationales Recht übertragen, mit Bezug auf

  • diversifizierte Lieferantenauswahl,
  • kontinuierliches Monitoring von IT‑Abhängigkeiten und
  • Nachweisführung im ISMS und BCM.

Begriffe und Definitionen

Zur einheitlichen Auslegung dieser Richtlinie gelten folgende Begriffe:

  • Lieferant / Dienstleistender Jede externe juristische oder natürliche Person, die Waren, Systeme, Software oder Dienstleistungen bereitstellt, die direkt oder indirekt Einfluss auf Informationsverarbeitung, IT‑Betrieb oder Informationssicherheit des Unternehmens haben.
  • Unterauftragnehmender (Subunternehmer) Dritte, die von einem beauftragten Lieferanten zur Leistungserbringung eingesetzt werden und dadurch mittelbaren Zugriff auf Unternehmensinformationen oder IT‑Systeme erhalten.
  • Kritischer Lieferant / kritischer IT‑Dienstleister Lieferant, dessen Produkte, Systeme oder Dienstleistungen für den Betrieb geschäftskritischer Prozesse, für die Informationsverarbeitung oder für Sicherheitsfunktionen wesentlich sind. Die Kritikalität ergibt sich aus Risiko‑ und Abhängigkeitsanalysen im Rahmen der ISMS‑Bewertung.
  • Lieferkette (Supply Chain) Gesamtheit der an der Bereitstellung eines Produkts oder einer Dienstleistung beteiligten externen Parteien einschließlich Subunternehmender, Entwickelnder, Integratoren, Plattform‑ und Cloud‑Anbietender.
  • Lebenszyklus der Lieferantenbeziehung Strukturierter Prozess von der Auswahl, Beauftragung und laufenden Überwachung bis zur Beendigung (Aussonderung) einer Lieferantenbeziehung. Dieser Zyklus muss sicherstellen, dass Sicherheitsanforderungen in allen Phasen erfüllt, dokumentiert und überprüft werden.
  • IT‑sicherheitsrelevante Komponenten Hardware‑, Software‑ oder Serviceelemente, deren Schwachstellen oder Fehlfunktionen die Informationssicherheit des Unternehmens beeinträchtigen können.
  • Sicherheitsbewertung (Supplier Security Assessment) Verfahren zur strukturierten Erfassung, Prüfung und Dokumentation sicherheitsrelevanter Informationen eines Lieferanten; umfasst Selbstauskünfte, Auditberichte, Zertifikate und Risikoanalysen.
  • Abweichung (Non‑Compliance) Festgestellte Nichteinhaltung dieser Richtlinie, vertraglicher Sicherheitsanforderungen oder definierter Kontrollmechanismen.

Sofern Begriffe in anderen ISMS‑Dokumenten abweichend definiert sind, gilt grundsätzlich die Definition aus der ISMS‑Richtlinie: Begriffe und Abkürzungen bzw. aus der ISO/IEC 27000‑Normenreihe als maßgeblich.

Verantwortlichkeiten

Die Verantwortung für die Umsetzung und Einhaltung der Richtlinie ist nach dem Prinzip der geteilten Verantwortung zwischen Management, Fachbereichen, Informationssicherheits‑ und Beschaffungsfunktionen geregelt.

