SCM

Sicherheit in der Lieferkette

Der Angriff auf das beliebte Tuningprogramm CC Cleaner in der letzten Woche hat einmal mehr die Notwendigkeit einer sicheren Lieferkette deutlich gemacht. In den Bauprozess der Software wurde eine Malware eingeschleust, die dann über die Standard-Update-Prozesse ihren Weg auf die Rechner der Kunden gefunden hat. Besonders bitter ist daran, dass es einen Antiviren-Hersteller getroffen hat. Damit wurde das Vertrauen in den Hersteller in einem sensiblen Punkt erschüttert.

Unternehmen sind in vielerlei Hinsicht von ihren Lieferanten abhängig. Dies gilt besonders in sicherheitskritischen Bereichen. Auch in den meisten Managementsystemen findet die Lieferantensicherheit ihren Platz und die ISO hat dem eine ganze Normenreihe (ISO 28000) gewidmet. Unternehmen, die Sicherheitskritische Dienstleistungen beziehen, sind deshalb auch auf Überprüfungen ihrer Lieferanten angewiesen.

Dazu bieten die einzelnen Managementsysteme unterschiedliche Mittel und Methoden an, die wir hier einmal kurz vorstellen wollen.

Der Lieferantenaudit

Ein probates und zugleich sehr aufwendiges Mittel ist, die kritischen Lieferanten zu ermitteln und selbst auf die Einhaltung von Sicherheitsanforderungen hin zu überprüfen. Dazu fährt ein Mitarbeiter zum Lieferanten und geht einen standardisierten Fragebogen durch, schreibt einen Auditbericht und aktualisiert die Lieferantenbewertungen. Diese Audits müssen vertraglich vorher vereinbart werden und nicht jeder Lieferant wird darüber erfreut sein, dass ein Kundenmitarbeiter Einsicht in interne Prozesse erhält.

Externe Zertifizierungen

Aus den genannten Gründen, zeitlicher und organisatorischer Aufwand, werden gern externe Zertifizierungen herangezogen. Dabei kann der Lieferant die Einhaltung der Sicherheits- oder Qualitätsanforderungen durch eine dritte Stelle, einen akkreditierten Zertifizierer, nachweisen. Aufgrund der Beliebtheit tummeln sich auch entsprechend viele schwarze Schafe auf dem Markt für Zertifizierungen. Dementsprechend sollte das vorgelegte Zertifikat auch von einer, bei der DAkkS, akkreditierten Stelle ausgestellt sein. Die Validität des Zertifikats lässt sich so auf der Webseite der DAkkS überprüfen und die Einhaltung von Standards beim Zertifizierer ist damit sichergestellt.

Zertifikate sollten auch direkt bei Vertragsabschluss vorgelegt werden können. Nicht selten kommt es in der Praxis aber vor, dass Lieferanten, vor allem aus dem Ausland, bei Vertragsabschluss das Vorhandensein von Zertifizierungen bestätigen, das Zertifikat aber nicht vorlegen können. Hier helfen Checklisten für die Aufnahme von Lieferanten und ein klar definierter Prozess um spätere Probleme zu vermeiden.

Regelmäßige Lieferantenbewertungen

Die einfachste Art Lieferanten regelmäßig zu überprüfen ist die Selbstauskunft. In einer Checkliste werden Lieferanten mit besonderen Sicherheitsanforderungen gelistet und jährlich mit einem standardisierten Fragebogen zur Einhaltung der Anforderungen befragt. Diese Befragung bietet grundsätzlich noch keine höhere Sicherheit, die Angaben darin werden in den seltensten Fällen negativ für den Lieferanten ausfallen. Die Auswertung kann aber Aufschluss auf Lieferanten geben, welche die Sicherheitsanforderungen nicht so genau nehmen und bei denen ein Audit oder ein Lieferantenwechsel angebracht sein könnte.

Integriertes Lieferantenmanagement

Ein strukturiertes Lieferantenmanagement bietet über die Einhaltung von Sicherheitsforderungen hinaus zusätzliche betriebswirtschaftliche Vorteile. Mit dem Blick auf das Gesamtunternehmen in einem integrierten Risikomanagement, werden die Lieferanten zuerst in einer ABC-Analyse nach ihrem Anteil am Gesamtumsatz des Unternehmens eingeteilt und dann mit einem Punktesystem weiter klassifiziert. Steht Qualitätsmanagement im Vordergrund wird das Vorhandensein eines QM höher gewichtet, im Business Continuity Management die Sicherstellung der Verfügbarkeit, im Datenschutz die Implementierung von technisch-organisatorischen Maßnahmen zum Schutz der persönlichen Daten. Stehen mehrere Lieferanten für die gleiche Leistung zur Auswahl, kann so anhand objektiver Kriterien derjenige ausgewählt werden, der die Anforderungen des Unternehmens aus Sicht des Risikomanagements am Besten erfüllt. Der Entscheidungsträger hat somit eine gute Grundlage für die Auswahl des Lieferanten.

Durch die Integration aller Anforderungen werden redundante Prozesse vermieden und eine ganzheitliche Risikobetrachtung ermöglicht.

Unsere Leistungen

Wenn Sie mehr über ein integriertes Lieferantenmanagement und seine Vorteile für Ihr Unternehmen erfahren möchten, sprechen sie uns an.

Wir bieten folgende Leistungen:

  • Aufbau einer Bewertungsmatrix für Ihre Lieferanten
  • Durchführung der Audits bei Lieferanten
  • Integration der Sicherheitsanforderungen in Ihr Supply-Chain-Management
Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen