(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

IKT-Lieferketten sind häufig komplex, mehrstufig und global verteilt. Hardware, Software, Cloud-Services und Managed Services werden von unterschiedlichen Anbietern bereitgestellt, die wiederum auf weitere Unterauftragnehmer zurückgreifen können. Dadurch entstehen zusätzliche Informationssicherheitsrisiken, die sich außerhalb der direkten Kontrolle der Organisation befinden. Dieses Control stellt sicher, dass Informationssicherheitsrisiken entlang der gesamten IKT-Lieferkette systematisch identifiziert, bewertet und gesteuert werden.

Zweck des Controls

A 5.21 soll gewährleisten, dass Informationssicherheit über alle Stufen der IKT-Lieferkette hinweg berücksichtigt wird. Ziel ist es, Risiken zu minimieren, die durch Abhängigkeiten von IKT-Produkten und -Dienstleistungen entstehen, und sicherzustellen, dass Sicherheitsanforderungen konsistent angewendet werden. Dadurch wird die Resilienz der Organisation gegenüber Ausfällen, Kompromittierungen oder Schwachstellen in der IKT-Lieferkette gestärkt.

Anforderungen und Maßnahmen

1. Identifikation der IKT-Lieferkette

Organisationen müssen ihre IKT-Lieferkette transparent erfassen, insbesondere:

• Anbieter von Hardware, Software und Firmware
• Cloud- und Hosting-Dienstleister
• Managed Service Provider und Outsourcing-Partner
• Unterauftragnehmer und Sub-Dienstleister
• Abhängigkeiten zwischen einzelnen Lieferkettenstufen

Die Identifikation muss nachvollziehbar dokumentiert werden.

2. Risikobewertung der IKT-Lieferkette

Für die identifizierten Lieferkettenelemente müssen Informationssicherheitsrisiken bewertet werden, unter anderem im Hinblick auf:

• Kritikalität der gelieferten Produkte oder Services
• Auswirkungen bei Ausfall, Manipulation oder Kompromittierung
• Abhängigkeit von einzelnen Lieferanten (Single Points of Failure)
• geografische, politische oder regulatorische Risiken
• Transparenz und Reife des Sicherheitsniveaus der Lieferanten

Die Bewertung ist regelmäßig zu überprüfen und zu aktualisieren.

3. Festlegung von Sicherheitsanforderungen entlang der Lieferkette

Organisationen müssen geeignete Sicherheitsanforderungen für die IKT-Lieferkette definieren, zum Beispiel:

• Anforderungen an sichere Entwicklung, Lieferung und Wartung
• Vorgaben zur Schwachstellenbehandlung und Patch-Management
• Anforderungen an Zugriffskontrollen und Authentifizierung
• Regelungen zur sicheren Konfiguration und Härtung
• Anforderungen an Incident- und Notfallmanagement

Diese Anforderungen müssen risikoorientiert festgelegt werden.

4. Berücksichtigung von Unterauftragnehmern

Die Organisation muss sicherstellen, dass auch Unterauftragnehmer angemessen berücksichtigt werden:

• Transparenz über eingesetzte Sub-Dienstleister
• vertragliche Verpflichtung zur Einhaltung von Sicherheitsanforderungen
• Regelungen zur Weitergabe von Anforderungen entlang der Lieferkette
• Kontrolle oder Nachweise zur Einhaltung

So wird verhindert, dass Sicherheitsanforderungen entlang der Kette verloren gehen.

5. Integration in Beschaffungs- und Entscheidungsprozesse

Informationssicherheit in der IKT-Lieferkette muss frühzeitig berücksichtigt werden:

• Einbindung von Sicherheitsbewertungen in Beschaffungsentscheidungen
• Berücksichtigung von Sicherheitsaspekten bei Produktauswahl
• Bewertung von Alternativen bei erhöhten Risiken
• dokumentierte Risikoakzeptanz bei verbleibenden Risiken

Dies unterstützt fundierte und risikobewusste Entscheidungen.

6. Überwachung und Steuerung der Lieferkette

Die Organisation muss die IKT-Lieferkette kontinuierlich überwachen:

• Beobachtung sicherheitsrelevanter Entwicklungen bei Lieferanten
• Auswertung von Sicherheitsmeldungen, Schwachstellen und Vorfällen
• Überprüfung vereinbarter Sicherheitsmaßnahmen
• Anpassung der Risikobewertung bei Veränderungen

So können neue Risiken frühzeitig erkannt werden.

7. Umgang mit Sicherheitsvorfällen in der IKT-Lieferkette

Sicherheitsvorfälle in der Lieferkette müssen angemessen behandelt werden:

• klare Meldepflichten für Lieferanten
• Integration in das interne Incident-Management
• Bewertung der Auswirkungen auf eigene Systeme und Prozesse
• Koordination von Maßnahmen mit betroffenen Lieferanten

Dies reduziert die Auswirkungen von Lieferkettenvorfällen.

8. Dokumentation und kontinuierliche Verbesserung

Der Umgang mit Informationssicherheit in der IKT-Lieferkette muss dokumentiert werden:

• Übersicht der Lieferkette und Risikobewertungen
• definierte Sicherheitsanforderungen und Maßnahmen
• Nachweise über Überwachung und Vorfallbehandlung
• Berücksichtigung von Lessons Learned

Diese Dokumentation unterstützt Transparenz, Audits und kontinuierliche Verbesserung.

Zusammenfassung

A 5.21 fordert, dass Organisationen Informationssicherheitsrisiken in der IKT-Lieferkette systematisch steuern. Durch Transparenz über Lieferketten, risikoorientierte Bewertungen, klare Sicherheitsanforderungen, Berücksichtigung von Unterauftragnehmern sowie kontinuierliche Überwachung wird sichergestellt, dass Abhängigkeiten von IKT-Lieferanten nicht zu unkontrollierten Sicherheitsrisiken führen. Das Control stärkt die Resilienz und Vertrauenswürdigkeit der gesamten IKT-Versorgungskette.