Informationssicherheit entlang der Lieferkette: Strukturiertes Management von Dienstleistern

Die Nutzung von Cloud-Angeboten, Softwarelösungen sowie spezialisierten Fachfirmen führt dazu, dass heute zentrale Geschäftsprozesse in wesentlichen Teilen durch externe Dienstleistungen unterstützt werden. Dadurch entstehen Abhängigkeiten, die natürlich den Geschäftsbetrieb, aber insbesondere auch die Informationssicherheit, unmittelbar beeinflussen.

Schwachstellen oder Ausfälle bei einem Dienstleister oder Lieferanten (nachfolgend zusammengefasst als „Dienstleister“) können unmittelbare Auswirkungen auf das eigene Unternehmen haben und unter Umständen den gesamten Geschäftsbetrieb beeinträchtigen. Dennoch zeigt die Praxis, dass Dienstleister häufig eingesetzt werden, ohne deren Bedeutung für kritische Prozesse oder die damit verbundenen Risiken systematisch zu bewerten.

Ein strukturiertes Dienstleistermanagement ist daher für jedes Unternehmen sinnvoll. Es dient zunächst dem Selbstschutz, da Risiken in der Lieferkette frühzeitig erkannt, bewertet und geeignete Maßnahmen abgeleitet werden können. Zudem stellt ein strukturierter Ansatz sicher, dass Auswahl, Bewertung, Vertragsgestaltung und Überwachung externer Dienstleister systematisch sowie nachvollziehbar durchgeführt werden.

Für bestimmte Organisationen ist eine strukturierte Steuerung von Dienstleistern zudem rechtlich oder regulatorisch verpflichtend und Anforderungen, wie bspw. die der NIS‑2‑Richtlinie, verstärken zusätzlich die Notwendigkeit, sich systematisch mit Risiken in der Lieferkette und der Steuerung von Dienstleistern auseinanderzusetzen.

In diesem Blogartikel werden typische Herausforderungen in der Zusammenarbeit mit externen Dienstleistern aufgezeigt, mögliche Maßnahmen zur strukturierten Steuerung der Dienstleister vorgestellt und relevante Gesetze und Normen kurz vorgestellt, die Anforderungen an das Dienstleistermanagement stellen und als Orientierung für die Einführung eines formalen Prozesses dienen können.

Organisatorische Herausforderungen

In vielen Organisationen entscheiden einzelne Abteilungen eigenständig über den Einsatz externer Dienstleister. So liegt die Auswahl von IT‑Dienstleistern oftmals bei der IT‑Abteilung, während in anderen Fällen der Einkauf zuständig ist. Hinzu kommt, dass SaaS‑Angebote häufig direkt von Fachabteilungen beauftragt werden, teilweise ohne Beteiligung oder Kenntnis der IT. Dadurch entstehen unkontrollierte Abhängigkeiten, Risiken oder Schatten‑Strukturen. Häufig ist dabei nicht eindeutig geregelt, wer zur Beauftragung befugt ist. Entscheidungen werden teils von einzelnen Personen, teils von ganzen Abteilungen getroffen. Ein einheitlicher Prozess oder eine verbindliche Richtlinie fehlen oft.

Dienstleister unterscheiden sich stark in ihrer Bedeutung für das Unternehmen. Neben einmaligen Leistungen (etwa Reparaturen oder kurzfristiger Unterstützung) gibt es Dienstleister, deren Ausfall zentrale Geschäftsprozesse, bis hin zur vollständigen Betriebsunterbrechung, direkt beeinträchtigen würden.

Trotzdem fehlt in vielen Unternehmen ein strukturierter Überblick: Oft existieren keine zentralen Übersichten oder Dienstleister werden unsystematisch erfasst. Dadurch entstehen Listen, die wenig aussagekräftig sind. Werden Dienstleister dezentral beauftragt, ohne dass eine zentrale Erfassung oder Abstimmung erfolgte, kann es zudem zu Mehrfachbeauftragungen kommen.

