Zum Inhalt
ISMS.online

A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen – Aufsicht über MSP-Lieferanten

Managed Service Provider (MSPs) stehen unter zunehmendem Druck, die Kontrolle über ihre gesamte Lieferkette nachzuweisen. ISO 27001 Anhang A.5.22 schreibt Lieferantenüberwachung, Risikobewertung und Änderungsmanagement nun als formale, auditierbare Anforderung vor. Mit Tools wie ISMS.online gewinnen Sie Transparenz und Vertrauen, vermeiden Ausfälle und Reputationsschäden und erfüllen gleichzeitig die Erwartungen von Kunden und Aufsichtsbehörden.

Autorin
Mark Sharron
Aktualisiert Dezember 1, 2025
4 / 5 Sterne

Warum Ihre MSP-Lieferkette jetzt eines Ihrer größten Risiken darstellt

Ihre MSP-Lieferkette stellt heute eines Ihrer größten Risiken dar, da Sie für jeden Lieferanten, der Ihre Dienstleistungen erbringt, verantwortlich sind. Kunden, Aufsichtsbehörden und Auditoren erwarten von Ihnen, dass Sie die Leistung dieser Lieferanten, die von ihnen ausgehenden Risiken und die Kontrolle von Änderungen an ihren Dienstleistungen verstehen. Diese Erwartung spiegelt sich in weit verbreiteten Normen wie ISO/IEC 27001:2022 und deren Lieferantenkontrollen, einschließlich Anhang A.5.22, wider. Diese fordern strukturiertes Monitoring, Risikobewertung und Änderungsmanagement für Drittanbieter (ISO/IEC 27001 – Überblick). Wenn die Lieferantenüberwachung formal in Ihr ISMS integriert wird, gewinnen Sie die notwendige Transparenz und Disziplin, um Ausfälle, Datenverlust, verlorene Ausschreibungen und unangenehme Auditfeststellungen zu vermeiden.

Die Lieferkette Ihres Managed Service Providers (MSP) hat sich zu einem Ihrer größten Sicherheits- und Ausfallrisiken entwickelt, da Ausfälle oder unbemerkte Änderungen bei vorgelagerten Anbietern sich schnell auf Ihre Dienste auswirken können. Wenn Sie die Lieferantenüberwachung als festen Bestandteil Ihres Informationssicherheitsmanagementsystems und nicht als informelle Hintergrundaufgabe behandeln, gewinnen Sie die nötige Transparenz und Kontrolle, um Ausfälle, Datenverlust, verlorene Aufträge und unangenehme Prüfungsergebnisse zu vermeiden.

Ihre Services basieren heute auf einer komplexen Infrastruktur aus Cloud-, Konnektivitäts-, Sicherheits- und Tooling-Anbietern. Schwachstellen in dieser Kette können daher schnell zu Ihrem Problem werden. Früher konnten Sie sich auf Verträge, SLAs und gute Geschäftsbeziehungen verlassen; heute erwarten Kunden, Aufsichtsbehörden und Auditoren, dass Sie die Arbeitsweise dieser Anbieter, die von ihnen ausgehenden Risiken und die Kontrolle von Änderungen an ihren Services verstehen. ISO 27001:2022 Anhang A.5.22 formuliert diese Erwartung explizit und macht die Anbieterüberwachung zu einem Kernbestandteil Ihres ISMS anstatt zu einer informellen Aktivität.

In der ISMS.online-Umfrage 2025 nannten rund 41 % der Unternehmen die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine ihrer größten Herausforderungen im Bereich der Informationssicherheit.

Als Managed Service Provider (MSP) sind Sie sowohl Lieferant als auch Kunde. Sie sichern Ihren Kunden Verfügbarkeit, Sicherheit und Compliance zu, können diese Versprechen aber nur einhalten, wenn auch Ihre Zulieferer ihre Verpflichtungen erfüllen. Ein einzelner Fehler oder eine unbemerkte Änderung bei einer Cloud-Plattform, einem Sicherheitsanbieter oder einem Netzwerkprovider kann sich kaskadenartig auf viele Ihrer Kunden auswirken und zu Ausfällen, Datenverlust, verletzten SLAs und Reputationsschäden führen.

Eine strenge Lieferantenüberwachung wandelt versteckte Abhängigkeiten in überschaubare Verpflichtungen um.

Moderne Angriffe und Sicherheitsvorfälle nutzen häufig Lieferketten aus, anstatt Organisationen direkt anzugreifen. Branchenweite Studien zu Sicherheitsvorfällen, darunter regelmäßige Berichte globaler Transportunternehmen und Sicherheitsanbieter, heben immer wieder Drittanbieter und Lieferketten als bedeutende Angriffsvektoren hervor (Branchenberichte zu Sicherheitsvorfällen). Daher ist die Annahme „Wir vertrauen unseren Lieferanten“ riskant. Die entscheidende Frage ist, ob Sie strukturiert darlegen können, wie Sie diese Lieferanten überwachen, wie oft Sie sie überprüfen und wie Sie entscheiden, ob Sie die von ihnen ausgehenden Risiken akzeptieren, behandeln oder beenden.

Bei vielen Managed Service Providern (MSPs) erfolgt die Lieferantenüberwachung immer noch über verstreute E-Mails, Tabellen, Besprechungsnotizen und persönliche Beziehungen. Dieser Ansatz funktioniert, bis eine Schlüsselperson das Unternehmen verlässt, ein Lieferant unerwartete Änderungen vornimmt oder ein Wirtschaftsprüfer Nachweise verlangt. Dann wird das Fehlen einer systematischen Überwachungspraxis schmerzlich deutlich und kann zu Geschäftsverlusten und unangenehmen Versicherungsgesprächen führen.

Ein strukturierter Ansatz zur Lieferantenüberwachung muss nicht zwangsläufig mit übermäßiger Bürokratie einhergehen. Es bedeutet, die wirklich wichtigen Lieferanten zu identifizieren, klare Erwartungen zu formulieren, deren Einhaltung zu überprüfen und die Reaktion bei Nichteinhaltung zu dokumentieren. Wenn man dies als Teil der Resilienz und Servicequalität betrachtet und nicht als bloße Pflichterfüllung, lässt sich der dafür aufgewendete Zeitaufwand leichter rechtfertigen.

ISMS.online wurde entwickelt, um Sie bei diesem Übergang zu unterstützen. Sie können Ihr Lieferantenregister zentralisieren, kritische Lieferanten klassifizieren, diese mit Ihren Diensten und Anlagen verknüpfen und die von ISO 27001:2022 geforderten Überwachungs-, Prüfungs- und Änderungskontrollaktivitäten verwalten – alles in einer einzigen Umgebung anstatt verteilt auf E-Mails und freigegebene Laufwerke.

Wie MSP-Lieferketten typischerweise außer Kontrolle geraten

Die Lieferketten von Managed Service Providern (MSPs) wachsen typischerweise unkontrolliert, da jede einzelne Beschaffungsentscheidung zwar sinnvoll erscheint, zusammen aber ein komplexes Geflecht bildet, das niemand vollständig durchschaut. Im Laufe der Zeit kommen Cloud-, Konnektivitäts-, Backup-, Sicherheits- und spezialisierte SaaS-Anbieter hinzu, oft als Reaktion auf spezifische Kundenanforderungen. Ohne gezielte Bemühungen, diese Landschaft abzubilden und zu pflegen, wird es schwierig zu bestimmen, welche Anbieter wirklich kritisch sind und wohin die Kundendaten tatsächlich fließen.

Die Lieferketten von Managed Service Providern (MSPs) geraten oft außer Kontrolle, da jede sinnvolle Beschaffungsentscheidung die Komplexität erhöht, bis niemand mehr den gesamten Systemaufbau vollständig beschreiben kann. Analysen digitaler Lieferketten und Konzentrationsrisiken durch politische Institute haben ähnliche Muster vielschichtiger, intransparenter Abhängigkeiten festgestellt, die nur wenige Organisationen vollständig abbilden können (Analyse des Konzentrationsrisikos digitaler Lieferketten). Mit der Zeit häufen sich Dutzende von Diensten an – von Konnektivitäts- und Cloud-Plattformen bis hin zu spezialisierten SaaS-Tools – und es wird schwierig zu erkennen, welche Anbieter wirklich kritisch sind und wohin die Kundendaten tatsächlich fließen.

Ihre Lieferantenliste beginnt oft übersichtlich: ein Konnektivitätsanbieter, eine Cloud-Plattform und ein Helpdesk-Tool. Mit der Zeit kommen Backup- und Wiederherstellungsdienste, Sicherheitstools, Monitoring-Plattformen, Partner für professionelle Dienstleistungen und spezialisierte SaaS-Produkte hinzu. Jede einzelne Entscheidung mag für sich genommen sinnvoll gewesen sein, doch das kumulative Ergebnis ist eine vielschichtige digitale Lieferkette, die nur wenige vollständig beschreiben oder deren Risiken sie einschätzen können.

In einem solchen Umfeld verliert man leicht den Überblick darüber, wer für die Datenversorgung unerlässlich ist, welche Lieferanten Kundendaten verarbeiten oder speichern, wo die Daten tatsächlich gespeichert sind und welche Verträge die notwendigen Sicherheits- und Kontinuitätszusagen enthalten. Ohne eine klare Übersicht lassen sich grundlegende Fragen wie „Welche vorgelagerten Dienstleister könnten mehrere Kunden gleichzeitig offline nehmen?“ oder „Welche Lieferanten würden im Falle einer Kompromittierung Benachrichtigungspflichten gegenüber Kunden oder Aufsichtsbehörden auslösen?“ nicht beantworten.

Die Erstellung dieser Karte ist der erste praktische Schritt zu einer effektiven Überwachung. Sie ermöglicht es Ihnen, wirklich kritische Lieferanten von Anbietern mit geringem Risiko zu unterscheiden und Ihre Überwachungs- und Prüfungsbemühungen dort zu konzentrieren, wo es am wichtigsten ist, anstatt knappe Zeit und Aufmerksamkeit auf jeden einzelnen Lieferanten zu verteilen.

Warum sich die Aufsicht von optional zu erwartet gewandelt hat

Die Aufsicht hat sich von einer optionalen zu einer obligatorischen Aufgabe gewandelt, da reale Vorfälle gezeigt haben, dass Sie für Fehler in Ihrer Lieferkette verantwortlich bleiben, selbst wenn Dienstleistungen ausgelagert sind. Kunden und Aufsichtsbehörden betrachten das Risiko von Drittanbietern heute als zentrales Governance-Thema und erwarten daher von Ihnen den Nachweis kontinuierlicher Kontrolle anstelle gelegentlicher Sorgfaltsprüfungen. Für Managed Service Provider (MSPs) bedeutet dies, dass Sie nachweisen können müssen, wie Sie kritische Lieferanten im Laufe der Zeit managen und nicht nur, wie Sie diese ausgewählt haben.

Der ISMS.online-Bericht „State of Information Security 2025“ zeigt, dass Kunden heute üblicherweise von ihren Lieferanten erwarten, dass diese sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO, Cyber ​​Essentials und SOC 2 orientieren, anstatt sich auf informelle Zusicherungen zu verlassen.

Kunden, Aufsichtsbehörden und Versicherer betrachten Drittparteienrisiken zunehmend als Angelegenheit der Geschäftsführung. In Branchen wie dem Finanzdienstleistungssektor definieren Aufsichtsbehörden Outsourcing und IT-Risiken von Drittanbietern in ihren Leitlinien zur operativen Resilienz und zum Outsourcing (EBA-Leitlinien zu Outsourcing und IT-Risiken) explizit als Governance- und Geschäftsführungsverantwortung. Schwerwiegende Sicherheitslücken und Ausfälle, die auf Zulieferer zurückzuführen sind, haben gezeigt, dass Unternehmen die Verantwortung nicht delegieren können, selbst wenn sie Dienstleistungen ausgelagert haben. Fällt ein wichtiger Zulieferer aus, sehen Ihre Kunden dies in der Regel als Ihr Versagen an, nicht als das Ihres Zulieferers, und reagieren möglicherweise mit Kundenabwanderung, Beschwerden oder rechtlichen Schritten.

Dieser Wandel spiegelt sich in Normen und regulatorischen Leitlinien wider. Die Lieferantenkontrollen der ISO 27001:2022, einschließlich Abschnitt A.5.22, betonen die kontinuierliche Steuerung anstelle einmaliger Sorgfaltsprüfungen. Branchenaufsichtsbehörden in Bereichen wie Finanzdienstleistungen und kritischer Infrastruktur gehen noch weiter und erwarten kontinuierliches Monitoring, regelmäßige Überprüfungen und ein strukturiertes Änderungsmanagement für kritische Outsourcing-Vereinbarungen. Die EU-Rahmenwerke für operative Resilienz und Outsourcing für Finanzinstitute beschreiben beispielsweise die Erwartungen an die laufende Überwachung, regelmäßige Überprüfungen und ein formelles Änderungsmanagement für kritische Drittanbieter (EU-Rahmenwerke für operative Resilienz und Outsourcing).

Für Managed Service Provider (MSPs) bedeutet dies, dass Sie sich nicht länger auf Markennamen, Zertifikate und guten Ruf verlassen können. Von Ihnen wird erwartet, dass Sie die Risiken in Ihrer Lieferkette verstehen, deren Entwicklung überwachen und darlegen, wie Sie diese Risiken im Laufe der Zeit managen – und zwar in einer Sprache, die sowohl für Vorstände und Kunden als auch für Wirtschaftsprüfer verständlich ist.

Kontakt


Was ISO 27001:2022 A.5.22 tatsächlich von Ihnen erwartet

ISO 27001:2022 A.5.22 verlangt von Ihnen, die Leistung wichtiger Lieferanten zu überwachen, die von ihnen ausgehenden Risiken zu bewerten und Änderungen an ihren Dienstleistungen strukturiert zu steuern. In der Praxis wandelt dies das Lieferantenmanagement von gelegentlichen Vertragsgesprächen in einen wiederholbaren Überwachungsprozess innerhalb Ihres ISMS um. Sie sollten nachweisen können, was Sie überwachen, wie häufig Sie die Lieferanten überprüfen und wie Sie entscheiden, ob Sie die von ihnen ausgehenden Risiken akzeptieren, behandeln oder die Zusammenarbeit beenden.

ISO 27001:2022 A.5.22 verlangt von Ihnen, die Leistung Ihrer wichtigsten Lieferanten zu überwachen, die von ihnen ausgehenden Risiken regelmäßig zu überprüfen und Änderungen an ihren Dienstleistungen so zu steuern, dass die Informationssicherheit gewährleistet ist. In der Praxis bedeutet dies, das Lieferantenmanagement von gelegentlichen Vertragsverhandlungen in einen routinemäßigen, evidenzbasierten Überwachungsprozess umzuwandeln, der in Ihr ISMS integriert ist und Kunden, Auditoren und der Geschäftsleitung erläutert werden kann.

ISO 27001:2022 Anhang A.5.22 mag beim ersten Lesen komplex erscheinen, lässt sich aber im Wesentlichen auf drei Punkte reduzieren: Überwachung, Überprüfung und Steuerung von Änderungen an Lieferantenleistungen. Der Kontrolltext der Norm ISO/IEC 27001:2022 betont die Überwachung der Lieferantenleistung, die Überprüfung der damit verbundenen Risiken und die Steuerung von Änderungen an Lieferantenleistungen unter Wahrung der Informationssicherheit (ISO/IEC 27001:2022). Die Kontrolle erwartet von Ihnen, dass Sie die Leistung der Lieferanten beobachten, die von ihnen ausgehenden Risiken regelmäßig neu bewerten und Änderungen an ihren Leistungen vor der Zustimmung zu diesen in einem definierten, die Informationssicherheit berücksichtigenden Prozess behandeln.

Das Element „Überwachung“ bedeutet, dass Sie festlegen, was bei jedem wichtigen Lieferanten überwacht werden muss und wie Sie dies umsetzen. Dazu gehören in der Regel Service-Levels wie Verfügbarkeit und Reaktionszeiten. Im ISO-Kontext bedeutet es auch die Überwachung sicherheitsrelevanter Aspekte: wie schnell Probleme kommuniziert werden, wie Vorfälle behandelt werden, ob vereinbarte Sicherheitsmaßnahmen fristgerecht abgeschlossen werden und ob der Lieferant die von Ihnen geforderten Zertifizierungen oder Standards weiterhin erfüllt.

Das Element „Überprüfung“ bedeutet, dass Sie das Lieferantenrisiko nicht bei der Aufnahme in Ihr Unternehmen als unveränderlich betrachten. Sie planen regelmäßige Überprüfungen kritischer Lieferanten, um sicherzustellen, dass Ihre Annahmen hinsichtlich ihrer Sicherheit, Ausfallsicherheit und Compliance weiterhin zutreffen. Diese Überprüfungen können die Prüfung aktualisierter Prüfberichte, die Überprüfung von Risikobewertungen, die Kontrolle der Angemessenheit vertraglicher Kontrollen und die Analyse von Vorfallstrends im betrachteten Zeitraum umfassen.

Das Element „Änderungsmanagement“ erfordert, dass Sie Änderungen bei Lieferantenleistungen kontrolliert steuern. Dies umfasst technische Änderungen wie neue Infrastruktur oder Rechenzentrumsumzüge, organisatorische Änderungen wie Eigentümerwechsel oder Standortwechsel sowie vertragliche Änderungen wie Umfang, SLAs oder Datenverarbeitungsbedingungen. Sie sind verpflichtet, die Auswirkungen dieser Änderungen auf die Informationssicherheit und die Leistungserbringung zu bewerten, sie zu genehmigen oder abzulehnen und Ihre Dokumentation entsprechend zu aktualisieren.

Wie A.5.22 mit den anderen Steuerungssystemen des Anbieters zusammenpasst

A.5.22 ergänzt die anderen Lieferantenkontrollen, indem es sicherstellt, dass Ihre vertraglichen Erwartungen auch bei sich ändernden Dienstleistungen wirksam und verhältnismäßig bleiben. Andere Kontrollen konzentrieren sich auf die Definition von Sicherheitsanforderungen und deren Verankerung in Verträgen; A.5.22 gewährleistet, dass diese Anforderungen im Laufe der Zeit überwacht, überprüft und angepasst werden. Zusammen bilden sie einen vollständigen Governance-Kreislauf für Drittparteirisiken anstelle einer einmaligen Beschaffungsmaßnahme.

A.5.22 steht nicht für sich allein. ISO 27001:2022 umfasst mehrere verwandte Kontrollen, die zusammen ein vollständiges Bild der Lieferantensteuerung ergeben. Andere lieferantenorientierte Kontrollen fordern, dass Sie Informationssicherheitsanforderungen für Lieferanten definieren, diese Anforderungen in Verträge aufnehmen und die Risiken der IKT-Lieferkette umfassender managen.

Zusammengenommen erfordern sie Folgendes:

  • Entscheiden Sie, welche Anforderungen Sie an Ihre Lieferanten in Bezug auf Sicherheit und Ausfallsicherheit stellen.
  • Halten Sie diese Erwartungen in Verträgen fest.
  • Überwachen und überprüfen Sie, ob diese Erwartungen erfüllt werden.
  • Veränderungen und neu auftretende Risiken im Laufe der Zeit managen.

Abschnitt A.5.22 wandelt statische Vereinbarungen in eine dynamische Überwachung um. Er gewährleistet, dass die Kontrollen der Lieferanten auch bei sich ändernden Dienstleistungen, Technologien und Geschäftsbedingungen wirksam bleiben, und liefert Ihnen eine klare Darstellung, wenn Kunden oder Wirtschaftsprüfer nach Ihrem Umgang mit Drittparteirisiken fragen.

Übersetzung von Kontrolltexten in praktische Artefakte

Sie setzen A.5.22 in die Praxis um, indem Sie einige wenige Standardartefakte erstellen und diese zentral verwalten. Ein Lieferantenregister, Überwachungsprotokolle, Prüfnotizen und ein einfaches Änderungsmanagementprotokoll genügen in der Regel. Werden diese in einem zentralen ISMS-Arbeitsbereich erfasst, dienen sie Ihren Teams als operative Werkzeuge und liefern Auditoren und Kunden gleichzeitig einen klaren Nachweis dafür, dass die Lieferantenüberwachung tatsächlich stattfindet.

Die Norm schreibt keine spezifischen Dokumente vor, doch die Leitlinien für Audits und Konformitätsbewertungen betonen immer wieder die Notwendigkeit konkreter Nachweise für die Wirksamkeit von Kontrollen wie A.5.22 und nicht nur deren schriftliche Dokumentation (Leitfaden für Audits und Konformitätsbewertungen). In der Praxis bedeutet dies in der Regel, dass Sie Folgendes nachweisen können:

  • Ein Lieferantenregister, das wichtige Lieferanten und deren Eigentümer identifiziert.
  • Für diese Lieferanten wurden Überwachungsaktivitäten wie SLAs, KPIs und Sicherheitsindikatoren definiert.
  • Aufzeichnungen über regelmäßige Lieferantenüberprüfungen und die sich daraus ergebenden Maßnahmen.
  • Aufzeichnungen über Änderungen im Zusammenhang mit Lieferanten, deren Folgenabschätzungen, Genehmigungen und Mitteilungen.

Wenn Sie diese Aufzeichnungen strukturiert führen, erfüllen sie zwei Zwecke. Sie helfen Ihnen, das Unternehmen sicherer zu führen, und sie geben Prüfern und Kunden die Gewissheit, dass Ihre Aufsicht nicht nur theoretisch ist.

Ein kurzer Vergleich verdeutlicht den Wandel von informeller zu strukturierter Aufsicht:

Gebiet Informelle Lieferantenüberwachung Strukturierte, an A.5.22 ausgerichtete Aufsicht
Monitoring Ad-hoc-Kontrollen, gelegentliche Beschwerden Definierte SLAs/KPIs, Sicherheitsindikatoren und Verantwortliche
Bewertungen Seltene, nicht aufgezeichnete Gespräche Regelmäßige Überprüfungen mit dokumentierten Ergebnissen und Folgemaßnahmen
Änderungsmanagement E-Mail-Benachrichtigungen, informelle Genehmigungen Protokollierte Änderungsanträge, Folgenabschätzungen und klare Entscheidungen
Prüfnachweis Verstreute E-Mails und Tabellenkalkulationen Zentrales Register mit verknüpfter Überwachung, Überprüfungen und Änderungen

Eine ISMS-Plattform wie ISMS.online kann dies vereinfachen, indem sie Ihnen definierte Bereiche für Lieferantendatensätze, Verknüpfungen zu Risiken, Vorfällen und Anlagen sowie konfigurierbare Workflows für Überwachung, Prüfungen und Änderungsfreigaben bietet. So ergeben sich die für A.5.22 benötigten Nachweise ganz natürlich aus Ihrer täglichen Arbeit und nicht erst durch die mühsame Dokumentensuche kurz vor einem Audit.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Die spezifischen Risiken einer schwachen Lieferantenaufsicht für Managed Service Provider

Mangelnde Lieferantenkontrolle setzt Ihren Managed Service Provider (MSP) betrieblichen, vertraglichen und Reputationsrisiken aus, die sich oft massenhaft auswirken, da viele Kunden auf dieselben vorgelagerten Plattformen angewiesen sind. Werden Lieferantenwechsel nicht strukturiert überwacht, geprüft und gesteuert, können vermeidbare Überraschungen zu Ausfällen, Compliance-Problemen und schwierigen Gesprächen mit Kunden, Versicherern und Wirtschaftsprüfern führen.

Der ISMS.online-Bericht „State of Information Security 2025“ kommt zu dem Schluss, dass die meisten Organisationen bereits von mindestens einem Sicherheitsvorfall eines Drittanbieters betroffen waren.

Wenn Sie Änderungen bei Ihren kritischen Lieferanten nicht aktiv überwachen, überprüfen und kontrollieren, setzen Sie Ihren Managed Service Provider (MSP) und Ihre Kunden einer Reihe vorhersehbarer und vermeidbarer Risiken aus. Diese Risiken sind nicht abstrakt; sie äußern sich in Ausfällen, Datenschutzverletzungen, angespannten Kundenbeziehungen, schwierigen Versicherungsgesprächen und schmerzhaften Audits, die Ihren Ruf schädigen.

Grundsätzlich bedeutet mangelnde Aufsicht, dass Sie möglicherweise erst dann bemerken, wenn Kunden sich beschweren oder ein Vorfall eintritt, dass ein Lieferant seine Erwartungen nicht erfüllt oder sich von ihnen entfernt. Ohne Einblick in die Trends können Sie nicht frühzeitig eingreifen. Auch können Sie gegenüber Wirtschaftsprüfern oder Kunden nicht ohne Weiteres nachweisen, dass Sie angemessene Maßnahmen zur Risikominimierung ergriffen haben.

Schwerwiegender noch: Mangelnde Aufsicht kann dazu führen, dass bedeutende Änderungen unbemerkt bleiben. Ein Anbieter könnte die Datenverarbeitung in eine neue Region verlagern, einen Unterauftragnehmer wechseln, eine Sicherheitsfunktion deaktivieren, seinen Prozess zur Meldung von Vorfällen ändern oder die Servicekapazität so anpassen, dass Ihre eigenen SLAs beeinträchtigt werden. Werden diese Änderungen nur informell bemerkt, kann es passieren, dass Sie ohne bewusste Entscheidung gegen Verträge oder Vorschriften verstoßen.

Es bestehen auch Reputations- und Geschäftsrisiken. Wenn ein Lieferant in Ihrer Lieferkette ausfällt, nehmen Ihre Kunden dies oft einfach als „Unser Managed Service Provider ist offline“ oder „Unser Managed Service Provider hat unsere Daten verloren“ wahr. Ob das nun gerechtfertigt ist oder nicht, so wird die Geschichte üblicherweise erzählt. Ohne eine starke und transparente Lieferantensteuerung haben Sie kaum eine Grundlage, um zu erklären, was passiert ist, oder um zu zeigen, dass Sie Ihre Verantwortung ernst genommen haben.

Wie sich Lieferantenausfälle auf Ihren gesamten Kundenstamm auswirken können

Lieferantenausfälle können sich kaskadenartig auf Ihren gesamten Kundenstamm auswirken, da viele Ihrer Kunden auf dieselben vorgelagerten Plattformen, Sicherheitstools und Netzwerkanbieter angewiesen sind. Untersuchungen zu digitalen Lieferketten und Konzentrationsrisiken haben gezeigt, wie sich Ausfälle einer gemeinsam genutzten vorgelagerten Plattform gleichzeitig auf viele nachgelagerte Organisationen auswirken können. Dies entspricht direkt dem MSP-Modell (Konzentrationsrisiko in digitalen Lieferketten). Ein einzelner Vorfall oder eine schlecht gemanagte Änderung kann daher Dutzende von Kundenumgebungen gleichzeitig beeinträchtigen und die Reaktionsfähigkeit Ihres Teams überfordern. Ohne klare Übersicht wird es Ihnen schwerfallen, die Betroffenen, die betroffenen Verträge und Ihre Verpflichtungen zu identifizieren.

Anders als bei einem internen System, das nur von einer Organisation genutzt wird, sind viele Ihrer Lieferanten gleichzeitig für mehrere Kunden tätig. Ein Ausfall oder eine Änderung kann daher weitreichende Folgen haben. Wenn ein zentraler Cloud-Dienst, ein Sicherheitsprodukt oder ein Konnektivitätsanbieter ausfällt oder ein problematisches Update veröffentlicht, kann dies Dutzende oder Hunderte von Kundensystemen gleichzeitig beeinträchtigen und die Reaktionsfähigkeit Ihres Teams stark belasten.

Ohne ein klares Monitoring und einen schlüssigen Überblick über Ihre Abhängigkeiten lassen sich in Krisenzeiten einfache Fragen nur schwer beantworten: Welche Kunden sind betroffen? Welche vertraglichen Verpflichtungen werden ausgelöst? Welche Benachrichtigungen sind erforderlich? Welche Möglichkeiten haben Sie, die Auswirkungen abzumildern? Das verlangsamt Ihre Reaktion und erhöht das Risiko von Strafen, Kundenabwanderung und Rechtsstreitigkeiten.

Indem Sie ermitteln, welche Lieferanten solche systemischen Auswirkungen haben können, und diese in Ihrem Aufsichtsrahmen als eigene Kategorie behandeln, können Sie strengere Kontrollen, häufigere Überprüfungen und eine straffere Änderungskontrolle dort anwenden, wo dies den größten Unterschied für die Widerstandsfähigkeit und das Kundenvertrauen ausmacht.

Vertragliche, regulatorische und versicherungstechnische Überraschungen

Vertragliche, regulatorische und versicherungstechnische Überraschungen treten häufig dann auf, wenn Ihre informellen Lieferantenpraktiken nicht den Zusagen in Verträgen, Richtlinien und Vorgaben entsprechen. Erst wenn etwas schiefgeht, wird deutlich, dass Kunden, Aufsichtsbehörden oder Versicherer eine strukturiertere Steuerung von Drittanbietern erwartet hatten. A.5.22 bietet Ihnen eine Methode, um Erwartungen mit der Realität in Einklang zu bringen, bevor Vorfälle dies erzwingen.

In der ISMS.online-Umfrage 2025 gaben nur etwa 29 % der Organisationen an, keine Bußgelder wegen Verstößen gegen den Datenschutz erhalten zu haben, was bedeutet, dass die meisten mit finanziellen Strafen in irgendeiner Form konfrontiert waren.

Viele Managed Service Provider (MSPs) erkennen die Tragweite ihrer Lieferantenbeziehungen erst, wenn etwas schiefgeht. Cyberversicherungen, Kundenverträge und regulatorische Vorgaben enthalten häufig Vorgaben zum Umgang mit Drittparteirisiken, zu Meldefristen für Kunden und Behörden sowie zur Verantwortungsverteilung im Falle eines Lieferantenausfalls. Rechts- und Beratungsanalysen von Cyberversicherungen und Outsourcing-Verträgen weisen regelmäßig auf Klauseln zum Drittparteirisikomanagement, zu Meldefristen und zur Verantwortungsverteilung zwischen Anbietern und ihren Zulieferern hin.

Wenn Sie diese Erwartungen nicht in Ihre Lieferantenüberwachungspraktiken integriert haben, stellen Sie möglicherweise fest, dass Ihre informellen Vorgehensweisen nicht dem implizit vereinbarten Standard entsprechen. Wenn beispielsweise ein Vertrag davon ausgeht, dass Sie umgehend über relevante Vorfälle bei Lieferanten informiert werden, Sie diese Benachrichtigungen aber in der Praxis nicht überwachen, könnte Ihnen ein Verstoß gegen die Vereinbarung vorgeworfen werden, selbst wenn die Ursache in der vorgelagerten Lieferkette liegt.

A.5.22 bietet Ihnen eine Struktur, um solche Überraschungen zu vermeiden, indem regelmäßige Überprüfungen und Änderungsmanagement fester Bestandteil Ihres ISMS werden und nicht nur Teil der kommerziellen Verhandlungen. Diese Struktur hilft Ihnen, Kunden, Aufsichtsbehörden und Versicherern zu zeigen, dass Sie das Lieferantenrisiko als integralen Bestandteil Ihrer Unternehmensführung behandeln und nicht als Nebensache.



Wie man einen Rahmen für die Überwachung von MSP-Lieferanten gemäß A.5.22 entwirft

Sie entwickeln ein effektives Lieferantenüberwachungssystem gemäß A.5.22, indem Sie klare Rollen definieren, Lieferanten nach Kritikalität und Datensensibilität segmentieren, Standardaufzeichnungen für jede Ebene vereinbaren und alles in Ihre übergeordneten ISMS-Prozesse einbinden. Das System kann schlank sein, muss aber konsistent, wiederholbar und für Auditoren und anspruchsvolle Kunden leicht nachvollziehbar sein.

Ein strukturierter Rahmen für die Lieferantenüberwachung setzt die in A.5.22 beschriebenen Konzepte in wiederholbare Prozesse um, die zu Ihrem Managed Service Provider (MSP) passen. Er legt fest, wer welche Aufgaben für welche Lieferanten wie oft und anhand welcher Nachweise übernimmt. Zudem erleichtert er die Erläuterung Ihres Vorgehens gegenüber Auditoren, Kunden und internen Stakeholdern.

Das Rahmenwerk muss nicht komplex sein. Es sollte Ihre Unternehmensgröße, Ihr Risikoprofil und Ihre Ressourcenbeschränkungen widerspiegeln. Entscheidend ist die Konsistenz: Ähnliche Lieferanten sollten gleich behandelt werden, und Entscheidungen sollten dokumentiert werden, damit Sie nachvollziehen können, was getan wurde und warum.

Ihr Rahmenwerk sollte zumindest Governance-Rollen und -Foren, die Segmentierung der Lieferanten, die Standardaufzeichnungen, die Sie für jeden Lieferanten führen, und die Verbindung dieser Aktivitäten zu Ihren umfassenderen ISMS-Prozessen wie Risikomanagement, Vorfallmanagement und Geschäftskontinuität definieren.

Festlegung von Zuständigkeiten und Foren für die Governance

Die Zuständigkeiten und Foren der Governance stellen sicher, dass die Ergebnisse des Lieferantenmonitorings, Vorfälle und Änderungsvorschläge den richtigen Personen zugänglich gemacht und in Entscheidungen umgesetzt werden. Ohne klare Verantwortlichkeiten wird das Lieferantenrisiko zu einem Problem für alle, für das niemand verantwortlich ist. A.5.22 funktioniert am besten, wenn namentlich genannte Verantwortliche, festgelegte Meetings und konsistente Entscheidungswege vorhanden sind.

Zunächst muss geklärt werden, wer für das Lieferantenrisiko und die tägliche Überwachung zuständig ist. Bei vielen Managed Service Providern (MSPs) ist die Informationssicherheit oder ein virtueller CISO für die Risikobewertung verantwortlich, während die Servicebereitstellung oder der Betrieb die Leistungs- und Vorfallüberwachung verantworten. Die Beschaffungs- oder Vertriebsteams sind in der Regel für Verträge und Verhandlungen zuständig.

Anschließend sollten Sie ein regelmäßiges Forum einrichten, in dem diese Perspektiven für wichtige Lieferanten zusammengeführt werden. Dies könnte beispielsweise ein vierteljährliches Lieferantenbewertungstreffen oder ein Tagesordnungspunkt in einem bestehenden Service-Governance-Gremium sein. Das Forum sollte Überwachungsdaten, aktuelle Vorfälle, Bewertungsergebnisse sowie anstehende oder geplante Änderungen analysieren und Entscheidungen treffen oder empfehlen können.

Klare Zuständigkeiten und offene Foren sorgen dafür, dass Überwachungsergebnisse und Bedenken an eine Stelle weitergeleitet werden können. Ohne diese werden zwar Daten gesammelt, aber nicht genutzt, und die Führungsebene erhält kein schlüssiges Bild des Drittparteienrisikos.

Segmentierung der Lieferanten nach Kritikalität und Datensensibilität

Durch die Segmentierung von Lieferanten nach Kritikalität und Datensensibilität können Sie die potenziell schädlichsten Anbieter strenger überwachen und gleichzeitig den Aufwand für risikoarme Tools gering halten. Dies ist eine der effektivsten Methoden, um A.5.22 verhältnismäßig und nachhaltig für Ihr Team zu gestalten.

Nicht alle Lieferanten verdienen die gleiche Aufmerksamkeit. Durch eine Segmentierung können Sie Ihre Bemühungen gezielter ausrichten. Gängige Kriterien sind:

  • Geschäftskritikalität: Wie stark würden Service- oder Umsatzeinbußen durch einen Ausfall ausfallen?
  • Datensensibilität: ob sie Kundendaten verarbeiten oder speichern, insbesondere personenbezogene oder regulierte Daten.
  • Substitutionsschwierigkeit: Wie schwierig es wäre, sie gegebenenfalls zu ersetzen.

Diese können Sie in Kategorien einteilen, beispielsweise „kritische kundenorientierte Plattformen“, „Komponenten der Sicherheitsarchitektur“, „unterstützende Tools“ und „Hilfsprogramme mit geringer Auswirkung“. Für jede Kategorie definieren Sie die minimalen Überwachungsaktivitäten: Kennzahlen zur Überwachung, Überprüfungshäufigkeit, Qualitätssicherungsanforderungen und Erwartungen an das Änderungsmanagement.

Plattformen wie ISMS.online unterstützen diese Segmentierung, indem sie Lieferanten mit Dienstleistungen, Anlagen und Datentypen verknüpfen und unterschiedliche Workflows je nach Lieferantenstufe steuern. So erkennen Sie als Führungskraft leichter, wo der Kontrollaufwand konzentriert ist, und Ihre Teams können sich auf die Bereiche konzentrieren, die den größten Mehrwert bieten.

Definition von Standardartefakten und deren Aufbewahrungsort

Standardisierte Artefakte verleihen Ihrem Rahmenwerk eine konkrete Form: Jeder wichtige Lieferant verfügt über dieselben Kerndatensätze, die am selben Ort gespeichert sind. So können Sie Fragen schnell beantworten und die Kontrolle nachweisen. Wenn diese Datensätze in einer zentralen ISMS-Umgebung anstatt in verschiedenen E-Mail-Postfächern verwaltet werden, sinkt der administrative Aufwand.

Um das Framework nachvollziehbar und nutzbar zu machen, vereinbaren Sie die Kernartefakte, die Sie für jede Lieferantenebene pflegen, und deren Speicherort. Typische Artefakte sind:

  • Lieferantenprofil, Verträge und Sicherheitsanforderungen.
  • Risikobewertung und Risikoeinstufung.
  • Vereinbarte SLAs, KPIs und alle sicherheitsspezifischen Maßnahmen.
  • Überwachungsaufzeichnungen wie z. B. Leistungsberichte.
  • Notizen und Aktionen prüfen.
  • Änderungsanträge, Folgenabschätzungen und Genehmigungen.

Werden diese Dokumente in einem zentralen ISMS-Arbeitsbereich wie ISMS.online erfasst, anstatt sie über E-Mails, Vertragsarchive und IT-Servicemanagement-Tools zu verteilen, reduziert sich der Aufwand für die Vorbereitung von Audits und die Beantwortung von Kundenanfragen. Zudem wird sichergestellt, dass alle Beteiligten die Lieferantenrisiken aus derselben Perspektive betrachten und nicht auf Basis ihrer eigenen, unvollständigen Aufzeichnungen arbeiten.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Umwandlung von SLAs, KPIs und KRIs in aussagekräftiges Lieferantenmonitoring

SLAs, KPIs und KRIs werden zu einem aussagekräftigen Lieferantenmonitoring, indem man wenige Kennzahlen auswählt, die Leistung und Risiko tatsächlich widerspiegeln, und diese regelmäßig überprüft und entsprechende Maßnahmen ergreift. Kennzahlen sind nur dann wertvoll, wenn sie Fragen, Eskalationen oder Entscheidungen bezüglich Lieferanten auslösen, anstatt in Dashboards zu verstauben, die niemand liest.

Die Überwachung gemäß A.5.22 beschränkt sich nicht auf die reine Datenerfassung. Vielmehr geht es darum, die richtigen Informationen zu haben, um zu entscheiden, wann eingegriffen, eskaliert, neu verhandelt oder Risiken neu bewertet werden müssen. Das bedeutet, dass Sie Kennzahlen wählen sollten, die die Lieferantenleistung und neu auftretende Risiken aussagekräftig widerspiegeln und die Sie realistisch verfolgen und besprechen können.

Für einen Managed Service Provider (MSP) sollte das Monitoring Kennzahlen zur Service-Performance mit Sicherheits- und Compliance-Indikatoren kombinieren. Es sollte zudem verschiedene Detailebenen unterstützen: operative Kennzahlen für Serviceteams und zusammenfassende Indikatoren für Führungskräfte und Governance-Gremien, die Risiken verstehen müssen, ohne sich in Rohdaten zu verlieren.

Bei der Entwicklung Ihres Überwachungsansatzes sollten Sie von den zu treffenden Entscheidungen rückwärts vorgehen: Wann würden Sie einen Lieferanten einschalten, wann würden Sie einen Vertrag überprüfen, wann würden Sie die Zusammenarbeit mit einem Anbieter überdenken und wann würden Sie Kunden über vom Lieferanten verursachte Probleme informieren?

Die richtigen Kennzahlen für die Überwachung von MSP-Anbietern auswählen

Die richtigen Kennzahlen für die Überwachung von Managed Service Providern (MSPs) sind solche, die aufzeigen, wann ein Anbieter von akzeptabler Leistung oder einem erhöhten Risiko abweicht, bevor Kunden negative Auswirkungen spüren. Dies bedeutet in der Regel eine Kombination aus Verfügbarkeit, Reaktionsfähigkeit, Qualität des Incident-Managements und Indikatoren für aufkommende Sicherheitsrisiken – und nicht eine vollständige Auflistung aller messbaren Kennzahlen.

Nützliche Leistungsindikatoren sind beispielsweise Verfügbarkeit, Reaktionszeiten bei Störungen, Lösungszeiten, Rückstandshöhe und Häufigkeit von SLA-Verletzungen. Für jeden kritischen Lieferanten sollten Sie Ihre Erwartungen kennen und regelmäßig überprüfen können, ob diese Erwartungen erfüllt werden – nicht nur bei Vertragsverlängerungen.

Risikoorientierte Indikatoren können aufzeigen, wo Handlungsbedarf besteht, selbst wenn die formalen SLAs technisch erfüllt sind. Dazu gehören beispielsweise die Anzahl schwerwiegender Mängel aus Lieferantenbewertungen, Verzögerungen bei der Implementierung von Sicherheitspatches, die Häufigkeit ungeplanter Änderungen oder die Abhängigkeit von Single Points of Failure in der Architektur des Lieferanten.

Ziel ist es nicht, für jeden Lieferanten Dutzende von Kennzahlen zu erstellen, sondern für jeden wichtigen Lieferanten eine kleine, aussagekräftige Auswahl zu treffen, die Sie tatsächlich in Gesprächen und Entscheidungen verwenden. Dadurch bleibt der Überwachungsaufwand überschaubar und Ihre Vorgehensweise lässt sich der Führungsebene leichter erläutern.

Angleichung der SLAs der Lieferanten an Ihre eigenen Verpflichtungen

Die Angleichung der SLAs Ihrer Lieferanten an Ihre eigenen Verpflichtungen stellt sicher, dass Sie Ihren Kunden nicht mehr versprechen, als Ihre vorgelagerten Lieferanten realistischerweise leisten können. Wenn Sie sich bewusst für stärkere Garantien entscheiden, tun Sie dies mit einem klaren Notfallplan, anstatt die Lücke erst im Schadensfall zu entdecken.

Ein häufiges Problem in MSP-Umgebungen ist die Diskrepanz zwischen den SLAs, die Sie Ihren Kunden garantieren, und denen Ihrer Lieferanten. Wenn Sie eine höhere Verfügbarkeit oder schnellere Reaktionszeiten als Ihre eigenen Upstream-Anbieter versprechen, gehen Sie ein strukturelles Risiko ein, das sich nur schwer beherrschen lässt, egal wie sorgfältig Ihr Betriebsteam arbeitet.