  • Geschäftsführung / Unternehmensleitung
    • Trägt die Gesamtverantwortung für Sicherheit und Resilienz in der Lieferkette.
    • Genehmigt die Richtlinie und stellt die personellen und organisatorischen Voraussetzungen für deren Umsetzung sicher.
    • Prüft regelmäßig im Rahmen des Management‑Reviews die Wirksamkeit der implementierten Maßnahmen.
  • Chief Information Security Officer (CISO) / Informationssicherheitsbeauftragte (ISB)
    • Entwickelt und pflegt die Richtlinie zur Lieferkettensicherheit.
    • Koordiniert Risikoanalysen und definiert Bewertungskriterien für kritische Lieferanten.
    • Überwacht die Einhaltung dieser Richtlinie im Rahmen des ISMS, insbesondere durch interne Audits, Reports und Sicherheitsbewertungen.
    • Berät die Beschaffungsabteilung bei Vertragsgestaltung, Sicherheitsfreigaben und Eskalationsentscheidungen.
  • Beschaffungsabteilung (Einkauf)
    • Stellt sicher, dass alle relevanten IT‑Sicherheitsanforderungen in Ausschreibungs‑, Angebots‑ und Vertragsunterlagen aufgenommen werden.
    • Dokumentiert Ergebnisse der Lieferantenbewertungen im zentralen Lieferantenmanagement‑System.
    • Initiiert gemeinsam mit dem ISB Maßnahmen bei sicherheitsrelevanten Abweichungen.
    • Überprüft Einhaltung vertraglicher Sicherheitsklauseln im Rahmen der Leistungsüberwachung.
  • Fachbereiche / Fachlich Verantwortliche
    • Veranlassen die Sicherheitsbewertung bei neuen oder geänderten Lieferantenbeziehungen.
    • Überwachen die ordnungsgemäße Leistungserbringung und melden Sicherheitsvorfälle oder relevante Änderungen der Leistung an ISB und Einkauf.
    • Tragen die operative Verantwortung für IT‑Sicherheitsanforderungen in Bezug auf ihre beauftragten Dienstleistungen oder Systeme.
  • IT‑Abteilung / IT‑Betrieb
    • Bewertet technische Sicherheitsaspekte (Netzanbindung, Schnittstellen, Patch‑Prozesse, Zugriffskonzepte) und gibt technische Freigaben.
    • Unterstützt bei der Überwachung von Betriebs‑ und Sicherheitsvereinbarungen (SLA‑Kontrolle, Monitoring, Incident‑Response‑Verfahren).
    • Meldet Abweichungen und Schwachstellen unmittelbar an den ISB.
  • Lieferanten und Dienstleistende
    • Sind verpflichtet, die in dieser Richtlinie und in vertraglichen Vereinbarungen festgelegten Sicherheitsanforderungen einzuhalten.
    • Melden sicherheitsrelevante Vorfälle, Änderungen oder Verletzungen unverzüglich der benannten Kontaktstelle.
    • Ermöglichen Audits und Nachweisprüfungen gemäß Vertragsbedingungen.
  • Interne Revision / Compliance‑Funktion
    • Führt anlass‑ und stichprobenbezogene Kontrollen zur Wirksamkeit und Einhaltung der Richtlinie durch.
    • Bewertet das Zusammenspiel zwischen Lieferketten‑, ISMS‑ und Compliance‑Prozessen.

Lebenszyklus der Lieferantenbeziehung

Die Steuerung von Lieferanten und Dienstleistenden erfolgt entlang eines definierten Lebenszyklus. Jede Phase stellt sicher, dass Informationssicherheits‑, Datenschutz‑ und Compliance‑Anforderungen systematisch berücksichtigt, dokumentiert und überprüft werden. Der Lebenszyklus gliedert sich in Auswahl‑, Beauftragungs‑, Überwachungs‑ und Aussonderungsphase.

Auswahlphase

Ziel: Auswahl geeigneter und vertrauenswürdiger Lieferanten, die ein angemessenes Sicherheitsniveau gewährleisten.