Häufig fehlt auch eine strukturierte Bewertung der Dienstleistungskritikalität sowie eine laufende Überwachung der Dienstleisterqualität. Hinzu kommt, dass sich Aufgaben und Zugriffsrechte eines Dienstleisters im Laufe der Zusammenarbeit ändern können. Erhält ein ursprünglich unkritischer Dienstleister zusätzliche Aufgaben und damit möglicherweise Zugriff auf sensible Daten oder geschützte Bereiche, entsteht ohne angemessene Bewertung schnell eine Sicherheitslücke und damit ein Risiko für die gesamte Organisation.

Unternehmen setzen sich häufig erst nach Vorfällen mit Redundanzen, Verantwortlichkeiten und Notfallplänen auseinander.

Umsetzungshilfen – alle Dienstleister im Blick

Um Dienstleister angemessen steuern zu können, müssen Unternehmen zunächst klären, welche Dienstleister für sie kritisch bzw. wichtig sind. Nicht jeder Dienstleister ist dabei gleich bedeutsam oder risikobehaftet. Eine systematische Bewertung der Kritikalität ist daher hilfreich.

Maßgeblich ist, welche Aufgaben der Dienstleister übernimmt, welche Geschäftsprozesse davon abhängen und welche Auswirkungen ein Ausfall hätte. Die Bewertung sollte sich an den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit orientieren. Je höher die Kritikalität, desto größer sind die Anforderungen an Steuerung, Kontrolle und Überwachung.

Dies lässt sich gut am Beispiel von Cloud‑Dienstleistern verdeutlichen: Während Cloud‑Dienste für manche Organisationen geschäftskritisch sind, etwa bei der Verarbeitung zentraler Unternehmensdaten, spielen sie in anderen Fällen nur eine untergeordnete Rolle, wenn lediglich öffentlich zugängliche Inhalte betroffen sind. Aus diesem Grund ist eine individuelle Einstufung der Kritikalität von Dienstleistern erforderlich

Eine mögliche Leitfrage könnte lauten: Wie wichtig ist dieser Dienstleister für den kritischen Geschäftsbetrieb?

Als „kritisch“ oder „wichtig“ können Dienstleister eingestuft werden, die bspw. Personal bereitstellen, Wartungen durchführen oder sensible Informationen (z. B. Datenträger, Akten) vernichten oder diese verarbeiten. Fehler oder unsachgemäßer Umgang mit vertraulichen bzw. personenbezogenen Daten können schwerwiegende Folgen haben. Datenschutzrechtlich bleibt dabei stets der Verantwortliche in der Pflicht, auch wenn Fehler durch den Dienstleister verursacht werden (wir berichteten).

Darüber hinaus können auch personelle Abhängigkeiten ein erhebliches Risiko darstellen. Stehen erforderliche Ressourcen nicht zur Verfügung, können Prozesse unter Umständen nicht ordnungsgemäß durchgeführt werden.

Praxisbeispiele verdeutlichen, was passieren kann, wenn Dienstleister nicht ausreichend gesteuert werden, weil die Kritikalität unbekannt ist. Falsch vernichtete Unterlagen, die als „lesbares Konfetti“ auf der Straße landen, oder Daten, die ohne vertragliche Grundlage ungeplant in einer Cloud gespeichert werden; bis plötzlich herauskommt, dass das Rechenzentrum nicht mehr existiert oder keine Backups angelegt wurden. Auch Datenlecks durch externe Dienstleister kommen vor, wenn Sicherheitsvorgaben falsch umgesetzt oder Systeme fehlerhaft konfiguriert werden.

In der Praxis sind kritische Aufgaben bei Dienstleistern oft auf Schlüsselpersonen konzentriert, besonders bei kostengetriebenen Entscheidungen ohne ausreichende Prüfung von Qualifikation und Ressourcen. Fehlen Vertretungsregelungen oder dokumentierte Übergaben, können Ausfälle dieser Personen dazu führen, dass Prozesse nicht fortgeführt und notwendige Maßnahmen nicht rechtzeitig umgesetzt werden.

Risiken in der Lieferkette analysieren

Ein Unternehmen ist in seiner Sicherheit nur so stark, wie das schwächste Glied der eigenen Lieferkette. Sicherheitsanforderungen sind daher auch entlang der Lieferkette durchzusetzen. Klare vertragliche Regelungen, nachvollziehbare Sicherheitsanforderungen und regelmäßige Überprüfungen sind dabei kein Selbstzweck, sondern eine wesentliche Grundlage für nachhaltige Sicherheit.

Unternehmen müssen nicht nur die eigenen Schutzmaßnahmen betrachten, sondern auch jene ihrer Partner, insbesondere wenn Dienstleister Zugriff auf vertrauliche, personenbezogene oder geschäftskritische Daten haben. Transparenz über Sub-Dienstleister, klare Anforderungen und regelmäßige Überprüfungen sind hierfür relevant. Gerade im Datenschutz sind Dienstleister‑Audits essenziell für die Einhaltung der gesetzlichen Pflichten (mehr lesen Sie in diesem Beitrag).

Vertragsmanagement als Sicherheitsanker

Informationssicherheit endet nicht an der Unternehmensgrenze: Erhalten Dienstleister Zugriff auf Informationen, Systeme oder Prozesse, werden sie Teil der eigenen Sicherheitsarchitektur. Sicherheitsanforderungen sollten daher explizit in Verträgen festgehalten werden. Dabei geht es nicht darum, überall dieselben Standardklauseln zu nutzen oder für jeden Lieferanten völlig neue Regelungen zu erfinden. Wichtig ist vielmehr, bewusst zu prüfen, welche Anforderungen für die jeweilige Zusammenarbeit angemessen sind. Ein Hosting-Anbieter, der Produktivsysteme betreibt, bringt andere Risiken mit sich als ein externer Kommunikationstrainer. Neben rechtlichen, regulatorischen und datenschutzrechtlichen Vorgaben gehören auch konkrete technische und organisatorische Mindestanforderungen in die vertraglichen Vereinbarungen. Der Dienstleister muss klar erkennen können, welche Maßnahmen erwartet werden, wie mit Informationen umzugehen ist und welche Pflichten im Fall eines Sicherheitsvorfalls gelten.

Auditierung/Prüfung

Informationssicherheit ist eine kontinuierliche Aufgabe. Sicherheitsanforderungen einmal festzulegen und anschließend auf die Einhaltung zu vertrauen, reicht nicht aus. Die Verantwortung für die Sicherheit eigener Informationen bleibt bei der Organisation – auch bei ausgelagerten Prozessen oder Systemen. Daher ist es notwendig, die Sicherheitsmaßnahmen von Dienstleistern regelmäßig zu überprüfen. Entsprechend sollten Dienstleister regelmäßig nachweisen, dass ihre Sicherheitsmaßnahmen wirksam sind. Ob durch Zertifikate oder andere geeignete Nachweise: Entscheidend ist eine transparente Sicht auf das tatsächliche Sicherheitsniveau.

Verantwortlichkeiten bestimmen

Informationssicherheit beruht nicht allein auf technischen Maßnahmen oder internen Richtlinien, sondern in hohem Maße auf klar geregelten vertraglichen Vereinbarungen. Werden Dienstleister nicht konsequent in das Sicherheitskonzept eingebunden, bleiben Verantwortlichkeiten unklar und es entsteht ein erhöhtes Risiko. Wirksame Informationssicherheit beginnt dort, wo Zuständigkeiten eindeutig definiert und verbindlich geregelt sind.

Die Durchsetzung entsprechender Anforderungen ist insbesondere gegenüber großen Anbietern nicht immer einfach. Dennoch lässt sich durch ein bewusstes und strukturiertes Vorgehen die Sensibilisierung für Sicherheitsverantwortung erhöhen. Zudem unterstützen gesetzliche und regulatorische Vorgaben diese Entwicklung oder schreiben bestimmte Sicherheitsanforderungen verbindlich vor.

Regulatorische und normative Anforderungen

Gesetzliche und normative Vorgaben sorgen dafür, dass Informationssicherheit in der Lieferkette nicht nur eine Empfehlung ist, sondern zunehmend verpflichtend wird. Folgende Anforderungen an ein strukturiertes Lieferantenmanagement gibt es:

ISO/IEC 27001: Diese internationale Norm fordert, dass Organisationen Prozesse definieren, um Risiken in Lieferantenbeziehungen systematisch zu steuern. Dazu gehören unter anderem sichere Verträge, definierte Anforderungen und die regelmäßige Überwachung der Dienstleister.
NIS-2‑Richtlinie: Diese Richtlinie macht Sicherheit der Lieferkette für betroffene Unternehmen zur rechtlichen Pflicht. Unternehmen müssen Risiken entlang der gesamten Lieferkette identifizieren, bewerten und geeignete Maßnahmen treffen. Sicherheitsvorfälle bei Dienstleistern sind meldepflichtig, wenn sie Auswirkungen auf das eigene Unternehmen haben. Die Gesamtverantwortung für die Steuerung dieser Risiken liegt ausdrücklich bei der Geschäftsleitung (wir berichteten).
Datenschutz-Grundverordnung (DSGVO): Der Art. 28 DSGVO verpflichtet Organisationen, nur solche Auftragsverarbeiter einzusetzen, die geeignete technische und organisatorische Maßnahmen nachweisen können. Damit werden die Auswahl, Bewertung und Überwachung von Dienstleistern zu einer gesetzlich vorgeschriebenen Aufgabe (wir berichteten).
Digital Operational Resilience Act (DORA): Dieser EU-Rechtsakt legt verbindliche Anforderungen für den Umgang mit IKT‑Dienstleistern in der Finanzbranche fest. Betroffene Unternehmen müssen kritische IKT‑Dienstleister umfassend prüfen, kontinuierlich überwachen und die damit verbundenen Risiken steuern. Verträge müssen detaillierte Sicherheitsanforderungen, Meldewege, Leistungsbeschreibungen und Kontrollrechte enthalten.
VDA ISA / TISAX®: Diese Standards verlangen von Unternehmen der Automobilindustrie, dass auch Lieferanten konsequent in den Schutz vertraulicher Informationen einbezogen werden. Dazu gehört insbesondere, vertraglich klar zu regeln, wie vertrauliche Informationen zu behandeln und zu sichern sind. Lieferanten müssen ein angemessenes Informationssicherheitsniveau nachweisen, i. d. R. durch ein entsprechendes TISAX®-Assessment.

Fazit

Ein gutes Dienstleistermanagement ist ein wichtiger Teil der Informationssicherheit. Unternehmen sollten jederzeit im Blick haben, welche Dienstleister welche Aufgaben übernehmen und auf welche Daten sie zugreifen. Nur so lässt sich einschätzen welche Risiken daraus entstehen können.

Klare Verantwortlichkeiten, transparente Prozesse und verbindliche Sicherheitsanforderungen sorgen dafür, dass nichts Essenzielles übersehen wird.

Verschiedene rechtliche, regulatorische und vertragliche Vorgaben wie ISO/IEC 27001, NIS‑2, DSGVO, DORA oder TISAX® zeigen deutlich, wie wichtig Informationssicherheit heute ist. Sie legen klare Anforderungen fest und machen zugleich deutlich, dass Informationssicherheit nicht an den eigenen Unternehmensgrenzen endet, sondern darüber hinaus betrachtet werden muss.

Wer Dienstleister bewusst auswählt, bewertet, vertraglich bindet und regelmäßig überprüft, erreicht nicht nur Rechtskonformität, sondern stärkt die eigene Widerstandsfähigkeit gegenüber Sicherheitsvorfällen. Echte Informationssicherheit entsteht dort, wo Risiken erkannt, gesteuert und kontinuierlich überwacht werden.

Nagihan Emral | 10. April 2026 | Informationssicherheit | Bewertung, Cloud, Dienstleister, DORA, DSGVO, Informationssicherheit, ISO/IEC 27001, Kritikalität, Lieferkette, NIS-2-Richtlinie, Unternehmen