Warum Cloud- und MSP-Anbieter jetzt Ihre primäre Angriffsfläche darstellen
Cloud- und MSP-Anbieter sind mittlerweile in Ihre kritischen Prozesse eingebunden, sodass Schwachstellen in deren Kontrollmechanismen schnell zu Schwachstellen in Ihrer eigenen Sicherheit werden. Durch die Integration einer Plattform, eines Hosting-Anbieters oder eines Managed Service in Ihre IT-Umgebung vergrößern Sie Ihre Angriffsfläche, erhöhen Ihr Risiko durch regulatorische Vorgaben und Ihre Abhängigkeit von der Resilienz und operativen Disziplin anderer.
Diese Informationen sind allgemeiner Natur und stellen keine Rechts-, Regulierungs- oder Finanzberatung dar; Sie sollten sich vor Entscheidungen entsprechend professionell beraten lassen.
Cloud- und Managed-Service-Provider (MSPs) sind in Ihre kritischen Prozesse eingebunden.
Cloud- und Managed-Service-Provider (MSPs) werden Teil Ihrer Produktionsumgebung, sobald sie Kundendaten verarbeiten, Kernsysteme betreiben oder Ihre Netzwerke administrieren. Aus Sicht von Aufsichtsbehörden und Kunden bedeutet dies, dass diese Anbieter in Ihre Servicebereitstellung eingebunden sind, sodass deren Ausfälle oder Sicherheitslücken nicht von Ihren eigenen zu unterscheiden sind.
Selbst wenn die Dienstleistung als „ausgelagert“ bezeichnet wird, behandeln Aufsichtsbehörden, Kunden und Wirtschaftsprüfer das Risiko weiterhin als Ihr Risiko, da Sie den Anbieter gewählt haben und von der Dienstleistung profitieren. Datenschutzbehörden erklären beispielsweise, dass Verantwortliche auch dann für die Handlungen ihrer Auftragsverarbeiter verantwortlich bleiben, wenn die Datenverarbeitung ausgelagert ist. Dies bekräftigt den Grundsatz, dass sich die Verantwortlichkeit nicht allein durch einen Vertrag übertragen lässt. Leitlinien von Behörden wie dem britischen Information Commissioner’s Office (ICO) verdeutlichen diese geteilte Verantwortung.
Der Bericht „State of Information Security 2025“ stellte fest, dass die Mehrheit der Organisationen im vergangenen Jahr bereits von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen war.
Sie sollten in der Lage sein, in einfachen Worten zu beantworten, was mit Ihrem Betrieb geschieht, wenn ein wichtiger Lieferant ausfällt, kompromittiert wird oder plötzlich nicht mehr verfügbar ist. Diese einfache Frage ist oft der schnellste Weg, um herauszufinden, welche Lieferanten eindeutig unter den Geltungsbereich Ihres Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 fallen.
Wenn ein Lieferant auf Ihrem kritischen Pfad liegt, wird dessen Vorfall sehr schnell zu Ihrem Vorfall.
Moderne Angriffe zielen häufig auf Cloud-Konsolen, Identitätsanbieter und MSP-Fernverwaltungstools ab, da diese Zugangspunkte es Angreifern ermöglichen, sich gleichzeitig lateral über viele Kundennetzwerke zu bewegen. Aktuelle Bedrohungsanalysen von Strafverfolgungsbehörden, wie beispielsweise die Internet Organised Crime Threat Assessment (IOCTA) von Europol, beschreiben Kampagnen, bei denen Angreifer mandantenfähige Verwaltungsschnittstellen und Identitätssysteme missbrauchen, um mit einer einzigen Operation zahlreiche Organisationen zu kompromittieren. Wenn Sie die Sicherheit Ihrer Lieferanten lediglich als gelegentliche Fragebogenübung betrachten, wird es Ihnen schwerfallen, Ihrem Vorstand zu erklären, wie Sie sich in einer Cloud-lastigen Umgebung vor den wichtigsten Risiken schützen.
Schattenlieferanten und geteilte Verantwortung erhöhen Ihr Risiko
Schattenlieferanten entstehen, wenn Teams Dienstleistungen nutzen, ohne die Bereiche Sicherheit, Beschaffung oder Recht einzubeziehen. Dadurch erhöht sich Ihr Risiko, da Sie nicht kontrollieren können, was Sie nicht sehen. Marketingabteilungen setzen möglicherweise neue SaaS-Plattformen ein, Entwicklungsteams nutzen Dienstleistungen direkt bei Anbietern, und regionale Niederlassungen beauftragen lokale Managed Service Provider (MSPs) mit der Lösung dringender Probleme.
Diese Schattenlieferanten erlangen oft privilegierten Zugriff oder Kopien sensibler Daten lange vor einer formellen Überprüfung. Gleichzeitig basieren Cloud- und MSP-Modelle auf geteilter Verantwortung. Anbieter sichern große Teile der Infrastruktur, aber Sie bleiben für Konten, Konfiguration, Daten und die Kombination der Dienste verantwortlich.
Wenn es zu Vorfällen kommt, zeigen Untersuchungen häufig, dass die Verantwortlichkeiten der Anbieter klar abgegrenzt waren und die der Kunden begannen. Viele ISO-27001-Programme behandeln Lieferanten- und Cloud-Risiken mittlerweile als Standardeinträge im selben Risikoregister wie interne Risiken, wodurch diese verschwommenen Grenzen leichter hinterfragt werden können. Dieser Ansatz entspricht dem risikobasierten Modell der ISO 27001, das vorsieht, dass Risiken im Zusammenhang mit externen Parteien zusammen mit internen Risiken bewertet, behandelt und überwacht werden und nicht in einem völlig separaten Prozess. Dies spiegelt sich auch in gängigen Interpretationen des Standards wider, wie sie beispielsweise auf iso27001security.com zusammengetragen wurden.
Ein risikobasiertes ISO 27001-Programm bietet Ihnen die Möglichkeit, diese Komplexität zu strukturieren. Indem Sie Lieferanten- und Cloud-Risiken als Teil Ihres ISMS-Geltungsbereichs behandeln, können Sie:
- Klassifizieren Sie die Lieferanten nach den tatsächlichen geschäftlichen Auswirkungen eines Ausfalls oder einer Kompromisslösung.
- Entscheiden Sie, welche Lieferanten gemäß ISO 27001 einer Risikobewertung, Überwachung und Überprüfung unterzogen werden müssen.
- Entwickeln Sie eine konsistente Darstellung darüber, wie Drittparteienrisiken identifiziert, behandelt und nachgewiesen werden.
Zusammengenommen verwandeln diese Schritte das Lieferantenmanagement von einer ad-hoc-Sammlung von Fragebögen in einen nachvollziehbaren, wiederholbaren Bestandteil Ihres Informationssicherheitsmanagementsystems.
Eine Plattform wie ISMS.online kann Ihnen dabei helfen, diese einheitliche Sicht auf Ihre Lieferanten zu erhalten, indem sie Ihr Anlageninventar, Ihr Risikoregister und Ihr Kontrollsystem miteinander verknüpft, sodass Cloud- und MSP-Beziehungen nicht mehr isoliert verwaltet werden.
KontaktISO 27001:2022 als Rückgrat der Lieferantensteuerung
ISO 27001:2022 bietet Ihnen ein fertiges Management-Gerüst für die Lieferantenüberwachung – vorausgesetzt, Sie übersetzen die darin enthaltenen Klauseln und Kontrollen in eine klare, gemeinsame Vorgehensweise. Anstatt das Lieferantenmanagement als separate Initiative zu behandeln, können Sie ISO 27001 nutzen, um es als einen der Kernprozesse Ihres ISMS zu etablieren – mit definierten Zielen, Rollen, Aufzeichnungen und Prüfpunkten.
Laut der ISMS.online-Umfrage 2025 erwarten Kunden zunehmend, dass ihre Lieferanten sich an formale Rahmenwerke wie ISO 27001, ISO 27701, DSGVO, Cyber Essentials, SOC 2 und neue KI-Standards anpassen.
Identifizieren Sie die ISO 27001-Anforderungen, die Lieferanten betreffen
Mehrere Teile der ISO 27001:2022 haben direkten Einfluss darauf, wie Sie Cloud- und MSP-Anbieter steuern. Daher spart eine frühzeitige Zuordnung dieser Anforderungen späteren Aufwand. Wenn Sie diese Anforderungen mit Ihren bestehenden Arbeitsabläufen verknüpfen, wird die Lieferantenüberwachung zu einer Erweiterung Ihres bestehenden ISMS und nicht zu einer parallelen Aktivität.
In der Praxis kann diese Zuordnung als Referenz dienen, die bei der Diskussion von Drittparteirisiken herangezogen wird. Insbesondere sollten Sie Folgendes berücksichtigen:
- Die Klauseln „Kontext“ und „Geltungsbereich“ verpflichten Sie, Abhängigkeiten von externen Parteien zu berücksichtigen.
- Risikobewertungs- und -behandlungsklauseln sehen vor, dass lieferantenbezogene Risiken wie alle anderen Risiken analysiert und behandelt werden.
- Die Betriebsklauseln setzen dokumentierte Prozesse zur Kontrolle ausgelagerter Aktivitäten voraus.
- Die in Anhang A festgelegten Regelungen zu Lieferantenbeziehungen, Zugriffskontrolle, Protokollierung, Geschäftskontinuität und Vorfallmanagement gelten sowohl für Dienstleistungen von Drittanbietern als auch für Ihre eigenen Systeme.
Ein praktischer erster Schritt ist die Erstellung eines einseitigen „Lieferantenleitfadens“, der die ISO-27001-Klauseln und -Kontrollen auflistet, die jede Phase des Lieferantenlebenszyklus regeln. Zum Beispiel:
- Auswahl und Sorgfaltsprüfung gemäß Anhang A Lieferantenkontrollen und Ihrer Risikobewertungsmethode.
- Vertragsgestaltung und Onboarding im Einklang mit Zugriffskontrolle, Informationstransfer und Datenschutzerwartungen.
- Monitoring, Audit und Review sind auf die Anforderungen der Leistungsbewertung und der kontinuierlichen Verbesserung abgestimmt.
- Ausstieg und Übergang sind mit Backup-, Asset-Rückgabe- und sicheren Löschkontrollen verknüpft.
Wenn Sie diese Übersicht den Verantwortlichen aus den Bereichen Beschaffung, IT, Recht und Datenschutz zeigen, verwandeln Sie ISO 27001 von einem spezialisierten Sicherheitsdokument in eine gemeinsame Governance-Referenz, mit der alle arbeiten können.
Den Lieferantenlebenszyklus als gemeinsame Geschichte nutzen
Die Verwendung eines einfachen Lieferantenlebenszyklus als Grundlage für Ihre Argumentation erleichtert es auch Nicht-Fachleuten, die Anforderungen der ISO 27001 zu verstehen. Für die meisten Organisationen umfasst dieser Lebenszyklus die Phasen Idee, Auswahl, Vertragsabschluss, Onboarding, Betrieb, Änderung und Ausstieg – ganz im Sinne der üblichen Vorgehensweise beim Kauf und der Nutzung von Dienstleistungen.
ISO 27001 fordert Sie auf, Prozesse zu definieren, zu betreiben und zu verbessern; der Lebenszyklus gibt die Struktur vor, der diese Prozesse folgen. In jeder Phase können Sie Folgendes definieren:
- Die zu treffenden Entscheidungen (zum Beispiel: „Können wir diesen MSP überhaupt nutzen?“).
- Die Informationen, die zur Entscheidungsfindung erforderlich sind (Risikobewertungen, Ergebnisse der Due-Diligence-Prüfung, Rechtsberatung).
- Die minimalen, an ISO 27001 angepassten Dokumente, die Sie erstellen und aufbewahren (Risikobewertungen, Verträge, Besprechungsprotokolle, Vorfallsberichte).
- Die für Genehmigungen und die Aufsicht zuständigen Rollen und Gremien.
Dies bietet eine Grundlage, an der sich Richtlinienverantwortliche, Prozessmanager und Tool-Administratoren orientieren können. Erfahrungsgemäß fällt es Organisationen, die Lieferanten anhand dieses Lebenszyklusmodells beschreiben, oft leichter, ihren Ansatz gegenüber Auditoren und anderen Prüfern zu erläutern, da der Lebenszyklus eine einfache Struktur für ansonsten komplexe Prozesse bietet.
Wenn Sie später Teile des Lebenszyklus in einem System wie ISMS.online automatisieren, wissen Sie bereits, welche Schritte, Aufzeichnungen und Genehmigungen für die Zertifizierung, die Kunden und die Aufsichtsbehörden am wichtigsten sind.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Aufbau eines praktischen Lieferantenmanagement-Rahmenwerks für Cloud- und Managed Service Provider
Ein Lieferantenrahmen funktioniert nur, wenn er im täglichen Entscheidungsprozess tatsächlich Anwendung findet. Um in einer Cloud-lastigen Umgebung sinnvoll zu sein, muss Ihr Rahmen risikobasiert, verhältnismäßig und so einfach sein, dass Einkauf, Sicherheit, Rechtsabteilung und Geschäftsleitung ihn konsistent anwenden können, ohne jedes Mal Spezialkenntnisse zu benötigen.
In der ISMS.online-Umfrage „State of Information Security 2025“ nannten rund 41 % der Unternehmen die Bewältigung von Drittparteirisiken und die Überwachung der Lieferantenkonformität als eine der größten Herausforderungen.
Zulieferer auf Risikobasis, daher entspricht der Aufwand dem Risiko
Die Kategorisierung von Lieferanten nach Risiko ermöglicht es, den Aufwand dort zu konzentrieren, wo er die größte Wirkung erzielt, und eine übermäßige Überprüfung zu vermeiden. Der Versuch, alle Lieferanten gleich zu behandeln, führt schnell zu Widerstand, da die Teams sehen, dass auch Dienstleistungen mit geringem Risiko strengen Kontrollen unterzogen werden.
Ein kleines, risikoarmes SaaS-Tool benötigt nicht dieselbe detaillierte Bewertung wie ein Managed Service Provider mit Domänenadministratorrechten für Ihre Produktionsumgebung. Der risikobasierte Ansatz der ISO 27001 ermöglicht Ihnen eine Differenzierung, die Sie Stakeholdern und Auditoren nachvollziehbar erläutern können.
Ein praktischer Einstieg besteht darin, eine kleine Anzahl von Ebenen zu definieren, zum Beispiel:
- Kritische Plattformen, deren Nichtverfügbarkeit oder Kompromittierung Ihren Geschäftsbetrieb erheblich beeinträchtigen würde.
- Managed Service Provider (MSPs) und Outsourcing-Anbieter mit privilegiertem Zugriff auf Kernsysteme oder Netzwerke.
- Standard-SaaS- oder Cloud-Dienste, die Geschäftsdaten verarbeiten, aber nicht auf dem kritischen Pfad liegen.
- Versorgungsunternehmen mit geringem Risiko, die nur eingeschränkten Zugriff haben und nicht sensible Informationen verarbeiten.
Das untenstehende einfache Stufenmodell zeigt, wie Sie Lieferantentypen mit übergeordneten Aufsichtserwartungen verknüpfen können.
Die Kategorisierung der Lieferanten nach Art und Aufsichtsschwerpunkt lässt sich wie folgt zusammenfassen:
| Lieferantenebene | Typische Beispiele | Aufsichtsschwerpunkt |
|---|---|---|
| Kritische Plattformen | Kern-CRM, ERP, Zahlungsportale | Gründliche Due-Diligence-Prüfung, regelmäßige Überprüfungen |
| Privilegierte MSPs | Verwaltete Infrastruktur, Sicherheitsdienste | Strenge Zugangskontrolle, Vorfallkoordination |
| Business-SaaS | Zusammenarbeit, Marketing, HR-Systeme | Standardprüfungen, jährliche Überprüfung |
| Versorgungsunternehmen mit niedrigem Risiko | Überwachungstools, Zusatz-Plug-ins | Grundlegende Registereingabe, leichte Überprüfung |
Für jede Stufe entscheiden Sie dann:
- Welche Beurteilungen und Dokumente sind obligatorisch?
- Welche ISO 27001-Kontrollen erwarten Sie von Ihren Lieferanten?
- Wie häufig die Beziehung überprüft wird.
- Wer hat die Befugnis, Ausnahmen zu genehmigen oder das Restrisiko zu akzeptieren?
Da die Stufen auf objektiven Kriterien wie Datensensibilität, Zugriffsart und Kritikalität basieren, lassen sie sich gegenüber Prüfern und internen Stakeholdern erläutern und begründen. Mit der Zeit werden diese Stufen oft Teil Ihrer umfassenderen Risikokommunikation und nicht nur ein Instrument im Beschaffungswesen.
Definiere Rollen, Daten und Zuständigkeiten, damit nichts übersehen wird.
Eine klare Verantwortlichkeitsstruktur ist unerlässlich, damit Ihr Rahmenwerk in der Praxis funktioniert und nicht nur auf dem Papier existiert. Eine Cloud- oder MSP-Beziehung betrifft viele Teams: Einkauf, Sicherheit, IT-Betrieb, Datenschutz, Rechtsabteilung und den Geschäftsinhaber, der den Service benötigt. ISO 27001 fordert, dass deren Verantwortlichkeiten definiert werden.
Ein praktischer Ansatz besteht darin, für jede Phase des Lebenszyklus Folgendes festzulegen:
- Welche Rolle initiiert oder ist für die Aktion verantwortlich (z. B. ein Geschäftsinhaber, der eine Anfrage stellt)?
- Welche Rollen müssen konsultiert bzw. genehmigt werden (Sicherheit, Datenschutz, Recht, Beschaffung)?
- Welche Informationen müssen in Ihrem Lieferantendatensatz erfasst werden (Dienstleistungen, Datentypen, Zugriff, Standorte, Risikostufe, wichtige Ansprechpartner)?
- Wie und wo die Datensätze gespeichert werden, damit sie zugänglich und aktuell bleiben.
Schritt 1 – Die aktuelle Reise abbilden
Skizzieren Sie, wie ein typischer Lieferant heutzutage gefunden, bewertet, zugelassen, integriert und überprüft wird, damit Sie erkennen können, wo Verantwortlichkeiten unklar sind oder Arbeit doppelt ausgeführt wird.
Schritt 2 – Klare Rollen und Datenfelder zuweisen
Legen Sie fest, wer für welchen Schritt verantwortlich ist, welche Informationen erfasst werden müssen und wo diese gespeichert werden sollen. Dokumentieren Sie dies anschließend in einer einfachen Sprache, die die Teams verstehen können.
Eine Plattform wie ISMS.online vereinfacht diesen Prozess, indem sie einen zentralen Arbeitsbereich für Lieferanten bereitstellt. Dort sind Datensätze, Risiken, Verträge, Aufgaben und Prüftermine zentral gespeichert, anstatt über E-Mails und Tabellenkalkulationen verstreut zu sein. Wenn alle Teams dieselben Informationen sehen und dieselben Arbeitsabläufe nutzen, verringert sich das Risiko, dass wichtige Schritte oder Aktualisierungen übersehen werden.
In dieser Phase bietet es sich an, gemeinsam mit den Kollegen aus Einkauf, Sicherheit und Datenschutz den aktuellen Lieferantenlebenszyklus zu analysieren. Ein Vergleich mit einem ISO 27001-konformen Lebenszyklus deckt oft schnell umsetzbare Optimierungspotenziale auf, noch bevor Änderungen an den Tools vorgenommen werden.
Entwicklung von ISO 27001-konformen Risikobewertungen für Cloud- und MSP-Anbieter
Risikobewertungen sind ein zentraler Bestandteil der ISO 27001, und Lieferanten sollten wie jede andere bedeutende Risikoquelle behandelt werden. Die Herausforderung besteht darin, eine Methode zu entwickeln, die strukturiert genug ist, um einer kritischen Prüfung standzuhalten, aber gleichzeitig so flexibel, dass Teams sie für die zahlreichen Cloud- und MSP-Beziehungen, die sie betreuen, anwenden können.
Entscheiden Sie, was einen Lieferanten von Natur aus riskant macht.
Das inhärente Risiko ist das Risiko, dem Sie ausgesetzt wären, wenn auf beiden Seiten keine Kontrollmechanismen vorhanden wären. Es bildet die Grundlage dafür, wie detailliert Sie einen Lieferanten prüfen müssen. Bei Cloud- und MSP-Anbietern ergibt sich das inhärente Risiko üblicherweise aus einer Kombination von Datensensibilität, Zugriffsebene und operativer Kritikalität.
In vielen etablierten ISMS-Implementierungen verwenden Teams einige einfache Fragen, um Lieferanten einheitlich zu bewerten. Leitlinien zum Cybersicherheitsrisikomanagement in der Lieferkette, darunter die NIST Special Publication 800-161 zum Management von Lieferkettenrisiken für föderale Systeme, beschreiben ähnliche faktorenbasierte Ansätze, die Datensensibilität, Zugriff und Kritikalität berücksichtigen. Dies unterstützt den Einsatz strukturierter Fragensätze für eine konsistente Lieferantenrisikobewertung (NIST SP 800-161 Rev. 1). Für Cloud- und MSP-Anbieter sind die wichtigsten Einflussfaktoren in der Regel:
- Art und Sensibilität der Daten, die sie verarbeiten, speichern oder einsehen können.
- Der Umfang des Zugriffs, den sie auf Ihre Systeme und Netzwerke haben.
- Die entscheidende Bedeutung der von ihnen unterstützten Dienste für Ihren Betrieb und Ihre Kunden.
- Die Rechtsordnungen und Regionen, in denen sie tätig sind oder Daten speichern.
- In welchem Maße Sie von ihnen als einzigem Ausfallpunkt abhängig sind.
Ein einfaches Bewertungsmodell, das diese Faktoren gewichtet, ermöglicht eine transparente Priorisierung der Aufmerksamkeit. Lieferanten mit hohem inhärentem Risiko kommen dann für eine eingehendere Due-Diligence-Prüfung, stärkere vertragliche Verpflichtungen und häufigere Überprüfungen in Frage.
Ihr Modell sollte auch bekannte Angriffsmuster und regulatorische Vorgaben berücksichtigen. Beispielsweise bedarf ein Anbieter, der die Fernadministration Ihrer Infrastruktur übernimmt, einer strengeren Überprüfung als ein Anbieter von Versorgungsleistungen mit geringen Berechtigungen, selbst bei vergleichbaren Ausgaben. Sicherheitsrichtlinien für Managed Service Provider (MSPs) heben regelmäßig die deutlich höheren Auswirkungen von Kompromittierungen auf dieser Zugriffsebene im Vergleich zu Drittanbietern mit geringeren Berechtigungen hervor, wie etwa in Analysen von Angriffen auf MSPs, die von Incident-Response-Unternehmen veröffentlicht wurden (Mandiant MSP-Sicherheitsrichtlinien).
Unterscheiden Sie zwischen inhärentem und Restrisiko und machen Sie Entscheidungen sichtbar
Das Restrisiko ist das, was nach der Implementierung von Kontrollmaßnahmen durch Sie und den Lieferanten verbleibt. ISO 27001 verlangt von Ihnen die Fähigkeit, zu erläutern, wie Sie zu diesem Ergebnis gelangt sind. Im Cloud- und MSP-Kontext hängt das Restrisiko von einer Kombination aus technischen und prozessualen Sicherheitsvorkehrungen auf beiden Seiten ab.
Die vom Anbieter eingesetzten Kontrollmechanismen können eigene Zugriffskontrollen, Protokollierungsfunktionen und Schwachstellenmanagement umfassen. Ihre eigenen Kontrollmechanismen für dessen Dienste können Netzwerksegmentierung, Überwachung und Beschränkungen für Daten und Berechtigungen beinhalten. Gemeinsame Kontrollmechanismen decken häufig Bereiche wie die Reaktion auf Sicherheitsvorfälle und das Änderungsmanagement ab.
Eine gute Bewertungsmethode stellt für jedes Risiko zwei Fragen:
- Welche Kontrollmechanismen sind derzeit vorhanden, und wie zuversichtlich sind Sie, dass diese effektiv funktionieren?
- Ist das verbleibende Risiko angesichts dieser Kontrollmaßnahmen verkraftbar oder ist eine weitere Behandlung erforderlich?
Die Dokumentation dieser Antworten für jeden wichtigen Lieferanten liefert Ihnen eine klare Grundlage für interne Prüfungen und externe Audits. Sie bestimmt auch Ihre nächsten Schritte: stärkere Verschlüsselung, häufigere Überprüfungen, kompensierende Kontrollmechanismen oder in seltenen Fällen die Entscheidung, die Zusammenarbeit nicht fortzusetzen.
Wenn Sie ISMS.online als Ihr ISMS verwenden, können Sie Lieferantenrisiken direkt mit Ihren Behandlungsplänen, Kontrollen und der Anwendbarkeitserklärung verknüpfen. Dadurch wird es wesentlich einfacher darzustellen, wie das Lieferantenrisiko in Ihren gesamten ISO 27001-Risikomanagementprozess eingebettet ist.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Sorgfaltsprüfung, Verträge und Onboarding: Sicherheit zur Pflicht machen
Risikoanalysen zeigen Ihnen, worauf Sie sich konzentrieren sollten; Sorgfaltsprüfungen, Verträge und Onboarding machen Ihre Erwartungen realisierbar. Für Cloud- und MSP-Anbieter ist es wichtig, über allgemeine Fragen und Standardformulierungen hinauszugehen und stattdessen praktische Prüfungen und verbindliche Zusagen zu nutzen, auf die Sie sich im Problemfall berufen können.
