ISO 27001 Lieferantenmanagement: Anforderungen an das Drittanbieterrisiko

Ihr ISMS ist nur so stark wie Ihr schwächster Lieferant. Jedes SaaS-Unternehmen ist auf ein Netz von Drittanbieterbeziehungen angewiesen — Cloud-Infrastrukturanbieter, die Ihre Produktionsumgebung hosten, Identity Provider, die die Authentifizierung verwalten, Zahlungsabwickler, die Finanzdaten verarbeiten, Monitoring-Tools, die Ihre Telemetriedaten aufnehmen, und Dutzende weiterer Dienste, auf die Ihre Anwendung angewiesen ist, um zu funktionieren. ISO 27001 erkennt diese Realität an und verlangt, dass Sie die durch diese Beziehungen eingeführten Informationssicherheitsrisiken systematisch identifizieren, bewerten und steuern.

Dies ist kein theoretisches Anliegen. Wenn ein Lieferant eine Sicherheitsverletzung erleidet, wird sein Versagen zu Ihrem Risiko. Kundendaten, die von einem kompromittierten Unterauftragsverarbeiter verarbeitet werden, liegen weiterhin in Ihrer Verantwortung. Ein Ausfall des Identity Providers, der Ihre Benutzer von Ihrer Plattform aussperrt, ist weiterhin Ihr Verfügbarkeitsproblem. Eine Abhängigkeit mit einer in Ihre Build-Pipeline eingeschleusten Hintertür ist weiterhin Ihr Sicherheitsvorfall. Die Annex A Controls A.5.19 bis A.5.23 von ISO 27001 existieren genau deshalb, weil Lieferantenbeziehungen eine der bedeutendsten und dauerhaftesten Quellen von Informationssicherheitsrisiken sind.

Dieser Leitfaden behandelt die ISO 27001-Anforderungen an das Lieferantenmanagement, erklärt jedes relevante Annex A Control, führt durch die praktischen Prozesse für Sorgfaltspflicht, vertragliche Abstimmung und laufende Überwachung und adressiert die spezifischen Herausforderungen der Lieferkette, denen SaaS-Unternehmen gegenüberstehen.

Erläuterung der ISO 27001 Controls zum Lieferantenmanagement

Die Revision von ISO 27001 aus dem Jahr 2022 gruppiert die Controls zum Lieferantenmanagement unter Abschnitt A.5 innerhalb der Kategorie der organisatorischen Controls. Fünf Controls bilden ein umfassendes Framework für die Steuerung von Drittanbieterrisiken.

A.5.19 — Informationssicherheit in Lieferantenbeziehungen

Dies ist das grundlegende Control. Es verlangt, dass Sie eine Richtlinie und Verfahren zur Steuerung von Informationssicherheitsrisiken im Zusammenhang mit der Nutzung von Lieferantenprodukten und -diensten festlegen und dokumentieren. Die Richtlinie muss behandeln:

• Die Arten von Lieferanten und die Arten von Zugriff, die sie auf Ihre Informationen und Systeme haben
• Die Mindestanforderungen an die Informationssicherheit für jede Art von Lieferantenbeziehung
• Prozesse zur Bewertung der Informationssicherheitsfähigkeiten von Lieferanten vor Eingehen einer Beziehung
• Die Kriterien für die Auswahl und Genehmigung von Lieferanten
• Verantwortlichkeiten für die Verwaltung von Lieferantenbeziehungen über deren gesamten Lebenszyklus

Dieses Control legt fest, dass Lieferantenmanagement nicht ad hoc ist — es ist ein definierter, wiederholbarer Prozess, der durch dokumentierte Richtlinien gesteuert wird. Ihre Lieferanten-Informationssicherheitsrichtlinie sollte Teil Ihres umfassenderen ISMS-Richtlinien-Frameworks sein.

A.5.20 — Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen

Sobald Sie einen Lieferanten ausgewählt haben, verlangt dieses Control, dass Sie relevante Informationssicherheitsanforderungen mit jedem Lieferanten festlegen und vereinbaren, der auf Ihre Informationen zugreifen, diese verarbeiten, speichern, übermitteln oder IT-Infrastrukturkomponenten bereitstellen kann. In der Praxis bedeutet dies, dass Ihre Verträge Folgendes enthalten müssen:

• Klare Definition der Informationen und Dienste, auf die der Lieferant zugreifen oder die er bereitstellen wird
• Informationssicherheitsanforderungen, die für die Beziehung spezifisch sind (Verschlüsselungsstandards, Zugriffskontrollen, Prüfungsrechte)
• Verpflichtungen zur Benachrichtigung bei Vorfällen (wie schnell der Lieferant Sie über Sicherheitsvorfälle informieren muss, die Ihre Daten betreffen)
• Die Verpflichtung des Lieferanten, Ihre Informationssicherheitsanforderungen oder gleichwertige Standards einzuhalten
• Ihr Recht, die Einhaltung der vereinbarten Anforderungen durch den Lieferanten zu prüfen
• Anforderungen an das Management der eigenen Unterlieferanten des Lieferanten (Ihr Viertparteienrisiko)
• Rückgabe oder Vernichtung Ihrer Informationen bei Beendigung der Beziehung
• Vertraulichkeits- und Geheimhaltungspflichten

Diese Anforderungen werden typischerweise durch eine Kombination aus dem Rahmenvertrag, einer Auftragsverarbeitungsvereinbarung (siehe unseren DSGVO-AVV-Leitfaden für Anforderungen bei der Verarbeitung personenbezogener Daten) und Informationssicherheitsanhängen oder -ergänzungen umgesetzt.

A.5.21 — Management der Informationssicherheit in der IKT-Lieferkette

Dieses Control adressiert speziell die Lieferkettenrisiken bei Produkten und Diensten der Informations- und Kommunikationstechnologie (IKT). Für SaaS-Unternehmen ist dies direkt relevant, da Ihre Software-Lieferkette Open-Source-Bibliotheken, kommerzielle Komponenten, Cloud-Dienste und SaaS-zu-SaaS-Integrationen umfasst.

Das Control verlangt von Ihnen:

• Definition und Implementierung von Prozessen zur Steuerung von IKT-Lieferkettenrisiken
• Anforderung, dass Lieferanten angemessene Sicherheitspraktiken in der gesamten Lieferkette weitergeben
• Einbeziehung von IKT-Lieferkettenrisiken in Ihren Risikobewertungs-prozess
• Überwachung auf Lieferkettenbedrohungen (kompromittierte Abhängigkeiten, böswillige Updates, Lieferantenverletzungen)

Im SaaS-Kontext treibt dieses Control Praktiken wie Software-Kompositionsanalyse, Schwachstellenscanning von Abhängigkeiten, Programme für Sicherheitsfragebögen an Lieferanten und Überwachung von Unterauftragsverarbeitern voran.

A.5.22 — Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen

Lieferantenmanagement ist keine einmalige Aktivität. Dieses Control verlangt eine laufende Überwachung und regelmäßige Überprüfung der Lieferantenleistungen sowie aller Änderungen der Lieferantenleistungserbringung. Konkret müssen Sie:

• Die Leistung und Sicherheit von Lieferantendiensten laufend überwachen
• Die Einhaltung der vereinbarten Informationssicherheitsanforderungen durch den Lieferanten überprüfen
• Änderungen an Lieferantendiensten verwalten (einschließlich Änderungen bei den Unterlieferanten, Technologieplattformen oder der Sicherheitslage des Lieferanten)
• Bewerten, ob Änderungen beim Lieferantendienst Ihr Informationssicherheitsrisikoprofil beeinflussen

Für SaaS-Unternehmen bedeutet dies regelmäßige Überprüfung der SOC 2-Berichte des Lieferanten, Überwachung von Sicherheitshinweisen des Anbieters, Verfolgung von Änderungen an Unterauftragsverarbeiterlisten des Lieferanten und Neubewertung des Lieferantenrisikos bei signifikanten Änderungen.

A.5.23 — Informationssicherheit bei der Nutzung von Cloud-Diensten

Dies ist ein neues Control, das in der Revision von 2022 eingeführt wurde und die zentrale Rolle von Cloud-Diensten in modernen Informationssystemen widerspiegelt. Es verlangt, dass Sie Prozesse für die Beschaffung, Nutzung, Verwaltung und den Ausstieg aus Cloud-Diensten festlegen, mit besonderem Augenmerk auf:

• Definition von Informationssicherheitsanforderungen für Cloud-Dienste basierend auf Ihren Sicherheitsbedürfnissen
• Festlegung von Auswahlkriterien für Cloud-Dienste, die Sicherheitsfähigkeiten einschließen
• Definition von Rollen und Verantwortlichkeiten zwischen Ihrer Organisation und dem Cloud-Dienstanbieter (das Modell der geteilten Verantwortung)
• Verwaltung der Sicherheitskontrollen, die in Ihrer Verantwortung im Rahmen des Modells der geteilten Verantwortung liegen
• Festlegung von Ausstiegsstrategien für Cloud-Dienste, einschließlich Datenabruf und Löschverifizierung

Dieses Control erkennt an, dass Cloud-Dienste einzigartige Herausforderungen im Lieferantenmanagement darstellen — Sie teilen sich die Verantwortung für die Sicherheit mit dem Anbieter, und die Grenze dieser geteilten Verantwortung variiert je nach Servicemodell (IaaS, PaaS, SaaS).

Eine vollständige Zuordnung aller Annex A Controls finden Sie in unserem ISO 27001 Annex A Controls-Leitfaden.

Lieferantenklassifizierung und -staffelung

Nicht jeder Lieferant birgt dasselbe Risiko. Ein Cloud-Infrastrukturanbieter, der Ihre Produktionsdatenbank hostet, unterscheidet sich grundlegend von einem Designtool, das von Ihrem Marketingteam verwendet wird. ISO 27001 verlangt, dass Ihr Lieferantenmanagement-Aufwand proportional zum Risiko ist, das jeder Lieferant einführt. Klassifizierung und Staffelung machen dies praktikabel.

Aufbau eines Lieferanteninventars

Bevor Sie Lieferanten klassifizieren können, benötigen Sie ein vollständiges Inventar. Dies ist schwieriger als es klingt, da SaaS-Unternehmen typischerweise schnell Tools einführen und manchmal ohne zentrale Beschaffungsaufsicht.

Entdeckungsmethoden:

• Finanzunterlagen — Rechnungen, Kreditkartenabrechnungen und Abonnement-Management-Plattformen zeigen jedes Tool und jeden Dienst, für den die Organisation bezahlt. Dies ist die zuverlässigste Quelle.
• SSO- und Identity-Provider-Protokolle — Ihr Identity Provider (Okta, Google Workspace, Azure AD) zeigt, auf welche SaaS-Anwendungen Mitarbeiter zugreifen. Anwendungen, die nicht mit SSO integriert sind, sind eine Lücke, die es zu untersuchen lohnt.
• Netzwerkverkehrsanalyse — DNS- und Proxy-Protokolle zeigen externe Dienste, mit denen Ihre Systeme kommunizieren, einschließlich solcher, die möglicherweise nicht formal beschafft wurden.
• Abteilungsbefragungen — Fragen Sie jedes Team, welche Tools und Dienste es nutzt. Dies erfasst kostenlose Tools und Schatten-IT, die nicht in Finanzunterlagen erscheinen.
• Engineering-Architekturüberprüfung — Überprüfen Sie Ihre Infrastrukturdiagramme, Abhängigkeitsmanifeste (package.json, requirements.txt, Gemfile) und Deployment-Konfigurationen, um alle externen Dienste zu identifizieren, von denen Ihre Anwendung abhängt.

Staffelungsrahmen

Weisen Sie jeden Lieferanten einer Stufe basierend auf dem eingeführten Risiko zu. Ein Drei-Stufen-Modell balanciert Sorgfalt mit Praktikabilität:

Stufe	Kriterien	Sorgfaltspflichtniveau	Überprüfungshäufigkeit	Beispiele
Stufe 1 — Kritisch	Verarbeitet oder speichert Kundendaten, hostet Produktionsinfrastruktur, bietet sicherheitskritische Dienste oder würde bei Nichtverfügbarkeit erhebliche Geschäftsunterbrechungen verursachen	Vollständige Sorgfaltspflicht: Sicherheitsfragebogen, SOC 2/ISO 27001-Berichtsprüfung, Penetrationstestergebnisse, vertragliche Sicherheitsanforderungen	Jährlich (mindestens) plus ereignisgesteuerte Überprüfungen	AWS/GCP/Azure, primärer Datenbankanbieter, Identity Provider, Zahlungsabwickler
Stufe 2 — Bedeutend	Zugriff auf interne sensible Daten, Integration mit Produktionssystemen oder Bereitstellung wichtiger Geschäftsdienste	Standard-Sorgfaltspflicht: Sicherheitsfragebogen, Zertifizierungsprüfung, vertragliche Sicherheitsanforderungen	Jährlich	CI/CD-Plattformen, Monitoring-Tools, Kommunikationsplattformen mit Datenintegrationen, HR-Systeme
Stufe 3 — Gering	Kein Zugriff auf sensible Daten, keine Integration mit Produktionssystemen, begrenzte Geschäftsauswirkung	Grundlegende Sorgfaltspflicht: Zertifizierungsstatusprüfung, Datenschutzrichtlinienprüfung	Alle 2 Jahre	Designtools, Projektmanagement (ohne sensible Daten), Bürobedarf, Marketing-Analysen

Zu bewertende Klassifizierungsfaktoren:

• Datenzugriff: Auf welche Arten von Daten greift der Lieferant zu? Kundendaten, Mitarbeiterdaten, Finanzdaten, geistiges Eigentum?
• Datenverarbeitung: Speichert der Lieferant Ihre Daten, verarbeitet er sie oder leitet er sie lediglich weiter?
• Systemintegration: Ist der Lieferant in Ihre Produktionsumgebung integriert? Kann eine Kompromittierung des Lieferanten Ihre Systeme erreichen?
• Geschäftskritikalität: Was passiert, wenn dieser Lieferant nicht verfügbar ist? Minuten an Ausfallzeit oder Unannehmlichkeit?
• Regulatorische Exposition: Schafft der Zugriff des Lieferanten auf personenbezogene Daten Verpflichtungen unter der DSGVO oder anderen Datenschutzvorschriften?
• Ersetzbarkeit: Wie schnell könnten Sie zu einer Alternative wechseln? Hohe Wechselkosten erhöhen das Risiko einer Lieferantenabhängigkeit.

Sorgfaltspflichtprozess für Lieferanten

Sorgfaltspflicht ist der Prozess der Bewertung der Informationssicherheitslage eines Lieferanten vor Eingehen einer Beziehung und periodisch danach. Die Tiefe der Sorgfaltspflicht sollte proportional zur Stufenklassifizierung des Lieferanten sein.

Bewertung vor Vertragsabschluss

Schritt 1: Sicherheitsdokumentation des Lieferanten zusammentragen.

Fordern Sie je nach Lieferantenstufe Folgendes an:

Für Stufe-1-Lieferanten:

• ISO 27001-Zertifikat (prüfen Sie, ob der Geltungsbereich die Dienste abdeckt, die Sie nutzen werden, verifizieren Sie das Zertifikat bei der Zertifizierungsstelle)
• SOC 2 Typ II-Bericht (lesen Sie den vollständigen Bericht, nicht nur das Prüfungsurteil — achten Sie auf Ausnahmen, eingeschränkte Prüfungsurteile und ergänzende Nutzerentitätskontrollen)
• Zusammenfassung oder Managementbericht des Penetrationstests (achten Sie auf kritische und hohe Feststellungen und ob diese behoben wurden)
• Ausgefüllter Sicherheitsfragebogen (SIG, CAIQ oder Ihr individueller Fragebogen)
• Dokumentation zu Geschäftskontinuität und Notfallwiederherstellung
• Datenschutz- und Datenverarbeitungsdokumentation (AVV, Unterauftragsverarbeiterliste, Datenflussdiagramme)
• Versicherungszertifikate (Cyber-Haftpflicht, Berufshaftpflicht)

Für Stufe-2-Lieferanten:

• ISO 27001-Zertifikat oder SOC 2-Bericht
• Ausgefüllter Sicherheitsfragebogen (abgekürzte Version akzeptabel)
• Datenschutzrichtlinie und Datenverarbeitungsbedingungen
• Verfahren zur Vorfallbenachrichtigung

Für Stufe-3-Lieferanten:

• Überprüfung der öffentlichen Sicherheitsseite oder des Trust Centers
• Überprüfung der Datenschutzrichtlinie
• Grundlegender Fragebogen (5-10 Fragen zu Verschlüsselung, Zugriffskontrolle, Reaktion auf Vorfälle)

Schritt 2: Dokumentation bewerten.