Gemäß A.5.22 ist es sinnvoll, diese Diskrepanzen bewusst offenzulegen. Bei kritischen Lieferanten können Sie beispielsweise festlegen, dass kundenseitige SLAs die vorgelagerten Garantien nicht überschreiten dürfen. Wenn Sie eine Abweichung in Kauf nehmen – etwa durch Redundanz oder die Nutzung mehrerer Lieferanten –, sollten Sie diese Entscheidung dokumentieren und darlegen, wie Sie das Risiko minimieren.

Monitoring wird dadurch nicht nur zu einer technischen Übung, sondern zu einer Möglichkeit zu überprüfen, ob die Annahmen, die diesen Entscheidungen zugrunde liegen, noch Gültigkeit haben und ob man sie überdenken sollte, wenn sich Dienstleistungen, Nachfrage oder Risikobereitschaft ändern.

Aufzeichnung, Besprechung und Berichterstattung der Überwachungsergebnisse

Durch die Erfassung, Diskussion und Berichterstattung von Überwachungsergebnissen werden Rohdaten in Steuerungsinstrumente und Nachweise umgewandelt. Ihre Teams können so Trends erkennen, Maßnahmen mit Lieferanten abstimmen und die Leistung gegenüber Kunden, Auditoren und der Geschäftsleitung fundiert statt rätselhaft erläutern.

Kennzahlen sind nur bedingt aussagekräftig, wenn sie nicht besprochen und umgesetzt werden. Standardisieren Sie daher, wie die Ergebnisse erfasst, wie oft sie überprüft werden und wer darauf Zugriff hat. Auf operativer Ebene könnten Sie beispielsweise Lieferantenbewertungen führen und wichtige Kennzahlen in Ihre Service-Review-Meetings integrieren, in denen ohnehin operative Probleme und Kundenfeedback besprochen werden.

Auf der Führungsebene können Sie der Geschäftsleitung oder einem Risikoausschuss eine konsolidierte Übersicht über die Leistung und Risikotrends der Lieferanten präsentieren. Dies hilft Entscheidungsträgern zu erkennen, ob die aktuellen Lieferanten noch den Anforderungen gerecht werden und wo Investitionen oder Veränderungen erforderlich sein könnten.

Eine ISMS-Plattform kann dies unterstützen, indem sie Überwachungsdaten mit Lieferantendatensätzen verknüpft und übersichtliche Dashboards bereitstellt, die zwischen internen und lieferantenbedingten Problemen unterscheiden. Diese Unterscheidung ist von unschätzbarem Wert, um Kunden oder Auditoren die Serviceleistung zu erläutern und um zu entscheiden, wo Verbesserungsmaßnahmen angegangen werden sollen.



Aufbau eines praktischen Überprüfungs- und Steuerungszyklus für Lieferanten

Ein praxisorientierter Überprüfungs- und Governance-Rhythmus bedeutet, Lieferanten regelmäßig genug zu überprüfen, um Ihr Risikobild aktuell zu halten, aber nicht so häufig, dass die Überprüfungen zu reinen Pflichtübungen verkommen. Durch die Kombination von geplanten Überprüfungen mit klaren Auslösern konzentrieren Sie Ihre Bemühungen auf die wichtigsten Lieferanten und halten A.5.22 für Ihr Team und Ihre Führungsebene handhabbar.

Zwei Drittel der Organisationen im ISMS.online-Bericht „State of Information Security 2025“ geben an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.

Die Überwachung informiert Sie über den aktuellen Stand; Überprüfungen helfen Ihnen, die richtigen Maßnahmen zu ergreifen. Gemäß A.5.22 werden Sie dazu angehalten, die Dienstleistungen, Risiken und Kontrollen Ihrer Lieferanten in angemessenen Abständen zu überprüfen und Ihre Reaktion entsprechend anzupassen, anstatt Entscheidungen ad hoc zu treffen.

Ein praktikabler Ablauf vermeidet zwei Extreme: die Lieferantenrisikobewertung nach der Aufnahme in den Geschäftsbetrieb vollständig zu vernachlässigen und Lieferanten ständig neu zu bewerten, was Zeitverschwendung bedeutet. Das richtige Maß hängt von Ihrer Risikobereitschaft, den regulatorischen Rahmenbedingungen und der Art Ihrer Dienstleistungen ab. Generell empfiehlt es sich jedoch, für eine kleine Anzahl kritischer Lieferanten häufigere und gründlichere Prüfungen durchzuführen und für Lieferanten mit geringem Risiko weniger häufige und weniger intensive Prüfungen vorzunehmen.

Festlegung von Überprüfungshäufigkeiten und Standardprüfungen

Durch die Festlegung von Prüfintervallen und Standardkontrollen erhält Ihr Team einen klaren Zeitplan und eine Checkliste für die Prüfung jedes Lieferanten. Diese Kontinuität ist es, worauf Auditoren achten und die Ihnen hilft, Lieferanten im Laufe der Zeit fair zu vergleichen, anstatt erst zu reagieren, wenn etwas schiefgeht.

Für viele Organisationen sind jährliche – oder in manchen Fällen häufigere – Überprüfungen kritischer Plattformen und Sicherheitsanbieter ein sinnvoller Ausgangspunkt. Bei weniger kritischen Tools kann eine weniger häufige Überprüfung, beispielsweise alle zwei Jahre, mit einem deutlich geringeren Aufwand angemessen sein. Die genauen Intervalle sollten sich nach den regulatorischen Rahmenbedingungen, der Risikobereitschaft und der Änderungsrate der von Ihnen bezogenen Dienste richten.

Jede Rezension sollte mindestens Folgendes umfassen:

  • Aktualisierte Prüfungsnachweise wie z. B. Prüfberichte oder Zertifizierungen.
  • Vorgeschichte der Vorfälle und wie die Probleme behoben wurden.
  • Änderungen bei Dienstleistungen, Standorten, Unterauftragnehmern oder Eigentumsverhältnissen.
  • Ob die Vertragsbedingungen und Sicherheitsanforderungen noch angemessen sind.
  • Ob die Risikobewertung des Lieferanten angepasst werden sollte.

Durch die Standardisierung dieser Elemente gestalten Sie Überprüfungen effizienter und stellen sicher, dass wichtige Themen nicht übersehen werden. Außerdem erleichtert es Ihnen als MSP-Leiter, zu erkennen, wenn sich Lieferanten in die falsche Richtung entwickeln, und entsprechende Maßnahmen zu ergreifen.

Auslöser für außerplanmäßige Überprüfungen

Auslöser für außerplanmäßige Überprüfungen gewährleisten, dass Sie das Lieferantenrisiko umgehend neu bewerten, sobald sich etwas Wichtiges ändert, anstatt auf das nächste planmäßige Meeting zu warten. Indem Sie reale Ereignisse in Ihre formale Risikobewertung einbeziehen, behandeln Sie Vorfälle nicht mehr als isolierte Einzelfälle, sondern als Indikatoren für die Eignung des Lieferanten.

Nicht alle Überprüfungen sollten bis zum nächsten Kalenderdatum warten. Bestimmte Ereignisse sollten automatisch eine neue Bewertung des Lieferantenrisikos und gegebenenfalls Änderungen in der Zusammenarbeit mit dem Lieferanten auslösen. Beispiele hierfür sind:

  • Schwerwiegende oder wiederholte Vorfälle.
  • Ankündigung wesentlicher Serviceänderungen oder -umstellungen.
  • Änderungen der Eigentumsverhältnisse, wichtiger Standorte oder Unterauftragnehmer.
  • Negative Befunde in externen Berichten oder Nachrichten.

Die Dokumentation dieser Auslöser und deren Verknüpfung mit Ihren Vorfall- und Änderungsprozessen trägt dazu bei, dass Entwicklungen aus der Praxis in Ihre Lieferantenrisikobewertung einfließen und nicht lediglich als kurzfristige operative Probleme behandelt werden. Dies erleichtert es, Vorständen und Wirtschaftsprüfern zu erläutern, wie Sie aufkommende Drittparteirisiken frühzeitig erkennen und überwachen.

Den Kreislauf mit Governance-Entscheidungen schließen

Die Einbeziehung von Governance-Entscheidungen in den Entscheidungsprozess zeigt, dass Überprüfungen und Auslöser zu klaren Entscheidungen im Umgang mit Lieferantenrisiken führen. In der Praxis bedeutet dies die Entscheidung, ob… nehmen sie es an., behandeln, privaten Transfer or wunsch Sie bewerten das Risiko für jeden Lieferanten, dokumentieren die Gründe und setzen die Maßnahmen konsequent um. Diese Entscheidungen machen aus A.5.22 nicht nur eine formale Angelegenheit, sondern eine wirksame Unternehmensführung, die Ihre Kunden und Ihr Unternehmen schützt.

Bewertungen und Auslöser sind nur dann sinnvoll, wenn sie zu Entscheidungen führen. Für jeden Lieferanten sollten Sie nachweisen können, ob Sie das Risiko angesichts der verfügbaren Informationen akzeptieren, behandeln, übertragen oder einen Ausstieg erwägen. Sie sollten außerdem nachweisen können, wer diese Entscheidungen wann getroffen hat.

Diese Entscheidungen können Maßnahmen wie die Forderung nach Nachbesserungen seitens des Lieferanten, die Verschärfung der Überwachung, die Anpassung eigener Kontrollmechanismen, die Änderung von Vertragsbedingungen, die Reduzierung der Abhängigkeit vom Lieferanten oder die Planung eines Übergangs zu einem alternativen Lieferanten umfassen. Im Laufe der Zeit prägen diese Maßnahmen Ihr Lieferantenportfolio und Ihre Widerstandsfähigkeit.

Die Erfassung dieser Entscheidungen in Ihrem ISMS, zusammen mit den Prüf- und Überwachungsdaten, zeigt Auditoren und Kunden, dass Sie nicht nur Informationen sammeln, sondern auch darauf basierend handeln. Zudem erhalten Sie so einen lückenlosen Prüfpfad, falls Sie jemals erklären müssen, warum Sie bei einem bestimmten Anbieter geblieben sind oder sich von ihm getrennt haben.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Das Lieferantenwechselmanagement zu einem festen Bestandteil Ihrer normalen Arbeitsweise machen

Sie integrieren das Lieferantenänderungsmanagement in Ihre tägliche Arbeitsweise, indem Sie relevante Lieferantenänderungen über denselben strukturierten Prozess abwickeln wie interne Änderungen. Wichtige Änderungen werden dann unabhängig von ihrem Ursprung einheitlich bewertet, genehmigt, implementiert und dokumentiert. So können Sie nachweisen, dass Änderungen von Drittanbietern nicht als Ausnahmen behandelt werden.

Änderungen bei Lieferantenleistungen sind unvermeidlich. Anbieter entwickeln ihre Plattformen weiter, verlagern Infrastruktur, wechseln Unterauftragnehmer, aktualisieren Sicherheitsmaßnahmen, ändern Preise und Vertragsbedingungen. Gemäß Anhang A.5.22 sind Sie verpflichtet, diese Änderungen so zu steuern, dass keine unkontrollierten Risiken entstehen und Sie Ihre Entscheidungen im Nachhinein erläutern können. Anhang A.5.22 der ISO/IEC 27001:2022 fordert ausdrücklich, dass Änderungen an Lieferantenleistungen so kontrolliert werden, dass die Informationssicherheit gewährleistet und eine nachvollziehbare Entscheidungsfindung unterstützt wird (ISO/IEC 27001:2022 Lieferantenkontrolle).

Am einfachsten lässt sich dies umsetzen, indem Sie Lieferantenänderungen in Ihren bestehenden Änderungsmanagementprozess integrieren, anstatt einen separaten, parallelen Prozess zu erstellen. Dadurch wird sichergestellt, dass Änderungen einheitlich bewertet, genehmigt, implementiert und dokumentiert werden, unabhängig davon, ob die Änderung in Ihrem Unternehmen oder bei einem Lieferanten ihren Ursprung hat.

Dazu müssen Sie sich darüber im Klaren sein, welche Arten von Lieferantenänderungen relevant sind, wie eine Folgenabschätzung aussieht und wie Sie mit Notfalländerungen umgehen, ohne Ihr Kontrollumfeld zu gefährden oder dringende Korrekturen zu verzögern.

Feststellung, welche Lieferantenwechsel kontrolliert werden müssen

Sie ermitteln, welche Lieferantenänderungen kontrolliert werden müssen, indem Sie sich auf diejenigen konzentrieren, die Daten, Zugriff, Verfügbarkeit, Compliance-Verpflichtungen oder wichtige Integrationen betreffen. Nicht jede Funktionsänderung muss überprüft werden, aber Änderungen mit Auswirkungen auf die Sicherheit oder den Service dürfen niemals unbemerkt oder unprotokolliert bleiben, wenn Sie die Anforderungen von A.5.22 erfüllen wollen.

Nicht jeder Lieferantenwechsel erfordert eine formelle Behandlung. Sie könnten sich auf Änderungen konzentrieren, die Folgendes betreffen können:

  • Wo Daten gespeichert oder verarbeitet werden.
  • Wer hat Zugriff auf Daten oder Systeme?
  • Verfügbarkeit oder Leistungsfähigkeit von Diensten.
  • Compliance-Verpflichtungen, wie beispielsweise der Umfang von Datenverarbeitungsvereinbarungen.
  • Integrationspunkte, von denen Ihre eigenen Dienste abhängen.

Sie können Änderungskategorien – wie Standard, bedeutend und Notfall – mit unterschiedlichen Prüfstufen definieren. Legen Sie für jede Kategorie fest, welche Informationen Sie vom Lieferanten erwarten, wer an der Bewertung beteiligt sein muss und welche Aufzeichnungen Sie führen. So kann Ihr Team leichter erkennen, welche Änderungen schnell umgesetzt werden können und welche einer eingehenderen Prüfung bedürfen.

Gestaltung von Folgenabschätzungen und Entscheidungspfaden

Folgenabschätzungen und Entscheidungsprozesse für wesentliche Lieferantenwechsel gewährleisten, dass Sicherheits-, Datenschutz-, Betriebs- und Vertragsaspekte gemeinsam geprüft werden, bevor Sie eine Entscheidung treffen. Klare Genehmigungswege verhindern überstürzte Entscheidungen, die Risiken bergen, und bieten Ihnen eine nachvollziehbare Dokumentation für Kunden, Wirtschaftsprüfer und Versicherer, falls eine Änderung später Probleme verursacht.

Bei wesentlichen Änderungen sollte die Folgenabschätzung Sicherheits-, Datenschutz-, Betriebs- und Vertragsaspekte berücksichtigen. Dies betrifft typischerweise Informationssicherheit, Rechts- und Datenschutzfragen, die Leistungserbringung sowie kommerzielle Akteure, die verschiedene Risikoaspekte bewerten können.

Die Bewertung sollte klären, ob die Änderung das Risiko erhöht und, falls ja, ob dieses Risiko gemindert werden kann. Sie sollte berücksichtigen, ob die Änderung Aktualisierungen Ihrer eigenen Kontrollmechanismen, Dokumentationen oder Kundenkommunikation erfordert und ob Sie Verträge, Service-Level-Agreements (SLAs) oder Datenverarbeitungsbedingungen anpassen müssen, um die Kompatibilität zu gewährleisten.

Nach Abschluss der Bewertung entscheiden Sie, ob Sie die Änderung akzeptieren, Anpassungen aushandeln, kompensierende Kontrollmaßnahmen einführen oder, in seltenen Fällen, einen Lieferantenwechsel planen. Unabhängig von Ihrer Entscheidung sollten Sie die Gründe dokumentieren, um sie gegebenenfalls gegenüber Kunden, Wirtschaftsprüfern oder Versicherern erläutern zu können.

Umgang mit Notfalländerungen und Kundenkommunikation

Durch den effizienten Umgang mit Notfalländerungen und der Kundenkommunikation können Sie schnell handeln, wenn ein Lieferant dringend reagieren muss, ohne dabei Nachvollziehbarkeit oder Vertrauen zu beeinträchtigen. Sie protokollieren die Änderung, erfassen grundlegende Risikoaspekte und verpflichten sich zu einer nachträglichen Überprüfung, sobald das akute Problem behoben ist, um später eventuelle Lücken in Ruhe zu schließen.

Manche Lieferantenwechsel, insbesondere solche im Zusammenhang mit dringenden Sicherheitsfragen, können nicht bis zum Abschluss vollständiger Genehmigungszyklen warten. Für diese Fälle sollten Sie Notfallverfahren definieren, die ein schnelles Handeln ermöglichen und gleichzeitig wichtige Informationen und Folgemaßnahmen erfassen. Dies kann kürzere Genehmigungsprozesse durch eine kleinere Gruppe von Entscheidungsträgern beinhalten, verbunden mit der klaren Verpflichtung, den Wechsel anschließend zu überprüfen.

Selbst in Notfällen können Sie zumindest sicherstellen, dass die Änderung protokolliert, grundlegende Risikoüberlegungen erfasst und eine nachträgliche Überprüfung geplant wird. So können Sie Kontrollen verschärfen oder Vorkehrungen anpassen, sobald das unmittelbare Risiko behoben ist, und vermeiden, dass sich ein Rückstand an nicht bewerteten Änderungen anhäuft.

Die Kommunikation mit Kunden ist ebenfalls Teil des Change-Managements. Wenn ein Lieferantenwechsel Ihre Kunden betrifft, benötigen Sie einen Plan, um zu erklären, was geschieht, wie Sie damit umgehen und was Ihre Kunden erwarten können. Gute Kommunikation kann das Vertrauen erhalten, selbst wenn die Ursache beim Lieferanten liegt, und zeigt, dass Sie Änderungen durch Dritte als Teil Ihrer Verantwortung betrachten.

ISMS.online unterstützt all dies, indem es die Änderungsdatensätze der Lieferanten mit Ihrem umfassenderen Änderungsmanagementprozess, Risiken, Anlagen und der Kundenkommunikation verknüpft, sodass Sie eine einheitliche Darstellung dessen erhalten, was sich geändert hat, warum und wie Sie darauf reagiert haben.



Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet MSP-Verantwortlichen eine transparente und nachvollziehbare Möglichkeit, zu belegen, dass die Lieferantenüberwachung fester Bestandteil des Arbeitsalltags ist und nicht erst im Rahmen eines Audits hinzugefügt wird. Wenn Sie Ihre kritischen Lieferanten, Risiken, Kontrollen und Nachweise zentral einsehen können, wird es deutlich einfacher, Kundenzusagen einzuhalten und gleichzeitig die Anforderungen der ISO 27001:2022 A.5.22 zu erfüllen.

Wie eine kurze Demo die Unsicherheit bei der Überwachung von MSP-Anbietern beseitigt

Eine kurze Demo veranschaulicht Ihnen, wie ein A.5.22-konformes Überwachungsmodell für Ihren Managed Service Provider (MSP) aussehen würde – vom ersten Lieferantendatensatz bis hin zu Änderungsfreigaben und Prüfvermerken. Anstatt sich vorzustellen, wie Ihre aktuellen Tabellenkalkulationen und E-Mail-Verläufe bei einem Audit abschneiden würden, können Sie eine zentrale Umgebung erkunden, in der Lieferantenregister, Überwachungsdaten, Prüfungen und Änderungsentscheidungen bereits strukturiert und übersichtlich dargestellt sind.

Als Inhaber oder Führungskraft eines Managed Service Providers (MSP) zeigt Ihnen ein Rundgang, wie Ihre wichtigsten Lieferanten, Überwachungsdaten, Prüfhistorie und Änderungsentscheidungen in einer einzigen Ansicht sichtbar sind, anstatt in verstreuten Dateien und E-Mails. So können Sie schwierige Fragen von Aufsichtsräten, Wirtschaftsprüfern und Kunden zur Kontrolle von Drittparteirisiken leichter beantworten und erhalten einen konkreten Weg, von informellen Vorgehensweisen zu einer disziplinierten Governance überzugehen, ohne Ihr Team zu überfordern.

In dieser Sitzung können Sie auch untersuchen, wie die Lieferantenüberwachung in Ihre übrigen ISMS-Aktivitäten, einschließlich Risikomanagement, Vorfallbearbeitung und Geschäftskontinuität, integriert ist. Das Erkennen dieser Zusammenhänge verdeutlicht oft, wo Sie ansetzen und wie Sie Ihre Verbesserungen schrittweise gestalten können, um die Kontrolle und die notwendigen Nachweise kontinuierlich aufzubauen, anstatt zu versuchen, alles auf einmal zu beheben.

Was MSP-Führungskräfte und -Teams typischerweise in einer Pilotphase untersuchen

In einem Pilotprojekt prüfen MSP-Leiter und ihre Teams üblicherweise, wie ISMS.online sie dabei unterstützen kann, Lieferanteninformationen einmalig zu erfassen und für Risikomanagement, Monitoring, Prüfungen und Änderungsmanagement wiederzuverwenden. Diese Erfahrung erleichtert die Entscheidung, ob eine formale Einführung Zeit spart, den Prüfungsaufwand reduziert und das Kundenvertrauen in Ihre Dienstleistungen stärkt.

Wenn Sie für Servicebereitstellung, Betrieb oder Sicherheit verantwortlich sind, können Sie erkennen, wie sich SLAs, KPIs und Incidents von Lieferanten in Ihre bestehenden IT-Servicemanagementprozesse integrieren lassen, ohne zusätzlichen Verwaltungsaufwand zu verursachen. Sie können untersuchen, wie sich Überprüfungszyklen, Risikobewertungen und Änderungsfreigaben durch klare Workflows und Erinnerungen steuern lassen, anstatt sich auf das Gedächtnis und manuelle Listen zu verlassen.