Vorgehensweise:

  • Anforderungsdefinition: Bereits bei Erstellung von Leistungsbeschreibungen und Ausschreibungen müssen Informationssicherheitsanforderungen berücksichtigt werden. Beispiele: Verpflichtung zur ISO/IEC 27001‑Zertifizierung für IT‑Dienstleistende, Nachweis eines Schwachstellen‑ und Patch‑Management‑Prozesses, geregeltes Zugriffsmanagement.
  • Sicherheitskriterien und Mindeststandards:
    • Sicherheitszertifikate (ISO/IEC 27001, SOC 2 Type II, TISAX) oder gleichwertige Nachweise.
    • Vorhandensein dokumentierter Sicherheitsrichtlinien und ‑prozesse.
    • Ergebnis vorangegangener Audits oder Referenzen vergleichbarer Mandate.
    • Evaluierung des Standortes, Subunternehmerstruktur und rechtlicher Rahmenbedingungen (z. B. Datenübermittlung in Drittländer).
  • Sicherheitsbewertung und Risikoklassifizierung: Die fachliche Bewertung erfolgt gemäß dem Risikomanagementprozess (Kapitel 7). Kritische Lieferanten dürfen nur nach bestätigter Sicherheitsbewertung und Risikoakzeptanz beauftragt werden.
  • Freigabeprozess:
    • Technische und organisatorische Freigabe durch das ISMS oder den Informationssicherheitsbeauftragten.
    • Beschaffung darf den Lieferanten erst nach positiver Sicherheitsentscheidung in das offizielle Lieferantenregister aufnehmen.

Ergebnis der Phase:

Ein dokumentierter Sicherheitsbewertungs‑ und Freigabebericht, der Grundlage für die Vertragsphase und die spätere Überwachung ist.

Beauftragungsphase

Ziel: Sicherstellung, dass Informationssicherheitsanforderungen verbindlich in Verträgen und Leistungsvereinbarungen festgelegt sind.

Vertragsgestaltung:

  • Sicherheitsanforderungen und SLAs: Definition messbarer Parameter für Verfügbarkeit (z. B. RTO/RPO), Incident‑Reaktionszeit, Verschlüsselungs‑ und Zugriffsschutz.
  • Meldepflichten: Lieferanten sind verpflichtet, Sicherheitsvorfälle unverzüglich nach Kenntnis, spätestens innerhalb von 24 Stunden, zu melden.
  • Datenverarbeitung: Vereinbarungen zur Auftragsverarbeitung gemäß DSGVO Art. 28 bzw. BSI C5‑Anforderungen bei Cloud‑Leistungen.
  • Auditrechte:
    • Vertragliche Auditklauseln müssen das Recht auf Vor‑Ort‑Prüfung, Einsicht in Nachweise und Durchführung technischer Prüfungen sicherstellen.
    • Für Cloud‑ oder SaaS‑Anbieter sind Zertifikate (C5, SOC 2, ISO/IEC 27018) als Mindestnachweis zulässig.
  • Zugriffskontrolle: Verpflichtung der Lieferanten, ein unternehmensintern genehmigtes Zugriffskonzept zu verwenden; zeitlich begrenzte Administrator‑Zugriffe.
  • Patch‑ und Change‑Management: Anforderungen zur zeitnahen Behebung kritischer Schwachstellen (z. B. CVE‑Bewertung) und kontrollierter Änderungseinführung.

Genehmigung:

Vor Vertragsunterzeichnung muss der CISO bzw. der Informationssicherheitsbeauftragte bestätigen, dass alle sicherheitsrelevanten Anforderungen enthalten und freigegeben sind.

Überwachungsphase

Ziel: Sicherstellung, dass Lieferanten über die gesamte Vertragsdauer hinweg das geforderte Sicherheitsniveau einhalten.

Kontinuierliche Überwachung:

  • Regelmäßige Prüfungen:
    • Kritische Lieferanten: jährliche Sicherheits‑ oder Rezertifizierungsaudits.
    • Wesentliche Lieferanten: zweijährliche Überprüfung per Self‑Assessment.
  • Sicherheitsmonitoring:
    • Auswertung von Meldungen, CERT‑Benachrichtigungen, Schwachstelleninformationen.
    • Kontrolle vereinbarter KPIs (z. B. Verfügbarkeit, Reaktionszeiten).
  • Technische Prüfungen: Stichprobenhafte Penetrationstests, Sicherheitsscans oder Nachweisprüfungen der implementierten Sicherheitskontrollen.
  • Vorfallmanagement: Sicherheitsvorfälle werden nach dem Incident‑Response‑Prozess des Unternehmens behandelt. Eskalationsstufen und Kommunikationswege sind festgelegt.
  • Abweichungen: Bei Nichteinhaltung von Anforderungen sind Korrekturmaßnahmen mit Termin und Verantwortlichem festzulegen. Wiederholte Verstöße führen zu Eskalation an Management oder Vertragsstrafen gemäß Vereinbarung.
  • Reporting: Ergebnisse fließen in Risiko‑ und Lieferantenberichte ein und werden im ISMS‑Management‑Review berücksichtigt.

Aussonderungsphase

Ziel: Geordnete, sichere und revisionsfähige Beendigung der Lieferantenbeziehung ohne verbleibende Sicherheitsrisiken.

Verfahren:

  • Daten‑ und Materialrückführung:
    • Übergabe oder Löschung vertraulicher Daten, Konfigurationen und kryptografischer Schlüssel nachweislich gemäß definiertem Verfahren (z. B. Löschzertifikat).
    • Rückgabe oder physische Vernichtung von Wechseldatenträgern und Zugangsausweisen.
  • Entzug von Zugriffsrechten:
    • Sofortige Sperrung aller Benutzer‑ und Administrationskonten.
    • Entfernen technischer Schnittstellen, VPN‑Zugänge und API‑Token.
  • Kommunikationskanäle:
    • Deaktivierung gemeinsamer Ticketsystem‑Zugänge, Mailinglisten und Kooperationsplattformen.
  • Nachbewertung:
    • Bewertung möglicher Restrisiken, verbleibender Datenkopien oder Abhängigkeiten.
    • Durchführung eines Lessons‑Learned‑Workshops zur Verbesserung künftiger Lieferantenprozesse.
  • Dokumentation und Archivierung:
    • Vollständige Archivierung aller sicherheitsrelevanten Unterlagen (Bewertungen, Verträge, Risikodokumente) gemäß ISMS‑ und Compliance‑Vorgaben.
    • Dokumentation der Übergabe‑ und Löschnachweise.

Verantwortung:

Die Aussonderung wird gemeinsam durch Beschaffung, Fachbereich, IT und ISB durchgeführt. Endfreigabe erteilt der CISO oder eine beauftragte Sicherheitsfunktion.

Risikomanagement und Klassifizierung

Das Risikomanagement in der Lieferkette zielt darauf ab, sicherheitsrelevante Abhängigkeiten und Schwachstellen systematisch zu identifizieren, zu bewerten, zu behandeln und während der gesamten Lieferantenbeziehung zu überwachen.

Grundprinzipien

  • Risiken aus Lieferanten‑, Dienstleistungs‑ und Produktabhängigkeiten werden als Teil des ISMS‑Risikoprozesses gemäß ISO/IEC 27005 und BSI 200‑3 bewertet.
  • Für alle externen Beziehungen mit IT‑ oder Datenbezug ist vor der Beauftragung eine Sicherheitsbewertung und Risikoklassifizierung obligatorisch.
  • Ergebnisse der Bewertungen werden im zentralen Risikoregister dokumentiert und in das Lieferantenmanagementsystem integriert.

Klassifizierung der Lieferanten und Leistungen

Jeder Lieferant oder jede beauftragte Leistung wird nach Kritikalität, Informationsbezug und Abhängigkeit in eine Risikoklasse eingestuft:

Klasse Beschreibung Beispiel Maßnahmenniveau
Stufe 1 – Kritisch Wesentliche Bedeutung für Betriebssicherheit oder Informationsverfügbarkeit; direkter Zugriff auf produktive Systeme oder vertrauliche Informationen Managed‑Service‑Provider, Cloud‑Provider, Hosting‑Partner Volle Sicherheitsprüfung durch ISB, jährliches Audit, Vertragspflichten nach ISMS‑Kontrollen
Stufe 2 – Wesentlich Einfluss auf unterstützende Prozesse oder IT‑Infrastrukturen, aber ohne direkten Systemzugriff Software‑Lieferanten, Consultants mit Datenimport Sicherheits-Self‑Assessment, periodische Überprüfung alle 2 Jahre
Stufe 3 – Gering Keine Relevanz für Informationssicherheit, rein administrative oder physische Lieferungen Büromaterial, Transportdienst Keine erweiterten Sicherheitsanforderungen, Basisprüfung

Risikobewertung und Behandlung

  • Risikoanalyse erfolgt entlang der Dimensionen Eintrittswahrscheinlichkeit, Auswirkung und Abhängigkeit.
  • Bei Überschreitung der definierten Risikotoleranz sind Maßnahmenpläne festzulegen und Nachweise zu dokumentieren.
  • Wiederkehrende Neubewertung: mindestens einmal jährlich bei kritischen Lieferanten oder anlassbezogen (z. B. Wechsel der Subunternehmer, Sicherheitsvorfall, Vertragsänderung).
  • Ergebnisse der Risikoanalysen fließen in das Management‑Review des ISMS und in Beschaffungsentscheidungen ein.

Kontinuierliche Überwachung

  • Laufendes Monitoring sicherheitsrelevanter Ereignisse und Schwachstellenmeldungen im Zusammenhang mit beauftragten Leistungen.
  • Nutzung öffentlich verfügbarer Quellen (z. B. CERT‑Meldungen, NVD) zur Bewertung von Produkt‑ und Softwareabhängigkeiten.
  • Verknüpfung mit Notfall‑ und Business‑Continuity‑Management zur Bewertung von Wiederanlaufzeiten bei Lieferantenausfällen.

Technische und organisatorische Mindestanforderungen

Externe Lieferanten und Dienstleistende, die IT‑Systeme, Software oder Daten verarbeiten, müssen nachweislich ein angemessenes Schutzniveau nach dem Stand der Technik gewährleisten. Folgende Mindestanforderungen sind verbindlich:

Organisatorische Anforderungen

  • Informationssicherheitsmanagement: Nachweis eines dokumentierten ISMS oder gleichwertiger Sicherheitsprozeduren; bei kritischen Lieferanten vorzugsweise gültige Zertifizierung nach ISO/IEC 27001 oder ENISA‑anerkannten Standards.
  • Vertragliche Sicherung: Sicherheitsanforderungen, Meldepflichten bei Sicherheitsvorfällen, Vertraulichkeitsvereinbarungen und Rechte zur Auditierung sind vertraglich festzuhalten.
  • Zugriffsmanagement: Zugriff auf Systeme und Daten des Unternehmens nur nach Freigabe und dem Prinzip „Need‑to‑Know“; Pflicht zur sofortigen Meldung bei Mitarbeiterwechseln oder Funktionsänderungen.
  • Schwachstellen‑ und Patch‑Management: Prozesse zur regelmäßigen Schwachstellenbewertung, Priorisierung und fristgerechten Einspielung sicherheitsrelevanter Updates.
  • Notfallvorsorge / BCM: Vorhandensein getesteter Notfall‑ und Wiederanlaufpläne, abgestimmt auf vereinbarte RTO‑/RPO‑Werte.
  • Lieferanten‑Submanagement: Nachweis, dass eingesetzte Subunternehmende den gleichen Sicherheitsanforderungen unterliegen (Flow‑down‑Prinzip).