Die Due Diligence in einen strukturierten, wiederholbaren Prozess verwandeln
Die Sorgfaltsprüfung dient als Kontrollinstanz, um festzustellen, welchen Lieferanten Sie kritische Dienstleistungen und Daten anvertrauen können. Sie beginnt oft mit Fragebögen und Dokumentenprüfungen, sollte aber nicht dort enden, denn diese Dokumente erzählen nur einen Teil der Geschichte.
Ziel ist es, zu verstehen, wie der Anbieter Sicherheit und Datenschutz im Kontext der von Ihnen genutzten Dienste tatsächlich umsetzt und ob dies Ihren Kontrollzielen gemäß ISO 27001 und Ihrer Risikobereitschaft entspricht. In vielen Programmen werden Anbieter, die hochsensible Daten verarbeiten oder privilegierte Zugriffe haben, sichtbar strengeren Prüfungen unterzogen als Anbieter von Diensten mit geringem Risiko und geringem Zugriff.
Ein strukturierter Ansatz umfasst typischerweise Folgendes:
- Ein standardisierter Fragebogen, der speziell für Cloud- oder MSP-Dienste entwickelt wurde und mit wichtigen ISO 27001- und Cloud-spezifischen Kontrollen verknüpft ist.
- Prüfung unabhängiger Bestätigungen wie Zertifizierungen und Gutachten Dritter, um sicherzustellen, dass Umfang und Datum relevant sind.
- Klärung der geteilten Verantwortlichkeiten, einschließlich der Frage, wer für Identitäten, Protokollierung, Datensicherung und Reaktion auf Sicherheitsvorfälle zuständig ist.
- Bewertung der Geschäftskontinuitäts- und Notfallpläne, insbesondere für kritische Dienste.
Bei Lieferanten mit höherem Risiko könnten Sie auch Architekturbeschreibungen, Beispielprotokolle oder eine detaillierte Beschreibung ihrer Vorfallsprozesse anfordern. Entscheidend ist, dass der Umfang der Sorgfaltsprüfung dem zuvor definierten Risikoniveau entspricht.
Jede Entscheidung, die Sie im Rahmen der Due-Diligence-Prüfung treffen – ob Sie fortfahren, kompensierende Kontrollen anwenden oder ablehnen – ist besser nachvollziehbar, wenn sie zusammen mit den geprüften Nachweisen dokumentiert wird. Die Erfahrung in der Wirtschaftsprüfung zeigt, dass diese strukturierte Dokumentation hilfreich ist, um schwierige Abwägungen gegenüber Führungskräften zu erläutern, da sie aufzeigt, wie Risiken bewertet und warum bestimmte Optionen gewählt wurden.
Vertragliche Dokumente sind Ihr wichtigstes Mittel, um die Anforderungen der ISO 27001 in verbindliche Verpflichtungen umzusetzen, auf die Sie sich im Problemfall verlassen können. Für Cloud- und MSP-Anbieter umfassen die wichtigsten Bereiche häufig Folgendes:
- Sicherheitsanforderungen: Authentifizierung, Verschlüsselung, Protokollierung, Trennung und Änderungskontrolle.
- Vorfallmeldung: Zeitrahmen, Inhalt der Benachrichtigungen und Zusammenarbeit bei Untersuchung und Behebung.
- Prüfungs- und Informationsrechte: Wie Sie in der Praxis Gewissheit über die Wirksamkeit der Kontrollen erlangen können.
- Datenschutz: Rollen und Verantwortlichkeiten, Rechtsgrundlage, Datenstandort, Aufbewahrung und Löschung, Bedingungen für Unterauftragnehmer.
- Geschäftskontinuität und Ausstieg: Zugriff auf Datenexporte, Unterstützung beim Übergang, Zeitpläne für die sichere Löschung.
Beim Onboarding sollte sichergestellt werden, dass die technische Einrichtung den vertraglichen Vereinbarungen entspricht. Konten und Berechtigungen sollten dem Prinzip der minimalen Rechtevergabe entsprechen; Netzwerkpfade sollten kontrolliert werden; Überwachungssysteme sollten die richtigen Protokolle erhalten; und die zuständigen Teams sollten wissen, wie sie Probleme an den Anbieter eskalieren können.
Ein System wie ISMS.online kann helfen, indem es Vorlagen für Lieferantenfragebögen, Vertragsübersichten und Checklisten für die Lieferantenintegration bereitstellt, die bereits mit ISO 27001 und verwandten Normen übereinstimmen. Es kann außerdem sicherstellen, dass bestimmte Aufgaben – wie Risikobewertung, Genehmigung und Vertrags-Upload – abgeschlossen sind, bevor ein Lieferant vom Status „Angefordert“ in den Status „Live“ wechselt, und setzt so Richtlinien in die Praxis um.
Laufende Überwachung, KPIs und Lieferantenbewertungen
Sobald ein Lieferant in Betrieb genommen wird, verlagert sich Ihr Fokus von der anfänglichen Bewertung auf die kontinuierliche Durchführung von Kontrollen und Gesprächen. ISO 27001 sieht vor, dass Überwachung, Messung, Analyse, Bewertung, interne Audits und Managementbewertungen geplant und regelmäßig erfolgen. Lieferanten sind Teil dieses Zyklus und keine Ausnahme.
Diese Erwartung gilt gleichermaßen für Lieferanten wie für interne Kontrollen, da viele schwerwiegende Vorfälle heutzutage von Dritten ausgehen. Veröffentlichungen von Regierung und Industrie zum Lieferkettenrisiko, darunter die NIST-Leitlinie zum Management von Cyber-Lieferkettenrisiken für kritische Systeme (NIST SP 800-161 Rev. 1), heben die Häufigkeit und die Auswirkungen von Angriffen hervor, die bei externen Anbietern beginnen. Dies unterstreicht, warum lieferantenbezogene Risiken ebenso wie interne Risiken überwacht und gesteuert werden müssen. Organisationen, die diese Sichtweise vertreten, können gegenüber Wirtschaftsprüfern, Kunden und Aufsichtsbehörden leichter erläutern, warum die Lieferantenüberwachung fester Bestandteil ihrer Managementprozesse ist.
Im Bericht „State of Information Security 2025“ geben etwa zwei Drittel der Organisationen an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung der Vorschriften zunehmend erschweren.
Wählen Sie eine kleine Anzahl aussagekräftiger KPIs.
Ein kleiner, sorgfältig ausgewählter Satz von Lieferanten-KPIs liefert Ihnen genügend Einblick, um handeln zu können, ohne zusätzlichen Berichtsaufwand zu verursachen. Zu viele Indikatoren verwässern den Fokus; zu wenige können blinde Flecken hinterlassen, die erst bei einem schwerwiegenden Vorfall, einer Beanstandung im Rahmen einer Prüfung oder einer Kundenbeschwerde zutage treten.
Ihre KPIs sollten sowohl die Leistung als auch das Risiko widerspiegeln, damit Sie erkennen können, wo Handlungsbedarf besteht. Die meisten Organisationen schätzen Kennzahlen wie die folgenden:
- Prozentsatz der relevanten Lieferanten mit aktuellen Risikobewertungen und Sorgfaltsprüfungsunterlagen.
- Anzahl und Schweregrad von Vorfällen im Zusammenhang mit Lieferanten sowie Trends im Zeitverlauf.
- Einhaltung der Service-Level-Vereinbarungen hinsichtlich Verfügbarkeit und Reaktion auf Störungen.
- Zeitnahe Behebung von Mängeln und Schwachstellen durch die Lieferanten.
- Abschlussquoten für geplante Lieferantenüberprüfungen.
Für kritische Cloud- und MSP-Anbieter können Sie auch spezifische technische Kennzahlen erfassen, wie beispielsweise die Verfügbarkeit im Vergleich zu vereinbarten Zielen oder den Anteil der durch starke Authentifizierung geschützten administrativen Zugriffspfade. Unabhängig von Ihrer Wahl sollte jede Kennzahl einen eindeutigen Verantwortlichen, einen Überprüfungsrhythmus und definierte Maßnahmen bei Überschreitung von Schwellenwerten haben.
Machen Sie Belege und Überprüfungen zu einem Bestandteil der normalen Managementpraxis
Monitoring ist nur dann sinnvoll, wenn es in Entscheidungen und Verbesserungen einfließt. Daher müssen Ihre Lieferanteninformationen dort verfügbar sein, wo Führungskräfte sie bereits zur Steuerung des Unternehmens nutzen. Das bedeutet, von einmaligen Maßnahmen zu einem kontinuierlichen Zyklus aus Überprüfung, Maßnahmen und Dokumentation überzugehen.
In der Praxis sieht das oft so aus:
- Regelmäßige Besprechungen mit Hochrisikolieferanten zur Überprüfung von Vorfällen, Änderungen, Kennzahlen und Zukunftsplänen.
- Systematische Nachverfolgung der gegenüber Lieferanten eingeleiteten Korrekturmaßnahmen, einschließlich Fristen und Eskalationswege.
- Integration von Lieferantenleistungs- und Risikoinformationen in Ihre internen Risiko- und Leistungsberichte.
- Regelmäßige interne Audits Ihres Lieferantenmanagementprozesses, um zu überprüfen, ob dieser wie dokumentiert abläuft.
Die Leitlinien für das Lieferantenmanagement weisen darauf hin, dass die Integration der Lieferantenüberwachung in die regulären Managementprozesse und die Zusammenführung von Nachweisen an einem zentralen Ort die Beantwortung von Kundenanfragen zur Sorgfaltspflicht und formellen Audits erleichtert. Denn Sie greifen auf bereits im Rahmen der üblichen Geschäftsprozesse geführte Aufzeichnungen zurück, anstatt diese bei Bedarf neu zu erstellen (Leitlinien für das Lieferantenmanagement). Eine Plattform wie ISMS.online unterstützt dies durch Dashboards, Erinnerungen und strukturierte Aufzeichnungen für jeden Lieferanten, sodass die Nachweise für Audits, Kundenbewertungen und Managementbewertungen bereits vorliegen. Ein erster Schritt, den Sie jetzt unternehmen können, ist die Überprüfung Ihrer bestehenden Bewertungen wichtiger Lieferanten. Achten Sie dabei darauf, dass diese neben kommerziellen Aspekten auch die Themen Sicherheit, Datenschutz und Resilienz abdecken.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Vorfälle, Abweichungen und Änderungen bei Lieferanten: Den Kreislauf schließen
Selbst bei strengsten Kontroll- und Aufsichtsmaßnahmen lassen sich bei Lieferanten immer wieder Zwischenfälle und Veränderungen feststellen. Ein wirklich solides, ISO 27001-konformes Programm zeichnet sich dadurch aus, wie Sie reagieren, lernen und sich anpassen, wenn Lieferanten Probleme haben oder sich Ihre eigenen Erwartungen ändern.
Definieren Sie Playbooks und Schwellenwerte, bevor Sie sie benötigen.
Die Festlegung von Schwellenwerten und Handlungsanweisungen im Vorfeld eines Vorfalls erleichtert es erheblich, im Ernstfall ruhig und konsequent zu reagieren. Der Versuch, einen Reaktionsprozess mitten in einer Krise zu entwickeln, führt selten zu einem positiven Ergebnis, da dann spontane Entscheidungen getroffen und die Beweissicherung vernachlässigt wird.
Stattdessen können Sie im Voraus festlegen, wie verschiedene Situationen klassifiziert und gehandhabt werden. Ihre Handlungsanweisungen sollten erläutern, wer beteiligt ist, welche Schritte erforderlich sind und welche Informationen bei jedem Lieferantenvorfall oder jeder Abweichung erfasst werden müssen.
Ihre Strategien sollten außerdem Folgendes klar und deutlich beinhalten:
- Was stellt ein geringfügiges Serviceproblem im Vergleich zu einem schwerwiegenden Sicherheits- oder Datenschutzvorfall dar?
- Welche Arten von Vorfällen lösen Meldungen an die Aufsichtsbehörden, Kundenkommunikation oder die Aufmerksamkeit des Vorstands aus?
- Wie Sie bei der Untersuchung, Eindämmung und Wiederherstellung mit Lieferanten zusammenarbeiten werden.
- Wie Sie überprüfen werden, ob Korrekturmaßnahmen umgesetzt werden und wirksam sind.
Ihre Notfallpläne sollten auch wesentliche Änderungen wie neue Subprozessoren, Rechenzentrumsumzüge, Eigentümerwechsel oder grundlegende Veränderungen der Sicherheitslage eines Lieferanten abdecken. Jede dieser Änderungen kann Ihr Risikoprofil verändern, und ISO 27001 erwartet von Ihnen, dass Sie Risiken bei veränderten Umständen neu bewerten und entsprechend handeln.
Die Dokumentation dieser Schwellenwerte und Schritte erleichtert es, Prüfern und Aufsichtsbehörden zu demonstrieren, dass Sie sowohl vorbereitet als auch überlegt in Ihren Reaktionen sind.
Lassen Sie die gewonnenen Erkenntnisse in Ihr ISMS- und Lieferantenrahmenwerk einfließen.
Jeder Vorfall oder jede Abweichung bei einem Materiallieferanten bietet die Chance, Ihre Strukturen zu stärken, und ist nicht nur ein Problem, das gelöst werden muss. Nach der ersten Reaktion sollten Sie einige wenige, standardisierte Fragen stellen, um Ihre Kontrollen und Prozesse zu verbessern.
Hilfreiche Fragen sind beispielsweise:
- Hat unsere Risikobewertung und -einstufung die Bedeutung dieses Lieferanten korrekt widergespiegelt?
- Waren unsere Überwachungs- und Prüfaktivitäten ausreichend, um Probleme frühzeitig zu erkennen?
- Haben uns unsere Verträge und Prozesse die nötige Verhandlungsmacht und die erforderlichen Informationen verschafft?
- Müssen wir deshalb unsere Kriterien, Schwellenwerte, Vorlagen oder Schulungen anpassen?
Die Dokumentation dieser Erkenntnisse und der daraus resultierenden Maßnahmen in Ihrem ISMS hilft Ihnen, kontinuierliche Verbesserungen im Laufe der Zeit nachzuweisen. Sie unterstützt Sie auch bei der Beurteilung, ob Sie Alternativen oder einen Parallelbetrieb für besonders kritische Dienste in Betracht ziehen sollten, die wiederholt Probleme verursacht haben.
ISMS.online unterstützt diesen Lernprozess, indem es Vorfälle, Korrekturmaßnahmen, Risiken und Kontrollaktualisierungen zentral verknüpft. So wird die Geschichte dessen, was passiert ist und was wir geändert haben, nicht nur im Lieferantenprofil, sondern im gesamten ISMS sichtbar – genau die Art von Dokumentation, die Auditoren und Kunden erwarten.
Erleben Sie ISMS.online in der Praxis mit Ihrem Lieferanten-Governance-Modell
ISMS.online unterstützt Sie dabei, die Lieferantensteuerung in einen dynamischen, auditbereiten Bestandteil Ihres ISO 27001 ISMS zu verwandeln – anstatt sie als Sammlung unzusammenhängender Tabellen und E-Mails zu verwalten. Durch die zentrale Erfassung von Lieferantendaten, Risikoeinträgen, Kontrollen, Aufgaben und Prüfungen wird es deutlich einfacher, Stakeholdern zu zeigen, dass Cloud- und MSP-Lieferanten systematisch gesteuert werden.
Im Bericht „State of Information Security 2025“ wird festgestellt, dass die meisten Organisationen angeben, das Drittparteienrisikomanagement bereits gestärkt zu haben und planen, mehr darin zu investieren.
Wie ISMS.online Ihr Lieferanten-Governance-Modell unterstützen kann
Eine spezielle Plattform wie ISMS.online bündelt die hier beschriebenen Vorgehensweisen, sodass Sie diese nicht manuell zusammenführen müssen. Sie können ein zentrales Lieferantenregister führen, das Dienstleistungen, Datentypen, Standorte, Zugriffsebenen und Risikostufen verknüpft, und diese Einträge anschließend direkt mit Ihren Risikobewertungen, Behandlungsplänen und Kontrollmaßnahmen verbinden.
Im alltäglichen Gebrauch bedeutet das:
- Lieferantendaten, Risikobewertungen, Verträge, Aufgaben und Überprüfungen sind in einem Arbeitsbereich zusammengefasst.
- Arbeitsabläufe und Erinnerungen gewährleisten, dass Bewertungen, Genehmigungen und Überprüfungen termingerecht erfolgen.
- Nachweise für Zertifizierungen, Kundenzufriedenheit und behördliche Anfragen werden während der Arbeit gesammelt und nicht unter Zeitdruck zusammengetragen.
