Lieferantenmanagement-Software

IT-Sicherheit als Einkaufskriterium

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.

Kontrolle der Cloud-Provider auf alle Lieferanten ausweiten

Unter den Lieferanten und Dienstleistern gibt es eine Gruppe, bei der das Thema Security Audit in den letzten Monaten und Jahren ausführlich diskutiert wird: die Cloud-Provider. Datenschützer betonen hier immer wieder, dass die Cloud-Anbieter kontrolliert und deren IT-Sicherheitsmaßnahmen geprüft werden müssen. Hintergrund ist dabei, dass es sich bei Cloud Computing in aller Regel um Auftragsdatenverarbeitung handelt, der Auftraggeber also in der Verantwortung für den Datenschutz bleibt und sich von der IT-Sicherheit des Cloud-Lieferanten überzeugen muss.

Zu den Sicherheits- und Datenschutzanforderungen bei Cloud-Providern gibt es eine Reihe von Leitfäden, wie die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz, die Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit) des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder den Cloud Security Guide for SMEs von ENISA (European Union Agency for Network and Information Security).

So wichtig Cloud Computing und die Cloud-Sicherheit auch sind, es reicht nicht, Security Audits und Lieferanten-Sicherheitsbewertungen für Cloud Provider vorzusehen. Die IT-Sicherheitskontrollen, wie sie bei Cloud Computing gefordert werden, sind für alle Lieferanten und Dienstleister erforderlich, in der Regel selbst dann, wenn es keine Datenverbindung zu ihnen gibt. Schließlich könnten auch vertrauliche Unterlagen des Auftraggebers auf einem USB-Stick oder in einer Papierakte abhandenkommen.

IT-Sicherheit mit den Zielen Vertraulichkeit, Verfügbarkeit und Integrität muss in der kompletten Lieferkette sichergestellt und deshalb bewertet werden. Lieferantenmanagement und Lieferantenbewertung ohne einen Fokus auf IT-Sicherheit werden der fortschreitenden Digitalisierung der Wirtschaft und den steigenden IT-Bedrohungen nicht gerecht. IT-Sicherheit muss deshalb zwingend als Einkaufskriterium gesehen und auch so behandelt werden.

Checkliste: Security-Audit bei Lieferanten

Als Teil der Lieferantenbewertung sollten Unternehmen auch die IT-Sicherheit der Zulieferer und Dienstleister in den Blick nehmen. Um die Lieferantenbewertung einheitlich durchführen zu können, sollten insbesondere folgende Punkte als Lieferantenkriterien in der Lieferantenmanagement-Software aufgenommen werden:

  • Lieferantenvertrag enthält Vorgaben zur IT-Sicherheit (IT-Sicherheitsrichtlinien) entsprechend dem Schutzbedarf der mit dem Lieferanten ausgetauschten Daten

  • Lieferantenvertrag enthält Vorgaben passend zu den erforderlichen Security Service Levels (Vertraulichkeit, Verfügbarkeit, Integrität) der gemeinsamen Prozesse, insbesondere zur Verschlüsselung, Datensicherung und Ausfallsicherheit

  • IT-Sicherheitsmanagement des Lieferanten basiert auf ISO 27001, IT-Grundschutz oder einem anderen anerkannten Standard

  • Lieferant verpflichtet sich zur Einhaltung der relevanten Compliance-Vorgaben wie den Datenschutzgesetzen

  • Lieferant verpflichtet Beschäftigte auf Datengeheimnis

  • Lieferant verpflichtet sich zur Löschung der Daten des Auftraggebers nach Zweckerfüllung

  • Lieferant trennt die Daten seiner verschiedenen Auftraggeber (mandantenfähige IT-Systeme)

  • Lieferant kann eine unabhängige, externe Zertifizierung der IT-Sicherheit vorweisen (sh)

Zur Startseite