Technische Anforderungen

  • Netzwerksicherheit: Einsatz segmentierter und gehärteter Netzarchitekturen, Schutz durch Firewalls, IDS/IPS‑Systeme und Endpoint‑Security‑Lösungen.
  • Verschlüsselung: Nutzung starker, aktueller kryptografischer Verfahren für Speicherung und Übertragung vertraulicher Daten; Schlüsselmanagement nach anerkannten Standards (z. B. BSI TR‑02102).
  • Authentisierung und Autorisierung: Verpflichtende Mehrfaktorauthentisierung für administrative Zugänge und Remote‑Verbindungen.
  • Protokollierung und Monitoring: Nachvollziehbare Audit‑Logs für sicherheitsrelevante Aktionen, Integritätsschutz und Aufbewahrung gemäß gesetzlichen Fristen.
  • Systemhärtung: Entfernung nicht benötigter Dienste, Standardaccounts und ungenutzter Schnittstellen; Einsatz sicherer Konfigurationen nach BSI‑ oder CIS‑Benchmarks.
  • Sichere Softwareentwicklung: Anwendung von Secure‑Development‑Lifecycle‑Prozessen (SDLC), Code‑Reviews, Abhängigkeiten‑Scans und Schutz vor Lieferketten‑Manipulation.
  • Malware‑Schutz: Regelmäßige Aktualisierung und Überwachung von Signaturen, Isolationsmechanismen und Schutz vor Ransomware‑Angriffen.
  • Datenlöschung: Nachweislich sichere Löschung oder physische Vernichtung von Datenträgern nach Beendigung der Leistung.

Nachweis und Kontrolle

  • Lieferanten müssen auf Anforderung entsprechende Nachweisdokumente (Sicherheitskonzepte, Zertifikate, Auditberichte) bereitstellen.
  • Unterschreitungen dieser Mindestanforderungen bedürfen einer genehmigten Ausnahmeentscheidung durch den CISO oder die Geschäftsführung.

Schulung, Sensibilisierung und Kommunikation

Ein nachhaltiges Verständnis für Lieferkettensicherheit setzt voraus, dass alle Beteiligten die Bedeutung der Anforderungen, Prozesse und Rollen kennen. Schulung und Kommunikation sind daher feste Bestandteile des ISMS‑Regelkreises.

Zielsetzung

Zweck dieses Kapitels ist die Förderung eines sicherheitsbewussten Verhaltens im Umgang mit externen Lieferanten und IT‑Dienstleistungen sowie die Etablierung klarer Kommunikationswege für sicherheitsrelevante Themen.

Schulung und Sensibilisierung

  • Alle Mitarbeitenden in Einkauf, IT, Projektmanagement, Legal/Compliance und Fachbereichen, die mit Lieferantenbeziehungen befasst sind, erhalten regelmäßig Schulungen zur Lieferkettensicherheit.
  • Schulungen müssen mindestens folgende Inhalte abdecken:
    • Grundlagen zu NIS‑2‑ und ISO/IEC 27001‑Pflichten für Lieferketten
    • Erkennen typischer Risiken in Beschaffung und Dienstleisternetzwerken
    • Meldewege bei sicherheitsrelevanten Beobachtungen oder Verstößen
    • Anwendung interner Vorlagen (Bewertungsbögen, Checklisten, Vertragsklauseln)
  • Die Teilnahme ist nachzuweisen; Durchführung und Umfang werden im ISMS‑Schulungsregister dokumentiert.
  • Neue Mitarbeitende in sicherheitsrelevanten Funktionen müssen das Basistraining zur Lieferkettensicherheit innerhalb der ersten drei Monate ihrer Tätigkeit absolvieren.
  • Ergänzend erfolgen zielgruppenorientierte Awareness‑Kampagnen (z. B. E‑Learnings, Informationsblätter, interne Kommunikationskanäle).