Durch die zentrale Zusammenführung Ihres Lieferantenlebenszyklus, der ISO-27001-Kontrollen und der Nachweise erleichtern Sie es internen Stakeholdern, Auditoren und Kunden erheblich, zu erkennen, dass das Lieferantenrisiko systematisch gemanagt wird. Viele Organisationen stellen zudem fest, dass dieser zentrale, ISO-konforme Arbeitsbereich Reibungsverluste in Vertriebsprozessen und Kundenprüfungen reduziert, da Teams Anfragen anhand strukturierter Datensätze beantworten können, anstatt in verschiedenen Systemen suchen zu müssen. Unsere Übersicht zu ISO 27001 und der Implementierungsansatz von ISMS.online erläutern, wie die Zentralisierung von Richtlinien, Risiken, Kontrollen und Nachweisen sowohl Zertifizierungsprozesse als auch laufende Qualitätssicherungsgespräche unterstützt (Was ist ISO 27001?).
Ein praktischer nächster Schritt für Ihre Organisation
Wenn Sie feststellen, dass Ihre Lieferantensteuerung derzeit fragmentiert ist, empfiehlt es sich, Ihren bestehenden Lebenszyklus mit dem hier beschriebenen, an ISO 27001 ausgerichteten Modell abzugleichen. Anschließend können Sie entscheiden, wo eine Plattform mühsame Schritte automatisieren, Genehmigungen durchsetzen oder Datensätze zentralisieren könnte, sodass Ihre Mitarbeiter weniger Zeit mit der Nachverfolgung und mehr Zeit mit der Verbesserung der Kontrollen verbringen.
Wenn Sie bereit sind, die praktische Umsetzung zu erkunden, können Sie eine kurze Sitzung vereinbaren, um ISMS.online gemeinsam mit Ihren wichtigsten Stakeholdern in Aktion zu erleben. In diesem Gespräch können Sie erörtern, wie Ihr aktuelles Lieferantenregister, Ihre Risikobewertungen und Audits in einer strukturierten, ISO-konformen Umgebung aussehen würden und welche Auswirkungen dies auf Ihren nächsten Zertifizierungszyklus und die Kundengespräche hätte.
Entscheiden Sie sich für ISMS.online, wenn Sie ein robustes, auditierbares ISMS für Ihr Lieferantenmanagement benötigen, das Cloud-Services, Managed Service Provider (MSPs) und darüber hinaus umfasst. Wenn Sie Wert auf transparente Nachweise, planbare Audits und einen zentralen, gemeinsamen Arbeitsbereich für die Teams legen, die das Lieferantenrisiko verantworten, unterstützen wir Sie gerne dabei, herauszufinden, ob unsere Plattform zu Ihren aktuellen und zukünftigen Arbeitsabläufen passt.
KontaktHäufig gestellte Fragen (FAQ)
Wie genau hilft Ihnen ISO 27001:2022 dabei, Cloud- und MSP-Anbieter unter Kontrolle zu halten?
Mit ISO 27001:2022 können Sie die Überwachung von Cloud- und MSP-Diensten über dasselbe Informationssicherheitsmanagementsystem durchführen, das Sie auch für alles andere verwenden. So werden Lieferanten mit klarem Umfang, Risiken, Kontrollen und Verbesserungspotenzial gesteuert, anstatt mit verstreuten Tabellenkalkulationen und Nebenprojekten.
Wie ISO 27001 Lieferanten in Ihre ISMS-Disziplinen einbindet
Die Norm integriert Lieferanten in die Kernklauseln Ihres ISMS, sodass Sie Auditoren und Kunden einen einheitlichen, integrierten Ansatz präsentieren können:
- Kontext und Anwendungsbereich (Klausel 4):
Sie entscheiden, welche Cloud- und MSP-Dienste in Ihren Informationssicherheitsbereich fallen, welche Informationen sie berühren, wem diese gehören und welche Interessengruppen daran interessiert sind. Dadurch wird verhindert, dass kritische Tools und Schatten-IT außerhalb Ihrer formalen Kontrolle bleiben.
- Risikobewertung und -behandlung (Abschnitte 6 und 8):
Das Lieferantenrisiko wird zusammen mit internen Risiken analysiert, basierend auf Datensensibilität, Zugriffsebene, Kritikalität der Dienstleistung und regulatorischen Risiken. Anschließend wählen Sie geeignete Maßnahmen aus, die technische Vorkehrungen, Vertragsklauseln und Vereinbarungen zur gemeinsamen Verantwortung umfassen können.
- Betrieb und Leistung (Klauseln 8 und 9):
Sorgfaltsprüfungen, Lieferantenüberwachung, interne Audits und Managementbewertungen werden so durchgeführt, dass externe Dienstleistungen explizit einbezogen werden. Sie können nachweisen, dass das Lieferantenrisiko ein fester Bestandteil der Tagesordnung ist und nicht nur eine jährliche Bereinigung darstellt.
- Verbesserung (Klausel 10):
Probleme mit Lieferanten werden zu Input für kontinuierliche Verbesserungen. Reale Vorfälle und Abweichungen werden genutzt, um Verträge, Kontrollen, Vorgehensweisen und Schulungen anzupassen.
Anhang A beschreibt anschließend Erwartungen, die sich für die Aufsicht über Cloud- und MSP-Dienste bewährt haben, wie zum Beispiel:
- A.5.19–A.5.22: für die Lieferantenauswahl, Vertragsgestaltung, Kontrolle der ICT-Lieferkette und laufende Serviceüberwachung.
- A.5.23–A.5.30: für die sichere Nutzung von Cloud-Diensten, die Planung von Störungen und die Aufrechterhaltung der IKT-Kontinuität.
- Die Familie A.8 für Zugriff, Protokollierung, Datensicherung, Schwachstellenmanagement und Änderungen, und zwar so, dass Dritte explizit einbezogen werden.
In der Praxis folgen viele Organisationen einem einheitlichen Vorgehen bei wichtigen Lieferanten:
- Fügen Sie wichtige Cloud- und MSP-Dienste in Ihr Portfolio ein. Anlagenverzeichnis, Geltungsbereichsbeschreibung und Risikoregister.
- Kategorisieren Sie sie nach Wirkung und Zugänglichkeit.
- Leiten Sie sie durch ein strukturiertes Gateway für die Due-Diligence-Prüfung und Vertragsgestaltung.
- Leistung, Vorfälle und wesentliche Änderungen werden in einem festgelegten Zyklus überwacht.
- Die Ergebnisse fließen in Risikobewertungen, interne Revisionen und Managementbewertungen ein.
Die Durchführung dieses Lebenszyklus innerhalb von ISMS.online bedeutet, dass Lieferantendatensätze, Risiken, Verträge, Kontrollen, Aufgaben und Nachweise alle in einer ISO-konformen Umgebung gespeichert sind. Wenn also ein Auditor, ein wichtiger Kunde oder ein Vorstandsmitglied fragt: „Wie behalten Sie die Kontrolle über Ihre Lieferanten?“, haben Sie eine zusammenhängende Antwort und nicht einen Haufen unzusammenhängender Dateien.
Wie lassen sich Cloud- und MSP-Anbieter nach Risiko einstufen, ohne eine unüberschaubare Bürokratie zu schaffen?
Der praktikabelste Ansatz besteht darin, eine kleine Anzahl von Lieferantenstufen basierend auf Geschäftsauswirkungen und Zugriffsebene zu definieren und jede Stufe mit einfachen Regeln für Prüfungen, Verträge und Bewertungen zu verknüpfen. So konzentriert man sich auf Bereiche, in denen ein Fehler wirklich schwerwiegende Folgen hätte, und vermeidet, risikoarme Versorgungsunternehmen in aufwendigen Prozessen zu verstricken.
Ein vierstufiges Lieferantenmodell, mit dem Sicherheit, Beschaffung und Auditierung alle gut zurechtkommen.
Man benötigt kein komplexes Bewertungssystem, um glaubwürdig zu sein. Ein klares vierstufiges Modell ist in der Regel leicht zu erklären und zu pflegen:
- Tier 1 – Kritische Plattformen:
Kern-Cloud-Dienste, bei denen ein Sicherheitsverstoß oder ein längerer Ausfall schwerwiegende Auswirkungen auf Umsatz, Betrieb, Sicherheit oder rechtliche/regulatorische Verpflichtungen hätte (z. B. Hauptkundenplattform, ERP, Zahlungen).
- Tier 2 – Privilegierte MSPs:
Managed Service Provider mit Administratorzugriff auf wichtige Systeme, Netzwerke oder Identitätsspeicher, auch wenn sie Ihre primären Anwendungen nicht hosten.
- Tier 3 – Business-SaaS-Anwendungen:
Dienste, die Geschäftsinformationen verarbeiten, aber einen geringeren Wirkungsbereich haben. Ein Vorfall ist zwar unerwünscht, aber nicht unmittelbar existenzbedrohend.
