Sicheres Supply Chain Management: Leitfaden für ein erfolgreiches TPRM

Wie gut kennen Unternehmen ihre Lieferanten und Partner? Haben sie die volle Kontrolle über deren Sicherheitsmassnahmen? Die Realität zeigt: Viele Firmen haben nur einen bruchstückhaften Überblick über ihre Third Parties – und genau das nutzen Cyberkriminelle aus.Regulatoren und internationale Standards haben dieses Problem längst erkannt und fordern ein systematisches Third-Party-Risk-Management (TPRM). Doch wie können Unternehmen diese Herausforderung bewältigen?

In diesem Artikel beleuchten wir die wichtigsten regulatorischen Anforderungen und zeigen, wie TPRM in der Praxis effektiv umgesetzt werden kann – mit konkreten Empfehlungen der Expertinnen und Experten von InfoGuard.

Quizfrage: Was ist einer der gemeinsamen Punkte in den neueren Standards und gesetzlichen Vorgaben?

Ist es…

• …dass Nachweise auf einer Blockchain gespeichert werden müssen
• …ein Vorstoss, der ein verbessertes Lieferantenmanagement fordert
• …dass die Benutzung von KI für die Evaluation von Risiken obligatorisch ist

Die richtige Antwort lautet: Vorstoss zum besseren Lieferantenmanagement.

Gesetzliche Vorgaben und Standards zum Lieferantenmanagement und Lieferantenrisikomanagement (TPRM)

Normative Vorgaben wie ISO/IEC 27001sowie ISO/IEC ISO 27701 etc, gesetzliche Vorgaben wie NIS (Artikel 2d) und DORA (Artikel 28 bis 44)  sowie international anerkannte Standards wie ISO/IEC 27002 (5.19) und PCI DSS Version 4.x (6.3.2) integrieren verstärkt Lieferantenmanagement und Lieferantenrisikomanagement (TPRM). NIST bieten in der SP 800-161 ebenfalls wertvolle Informationen zum Lieferantenmanagement sowie dessen Risikomanagement.

Die genauen Anforderungen der Standards mögen sich im Wortlaut leicht unterscheiden, zielen jedoch im Kern auf eine umfassendere Übersicht und Überwachung relevanter bzw. kritischer Lieferanten und Dienstleister ab:

• Regelmässige Kontrolle der bezogenen Services
• Regelmässige Risikoeinschätzung des Lieferanten
• Nachweis der Lieferanten und der Sub-Lieferanten über sicheren Betrieb
• Massnahmen bei geänderter Risikoeinschätzung eines Lieferanten
• Konsolidierte Berichterstattung an die Geschäftsleitung
• Regelmässiger Review des Lieferantenrisikobewertungsprozesses
• Kontinuierlicher Verbesserungsprozess (KVP)

Die 5 Phasen des TPRM-Massnahmenkatalogs

Die in den gesetzlichen Vorgaben und Standards definierten Anforderungen lösen Analysen und Optimierungen aus, die zu einem erheblichen Mehraufwand führen.

Die zugrunde liegenden Tätigkeiten können in fünf Phasen differenziert werden:

1. Erarbeiten eines Kriterienkatalogs
2. Erweiterung des bestehenden Lieferantenrisikobewertungsprozesses
3. Aktualisieren und Dokumentieren des Lieferantenmanagementinventars*
4. Automatisierung des geänderten Lieferantenrisikobewertungsprozesses*
5. Reporting des Lieferantenrisikomanagements

* Die Phasen 3 und 4 müssen nicht zwangsläufig zeitlich getrennt stattfinden, sondern können gleichzeitig und parallel ablaufen.

Mit dem TPRM-Leitfaden durch die Herausforderungen

Das Unternehmen steht aufgrund geänderter Anforderungen im Bereich Lieferantenrisikomanagement vor einigen Herausforderungen. Das bestehende Inventar an Lieferanten muss überarbeitet oder wahrscheinlich sogar erweitert und überarbeitet werden.

Dies bedeutet einen Mehraufwand für die Angestellten, der während des Tagesgeschäfts abgearbeitet werden muss. Hinzu kommt, dass die Erweiterung des Lieferanteninventars idealerweise zwar durch den oder die Verantwortlichen des Frameworks genehmigt wird, die Entscheidung darüber jedoch nicht allein bei dieser Person oder diesem Personenkreis liegen sollte. Die Abstimmung darüber erfordert somit den Dialog mit weiteren Beteiligten.

Die Vervollständigung des Lieferanteninventars wird Key-Personen oder deren Delegationen aus mehreren Abteilungen involvieren, was wiederum organisatorischen Mehraufwand bedeutet, der Zeit und schlussendlich Geld kostet.

Um den Aufwand zu optimieren, lassen sich folgende Massnahmen umsetzen:

Klassifizierung der Lieferanten und Dienstleister

Eine effektive Klassifizierung der Lieferanten und Dienstleister kann den Aufwand erheblich reduzieren. Lieferanten sollten nach ihrer Kritikalität und ihrem Einfluss auf das Geschäft klassifiziert werden. Dies ermöglicht es, Ressourcen gezielt auf die wichtigsten/kritischsten Lieferanten zu konzentrieren.

1. Kritische Lieferanten: Diese Lieferanten sind essenziell für den Geschäftsbetrieb. Ihr Ausfall würde erhebliche Auswirkungen auf das Unternehmen haben.
2. Wichtige Lieferanten: Diese Lieferanten sind wichtig, aber ihr Ausfall würde keine unmittelbaren, schwerwiegenden Auswirkungen haben.
3. Nicht-kritische Lieferanten: Diese Lieferanten haben einen geringeren Einfluss auf das Geschäft.

Priorisierung der Massnahmen

Nach der Klassifizierung sollten Massnahmen priorisiert werden. Kritische Lieferanten sollten zuerst bewertet und überwacht werden. Dies stellt sicher, dass die wichtigsten Risiken zuerst adressiert werden.

Nutzung von Technologie

Die Nutzung von Technologie, wie z.B. KI-gestützte Tools, kann die Effizienz des Lieferantenmanagements weiter steigern. Diese Tools können helfen, Risiken zu identifizieren, Daten zu analysieren und Berichte zu erstellen.

Schulung und Sensibilisierung

Die Schulung der Mitarbeitenden und die Sensibilisierung für die Bedeutung des Lieferantenmanagements können ebenfalls den Aufwand reduzieren. Mitarbeitende, die die Bedeutung und die Anforderungen des Lieferantenmanagements verstehen, können effizienter arbeiten und bessere Entscheidungen treffen.

Erhalten Sie Klarheit über Ihre Lieferkettenrisiken. Als ISO 27001-zertifizierter Dienstleister begleitet Sie unser Consulting-Team gerne bei der strukturierten Analyse und Optimierung Ihres Lieferantenmanagements.

Voraussetzungen für ein effizientes TPRM

Kurz gesagt: Zentralisierung und Automatisierung

Zentralisierung

Zentralisierung bedeutet das Zusammenführen von möglichst vielen Informationsquellen an einen zentralen Ort – im Idealfall ein ERP, eventuell eine übergreifende Wiki-Seite, die aus mehreren Quellen Daten bezieht oder anzeigt, oder wenn es gar nicht mehr anders geht – eine konsolidierte Exceltabelle.

Automatisierung

Automatisierung ersetzt so viele manuelle Schritte wie möglich durch Workflows und benutzt Templates. Hier macht sich die Zentralisierung auf dankbare Weise bemerkbar: Je grösser sie über das Unternehmen ist, desto effektiver ist sie. Falls in Zukunft auch noch die Überwachung von Viertdienstleistern oder gar Fünftdienstleistern zur Pflicht wird, dann steigt die Anzahl schnell ins Unübersichtliche.

An einem Beispiel verdeutlicht: Ein Unternehmen bezieht Dienstleistungen von 15 Lieferanten. Diese 15 Dienstleister beziehen selbst Dienstleistungen von 15 Dienstleistern (aus Unternehmenssicht „Viertdienstleistern“), welche auch wieder von jeweils 15 Dienstleistern bedient werden („Fünftdienstleistern“).

Das sind total 3.615 Dienstleister. Natürlich müssen nicht alle in derselben Intensität überwacht und bewertet werden, aber auf manuelle Art und Weise ist eine solche Anzahl von Dienstleistern nicht managebar. Workflows, die Fragekatalog- sowie E-Mailvorlagen als Elemente der Automatisierung benutzen, kommen hier zum Zug.

Praktische Vorgehensweisen

Da sich alle Unternehmen bis zu einem gewissen Grad unterscheiden, ist es schwierig bis unmöglich, hier konkrete Vorgehensschritte für praktikables Lieferantenmanagement aufzuzeigen. Daher konzentrieren wir uns auf einige grundlegende Schritte.

Vorgehensweise «Geld»

Diese Methode untersucht, welche Lieferantenrechnungen von der Buchhaltung bezahlt werden. Aus den Rechnungen kann auf den Lieferanten sowie auf die bezogene Leistung rückgeschlossen werden. Dies sollte Aufschluss darüber geben, ob es sich um einen Service mit Relevanz zur IT handelt und falls ja, wie kritisch dieser Service ist. Falls die Buchhaltung hier nicht schon Rechnungen nach Kategorien filtern kann, kann dieses Vorgehen jedoch einige Zeit in Anspruch nehmen. Nicht zuletzt, weil die Suche zu verschiedenen Zeitpunkten wiederholt werden sollte, um unterschiedliche Zahlungsperioden abzudecken.

Vorgehensweise «Dienstleistung»

Diese Methode ist eine Tagesaktivitätsanalyse, in welcher jeder Handgriff auf Service-Relevanz und Kritikalität hinterfragt wird: „Wenn ich dieses Image deploye, dann benutze ich meinen Laptop, das Netzwerk, diese Software, diesen Tenant in der Cloud, etc.“ Alle diese Dienstleistungen müssen gesammelt und nach Kritikalität gruppiert werden. Als letzter Schritt folgt dann die Zuordnung «Dienstleistung zu Lieferant». Eine solche Analyse sollte von mehreren Personen aus verschiedenen Gruppen an verschiedenen Tagen ausgeführt werden, da nicht an jedem Tag alle Tätigkeiten ausgeführt werden, die zu kritischen Diensten und Lieferanten führen.

Beide Vorgehensweisen liefern Listen von Lieferanten und Dienstleistungen, die nun gegengeprüft werden müssen. Welche Lieferanten für das Unternehmen kritisch sind, muss das Unternehmen selbst entscheiden. Meistens basiert dies auf einer Business-Impact-Analyse (BIA), in welcher anhand von fiktiven (oder tatsächlich aufgetretenen) Vorfällen abgeschätzt wird, wie und wie sehr das Unternehmen von einem Vorfall betroffen ist. Wenn der Wegfall einer Dienstleistung oder eines Lieferanten das Überleben des Unternehmens nach einem Tag, nach drei Tagen oder nach einer Woche gefährdet, dann kann diese Dienstleistung oder dieser Lieferant mit gutem Gewissen als kritisch markiert werden.

Lieferantenrisikobewertung im TPRM

Informationsbeschaffung

Um die Lieferantenrisikobewertung durchzuführen, benötigen wir Informationen zum Lieferanten bzw. zu dessen Dienstleistung. Die Informationsquelle muss bezüglich Zuverlässigkeit bzw. dem Wahrheitsgehalt der Information kritisch hinterfragt werden. Dazu können wir:

• Öffentlich erhältliche Informationen sammeln.
• Uns auf der Lieferanten-Homepage informieren.
• Den Lieferanten um das Ausfüllen eines Fragebogens bitten.
• Uns auf Informationen von Drittparteien verlassen.

Bewertung der Informationen

Eine ISO 27001-Zertifizierung eines Lieferanten ist von Vorteil und  kann uns viel Arbeit ersparen, sofern die benutzte Dienstleistung im Scope des zertifizierten ISMS liegt, was genau geprüft werden muss.

Vorgehen «Fragebogen»

Häufig angewendet wird das Vorgehen „Fragebogen“, dessen Detaillierungsgrad parallel zur Kritikalität des Lieferanten bzw. der Dienstleistung steigt. Je wichtiger die Dienstleistung für uns ist, desto genauer wollen wir wissen, wie es um Dinge wie Patching, Change-Management, Configuration Management, Secure Software Development Life Cycle, Lieferantenmanagement etc. steht.

Bestehende Lieferanten

Von bestehenden Lieferanten sollten zu den oben genannten Punkten schon Informationen vorhanden sein aus früheren Umfragen. Es braucht „nur“ noch ein Delta an Informationen für die Komplettierung.

Neue Lieferanten

Bei neu hinzugekommenen Lieferanten bleibt uns nichts anderes übrig, als alle notwendigen Informationen abzuholen.

Vertragsanpassungen

Falls sich bei einem ersten Review der bestehenden Lieferanten zeigt, dass gegenüber den gewachsenen Ansprüchen ans Lieferantenrisikomanagement Lücken offen sind, die vertraglich abgedeckt werden müssen, dann sollten die Templates für Lieferantenverträge möglichst zeitnah aktualisiert werden, um zukünftige Lieferanten gleich auf dem höheren Niveau abzuholen. Bestehende Lieferanten werden gegebenenfalls nicht bereit sein, während der laufenden Vertragsdauer Änderungen am Vertrag zu akzeptieren, die für den Lieferanten mehr Aufwand bedeuten. Daher muss bei solchen Lieferanten zum Zeitpunkt der Vertragserneuerung das neue Vertragstemplate miteingebracht werden.

Automatisierung der Bewertung

Das Einholen eines ISO 27001-Zertifikats und die sorgfältige Prüfung des darin ausgewiesenen Scopes liegen in der Regel ausserhalb der Möglichkeiten eines Workflow-Tools (und die Bewertung einer solchen Analyse sollte auch durch ein KI-Tool keinesfalls ungeprüft übernommen werden). Ein standardisierter Fragenkatalog hingegen lässt sich beispielsweise in Microsoft Forms relativ einfach umsetzen. In Kombination mit Outlook/Exchange können dann regelmässig Lieferantenfragebögen bzw. die erstellten Links an aktive Lieferanten im Lieferantenverzeichnis verschickt werden. Entweder automatisch per Datum oder alternativ an eine exportierte Liste von aktiven Lieferanten. Je besser integriert die Datenquelle und das Workflow-Tool sind, desto hürdenfreier kann die Automation gestaltet werden, was schlussendlich alle involvierten Personen entlastet.

Was auch immer das Format des Fragebogens ist, der Aufwand für die Auswertung der Antworten darf nicht unterschätzt werden. Deshalb sind Freiformattextfelder als Antworten so weit wie möglich zu vermeiden und wo möglich stattdessen Radiobuttons oder Dropdownfelder zu benutzen – die Auswertung der Antworten wird dadurch um ein Vielfaches einfacher. Denn letztlich ist das Ziel nicht das Einsammeln von Fragebögen, sondern die Auswertung aufgrund welcher eine Einschätzung der Risikolage im Lieferantenbereich ermöglicht wird.

So gelingt TPRM mit Minimal-Aufwand

Wer noch nicht als Lieferant bewertet wurde oder noch keine Lieferanten inventarisiert und bewertet hat, wird dies in Kürze durchführen müssen. Wir unterstützen Sie gerne im Prozess und der Einschätzung zur Entlastung der Organisation. Stellen Sie Ihr Lieferantenmanagement zukunftssicher auf und bleiben Sie regulatorisch immer einen Schritt voraus. Als ISO 27001-zertifizierter Dienstleister begleitet Sie unser Consulting-Team im Prozess und der Einschätzung zur Entlastung Ihrer Organisation. Sichern Sie sich jetzt eine persönliche Beratung.

Bildlegende: mit KI generiertes Bild