Anhang A 5.19 – Informationssicherheit in Lieferantenbeziehungen
(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)
Lieferanten, Dienstleister und externe Partner greifen häufig auf Informationen, Systeme oder Prozesse einer Organisation zu oder verarbeiten diese im Rahmen ihrer Leistungen. Dadurch entsteht ein erweitertes Risikoprofil: Informationssicherheitsvorfälle können nicht nur aus der eigenen Organisation, sondern ebenso aus der Lieferkette heraus entstehen. Ziel des Controls ist die Sicherstellung, dass Informationssicherheit in allen Lieferantenbeziehungen berücksichtigt, gesteuert und überwacht wird.
Zweck des Controls
A 5.19 stellt sicher, dass angemessene Sicherheitsmaßnahmen in allen Phasen der Lieferantenbeziehung berücksichtigt werden: Auswahl, Vertragsgestaltung, Leistungsbereitstellung und laufende Überwachung. Damit soll verhindert werden, dass durch mangelnde Sicherheitspraktiken externer Parteien Informationswerte gefährdet werden. Das Control adressiert sowohl direkte Lieferanten als auch Subunternehmer in mehrstufigen Supply Chains.
Anforderungen und Maßnahmen
1. Bewertung von Lieferantenrisiken
Organisationen müssen vor Aufnahme einer Geschäftsbeziehung das Sicherheitsrisiko eines Lieferanten analysieren. Dazu gehören:
Schutzbedarf der betroffenen Informationen oder Systeme.
Art und Umfang des Zugriffs (physisch, logisch, remote).
Grad der Abhängigkeit von den Leistungen des Lieferanten.
Sicherheitsniveau, Zertifizierungen oder Policies des Lieferanten.
Historie im Umgang mit Sicherheitsvorfällen oder Auditergebnissen.
Auf Basis dieser Bewertung werden die erforderlichen Sicherheitsmaßnahmen festgelegt.
2. Festlegung von Sicherheitsanforderungen für Lieferanten
Sicherheitsanforderungen müssen klar definiert und dokumentiert werden. Sie können umfassen:
Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit.
Technische Schutzmaßnahmen (z. B. Verschlüsselung, Zugriffsbeschränkungen, Patch-Management).
Organisatorische Vorgaben (z. B. Sicherheitsrichtlinien, Personal-Screening, Schulungen).
Spezifische branchenbezogene Vorgaben, regulatorische Anforderungen oder Compliance-Aspekte.
Meldepflichten bei Sicherheitsvorfällen oder Abweichungen.
Diese Anforderungen müssen dem Risiko entsprechend gestaltet sein.
3. Integration der Sicherheitsanforderungen in Verträge
Sicherheitsanforderungen müssen vertraglich verankert werden. Typische Regelungsinhalte sind:
Vertraulichkeitsvereinbarungen (NDA).
Sicherheitsvorgaben, die jederzeit nachweisbar eingehalten werden müssen.
Vorgaben zur Weitergabe von Informationen an Subunternehmer.
Audit- und Kontrollrechte der Organisation oder unabhängiger Prüfer.
Service-Level-Vereinbarungen zu Sicherheit, Verfügbarkeit und Monitoring.
Rechte und Pflichten bei Sicherheitsvorfällen.
Regelungen zur Beendigung der Zusammenarbeit, Datenrückgabe und -löschung.
Verträge bilden die Grundlage für eine durchsetzbare Sicherheitssteuerung.
4. Überwachung und regelmäßige Bewertung von Lieferanten
Die Informationssicherheit eines Lieferanten muss während der gesamten Vertragslaufzeit überwacht werden:
Regelmäßige Leistungs- und Sicherheitsüberprüfungen.
Sicherheitsaudits oder Zertifikatsprüfungen (z. B. ISO 27001, SOC 2).
Einsicht in Reportings, Protokolle oder Compliance-Nachweise.
Bewertung von Sicherheitsvorfällen oder Abweichungen.
Bewertung der Effektivität umgesetzter Sicherheitsmaßnahmen.
Ziel ist sicherzustellen, dass Lieferanten dauerhaft den geforderten Sicherheitsstandard einhalten.
5. Umgang mit Subunternehmern und Supply-Chain-Risiken
Lieferanten nutzen häufig eigene Zulieferer oder Partner. Diese müssen in die Sicherheitsbetrachtung einbezogen werden:
Pflicht zur Offenlegung von Subunternehmern.
Vertragskaskadierung der Sicherheitsanforderungen in der Supply Chain.
Bewertung von Risiken, die durch tieferliegende Lieferketten entstehen (z. B. Software-Dependencies, Hosting-Provider).
Maßnahmen, um komplexe Lieferketten transparent und kontrollierbar zu machen.
So wird verhindert, dass versteckte Risiken über indirekte Lieferanten entstehen.
6. Schutz von Informationen, die mit Lieferanten geteilt werden
Organisationen müssen sicherstellen, dass Informationen auf sichere Weise übermittelt, verarbeitet und gespeichert werden:
Verwendung gesicherter Kommunikationskanäle.
Prinzip der minimalen Berechtigung („need-to-know“).
Vorgaben zur Klassifizierung, Kennzeichnung und Behandlung von Informationen.
Sichere Verfahren für den Datenaustausch und die Zusammenarbeit (z. B. abgestimmte Plattformen).
Damit wird verhindert, dass Informationen unabsichtlich offengelegt oder falsch verarbeitet werden.
7. Lieferanten bei Änderungen oder Beendigung der Zusammenarbeit
Wird die Beziehung mit einem Lieferanten verändert oder beendet, müssen Übergänge gesteuert werden:
Begrenzung von Zugängen auf das notwendige Mindestmaß, z. B. bei Leistungsänderungen.
Dokumentierte Prozesse zur Rückgabe oder Löschung von Informationen und Datenträgern.
Widerruf oder Deaktivierung von Benutzerkonten und Zugangsmitteln.
Sicherstellung, dass Subunternehmer ebenso alle Daten löschen oder zurückgeben.
Dadurch wird verhindert, dass nach Vertragsende unberechtigter Zugriff fortbesteht.
8. Schulung und Bewusstseinsbildung intern
Auch die interne Organisation muss Lieferkettenrisiken verstehen:
Schulung von Einkauf, IT, Datenschutz und Fachabteilungen.
Sensibilisierung für Risiken durch Drittparteien, insbesondere bei Outsourcing und Cloud-Modellen.
Wissen über Vertragsklauseln, Eskalationsprozesse und Incident Response in Lieferantenbeziehungen.
Dies stärkt die Fähigkeit, Lieferantenbeziehungen sicher zu gestalten.
Zusammenfassung
A 5.19 verlangt, dass Informationssicherheit in jeder Phase der Lieferantenbeziehung berücksichtigt wird: von der Auswahl über die Vertragsgestaltung bis hin zur laufenden Überwachung. Durch strukturierte Risikoanalysen, klare Sicherheitsanforderungen, vertragliche Regelungen, kontinuierliches Monitoring und kontrollierte Übergänge lassen sich Sicherheitsrisiken aus der Lieferkette wirksam beherrschen. Dieses Control unterstützt ein zuverlässiges, transparentes und kontrollierbares Third-Party-Management.
Leave a comment