- Stufe 4 – Versorgungsunternehmen mit niedrigem Risiko:
Tools mit begrenztem Funktionsumfang, die nur auf nicht sensible Informationen zugreifen können, oder solche, die sich mit minimalem Integrationsaufwand schnell ersetzen lassen.
Notieren Sie für jede Stufe Folgendes:
- Minimale Artefakte:
Beispielsweise benötigen die Stufen 1 und 2 eine dokumentierte Risikobewertung, einen Sicherheitsfragebogen, einen Sicherheitsplan im Vertrag, eine Datenverarbeitungsvereinbarung und eine Überprüfung der Unterauftragnehmer. Stufe 3 kann mit einem kurzen Fragebogen und Standardklauseln auskommen. Stufe 4 benötigt möglicherweise nur eine kurze Risikobeschreibung und eine Standardvereinbarung.
- Kontrollgrenzen:
Welche ISO 27001-konformen Maßnahmen erwarten Sie vom Lieferanten (z. B. Verschlüsselung, physische Sicherheit, sichere Entwicklung und Ausfallsicherheit) und welche bleiben eindeutig in Ihrer Verantwortung (z. B. Identität, Überwachung und Koordinierung von Vorfällen).
- Überprüfungsrhythmus:
Vierteljährlich oder halbjährlich für Stufe 1–2, jährlich für Stufe 3 und alle zwei Jahre für Stufe 4, es sei denn, eine wesentliche Änderung oder ein Vorfall erfordert eine frühere Überprüfung.
- Ausnahmeregeln:
Wer kann Abweichungen genehmigen, wie lange gelten sie und wie wird das Restrisiko dokumentiert, damit nichts in einen dauerhaften „vorübergehenden“ Zustand übergeht?
Wenn ein Auditor, ein Unternehmenskunde oder ein interner Risikoausschuss fragt, warum ein bestimmter Lieferant milde oder streng behandelt wurde, liefert Ihnen dieses Modell eine nachvollziehbare Antwort: Sie haben einen dokumentierten, risikobasierten Ansatz verfolgt. Die Verwaltung von Stufen, Bewertungen, Genehmigungen und Überprüfungen in ISMS.online macht dieses Modell zu einem Live-Lieferantenregister, sodass Sicherheits-, Einkaufs-, Rechts- und Geschäftsverantwortliche alle dasselbe Bild vor Augen haben, anstatt über uneinheitliche Tabellen und E-Mail-Verläufe zu streiten.
Wie sollten Due-Diligence-Prüfungen und Verträge strukturiert werden, damit jeder Lieferant, der unter die ISO 27001 fällt, eine einheitliche Prüfprüfung durchläuft?
Ein verlässliches Vorgehen besteht darin, die Sorgfaltsprüfung und den Vertragsabschluss zu einem einzigen, nicht verhandelbaren Schritt zu machen. Tor Jeder Cloud- oder MSP-Dienst, der in den Geltungsbereich fällt, muss vor der Inbetriebnahme geprüft werden. Die Intensität der Prüfungen sollte Ihrem Stufenmodell entsprechen, die Existenz des Gateways sollte jedoch nicht davon abhängen, wer den Dienst erwirbt oder wie dringlich das Projekt erscheint.
Wie ein kontrolliertes Lieferantenportal aussieht, wenn es tatsächlich funktioniert
Ein praktisches Gateway, das den Anforderungen der ISO 27001 entspricht, umfasst in der Regel fünf Bestandteile:
- Gezielte Sicherheits- und Datenschutzfragen:
Kurze, strukturierte Fragebögen, speziell für Cloud- und MSP-Dienste entwickelt und direkt auf Ihre ISO 27001-Kontrollziele und die Anwendbarkeitserklärung abgestimmt. Die Antworten können dann direkt in Ihre Risikobewertung, die Anwendbarkeitserklärung und Ihre Behandlungsdokumentation einfließen, anstatt als separates „Sicherheitspaket“ abgelegt zu werden.
- Unabhängige Prüfung:
Prüfung und grundlegende Interpretation von Zertifizierungen und Berichten wie ISO 27001, SOC 2, Penetrationstests oder Auditberichten. Sie prüfen Umfang, Daten und Kernergebnisse, anstatt nur Logos zu sammeln.
- Klare Definitionen der gemeinsamen Verantwortung:
Klare und eindeutige Vorgaben, wer für Identität, Konfiguration, Datensicherung, Protokollierung, Reaktion auf Sicherheitsvorfälle und Geschäftskontinuität verantwortlich ist, reduzieren auf beiden Seiten das Risiko, dass man davon ausgeht, dass die anderen das bereits tun.
- Sicherheitszeitpläne und Datenverarbeitungsklauseln:
Vertragstexte, die Sicherheitsanforderungen, Fristen für die Meldung von Vorfällen, Unterstützung bei Untersuchungen, Prüfungs- und Informationsrechte, Datenresidenz, Steuerung von Unterauftragnehmern und Unterstützung bei der Beendigung der Zusammenarbeit abdecken.
- Onboarding- und Konfigurationsaufgaben:
Eine Checkliste, die Vertragsunterzeichnungen mit realen Änderungen verknüpft: Kontoeinrichtung, Rollen mit minimalen Berechtigungen, Netzwerkregeln, Protokollierung, Backup- und Überwachungskonfiguration sowie Aktualisierungen Ihrer eigenen Runbooks für Support und Incident-Management.
Entscheidend ist die Rückverfolgbarkeit: Sie müssen für jeden Lieferanten nachweisen können, welche Elemente vorhanden sind, wo sie gespeichert sind und welche Entscheidungen bei notwendigen Kompromissen getroffen wurden. Wenn Sie das gesamte Gateway in ISMS.online verwalten, werden für jeden Lieferanten Datensatz Fragebögen, Qualitätssicherungsdokumente, Verträge, Genehmigungen und Onboarding-Aufgaben zentral angezeigt. Dadurch lässt sich wesentlich einfacher belegen, dass Informationssicherheit und Datenschutz vor der Inbetriebnahme des Dienstes berücksichtigt wurden.
Welche KPIs und Prüfverfahren machen deutlich, dass die Lieferantenüberwachung ein kontinuierlicher Prozess und kein einmaliges Projekt ist?
Wenige, aussagekräftige KPIs, unterstützt durch einen vorhersehbaren Überprüfungsrhythmus, genügen in der Regel, um Prüfer, Kunden und das eigene Management von der kontinuierlichen Lieferantenüberwachung zu überzeugen. Die Kunst besteht darin, sowohl die Leistung der Lieferanten als auch die Entwicklung des eigenen Überwachungsprozesses im Zeitverlauf zu verfolgen.
Indikatoren für die Lieferantenüberwachung, die internen und externen Prüfungen standhalten
Man braucht kein umfangreiches Dashboard, damit sich das Risiko durch Drittanbieter real anfühlt. Eine fokussierte Gruppe von Maßnahmen kann sehr wirkungsvoll sein:
- Abdeckung und Währung:
Der Prozentsatz der im Geltungsbereich liegenden Lieferanten, die innerhalb ihrer Überprüfungsfristen eine dokumentierte Risikobewertung, ein aktuelles Due-Diligence-Paket und unterzeichnete Sicherheits- oder Datenverarbeitungsklauseln vorweisen können.
- Störungs- und Ausfallübersicht:
Anzahl und Schwere der lieferantenbezogenen Vorfälle in den letzten ein bis zwei Jahren, wie schnell sie erkannt und eingedämmt wurden und ob vereinbarte Schwellenwerte und Meldefristen eingehalten wurden.
- Serviceleistung vs. Verpflichtungen:
Einhaltung der vereinbarten Verfügbarkeits-, Reaktions- und Lösungsziele für Dienste der Stufen 1 und 2 sowie aller wiederholten Beinahe-Fehler oder chronischen Serviceprobleme.
- Sanierungsdisziplin:
Durchschnittliche Zeit, die Lieferanten benötigen, um hochprioritäre Schwachstellen, Prüfungsfeststellungen oder von Ihnen gemeldete Maßnahmen zu beheben, zuzüglich der Anzahl wiederholter Feststellungen über alle Überprüfungszyklen hinweg.
- Umsetzung der Governance-Maßnahmen:
Abschlussquote für geplante Lieferantenüberprüfungen nach Stufen und Prozentsatz der daraus resultierenden Maßnahmen, die bis zum jeweiligen Zieltermin abgeschlossen wurden.
Organisationen planen häufig Vierteljährliche oder halbjährliche Überprüfungen für Stufe 1–2 und jährliche Überprüfungen für niedrigere Stufen, unter Verwendung einer einfachen Agenda: Vorfälle und Ausfälle, wesentliche Veränderungen auf beiden Seiten, KPI-Trends, bestehende Risiken, Fortschritte bei vereinbarten Maßnahmen und geplanten Verbesserungen.
