Lieferantenmanagement-Software

IT-Sicherheit als Einkaufskriterium

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Lieferantenmanagement gehört zum IT-Sicherheitsmanagement

Aus gutem Grund führt die Norm ISO/IEC 27001:2013 im Annex A die Sicherheit der Lieferanten (Supplier Relationships) explizit auf. Das Management und die Kontrolle von Lieferanten gehören elementar zum IT-Sicherheitsmanagement dazu. Umfragen zeigen allerdings, dass Security Audits bei Lieferanten in vielen Unternehmen noch nicht zur betrieblichen Praxis gehören.

So ergab die Tripwire IP Expo Survey, dass nur 53 Prozent der befragten Unternehmen Security Audits für ihre Lieferanten und Geschäftspartner vorsehen. Doch nur 22 Prozent der Befragten gaben an, dass sie über keine Ressourcen verfügen, um die Lieferantenverträge entsprechend zu überprüfen und um sicherzustellen, dass ihre Sicherheitsvorgaben eingehalten werden. Man kann also davon ausgehen, dass die Security Audits bei Lieferanten schlicht vergessen werden oder nicht den notwendigen Stellenwert haben. Beides könnte und sollte verhindert werden, wenn IT-Sicherheit zum festen Bestandteil einer Lieferantenbewertung wird.

Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Foto: eco

In verschiedenen Branchen ist dies bereits der Fall. So werden Zulieferer und Dienstleister von der Automobilindustrie in regelmäßigen Abständen zum Ausfüllen sogenannter VDA-Assessments aufgefordert, um den Stand ihrer Informationssicherheit zu dokumentieren und die Sicherheit sensibler Daten zu gewährleisten. Der Verband der Automobilindustrie (VDA) zeigt beispielhaft, wie ein Security Audit oder Information Security Assessment aussehen kann.

IT-Sicherheit als Lieferantenkriterium ergänzen

Ein wichtiger Schritt dabei, IT-Sicherheit als Einkaufskriterium generell stärker zu etablieren, ist die Erweiterung des Kriterienkatalogs in der jeweiligen Lieferantenmanagement-Software. Die meisten Lösungen bieten die Erweiterbarkeit der Kriterien an: "Neben den im Standard vorhandenen Bewertungskriterien können beliebige weitere Bewertungskriterien angelegt werden", so heißt es bei der Lösung ERPframe. Auch bei dem Lieferantenmanagement mit SRM.Net gibt es "frei definierbare Hard und Soft Facts" in der Lieferantenbewertung, bei dem SC-Evaluator sind die Kriterien ebenso frei gestaltbar.

Die IT-Sicherheit auf Seiten der Lieferanten und Dienstleister kann auch außerhalb der Lieferantenmanagement-Software geprüft und dokumentiert werden. In jedem Fall sollten Verweise auf eine Lieferanten-Sicherheitsbewertung in der Lieferantenmanagement-Software nicht fehlen, wenn diese in einer zusätzlichen Anwendung zu finden ist. Ein Beispiel für eine spezielle IT-Sicherheitslösung im diesem Bereich ist die Software RSA Archer Vendor Management. Innerhalb der Funktion Vendor Risk Assessment werden auch die IT-Sicherheitsanforderungen adressiert, den Nutzern stehen vorbereitete Fragebogen für die Security Audits bei den Dienstleistern und Lieferanten zur Verfügung.

Zur Startseite