Qualitätsmanagement-Beauftragte predigen es seit langem: Die Produktqualität hängt nicht nur von internen Prozessen und Faktoren ab, sondern auch von der Qualität der Zulieferer. Wird ein Bauteil vom Lieferanten zu spät geliefert, kommt meist die ganze Produktion ins Stocken. Liefertreue ist deshalb eine wichtige Anforderung an Zulieferer und andere Geschäftspartner.
Betrachtet man Softwarelösungen für das Lieferantenmanagement, findet sich darin in aller Regel ein Modul "Lieferantenbewertung". Beispiele sind Ariba Lieferantenmanagement, CAQ SRM.Net Lieferantenmanagement, HCM Lieferantenmanagement, POOL4TOOL, PVM Lieferantenmanagement, Babtec.LC, IBS CAQ=QSYS SAM, Simmeth SC-Evaluator und Lieferpool SRM.
Dort können Unternehmen dann vermerken, wenn bei einem Lieferanten zum Beispiel die Liefertreue nicht stimmt. Weitere Qualitätsmerkmale und Kennzahlen bei der Lieferantenbewertung können die sogenannte Mengentreue, die Anzahl der Reklamationen, die Erreichbarkeit oder die Einhaltung von Versandvorschriften sein. Oftmals sprechen Anbieter von Lieferantenmanagement-Lösungen und SCM-Lösungen (Supply Chain Management) auch von den Risikowerten der Lieferanten, von Lieferanten-Compliance oder dem Lieferanten als Unternehmensrisiko.
Was in aller Regel aber zu kurz kommt, sind die IT-Sicherheitsrisiken: Die IT-Sicherheit des Lieferanten ist im Standard bei den meisten Modulen zur Lieferantenbewertung nicht vorgesehen. Dabei gilt die unzureichende IT-Sicherheit auf Seiten der Lieferanten und Service Provider als eines der größten IT-Risiken der nächsten Jahre, wie unter anderem der Threat Horizon 2016 des Information Security Forum betont.
Eine Studie von Kaspersky Lab zeigt dies anschaulich anhand von Schadenshöhen: Große Unternehmen müssen durchschnittlich mit über drei Millionen US-Dollar Folgekosten rechnen, wenn ein Zulieferer einen Cybersicherheitsvorfall verschuldet. Über die Lieferkette ausgelöste Hackerattacken, Datenabfluss oder Systemausfälle sind damit für große Firmen mit Abstand am kostenintensivsten, vor Mitarbeiterfehlern (1,3 Millionen US-Dollar) und Cyberspionage (1,1 Millionen US-Dollar).
Lieferantenmanagement gehört zum IT-Sicherheitsmanagement
Aus gutem Grund führt die Norm ISO/IEC 27001:2013 im Annex A die Sicherheit der Lieferanten (Supplier Relationships) explizit auf. Das Management und die Kontrolle von Lieferanten gehören elementar zum IT-Sicherheitsmanagement dazu. Umfragen zeigen allerdings, dass Security Audits bei Lieferanten in vielen Unternehmen noch nicht zur betrieblichen Praxis gehören.
So ergab die Tripwire IP Expo Survey, dass nur 53 Prozent der befragten Unternehmen Security Audits für ihre Lieferanten und Geschäftspartner vorsehen. Doch nur 22 Prozent der Befragten gaben an, dass sie über keine Ressourcen verfügen, um die Lieferantenverträge entsprechend zu überprüfen und um sicherzustellen, dass ihre Sicherheitsvorgaben eingehalten werden. Man kann also davon ausgehen, dass die Security Audits bei Lieferanten schlicht vergessen werden oder nicht den notwendigen Stellenwert haben. Beides könnte und sollte verhindert werden, wenn IT-Sicherheit zum festen Bestandteil einer Lieferantenbewertung wird.
In verschiedenen Branchen ist dies bereits der Fall. So werden Zulieferer und Dienstleister von der Automobilindustrie in regelmäßigen Abständen zum Ausfüllen sogenannter VDA-Assessments aufgefordert, um den Stand ihrer Informationssicherheit zu dokumentieren und die Sicherheit sensibler Daten zu gewährleisten. Der Verband der Automobilindustrie (VDA) zeigt beispielhaft, wie ein Security Audit oder Information Security Assessment aussehen kann.
IT-Sicherheit als Lieferantenkriterium ergänzen
Ein wichtiger Schritt dabei, IT-Sicherheit als Einkaufskriterium generell stärker zu etablieren, ist die Erweiterung des Kriterienkatalogs in der jeweiligen Lieferantenmanagement-Software. Die meisten Lösungen bieten die Erweiterbarkeit der Kriterien an: "Neben den im Standard vorhandenen Bewertungskriterien können beliebige weitere Bewertungskriterien angelegt werden", so heißt es bei der Lösung ERPframe. Auch bei dem Lieferantenmanagement mit SRM.Net gibt es "frei definierbare Hard und Soft Facts" in der Lieferantenbewertung, bei dem SC-Evaluator sind die Kriterien ebenso frei gestaltbar.
