Lieferantenmanagement-Software

IT-Sicherheit als Einkaufskriterium

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Schwachstellen bei Lieferanten führen zu Sicherheitslücken bei den Auftraggebern. IT-Security gehört deshalb in die Lieferantenbewertung.

Qualitätsmanagement-Beauftragte predigen es seit langem: Die Produktqualität hängt nicht nur von internen Prozessen und Faktoren ab, sondern auch von der Qualität der Zulieferer. Wird ein Bauteil vom Lieferanten zu spät geliefert, kommt meist die ganze Produktion ins Stocken. Liefertreue ist deshalb eine wichtige Anforderung an Zulieferer und andere Geschäftspartner.

Betrachtet man Softwarelösungen für das Lieferantenmanagement, findet sich darin in aller Regel ein Modul "Lieferantenbewertung". Beispiele sind Ariba Lieferantenmanagement, CAQ SRM.Net Lieferantenmanagement, HCM Lieferantenmanagement, POOL4TOOL, PVM Lieferantenmanagement, Babtec.LC, IBS CAQ=QSYS SAM, Simmeth SC-Evaluator und Lieferpool SRM.

Dort können Unternehmen dann vermerken, wenn bei einem Lieferanten zum Beispiel die Liefertreue nicht stimmt. Weitere Qualitätsmerkmale und Kennzahlen bei der Lieferantenbewertung können die sogenannte Mengentreue, die Anzahl der Reklamationen, die Erreichbarkeit oder die Einhaltung von Versandvorschriften sein. Oftmals sprechen Anbieter von Lieferantenmanagement-Lösungen und SCM-Lösungen (Supply Chain Management) auch von den Risikowerten der Lieferanten, von Lieferanten-Compliance oder dem Lieferanten als Unternehmensrisiko.

Passend zum Thema: Mobile-Security-Quiz

Was in aller Regel aber zu kurz kommt, sind die IT-Sicherheitsrisiken: Die IT-Sicherheit des Lieferanten ist im Standard bei den meisten Modulen zur Lieferantenbewertung nicht vorgesehen. Dabei gilt die unzureichende IT-Sicherheit auf Seiten der Lieferanten und Service Provider als eines der größten IT-Risiken der nächsten Jahre, wie unter anderem der Threat Horizon 2016 des Information Security Forum betont.

Eine Studie von Kaspersky Lab zeigt dies anschaulich anhand von Schadenshöhen: Große Unternehmen müssen durchschnittlich mit über drei Millionen US-Dollar Folgekosten rechnen, wenn ein Zulieferer einen Cybersicherheitsvorfall verschuldet. Über die Lieferkette ausgelöste Hackerattacken, Datenabfluss oder Systemausfälle sind damit für große Firmen mit Abstand am kostenintensivsten, vor Mitarbeiterfehlern (1,3 Millionen US-Dollar) und Cyberspionage (1,1 Millionen US-Dollar).

Lieferantenmanagement gehört zum IT-Sicherheitsmanagement

Aus gutem Grund führt die Norm ISO/IEC 27001:2013 im Annex A die Sicherheit der Lieferanten (Supplier Relationships) explizit auf. Das Management und die Kontrolle von Lieferanten gehören elementar zum IT-Sicherheitsmanagement dazu. Umfragen zeigen allerdings, dass Security Audits bei Lieferanten in vielen Unternehmen noch nicht zur betrieblichen Praxis gehören.

So ergab die Tripwire IP Expo Survey, dass nur 53 Prozent der befragten Unternehmen Security Audits für ihre Lieferanten und Geschäftspartner vorsehen. Doch nur 22 Prozent der Befragten gaben an, dass sie über keine Ressourcen verfügen, um die Lieferantenverträge entsprechend zu überprüfen und um sicherzustellen, dass ihre Sicherheitsvorgaben eingehalten werden. Man kann also davon ausgehen, dass die Security Audits bei Lieferanten schlicht vergessen werden oder nicht den notwendigen Stellenwert haben. Beides könnte und sollte verhindert werden, wenn IT-Sicherheit zum festen Bestandteil einer Lieferantenbewertung wird.

Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt.
Foto: eco

In verschiedenen Branchen ist dies bereits der Fall. So werden Zulieferer und Dienstleister von der Automobilindustrie in regelmäßigen Abständen zum Ausfüllen sogenannter VDA-Assessments aufgefordert, um den Stand ihrer Informationssicherheit zu dokumentieren und die Sicherheit sensibler Daten zu gewährleisten. Der Verband der Automobilindustrie (VDA) zeigt beispielhaft, wie ein Security Audit oder Information Security Assessment aussehen kann.

IT-Sicherheit als Lieferantenkriterium ergänzen

Ein wichtiger Schritt dabei, IT-Sicherheit als Einkaufskriterium generell stärker zu etablieren, ist die Erweiterung des Kriterienkatalogs in der jeweiligen Lieferantenmanagement-Software. Die meisten Lösungen bieten die Erweiterbarkeit der Kriterien an: "Neben den im Standard vorhandenen Bewertungskriterien können beliebige weitere Bewertungskriterien angelegt werden", so heißt es bei der Lösung ERPframe. Auch bei dem Lieferantenmanagement mit SRM.Net gibt es "frei definierbare Hard und Soft Facts" in der Lieferantenbewertung, bei dem SC-Evaluator sind die Kriterien ebenso frei gestaltbar.

Die IT-Sicherheit auf Seiten der Lieferanten und Dienstleister kann auch außerhalb der Lieferantenmanagement-Software geprüft und dokumentiert werden. In jedem Fall sollten Verweise auf eine Lieferanten-Sicherheitsbewertung in der Lieferantenmanagement-Software nicht fehlen, wenn diese in einer zusätzlichen Anwendung zu finden ist. Ein Beispiel für eine spezielle IT-Sicherheitslösung im diesem Bereich ist die Software RSA Archer Vendor Management. Innerhalb der Funktion Vendor Risk Assessment werden auch die IT-Sicherheitsanforderungen adressiert, den Nutzern stehen vorbereitete Fragebogen für die Security Audits bei den Dienstleistern und Lieferanten zur Verfügung.

Inhalt dieses Artikels

 

GSTZ

Eine an sich löbliche Initiative, die aber vermutlich zu viel Bürokratie und wenig tatsächlichem Sicherheitsgewinn führen dürfte. So mag man zwar etwas mehr Sicherheitsbewusstsein seitens der Zulieferer erreichen können, inwiefern darüber hinausgehender Schutz erzielt werden kann ist jedoch fraglich. Zertifikate die im wesentlichen auf Fragebögen und Selbstauskünften basieren machen sich zwar gut als Wandschmuck und beruhigen ungemein, denn man hat ja vermeintlich alles Denkbare getan - aber leider wehren sie keine Hackerangriffe ab.

Ein relativ einfaches Sicherheitskriterium wäre die Frage, ob die eingesetzte IT-Plattform gegenüber Buffer-Overflow-Attacken verwundbar ist - dann hat der Angreifer nämlich die Möglichkeit, Schadsoftware als Datenpakete von außen einzuschleusen und danach als Code im angegriffenen System ablaufen zu lassen. Diese ziemlich einfache Frage wird aber in aller Regel nicht gestellt, da sie relativ weitreichende Konsequenzen nach sich ziehen würde.

comments powered by Disqus