Kommunikation und Informationsaustausch

  • Das Unternehmen betreibt eine zentrale Kommunikationsschnittstelle für alle Belange der Lieferkettensicherheit (üblicherweise ISB‑ oder Security‑Office‑Kontakt).
  • Sicherheitsvorfälle, potenzielle Risiken oder Regelverstöße durch Lieferanten werden unverzüglich über diese Schnittstelle gemeldet.
  • Informationen über Bedrohungen, Schwachstellen und Sicherheitswarnungen werden durch das ISMS‑Team an relevante Organisationseinheiten verteilt.
  • Bei besonders kritischen Lieferantenbeziehungen kann ein definierter Kommunikationsplan (z. B. Incident‑Escalation‑Matrix) vereinbart werden.
  • Externe Kommunikationsmaßnahmen im Falle von Sicherheitsvorfällen erfolgen ausschließlich über autorisierte Stellen (z. B. Kommunikationsabteilung oder CISO), um einheitliche und rechtssichere Informationen sicherzustellen.

Wirksamkeitsprüfung

Der Erfolg der Schulungs‑ und Sensibilisierungsmaßnahmen wird durch Zufriedenheits‑Feedback, Wissensabfragen oder Audit‑Feststellungen bewertet und fließt in den jährlichen ISMS‑Verbesserungsprozess ein.

Überwachung und Audit

Die Umsetzung und Wirksamkeit der Richtlinie zur Lieferkettensicherheit werden regelmäßig überprüft, bewertet und dokumentiert. Ziel ist es, fortlaufend sicherzustellen, dass die festgelegten Maßnahmen geeignet und verhältnismäßig bleiben.

Überwachungsverfahren

  • Die Einhaltung der Richtlinie wird durch interne Kontrollen, periodische Lieferantenbewertungen sowie technische Überwachungsmechanismen sichergestellt.
  • Kritische Lieferanten und IT‑Dienstleistende werden mindestens jährlich überprüft; wesentliche und geringe Lieferanten stichprobenartig.
  • Kontrollen umfassen Sicherheits‑Selbstauskünfte, Auditberichte, Penetrationstests, Schwachstellen‑Scans sowie Nachweisanforderungen (z. B. ISO‑Zertifikate, SOC‑2‑Berichte).
  • Ergebnisse der Überwachung werden im Lieferanten‑ oder Risikomanagementsystem dokumentiert und bewertet.

Interne Audits

  • Die Umsetzung dieser Richtlinie wird mindestens einmal jährlich im Rahmen interner ISMS‑Audits überprüft.
  • Das Audit umfasst u. a.:
    • Prüfung der Lieferantenklassifizierungen und Risikobewertungen
    • Stichprobenkontrolle vertraglicher Sicherheitsklauseln
    • Bewertung der Kommunikations‑ und Vorfallmeldeprozesse
    • Wirksamkeit der Schulungsmaßnahmen und Korrekturmaßnahmen
  • Auditberichte werden an Management, CISO und betroffene Fachbereiche weitergeleitet; Abweichungen fließen als Korrekturmaßnahmen (CAPA) in das ISMS ein.

Externe Audits und Assessments

  • Externe Audits können durch beauftragte Prüfinstanzen oder auf Verlangen regulatorischer Stellen erfolgen.
  • Kritische Lieferanten müssen eine Mitwirkungspflicht an Auditmaßnahmen akzeptieren und die erforderlichen Nachweise zur Verfügung stellen.
  • Ergebnisse externer Audits werden gleichwertig zu internen Audits behandelt und dienen der kontinuierlichen Verbesserung der Lieferkettensicherheit.

Management‑Review und Reporting

  • Audit‑, Monitoring‑ und Risikobewertungen münden in den jährlichen Management‑Review nach ISO/IEC 27001 Kap. 9.3.
  • Kennzahlen und Trends (z. B. Anzahl kritischer Lieferanten, Audit‑Ergebnisse, Sicherheitsvorfälle) werden regelmäßig ausgewertet, um Prioritäten für Verbesserungsmaßnahmen festzulegen.
  • Berichtspflichten an Behörden oder Aufsichtsstellen (z. B. nach NIS‑2‑Umsetzungsgesetz) werden vom CISO koordiniert.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung

Abgerufen von „https://wiki.isms-ratgeber.info/index.php?title=RiLi-Lieferkettensicherheit&oldid=1880