Durch die Erfassung von KPIs, Besprechungsprotokollen und Folgemaßnahmen für jeden Lieferantendatensatz in ISMS.online können Sie Kunden, Aufsichtsbehörden und Führungskräften stets einen aktuellen Überblick über das Drittparteienrisiko bieten – ganz ohne Hektik in letzter Minute. So wandelt sich Ihre Argumentation von „Wir glauben, die Kontrolle zu haben“ zu „Hier sind unsere Erkenntnisse und hier sind die Beweise dafür“ – eine deutlich überzeugendere Darstellung bei Kundengesprächen und Audits.
Wie sollten Vorfälle und größere Änderungen bei Lieferanten in Ihr ISMS einfließen, damit Sie sich kontinuierlich verbessern können?
Vorfälle und größere Änderungen bei Lieferanten sollten in dieselben Vorfalls-, Risiko- und Änderungsprozesse einfließen, die Sie bereits für interne Angelegenheiten anwenden, und nicht in einem separaten „Lieferanten“-Protokoll geführt werden. ISO 27001 erwartet von Ihnen, dass Sie Risiken bei veränderten Umständen neu bewerten und nachweisen können, dass Sie Ihre Kontrollen und Ihr Verhalten entsprechend den tatsächlichen Gegebenheiten anpassen.
Lieferantenveranstaltungen in Verbesserungen statt in isolierte Aufräumarbeiten umwandeln
Wenn ein schwerwiegender Zwischenfall bei einem Lieferanten oder eine größere Veränderung eintritt, sieht ein diszipliniertes Vorgehen folgendermaßen aus:
- Protokollieren Sie es im zentralen Prozess, nicht in einer separaten Tabelle:
Klassifizieren Sie das Ereignis als Serviceunterbrechung, Sicherheitsvorfall, Datenschutzvorfall oder eine Kombination davon und erfassen Sie es in Ihrem Haupt-Incident-Workflow, damit es in Ihre Kennzahlen einfließt.
- Beurteilen Sie gemeinsam mit dem Lieferanten die Auswirkungen und die zugrunde liegenden Ursachen:
Ermitteln Sie, welche Dienste und Daten betroffen waren, wo die Fehler lagen (Technologie, Prozesse, Personal oder mangelnde Klarheit der gemeinsamen Verantwortung) und ob ähnliche Schwächen auch an anderer Stelle bestehen könnten.
- Führen Sie kurzfristige Schutzmaßnahmen ein und planen Sie langfristige Veränderungen:
Treffen Sie gegebenenfalls schnelle Sicherheitsvorkehrungen (z. B. eingeschränktere Zugriffsrechte, zusätzliche Überwachung, vorübergehende manuelle Kontrollen), während Sie dauerhaftere Lösungen wie Konfigurationshärtung, verbesserte Betriebshandbücher oder Änderungen in der Aufteilung der Verantwortlichkeiten entwickeln.
- Aktualisierung von Risikodatensätzen, Behandlungsmethoden und Einstufungen:
Aktualisieren Sie die Risikobewertung und den Risikobehandlungsplan des Lieferanten und passen Sie dessen Einstufung oder Überprüfungshäufigkeit an, wenn sich Ihr Vertrauen in dessen Kontrollmechanismen oder Resilienz verändert hat.
- Lehren aus Ihrer Unternehmensführung ziehen:
Fragen Sie sich, was dies über Ihre eigene Aufsichtstätigkeit aussagt: Waren die Schwellenwerte unklar, die Überwachungslücken offensichtlich, die Verträge mehrdeutig oder die Überprüfungen zu selten?
- Änderungen im ISMS widerspiegeln:
Aktualisieren Sie relevante Richtlinien, Verfahren, Checklisten, Schwellenwerte, Schulungs- und Verbesserungsprotokolle, um eine klare Verbindung vom Ereignis zu konkreten Veränderungen in Ihrem Managementsystem herzustellen.
Wenn Sie Vorfälle, Korrekturmaßnahmen, Risikoaktualisierungen, Kontrolländerungen und Lieferantendetails gemeinsam in ISMS.online erfassen, können Sie die gesamte Kette auf Nachfrage problemlos nachweisen: Sie können darlegen, was passiert ist, welche Auswirkungen es hatte, welche Entscheidungen Sie getroffen haben und wo Ihre Umgebung dadurch gestärkt wurde. Diese Darstellung ist oft ausschlaggebend dafür, ob Kunden und Auditoren ein Lieferantenproblem als akzeptable Lernchance oder als Beweis für ein unkontrolliertes Risiko betrachten.
Wann lohnt es sich, das Lieferantenmanagement von Tabellenkalkulationen auf eine dedizierte ISMS-Plattform umzustellen?
Die Verlagerung des Lieferantenmanagements in eine dedizierte ISMS-Plattform lohnt sich in der Regel dann, wenn die Anzahl und Bedeutung Ihrer Cloud- und MSP-Lieferanten eine informelle Nachverfolgung unzureichend erscheinen lässt. Wenn Fragen zum Drittparteienrisiko immer wieder in Kundenfragebögen, Auditberichten oder Vorstandssitzungen auftauchen, ist die Zentralisierung aller Daten in einem ISO-konformen System meist der nächste logische Schritt.
Praktische Anzeichen dafür, dass Sie den Ad-hoc-Lösungen entwachsen sind – und was sich ändert, wenn Sie umsteigen
Sie befinden sich wahrscheinlich an diesem Punkt, wenn mehrere dieser Aussagen auf Sie zutreffen:
- Kritische Lieferanten, Risikoberichte, Verträge, Fragebögen und Besprechungsprotokolle werden in verschiedenen Tools gespeichert und von verschiedenen Teams verwaltet, sodass niemand einen vollständigen und aktuellen Überblick hat.
- Wenn jemand fragt, welche Anbieter die Sorgfaltspflicht erfüllt, die richtigen Klauseln unterzeichnet oder in diesem Jahr überprüft wurden, muss man mehrere Personen befragen und die Antworten handschriftlich zusammentragen.
- Jede größere Kundenbefragung oder jedes Audit löst einen erneuten Wettlauf aus, um Beweise für Cloud- und MSP-Dienstleistungen neu zu sammeln, da frühere Arbeiten nicht in wiederverwendbarer Form erfasst wurden.
- Vorfälle bei Zulieferern decken Lücken auf zwischen dem, was in den Verträgen steht, wie die Dienstleistungen konfiguriert sind und was man tatsächlich überwacht oder probt.
Die Verlagerung dieser Arbeit nach ISMS.online kann Ihnen Folgendes bieten:
- Ein einziges Lieferantenregister: Dadurch werden die einzelnen Anbieter mit Eigentümern, Vermögenswerten, Risiken, Kontrollen, Verträgen, Verantwortlichkeiten und Überprüfungsterminen verknüpft, sodass die Teams nicht mehr mit leicht unterschiedlichen Versionen der Realität arbeiten.
- Konfigurierbare Workflows: für Aufnahme, Einstufung, Bewertung, Genehmigungen, Onboarding, Überprüfung und Austritt, die heute der ISO 27001 entsprechen und für NIS 2, DORA oder branchenspezifische Richtlinien angepasst werden können, ohne bei null anfangen zu müssen.
- Integrierte Hinweise und Erinnerungen: So werden Verlängerungen, Überprüfungen, Kontrollen und Folgeaufgaben termingerecht erledigt, auch wenn Mitarbeiter im Laufe des Jahres ihre Position wechseln oder neue Lieferanten hinzukommen.
- Wiederverwendbare Beweismittelpakete: pro Lieferant, sodass Sie auf Audits und Kundenprüfungsanfragen reagieren können, indem Sie bereits vorhandene Daten exportieren, anstatt sie unter Zeitdruck immer wieder neu zu erstellen.
Ein praktischer Ansatz besteht darin, eine kurzfristige Vision von „gutem“ Zustand zu entwickeln – beispielsweise, innerhalb von 60–90 Tagen alle Tier-1- und Tier-2-Lieferanten nach Risiken einzustufen, Verträge und Datenverarbeitungsvereinbarungen zu erfassen, Verantwortlichkeiten festzulegen und Überprüfungszyklen transparent zu machen. Anschließend lässt sich prüfen, wie nah ISMS.online Sie mit Ihrem bestehenden Team diesem Ziel bringen kann. Diese Herangehensweise an den Veränderungsprozess sichert Ihnen die interne Unterstützung und positioniert Sie als die Person, die das Lieferantenrisiko von einem unangenehmen Thema in eine gut gesteuerte Stärke verwandelt hat.
