So können Sie zukünftig die Sicherheit in der Lieferkette gewährleisten

Share on facebook
Share on twitter
Share on linkedin

Der Angriff auf das beliebte Tuningprogramm CC Cleaner in der letzten Woche hat einmal mehr die Notwendigkeit einer sicheren Lieferkette deutlich gemacht. In den Bauprozess der Software wurde eine Malware eingeschleust, die dann über die Standard-Update-Prozesse ihren Weg auf die Rechner der Kunden gefunden hat. Besonders bitter ist daran, dass es einen Antiviren-Hersteller getroffen hat. Damit wurde das Vertrauen in den Hersteller in einem sensiblen Punkt erschüttert.

Unternehmen sind in vielerlei Hinsicht von ihren Lieferanten abhängig. Dies gilt besonders in sicherheitskritischen Bereichen. Auch in den meisten Managementsystemen findet die Lieferantensicherheit ihren Platz und die ISO hat dem eine ganze Normenreihe (ISO 28000) gewidmet. Unternehmen, die Sicherheitskritische Dienstleistungen beziehen, sind deshalb auch auf Überprüfungen ihrer Lieferanten angewiesen.

Dazu bieten die einzelnen Managementsysteme unterschiedliche Mittel und Methoden an, die wir hier einmal kurz vorstellen wollen.

Der Lieferantenaudit

Ein probates und zugleich sehr aufwendiges Mittel ist, die kritischen Lieferanten zu ermitteln und selbst auf die Einhaltung von Sicherheitsanforderungen hin zu überprüfen. Dazu fährt ein Mitarbeiter zum Lieferanten und geht einen standardisierten Fragebogen durch, schreibt einen Auditbericht und aktualisiert die Lieferantenbewertungen. Diese Audits müssen vertraglich vorher vereinbart werden und nicht jeder Lieferant wird darüber erfreut sein, dass ein Kundenmitarbeiter Einsicht in interne Prozesse erhält.

Externe Zertifizierungen

Aus den genannten Gründen, zeitlicher und organisatorischer Aufwand, werden gern externe Zertifizierungen herangezogen. Dabei kann der Lieferant die Einhaltung der Sicherheits- oder Qualitätsanforderungen durch eine dritte Stelle, einen akkreditierten Zertifizierer, nachweisen. Aufgrund der Beliebtheit tummeln sich auch entsprechend viele schwarze Schafe auf dem Markt für Zertifizierungen. Dementsprechend sollte das vorgelegte Zertifikat auch von einer, bei der DAkkS, akkreditierten Stelle ausgestellt sein. Die Validität des Zertifikats lässt sich so auf der Webseite der DAkkS überprüfen und die Einhaltung von Standards beim Zertifizierer ist damit sichergestellt.

Zertifikate sollten auch direkt bei Vertragsabschluss vorgelegt werden können. Nicht selten kommt es in der Praxis aber vor, dass Lieferanten, vor allem aus dem Ausland, bei Vertragsabschluss das Vorhandensein von Zertifizierungen bestätigen, das Zertifikat aber nicht vorlegen können. Hier helfen Checklisten für die Aufnahme von Lieferanten und ein klar definierter Prozess um spätere Probleme zu vermeiden.

Regelmäßige Lieferantenbewertungen

Die einfachste Art Lieferanten regelmäßig zu überprüfen ist die Selbstauskunft. In einer Checkliste werden Lieferanten mit besonderen Sicherheitsanforderungen gelistet und jährlich mit einem standardisierten Fragebogen zur Einhaltung der Anforderungen befragt. Diese Befragung bietet grundsätzlich noch keine höhere Sicherheit, die Angaben darin werden in den seltensten Fällen negativ für den Lieferanten ausfallen. Die Auswertung kann aber Aufschluss auf Lieferanten geben, welche die Sicherheitsanforderungen nicht so genau nehmen und bei denen ein Audit oder ein Lieferantenwechsel angebracht sein könnte.

Integriertes Lieferantenmanagement

Ein strukturiertes Lieferantenmanagement bietet über die Einhaltung von Sicherheitsforderungen hinaus zusätzliche betriebswirtschaftliche Vorteile. Mit dem Blick auf das Gesamtunternehmen in einem integrierten Risikomanagement, werden die Lieferanten zuerst in einer ABC-Analyse nach ihrem Anteil am Gesamtumsatz des Unternehmens eingeteilt und dann mit einem Punktesystem weiter klassifiziert. Steht Qualitätsmanagement im Vordergrund wird das Vorhandensein eines QM höher gewichtet, im Business Continuity Management die Sicherstellung der Verfügbarkeit, im Datenschutz die Implementierung von technisch-organisatorischen Maßnahmen zum Schutz der persönlichen Daten. Stehen mehrere Lieferanten für die gleiche Leistung zur Auswahl, kann so anhand objektiver Kriterien derjenige ausgewählt werden, der die Anforderungen des Unternehmens aus Sicht des Risikomanagements am Besten erfüllt. Der Entscheidungsträger hat somit eine gute Grundlage für die Auswahl des Lieferanten.

Durch die Integration aller Anforderungen werden redundante Prozesse vermieden und eine ganzheitliche Risikobetrachtung ermöglicht.

Unsere Leistungen

Wenn Sie mehr über ein integriertes Lieferantenmanagement und seine Vorteile für Ihr Unternehmen erfahren möchten, sprechen sie uns an.

Wir bieten folgende Leistungen:

  • Aufbau einer Bewertungsmatrix für Ihre Lieferanten
  • Durchführung der Audits bei Lieferanten
  • Integration der Sicherheitsanforderungen in Ihr Supply-Chain-Management

Das könnte Sie auch interessieren

Sicherheitshinweis - 2 Männer stehen sich gegenüber

Bei Phishing-Anrufen handelt es sich um telefonisches Erfragen sensibler Daten für betrügerische Zwecke.

IT-Sicherheit

Sicherheit ist definiert als ein Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird.

IT-Sicherheit
WP Sicherheit

Wenige Maßnahmen reichen schon für einen gewissen Grundschutz der eigenen Seite.

IT-Sicherheit
Jetzt für den OSYSCON Newsletter anmelden
Bleiben Sie auf dem neusten Stand der digitalen Sicherheit
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Mit dem Eintragen akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.
Onboarding

Im Onboarding werden wir Sie und Ihr Netzwerk zunächst genauer kennenlernen und bestimmen einen gemeinsamen Fahrplan. Wir fordern Dokumente an, die wir für die Begutachtung benötigen und klären Ihre Bedenken. Sonderwünsche Ihrerseits werden ebenfalls besprochen. Sie möchten bestimmte Geräte von der Prüfung ausschließen? Kein Problem. Sie möchten, dass wir auf etwas besonders viel Augenmerk legen? Auch kein Problem. All dies und vieles mehr muss vor dem Beginn einer jeden Prüfung geklärt werden.

Holen Sie sich ihr individuelles Angebot

Mit dem Absenden akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.