Die IT-Sicherheit auf Seiten der Lieferanten und Dienstleister kann auch außerhalb der Lieferantenmanagement-Software geprüft und dokumentiert werden. In jedem Fall sollten Verweise auf eine Lieferanten-Sicherheitsbewertung in der Lieferantenmanagement-Software nicht fehlen, wenn diese in einer zusätzlichen Anwendung zu finden ist. Ein Beispiel für eine spezielle IT-Sicherheitslösung im diesem Bereich ist die Software RSA Archer Vendor Management. Innerhalb der Funktion Vendor Risk Assessment werden auch die IT-Sicherheitsanforderungen adressiert, den Nutzern stehen vorbereitete Fragebogen für die Security Audits bei den Dienstleistern und Lieferanten zur Verfügung.
Kontrolle der Cloud-Provider auf alle Lieferanten ausweiten
Unter den Lieferanten und Dienstleistern gibt es eine Gruppe, bei der das Thema Security Audit in den letzten Monaten und Jahren ausführlich diskutiert wird: die Cloud-Provider. Datenschützer betonen hier immer wieder, dass die Cloud-Anbieter kontrolliert und deren IT-Sicherheitsmaßnahmen geprüft werden müssen. Hintergrund ist dabei, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, der Auftraggeber also in der Verantwortung für den Datenschutz bleibt und sich von der IT-Sicherheit des Cloud-Lieferanten überzeugen muss.
Zu den Sicherheits- und Datenschutzanforderungen bei Cloud-Providern gibt es eine Reihe von Leitfäden, wie die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz, die Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder den Cloud Security Guide for SMEs von ENISA (European Union Agency for Network and Information Security).
So wichtig Cloud Computing und die Cloud-Sicherheit auch sind, es reicht nicht, Security Audits und Lieferanten-Sicherheitsbewertungen für Cloud Provider vorzusehen. Die IT-Sicherheitskontrollen, wie sie bei Cloud Computing gefordert werden, sind für alle Lieferanten und Dienstleister erforderlich, in der Regel selbst dann, wenn es keine Datenverbindung zu ihnen gibt. Schließlich könnten auch vertrauliche Unterlagen des Auftraggebers auf einem USB-Stick oder in einer Papierakte abhandenkommen.
IT-Sicherheit mit den Zielen Vertraulichkeit, Verfügbarkeit und Integrität muss in der kompletten Lieferkette sichergestellt und deshalb bewertet werden. Lieferantenmanagement und Lieferantenbewertung ohne einen Fokus auf IT-Sicherheit werden der fortschreitenden Digitalisierung der Wirtschaft und den steigenden IT-Bedrohungen nicht gerecht. IT-Sicherheit muss deshalb zwingend als Einkaufskriterium gesehen und auch so behandelt werden.
Checkliste: Security-Audit bei Lieferanten
Als Teil der Lieferantenbewertung sollten Unternehmen auch die IT-Sicherheit der Zulieferer und Dienstleister in den Blick nehmen. Um die Lieferantenbewertung einheitlich durchführen zu können, sollten insbesondere folgende Punkte als Lieferantenkriterien in der Lieferantenmanagement-Software aufgenommen werden:
Lieferantenvertrag enthält Vorgaben zur IT-Sicherheit (IT-Sicherheitsrichtlinien) entsprechend dem Schutzbedarf der mit dem Lieferanten ausgetauschten Daten
Lieferantenvertrag enthält Vorgaben passend zu den erforderlichen Security Service Levels (Vertraulichkeit, Verfügbarkeit, Integrität) der gemeinsamen Prozesse, insbesondere zur Verschlüsselung, Datensicherung und Ausfallsicherheit
IT-Sicherheitsmanagement des Lieferanten basiert auf ISO 27001, IT-Grundschutz oder einem anderen anerkannten Standard
Lieferant verpflichtet sich zur Einhaltung der relevanten Compliance-Vorgaben wie den Datenschutzgesetzen
Lieferant verpflichtet Beschäftigte auf Datengeheimnis
Lieferant verpflichtet sich zur Löschung der Daten des Auftraggebers nach Zweckerfüllung
Lieferant trennt die Daten seiner verschiedenen Auftraggeber (mandantenfähige IT-Systeme)
Lieferant kann eine unabhängige, externe Zertifizierung der IT-Sicherheit vorweisen