Lieferantenmanagement-Software

IT-Sicherheit als Einkaufskriterium

15.01.2016 von Oliver Schonschek
Schwachstellen bei Lieferanten führen zu Sicherheitslücken bei den Auftraggebern. IT-Security gehört deshalb in die Lieferantenbewertung.

Qualitätsmanagement-Beauftragte predigen es seit langem: Die Produktqualität hängt nicht nur von internen Prozessen und Faktoren ab, sondern auch von der Qualität der Zulieferer. Wird ein Bauteil vom Lieferanten zu spät geliefert, kommt meist die ganze Produktion ins Stocken. Liefertreue ist deshalb eine wichtige Anforderung an Zulieferer und andere Geschäftspartner.

Betrachtet man Softwarelösungen für das Lieferantenmanagement, findet sich darin in aller Regel ein Modul "Lieferantenbewertung". Beispiele sind Ariba Lieferantenmanagement, CAQ SRM.Net Lieferantenmanagement, HCM Lieferantenmanagement, POOL4TOOL, PVM Lieferantenmanagement, Babtec.LC, IBS CAQ=QSYS SAM, Simmeth SC-Evaluator und Lieferpool SRM.

Dort können Unternehmen dann vermerken, wenn bei einem Lieferanten zum Beispiel die Liefertreue nicht stimmt. Weitere Qualitätsmerkmale und Kennzahlen bei der Lieferantenbewertung können die sogenannte Mengentreue, die Anzahl der Reklamationen, die Erreichbarkeit oder die Einhaltung von Versandvorschriften sein. Oftmals sprechen Anbieter von Lieferantenmanagement-Lösungen und SCM-Lösungen (Supply Chain Management) auch von den Risikowerten der Lieferanten, von Lieferanten-Compliance oder dem Lieferanten als Unternehmensrisiko.

Sicherheit im Lieferanten-Management
Sicherheit im Lieferantenmanagement
Schwachstellen bei Lieferanten führen zu Sicherheitslücken bei den Auftraggebern. IT-Security gehört deshalb in die Lieferantenbewertung.
Dokumentation ist alles
Zu einem Lieferantenmanagement gehört mehr als die Verwaltung der Adressen und Artikel. In aller Regel werden auch Bewertungen zu den Lieferanten dokumentiert. Dabei sollte die IT-Sicherheit des Lieferanten als Bewertungskriterium nicht fehlen.
GUARDUS Solutions
In der Lieferantenbewertung üblich sind Kennzahlen wie Parts-Per-Million (PPM), Qualitätskennzahl (QKZ), Liefertreue oder A-B-C-Bewertungen. Ergänzt werden sollten Kennzahlen zur IT-Sicherheit des Lieferanten.
Produkte der CAQ AG
Lieferantenmanagement-Lösungen wie die von CAQ sehen auch Module im Bereich Risiken und Audits vor. Fehlen dort Fragen zur IT-Sicherheit, lassen sich entsprechende Kriterien meist selbst definieren und ergänzen.
Sichere Lieferanten gefragt
Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Potenzialanalyse
Drei Viertel der von Sopra Steria Consulting befragten Unternehmen haben Verträge zu Mindestsicherheitsmaßnahmen mit Lieferanten oder Dienstleistern. Aber nur 58 Prozent haben ein Lieferanten- oder Dienstleister-Audit durchgeführt.

Was in aller Regel aber zu kurz kommt, sind die IT-Sicherheitsrisiken: Die IT-Sicherheit des Lieferanten ist im Standard bei den meisten Modulen zur Lieferantenbewertung nicht vorgesehen. Dabei gilt die unzureichende IT-Sicherheit auf Seiten der Lieferanten und Service Provider als eines der größten IT-Risiken der nächsten Jahre, wie unter anderem der Threat Horizon 2016 des Information Security Forum betont.

Eine Studie von Kaspersky Lab zeigt dies anschaulich anhand von Schadenshöhen: Große Unternehmen müssen durchschnittlich mit über drei Millionen US-Dollar Folgekosten rechnen, wenn ein Zulieferer einen Cybersicherheitsvorfall verschuldet. Über die Lieferkette ausgelöste Hackerattacken, Datenabfluss oder Systemausfälle sind damit für große Firmen mit Abstand am kostenintensivsten, vor Mitarbeiterfehlern (1,3 Millionen US-Dollar) und Cyberspionage (1,1 Millionen US-Dollar).

Lieferantenmanagement gehört zum IT-Sicherheitsmanagement

Aus gutem Grund führt die Norm ISO/IEC 27001:2013 im Annex A die Sicherheit der Lieferanten (Supplier Relationships) explizit auf. Das Management und die Kontrolle von Lieferanten gehören elementar zum IT-Sicherheitsmanagement dazu. Umfragen zeigen allerdings, dass Security Audits bei Lieferanten in vielen Unternehmen noch nicht zur betrieblichen Praxis gehören.

So ergab die Tripwire IP Expo Survey, dass nur 53 Prozent der befragten Unternehmen Security Audits für ihre Lieferanten und Geschäftspartner vorsehen. Doch nur 22 Prozent der Befragten gaben an, dass sie über keine Ressourcen verfügen, um die Lieferantenverträge entsprechend zu überprüfen und um sicherzustellen, dass ihre Sicherheitsvorgaben eingehalten werden. Man kann also davon ausgehen, dass die Security Audits bei Lieferanten schlicht vergessen werden oder nicht den notwendigen Stellenwert haben. Beides könnte und sollte verhindert werden, wenn IT-Sicherheit zum festen Bestandteil einer Lieferantenbewertung wird.

Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Foto: eco

In verschiedenen Branchen ist dies bereits der Fall. So werden Zulieferer und Dienstleister von der Automobilindustrie in regelmäßigen Abständen zum Ausfüllen sogenannter VDA-Assessments aufgefordert, um den Stand ihrer Informationssicherheit zu dokumentieren und die Sicherheit sensibler Daten zu gewährleisten. Der Verband der Automobilindustrie (VDA) zeigt beispielhaft, wie ein Security Audit oder Information Security Assessment aussehen kann.

IT-Sicherheit als Lieferantenkriterium ergänzen

Ein wichtiger Schritt dabei, IT-Sicherheit als Einkaufskriterium generell stärker zu etablieren, ist die Erweiterung des Kriterienkatalogs in der jeweiligen Lieferantenmanagement-Software. Die meisten Lösungen bieten die Erweiterbarkeit der Kriterien an: "Neben den im Standard vorhandenen Bewertungskriterien können beliebige weitere Bewertungskriterien angelegt werden", so heißt es bei der Lösung ERPframe. Auch bei dem Lieferantenmanagement mit SRM.Net gibt es "frei definierbare Hard und Soft Facts" in der Lieferantenbewertung, bei dem SC-Evaluator sind die Kriterien ebenso frei gestaltbar.

Die IT-Sicherheit auf Seiten der Lieferanten und Dienstleister kann auch außerhalb der Lieferantenmanagement-Software geprüft und dokumentiert werden. In jedem Fall sollten Verweise auf eine Lieferanten-Sicherheitsbewertung in der Lieferantenmanagement-Software nicht fehlen, wenn diese in einer zusätzlichen Anwendung zu finden ist. Ein Beispiel für eine spezielle IT-Sicherheitslösung im diesem Bereich ist die Software RSA Archer Vendor Management. Innerhalb der Funktion Vendor Risk Assessment werden auch die IT-Sicherheitsanforderungen adressiert, den Nutzern stehen vorbereitete Fragebogen für die Security Audits bei den Dienstleistern und Lieferanten zur Verfügung.

Kontrolle der Cloud-Provider auf alle Lieferanten ausweiten

Unter den Lieferanten und Dienstleistern gibt es eine Gruppe, bei der das Thema Security Audit in den letzten Monaten und Jahren ausführlich diskutiert wird: die Cloud-Provider. Datenschützer betonen hier immer wieder, dass die Cloud-Anbieter kontrolliert und deren IT-Sicherheitsmaßnahmen geprüft werden müssen. Hintergrund ist dabei, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, der Auftraggeber also in der Verantwortung für den Datenschutz bleibt und sich von der IT-Sicherheit des Cloud-Lieferanten überzeugen muss.

Zu den Sicherheits- und Datenschutzanforderungen bei Cloud-Providern gibt es eine Reihe von Leitfäden, wie die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz, die Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder den Cloud Security Guide for SMEs von ENISA (European Union Agency for Network and Information Security).

Cloud-Readiness-Studie 2015
Deutsche Unternehmen sind startklar für die Cloud
Grundsätzlich sind deutsche Unternehmen gut vorbereitet für den Einsatz von CloudServices. Das hat die Studie "Cloud Readiness 2015" von COMPUTERWOCHE, CIO und TecChannel ergeben. Die Befragung von fast 700 Entscheidern hat aber auch gezeigt, dass es an einigen Stellen noch Defizite gibt.
Minderheit mit Cloud-Readiness-Check
Haben Sie Ihr Unternehmen einem Cloud-Readiness-Check unterzogen?
Einstufung Cloud Readiness
Bitte stufen Sie Ihr Unternehmen in Sachen „Cloud Readiness“ ein!
Ausstiegsszenarien
Haben Sie in Ihrem Unternehmen geklärt, wie IT-Verfahren und die zugehörigen Daten wieder aus der Cloud geholt werden können?
Hindernisse
Was sind in Ihrem Unternehmen die größten Hindernisse für die Nutzung von Cloud-Services?
Cloud-Readiness-Studie 2015
Den ausführlichen Berichtsband zur Studie mit allen Ergebnissen und Daten können Sie über unseren Shop beziehen:

So wichtig Cloud Computing und die Cloud-Sicherheit auch sind, es reicht nicht, Security Audits und Lieferanten-Sicherheitsbewertungen für Cloud Provider vorzusehen. Die IT-Sicherheitskontrollen, wie sie bei Cloud Computing gefordert werden, sind für alle Lieferanten und Dienstleister erforderlich, in der Regel selbst dann, wenn es keine Datenverbindung zu ihnen gibt. Schließlich könnten auch vertrauliche Unterlagen des Auftraggebers auf einem USB-Stick oder in einer Papierakte abhandenkommen.

IT-Sicherheit mit den Zielen Vertraulichkeit, Verfügbarkeit und Integrität muss in der kompletten Lieferkette sichergestellt und deshalb bewertet werden. Lieferantenmanagement und Lieferantenbewertung ohne einen Fokus auf IT-Sicherheit werden der fortschreitenden Digitalisierung der Wirtschaft und den steigenden IT-Bedrohungen nicht gerecht. IT-Sicherheit muss deshalb zwingend als Einkaufskriterium gesehen und auch so behandelt werden.

Checkliste: Security-Audit bei Lieferanten

Als Teil der Lieferantenbewertung sollten Unternehmen auch die IT-Sicherheit der Zulieferer und Dienstleister in den Blick nehmen. Um die Lieferantenbewertung einheitlich durchführen zu können, sollten insbesondere folgende Punkte als Lieferantenkriterien in der Lieferantenmanagement-Software aufgenommen werden: