Lieferkettensicherheit unter NIS-2: Anforderungen an Zulieferer

Die cleversten Angreifer gehen nicht durch die Vordertür. Sie kommen über die Lieferkette – über den IT-Dienstleister, der Wartungszugang hat, über die Software-Komponente, die niemand genau geprüft hat, über den Zulieferer, dessen Sicherheit nie hinterfragt wurde.

SolarWinds hat das 2020 auf dramatische Weise gezeigt: Ein kompromittiertes Update, und tausende Organisationen waren betroffen – darunter Behörden und Großunternehmen, die selbst ausgezeichnete Sicherheit hatten. Die eigene Sicherheit nützt wenig, wenn das schwächste Glied in der Kette versagt.

NIS-2 hat das verstanden und macht Lieferkettensicherheit zur expliziten Pflicht.

Was die Richtlinie fordert

Artikel 21 ist eindeutig: Betroffene Unternehmen müssen “die Sicherheit der Lieferkette” berücksichtigen, “einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteerbringern.”

Konkret heißt das: Sie müssen die Sicherheit Ihrer Lieferanten bewerten. Sie müssen Schwachstellen identifizieren. Sie müssen angemessene vertragliche Regelungen treffen. Und Sie müssen das Ganze überwachen – nicht einmal, sondern kontinuierlich.

Das ist keine Empfehlung, das ist Pflicht.

Die praktische Umsetzung

Zuerst müssen Sie wissen, wer Ihre kritischen Lieferanten sind. Nicht alle Lieferanten sind gleich wichtig. Der Büromaterialhändler ist ein anderes Kaliber als der Cloud-Provider, auf dem Ihre gesamte IT läuft.

Kritische Lieferanten sind solche mit Zugang zu Ihren Systemen: IT-Dienstleister, MSPs, Software-Entwickler mit Fernwartung. Solche, die kritische Dienste erbringen: Cloud-Provider, Rechenzentren, ERP-Anbieter. Und solche, die sensible Daten verarbeiten: Backup-Dienstleister, externe Personalabteilung, Steuerberater mit Datenzugriff.

Listen Sie diese auf. Das ist Ihr Startpunkt.

Dann bewerten Sie das Risiko. Welche Zugänge hat der Lieferant? Welche Daten kann er sehen? Wie abhängig sind Sie von ihm? Hat er Alternativen? Und wie ist seine Sicherheitsreife?

Für die Sicherheitsreife gibt es verschiedene Indikatoren: Zertifizierungen, SOC 2-Berichte, ausgefüllte Sicherheitsfragebögen, Audit-Ergebnisse. Bei kritischen Lieferanten sollten Sie nicht raten, sondern wissen.

Vertragliche Absicherung

Verträge sind Ihr wichtigstes Werkzeug. Was nicht im Vertrag steht, können Sie nicht durchsetzen.

Sicherheitsanforderungen müssen definiert sein. Welche Standards erwartet werden, welche Maßnahmen umgesetzt sein müssen, welche Zertifizierungen vorliegen sollen.

Meldepflichten bei Vorfällen gehören in jeden kritischen Lieferantenvertrag. Und zwar mit konkreten Fristen – 24 Stunden bei erheblichen Vorfällen ist eine sinnvolle Größe. Sie können Ihre eigene Meldepflicht ans BSI nicht erfüllen, wenn Ihre Lieferanten Sie nicht rechtzeitig informieren.

Audit-Rechte geben Ihnen die Möglichkeit zu prüfen, ob die Zusagen eingehalten werden. Das kann ein Vor-Ort-Audit sein oder das Recht, Prüfberichte anzufordern.

Regelungen für Subunternehmer sind wichtig, weil Ihre Lieferanten möglicherweise eigene Lieferanten haben. Diese Kette müssen Sie im Blick behalten.

Exit-Regelungen für den Fall, dass Sie den Lieferanten wechseln müssen. Was passiert mit Ihren Daten? Wie werden sie übergeben oder gelöscht?

Die Kehrseite: Wenn Sie selbst Zulieferer sind

Wenn Sie als Zulieferer für NIS-2-betroffene Unternehmen arbeiten, kommen die Anforderungen zu Ihnen – auch wenn Sie selbst nicht reguliert sind.

Erwarten Sie mehr Sicherheitsfragebögen. Umfangreichere, detailliertere, häufigere. Ihre Kunden müssen nachweisen, dass sie ihre Lieferkette im Griff haben, und dafür brauchen sie Informationen von Ihnen.

Erwarten Sie Anforderungen an Nachweise. Manche Kunden verlangen Zertifizierungen, andere akzeptieren dokumentierte Sicherheitsmaßnahmen und ausgefüllte Fragebögen. Was zählt: Sie müssen zeigen können, dass Sie Cybersicherheit ernst nehmen.

Erwarten Sie vertragliche Anforderungen, die Sie vor ein paar Jahren abgelehnt hätten. Meldepflichten, Audit-Rechte, Haftungsklauseln. Das wird zum Standard.

Sie können darüber klagen. Oder Sie können es als Wettbewerbsvorteil nutzen: Wer proaktiv in Sicherheit investiert, wird schneller durch Onboarding-Prozesse kommen, wird bessere Verhandlungspositionen haben, wird Zugang zu regulierten Märkten behalten.

Software Bill of Materials (SBOM)

Ein Thema, das an Bedeutung gewinnt: SBOMs. Eine maschinenlesbare Liste aller Softwarekomponenten in einem Produkt – wie eine Zutatenliste bei Lebensmitteln.

Warum das wichtig ist? Weil Sie wissen müssen, was in Ihrer Software steckt. Wenn morgen eine kritische Schwachstelle in einer weit verbreiteten Bibliothek auftaucht (Log4Shell lässt grüßen), wollen Sie sofort wissen, ob Sie betroffen sind. Mit einem SBOM können Sie das automatisiert prüfen. Ohne müssen Sie raten.

Wenn Sie Software entwickeln: Erstellen Sie SBOMs. Automatisch, im Build-Prozess. In standardisierten Formaten wie SPDX oder CycloneDX.

Wenn Sie Software einkaufen: Fragen Sie nach SBOMs. Lieferanten, die keine liefern können, haben ihr Schwachstellenmanagement nicht im Griff.

Technische Absicherung

Vertrauen ist gut, Kontrolle ist besser. Selbst wenn Ihre Lieferanten alle Anforderungen erfüllen, sollten Sie technisch absichern.

Least Privilege: Lieferanten bekommen nur die Berechtigungen, die sie tatsächlich brauchen. Nicht mehr.

Segmentierung: Lieferantenzugänge werden vom Rest des Netzwerks getrennt. Wenn ein Lieferant kompromittiert wird, begrenzt das den Schaden.

Überwachung: Alle Aktivitäten von Lieferanten werden protokolliert. Anomalien werden erkannt.

Zeitbeschränkung: Zugriffe werden automatisch beendet, wenn sie nicht mehr benötigt werden. Keine vergessenen Accounts, die jahrelang aktiv bleiben.

Die Realität

Lieferkettensicherheit ist aufwändig. Keine Frage. Aber die Alternative – ein Vorfall über die Lieferkette – ist teurer.

Fangen Sie mit den kritischsten Lieferanten an. Erfassen Sie, wer Zugang zu Ihren Systemen hat. Prüfen Sie die bestehenden Verträge. Etablieren Sie standardisierte Prozesse für die Bewertung.

Das ist keine einmalige Übung, sondern ein kontinuierlicher Prozess. Lieferanten ändern sich, Risiken ändern sich, Anforderungen ändern sich. Bleiben Sie dran.

Ihre Sicherheit ist nur so gut wie das schwächste Glied in Ihrer Kette. Unter NIS-2 sind Sie dafür verantwortlich, dass dieses Glied nicht bricht.