Wenn Sie sich auf ein Audit nach ISO 27001:2022, die Umstellung auf die neue Version oder eine anspruchsvolle Kundenprüfung vorbereiten, können Sie Ihren Ansatz in einem Pilotprojekt mit ein oder zwei wichtigen Lieferanten validieren. Dieses Pilotprojekt kann Auditoren und Kunden zeigen, dass Sie Abschnitt A.5.22 nicht nur verstehen, sondern ihn auch in Ihre tägliche Unternehmensführung und Ihr Lieferantenmanagement integriert haben.

Die Wahl von ISMS.online entbindet Sie nicht von der Notwendigkeit, Entscheidungen über Ihre Lieferanten zu treffen, bietet Ihnen aber eine strukturierte Umgebung, in der Sie diese Entscheidungen treffen, dokumentieren und belegen können. Wenn Sie eine nachweisbare, nachhaltige und ISO 27001:2022-konforme Lieferantenüberwachung wünschen, ist ISMS.online eine praktische Lösung, um Ihr Team zu unterstützen und Ihren Kunden zu zeigen, dass Sie langfristig ein vertrauenswürdiger und zuverlässiger Partner sind.

Kontakt


Häufig gestellte Fragen (FAQ)

Wie verändert ISO 27001 A.5.22 die Lieferantenüberwachung für einen Managed Service Provider (MSP) in der Praxis?

ISO 27001 A.5.22 führt Sie von der bloßen Feststellung „Wir haben Verträge“ hin zu „Wir können eine risikobasierte Kontrolle über die Lieferanten nachweisen, von denen unsere Dienstleistungen abhängen“. Für einen Managed Service Provider bedeutet dies, dass die Lieferantensteuerung in das tägliche Servicemanagement integriert sein muss und nicht in einem Beschaffungsordner verschwinden darf, den Sie einmal im Jahr öffnen.

Wie sieht „Live-Kontrolle“ über Lieferanten in der Praxis aus?

A.5.22 erwartet von Ihnen, dass Sie einen beliebigen wichtigen Lieferanten auswählen und schnell und sachlich darlegen können, warum Sie weiterhin Vertrauen in ihn haben. In der Praxis bedeutet dies, dass Sie Folgendes nachweisen können:

  • Eigentümer: eine namentlich genannte Person in Ihrem Team, die für die Beziehung und das Risiko verantwortlich ist.
  • Erwartungen: ein kurzer, dokumentierter Satz von KPIs/KRIs, die mit Verfügbarkeit, Sicherheit und Kundenauswirkungen verknüpft sind.
  • Aufsicht: eine Reihe von Überprüfungen, Entscheidungen und Folgemaßnahmen, nicht nur ein anfänglicher Fragebogen zur Sorgfaltsprüfung.
  • Änderungsmanagement: Beispiele, bei denen bedeutende Lieferantenwechsel Ihren Änderungskontrollprozess durchlaufen haben, wobei die Auswirkungen bewertet und Gegenmaßnahmen vereinbart wurden.

Für Managed Service Provider (MSPs) bedeutet dies oft den Übergang von der transaktionsorientierten Lieferantenverwaltung zur kontinuierlichen Lieferantensteuerung. Das stärkt die Resilienz und entspricht genau dem, was Unternehmenskunden, Aufsichtsbehörden und Cyberversicherer heute erwarten, wenn sie fragen: „Wie managen Sie Ihre Lieferkette?“

Damit das nicht noch mehr Tabellenkalkulationsaufwand wird, sollte Ihr ISMS diese Aufgabe übernehmen. Mit ISMS.online können Sie ein zentrales Lieferantenregister führen, jeden Lieferanten mit Risiken, Vorfällen, KPIs/KRIs und Bewertungen verknüpfen und eine einfache, nachvollziehbare Dokumentation erstellen, die Sie für ISO-27001-Audits, Kundenprüfungen und die Erneuerung von Cyberversicherungen wiederverwenden können.

Welche MSP-Anbieter sind gemäß A.5.22 wirklich „kritisch“, und wie kann man sie kategorisieren, ohne die Sache unnötig zu verkomplizieren?

Ein Lieferant ist von entscheidender Bedeutung, wenn ein Ausfall, eine Vertragsverletzung oder eine unangekündigte Änderung seinerseits zu Schäden führen könnte. mehrere Kunden, sensible Daten oder Ihre Fähigkeit, Kerndienstleistungen zu erbringen. ISO 27001 A.5.22 gibt Ihnen keine Liste vor, erwartet aber, dass Ihre Aufsicht risikobasiert und nachvollziehbar ist.

Wie lassen sich Stufen definieren, die Ihr Team tatsächlich nutzen wird?

Eine praktische Methode zur Einteilung von Lieferanten besteht darin, sie anhand verschiedener Kriterien zu bewerten. Wirkung und Substituierbarkeit:

  • Auswirkungen: Welchen Schaden für die Kunden, welchen Datenverlust oder welche Ausfallzeiten könnten sie verursachen, wenn etwas schiefgeht?
  • Substituierbarkeit: Wie schnell und sicher könnten Sie sich im Notfall entfernen?

Die meisten MSP-Portfolios lassen sich dann natürlich in drei Kategorien einteilen:

Tier 1 – Servicedefinierende Plattformen

Diese bilden die Grundlage für einen Großteil Ihrer Einnahmen und das Vertrauen Ihrer Kunden:

  • Anbieter von öffentlichen Cloud- und Rechenzentrumsdiensten.
  • Konnektivität und zentrale RMM/PSA-Tools.
  • Wichtige Sicherheitsplattformen wie E-Mail-Sicherheit, EDR, Backup/DR, Identitätsmanagement.

Ein einziger Fehler oder eine Designänderung kann hier die Service-Level-Agreements (SLAs) für Dutzende von Kunden verletzen oder große Datensätze gefährden. Daher ist eine besonders strenge Governance unerlässlich: Benennung eines Verantwortlichen, definierte KPIs/KRIs, eingehende jährliche Überprüfung und kontrolliertes Änderungsmanagement.

Stufe 2 – Wichtige, aber ersetzbare Dienstleistungen

Diese Dinge sind wichtig, aber Sie haben weitere Möglichkeiten:

  • Spezialisierte SaaS-Lösung, die von einer Teilgruppe der Kunden genutzt wird.
  • Überwachungs-Add-ons oder Nischen-Sicherheitstools.
  • Vertikale Branchenplattformen.

Die hier auftretenden Probleme sind zwar schmerzhaft, aber in der Regel beherrschbar. Leichtgewichtige KPIs, einige grundlegende Sicherheitsüberprüfungen und jährliche oder zweijährliche Überprüfungen reichen meist aus.

Stufe 3 – Versorgungsunternehmen mit geringen Umweltauswirkungen

Hierbei handelt es sich hauptsächlich um interne Störungen von kurzer Dauer:

  • Dokumentationsprogramme, kleine Kollaborationstools, interne HR-/Finanzdienstleistungen.

Ein einfacher Registereintrag mit anschließender Überprüfung bei Änderungen oder Vorfällen ist oft angemessen.

Sobald diese Stufen festgelegt sind, können Sie unterschiedliche Erwartungen je Stufe anwenden, ohne unnötigen Verwaltungsaufwand zu verursachen. In ISMS.online können Sie die Stufe für jeden Lieferanten erfassen, Bewertungen und Maßnahmen nach Stufe ordnen und verschiedene Arbeitsabläufe erstellen. So kann Ihr Team seine Ressourcen dort einsetzen, wo ein Lieferantenausfall Ihren Kunden und Ihrem Ruf wirklich schaden würde.

Welche Lieferanten-KPIs und -KRIs überzeugen einen ISO 27001-Auditor tatsächlich davon, dass Sie die Kontrolle haben?

Endlose Dashboards beeindrucken die Prüfer nicht; sie wollen sehen, dass Sie Die wenigen Dinge messen, die wirklich wichtig sind, und handeln, wenn sie sich verändern. Für einen Managed Service Provider (MSP) konzentrieren sich die überzeugendsten Indikatoren auf Verfügbarkeit, Sicherheit und Abhängigkeit.

Welche Maßnahmen senden ein starkes Signal, ohne Ihr Team zu überfordern?

Die Anforderungen eines Wirtschaftsprüfers lassen sich in der Regel mit einem kleinen, fokussierten Indikatorensatz abdecken:

Leistungsindikatoren (KPIs)

  • Verfügbarkeit versus SLA: für Kernplattformen der letzten 6–12 Monate, einschließlich aller erfassten Servicegutschriften und Korrekturmaßnahmen.
  • Kennzahlen zu Lieferantentickets: – durchschnittliche Bearbeitungszeiten, bei denen der Lieferant der Engpass ist.
  • Ausführung vereinbarter Sicherheitsaufgaben: – Abschlussquoten für Patch-Fenster, Wiederherstellungstests oder Attestierungen, zu denen sich der Lieferant verpflichtet hat.

Risikoindikatoren (KRIs)

  • Ergebnisse der offenen Prüfung: – Anzahl und Schweregrad der ungelösten Probleme aus SOC 2 / ISO 27001-Berichten oder internen Bewertungen.
  • Überfällige Abhilfemaßnahmen: – vereinbarte Korrekturen, deren Fälligkeitsdatum überschritten ist, insbesondere für Tier 1-Lieferanten.
  • Häufigkeit ungeplanter Änderungen: – wie oft sich der Zustand des Bodens ohne oder mit nur geringer Vorwarnung verändert.
  • Konzentrationsrisiko: – wenn ein Lieferant mehrere wirkungsvolle Dienstleistungen oder einen großen Teil des Umsatzes abdeckt.

Diese werden dann überzeugend, wenn sie eindeutig mit dem Verhalten verknüpftSie tauchen in den Tagesordnungen von Überprüfungen auf, sie führen zu Änderungen der Risikobewertung, sie lösen Designaktualisierungen oder schwierige Gespräche mit Lieferanten aus.

Wenn Sie Lieferanten, KPIs/KRIs, Risiken und Bewertungen in ISMS.online zentral verwalten, können Sie souverän antworten, wenn ein Auditor oder Kunde fragt: „Warum haben Sie weiterhin Vertrauen zu diesem Lieferanten?“ oder „Was hat sich nach dem letzten Vorfall geändert?“. Sie präsentieren ihnen einfach die Kennzahlen, die Gesprächsnotizen und die bereits ergriffenen Maßnahmen – alles in einem System, anstatt verstreut in E-Mails und einzelnen Dateien.

Wie sollte ein MSP-Routenanbieter Änderungen vornehmen, damit er nicht unbemerkt neue Risiken einführt?

Viele schwerwiegende Probleme mit Zulieferern beginnen mit einer unauffälligen Änderung statt mit einem dramatischen Ausfall: eine neue Rechenzentrumsregion, ein zusätzlicher Subprozessor, aktualisierte SLAs oder eine Anpassung des Supportmodells. A.5.22 erwartet von Ihnen, dass Sie dies berücksichtigen. signifikante Lieferantenwechsel als kontrollierte Änderungen in Ihrer Umgebung, nicht als Hintergrundgeräusch.

Welche Arten von Lieferantenwechseln erfordern eine formale Folgenabschätzung?

Man muss nicht jedes kosmetische Update aufwerten, aber einige Kategorien sollten immer einen strukturierten Look auslösen:

  • Größere Versionsaktualisierungen oder Plattform-Neugestaltungen.
  • Neue Kernkomponenten oder Abhängigkeiten in Ihrem Service-Stack.
  • Entfernung von Funktionen, auf die Sie für Ausfallsicherheit oder Sicherheit angewiesen sind.

Diese können Ausfallarten, Leistung und Integrationsmuster für viele Kunden gleichzeitig verändern.

Änderungen bei Daten, Zugriff und Gerichtsbarkeit

  • Neue Hosting-Regionen oder Rechenzentren, insbesondere über rechtliche Grenzen hinweg.
  • Zusätzliche Unterauftragnehmer oder Supportstandorte, die auf Kundendaten zugreifen können.
  • Änderungen der Zugriffsmodelle oder Berechtigungsstufen.

Hierbei liegt das Risiko oft sowohl im regulatorischen als auch im technischen Bereich.

Vertrags-, SLA- und Richtlinienänderungen

  • Unterschiedliche Verfügbarkeits- oder Supportverpflichtungen.
  • Angepasste Fristen für die Meldung von Vorfällen.
  • Aktualisierte Datenverarbeitungsbedingungen oder Sicherheitsverpflichtungen.

Wenn Sie diese Punkte übersehen, laufen Sie Gefahr, Ihren Kunden zu viel zu versprechen im Vergleich zu dem, wozu Ihre Lieferanten sich aktuell verpflichten.

Ein einfaches, wiederholbares Muster funktioniert gut:

  1. Aufnahme: Bewahren Sie die Mitteilung, die Freigabeerklärung oder den rot markierten Vertrag auf.
  2. Beurteilen: Auswirkungen auf Sicherheit, Datenschutz, Geschäftskontinuität und Kundenverträge berücksichtigen.
  3. Entscheiden: Akzeptieren, mit Auflagen akzeptieren, Änderungen aushandeln oder einen Umzug planen.
  4. Update: Passen Sie Risikoeinträge, Betriebshandbücher, Leistungsbeschreibungen und Kundenkommunikation gegebenenfalls an.

In ISMS.online können Sie jede wichtige Lieferantenänderung direkt mit dem Lieferantendatensatz, den betroffenen Risiken, Maßnahmen und Nachweisen verknüpfen. So erhalten Sie eine übersichtliche Dokumentation, die Sie bei Audits und Kundengesprächen nutzen können, um zu zeigen, dass Sie Änderungsmitteilungen nicht nur erhalten, sondern verstanden und kontrolliert umgesetzt haben.

Wie oft sollten Managed Service Provider (MSPs) kritische Lieferanten überprüfen, und wie sieht eine überzeugende Überprüfung gemäß A.5.22 aus?

ISO 27001 überlässt Ihnen die Festlegung des Zeitplans, aber A.5.22 erwartet, dass Lieferantenbewertungen durchgeführt werden. Risikobasiert, wiederholbar und im Einklang mit der Geschwindigkeit der Veränderungen. Für Managed Service Provider (MSPs) bedeutet dies in der Regel häufigere und gründlichere Überprüfungen der Tier-1-Lieferanten, wobei der Aufwand für die Lieferanten der unteren Stufen in gleichem Maße erfolgt.

Welcher Rezensionsrhythmus und welche Inhalte erweisen sich in der Regel als haltbar?

Ein Muster, das für viele Managed Service Provider (MSPs) gut funktioniert, ist:

  • Tier-1-Lieferanten: mindestens eine jährliche strukturierte Überprüfung sowie zusätzliche Überprüfungen nach schwerwiegenden Vorfällen oder Änderungen.
  • Tier-2-Lieferanten: Jährliche oder zweijährliche Überprüfungen mit Schwerpunkt auf Servicequalität und grundlegender Qualitätssicherung.
  • Tier-3-Lieferanten: Eine Überprüfung erfolgt bei wesentlichen Änderungen oder wenn sie im Zusammenhang mit Vorfällen oder Risikodiskussionen auftreten.

Für eine Tier-1-Prüfung bietet Ihnen eine klare, wiederholbare Agenda sowohl Kontrolle als auch Beweismaterial:

  • Aktuelle ISO 27001 / SOC 2 Berichte, Zusammenfassungen von Penetrationstests oder Sicherheitserklärungen.
  • Alle wesentlichen Änderungen des Untersuchungsgegenstands oder neue Erkenntnisse seit der letzten Überprüfung.
  • Verfügbarkeit und SLA-Performance im betrachteten Zeitraum.
  • Wesentliche Vorfälle oder Beinaheunfälle und wie Sie und der Lieferant darauf reagiert haben.
  • Muster, die Sie in Ihrem eigenen Ticketing- und Monitoring-System erkennen.
  • Änderungen der Architektur, der Region, der Eigentumsverhältnisse oder der Unterprozessoren.
  • Vertrags- oder SLA-Änderungen, die Ihre Kundenzusagen beeinträchtigen könnten.
  • Ob Ihre aktuelle Risikobewertung für den Lieferanten noch angemessen erscheint.
  • Was der Lieferant Ihrer Meinung nach beheben oder verbessern muss.
  • Was Sie in Ihren eigenen Entwürfen, Dokumentationen oder Verträgen ändern werden.
  • Wem gehört die jeweilige Aktion und wann wird der Fortschritt überprüft?

Die Erfassung dieser Überprüfung in Form eines kurzen Protokolls mit beigefügten Nachweisen und nachverfolgten Maßnahmen ist in der Regel mehr als ausreichend, um einen ISO 27001-Auditor und das Beschaffungsteam eines Unternehmenskunden zufriedenzustellen.

ISMS.online unterstützt Sie bei der Planung von Überprüfungen nach Stufen, dem Hinzufügen relevanter Nachweise, der Protokollierung von Entscheidungen und der Nachverfolgung von Maßnahmen – alles an einem Ort. Mit der Zeit werden diese gesammelten Überprüfungsprotokolle zu einem aussagekräftigen Beleg gegenüber Auditoren, Kunden und sogar Cyberversicherern, dass Sie Lieferkettenrisiken als kontinuierliche Aufgabe und nicht als jährliche Notfallübung betrachten.

Wie kann ein Managed Service Provider (MSP) dafür sorgen, dass sich die Lieferantenüberwachung wie ein normaler Arbeitsablauf anfühlt und nicht wie eine lästige Pflicht zur Einhaltung von Vorschriften?

Die Managed Service Provider (MSPs), die am besten mit A.5.22 zurechtkommen, starten kein separates „Lieferanten-Governance-Projekt“. Sie Lieferantendenken in die Prozesse einweben, denen ihre Teams bereits vertrauen – Vorfallmanagement, Änderungskontrolle, Serviceüberprüfungen und Risikomanagement – ​​damit die Einhaltung von Vorschriften sich aus einem guten Betriebsablauf ergibt, anstatt mit ihm in Konkurrenz zu stehen.

Wie sieht die integrierte Lieferantenüberwachung im Alltag aus?

Man kann in der Regel gute Ergebnisse erzielen, indem man Lieferanten über vertraute Abläufe anbindet:

  • Kennzeichnen Sie Vorfälle und Probleme, die Dienste von Drittanbietern betreffen.
  • Wenn sich ein Muster abzeichnet – wiederholte Ausfälle, chronische Langsamkeit, wiederholte Umgehungslösungen –, verknüpfen Sie es mit den Lieferantendaten und überprüfen Sie die damit verbundenen Risiken und KPIs/KRIs erneut.

Dadurch wird verhindert, dass chronische Lieferantenprobleme in einzelnen Tickets versteckt werden.

  • Behandeln Sie wesentliche Lieferantenänderungen als Standardänderungen in Ihrem eigenen System.
  • Führen Sie sie einer Folgenabschätzung, Genehmigungsverfahren und Kommunikationsmaßnahmen im Zusammenhang mit internen Änderungen durch.

Dadurch wird sichergestellt, dass sich Änderungen in vorgelagerten Prozessen in Ihren eigenen Kontrollmechanismen widerspiegeln, bevor die Kunden die Auswirkungen spüren.

  • Nehmen Sie die Lieferantenleistung und das damit verbundene Risiko als festen Bestandteil in Ihre Service-Review-Agenda auf.
  • Nutzen Sie dieselben Kennzahlen, die Sie in Ihrem ISMS führen, um Kunden und internen Stakeholdern zu erklären, was funktioniert, was sich ändert und was Sie dagegen unternehmen.

Transparenz hinsichtlich vorgelagerter Dienstleistungen stärkt oft das Kundenvertrauen, anstatt es zu untergraben.

  • Verknüpfen Sie Lieferanten explizit mit den Risiken, die sie beeinflussen.
  • Bei einem Zwischenfall, einer Feststellung im Rahmen der Qualitätssicherung oder einer wesentlichen Änderung sollte dies als Anlass genommen werden, die damit verbundenen Risiken und Behandlungsmaßnahmen zu überprüfen.

Mit der Zeit wird die „Lieferantenüberwachung“ so zu einer Gewohnheit, die still im Hintergrund abläuft, anstatt zu einer Checkliste, die man nur vor einem Audit anfasst.

ISMS.online wurde speziell für diesen integrierten Ansatz entwickelt: Lieferanten, Risiken, Vorfälle, Überprüfungen und Änderungen befinden sich in derselben Umgebung, mit Workflows, die auf die tatsächliche Arbeitsweise von Managed Service Providern (MSPs) abgestimmt sind. So erfüllen Sie die Anforderungen von A.5.22 leichter und positionieren Ihr Unternehmen gleichzeitig als Anbieter, der Lieferkettenrisiken als integralen Bestandteil professioneller Dienstleistungen betrachtet – genau die Art von Partner, die Unternehmenskunden und Aufsichtsbehörden suchen.

Mark Sharron

Mark Sharron leitet die Strategie für Suche und generative KI bei ISMS.online. Sein Schwerpunkt liegt auf der Vermittlung der praktischen Umsetzung von ISO 27001, ISO 42001 und SOC 2 – der Verknüpfung von Risiken mit Kontrollen, Richtlinien und Nachweisen mit auditfähiger Rückverfolgbarkeit. Mark arbeitet mit Produkt- und Kundenteams zusammen, um diese Logik in Arbeitsabläufe und Webinhalte zu integrieren und Unternehmen dabei zu helfen, Sicherheit, Datenschutz und KI-Governance sicher zu verstehen und nachzuweisen.

Twitter

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.