Kreuzen Sie nicht nur Kästchen an. Analysieren Sie die Dokumentation kritisch:

• SOC 2-Berichtsumfang: Deckt der Berichtsumfang die spezifischen Dienste ab, die Sie nutzen? Ein Unternehmen kann einen SOC 2-Bericht für ein Produkt haben, aber nicht für das Produkt, das Sie erwerben.
• Ausnahmen und Einschränkungen: SOC 2-Berichte können Ausnahmen enthalten — Fälle, in denen ein Control nicht wirksam funktionierte. Lesen Sie diese sorgfältig und bewerten Sie, ob sie Ihr Risiko beeinflussen.
• Gültigkeit des ISO 27001-Zertifikats: Prüfen Sie das Ablaufdatum des Zertifikats und verifizieren Sie es bei der ausstellenden Zertifizierungsstelle. Einige Organisationen legen weiterhin abgelaufene Zertifikate vor.
• Penetrationstestfeststellungen: Konzentrieren Sie sich auf Feststellungen, die für die Dienste relevant sind, die Sie nutzen. Offene kritische oder hohe Feststellungen sind bedeutende Risikoindikatoren.
• Unterauftragsverarbeiterliste: Identifizieren Sie die eigenen Drittparteien des Lieferanten, die möglicherweise auf Ihre Daten zugreifen. Ihr Viertparteienrisiko ist Teil Ihres Drittparteienrisikos.

Schritt 3: Restrisiko bewerten.

Nach der Dokumentationsprüfung bestimmen Sie, ob verbleibende Risiken zusätzliche Controls, Risikoakzeptanz oder Ausschlusskriterien erfordern. Dokumentieren Sie Ihre Risikobewertung für jeden Stufe-1- und Stufe-2-Lieferanten und integrieren Sie sie in Ihre übergreifende Risikobewertung.

Gestaltung von Sicherheitsfragebögen

Wenn Sie einen individuellen Sicherheitsfragebogen verwenden (anstelle von oder zusätzlich zu Standardframeworks wie SIG oder CAIQ), konzentrieren Sie sich auf Fragen, die umsetzbare Antworten liefern:

Identitäts- und Zugriffsverwaltung:

• Wie kontrolliert der Lieferant den Zugriff auf Ihre Daten? Welche Authentifizierungsmechanismen werden verwendet?
• Erzwingt der Lieferant MFA für jeden Zugriff auf Systeme, die Ihre Daten verarbeiten?
• Wie werden Zugriffsrechte für gekündigte Mitarbeiter überprüft und entzogen?

Datenschutz:

• Wie werden Ihre Daten im Ruhezustand und bei der Übertragung verschlüsselt? Welche Verschlüsselungsstandards und Schlüssellängen werden verwendet?
• Wo werden Ihre Daten geografisch gespeichert? Nutzt der Lieferant Unterauftragsverarbeiter in Rechtsgebieten außerhalb Ihrer genehmigten Liste?
• Was ist die Datenaufbewahrungsrichtlinie des Lieferanten? Wie werden Ihre Daten bei Vertragsbeendigung gelöscht?

Vorfallmanagement:

• Wie lang ist die Benachrichtigungsfrist des Lieferanten bei Vorfällen? (Achten Sie auf konkrete Zusagen — „unverzüglich” ist keine Frist)
• Führt der Lieferant Nachbesprechungen nach Vorfällen durch und teilt relevante Erkenntnisse mit betroffenen Kunden?
• Hat der Lieferant in den letzten 24 Monaten Sicherheitsvorfälle erlebt?

Geschäftskontinuität:

• Was sind die Wiederherstellungszeit- und Wiederherstellungspunktziele des Lieferanten?
• Testet der Lieferant seine Notfallwiederherstellungsverfahren? Wie oft?
• Was ist die Verfügbarkeitsbilanz und das SLA des Lieferanten?

Reife des Sicherheitsprogramms:

• Besitzt der Lieferant eine ISO 27001-Zertifizierung oder SOC 2-Bescheinigung?
• Führt der Lieferant regelmäßige Penetrationstests durch? Von wem?
• Hat der Lieferant ein Programm zur Offenlegung von Schwachstellen?

Vertragliche Sicherheitsanforderungen

Control A.5.20 verlangt, dass Informationssicherheitsanforderungen formal in Lieferantenverträgen vereinbart werden. Diese Anforderungen schützen Ihre Organisation rechtlich und operativ, wenn Lieferantenbeziehungen nicht wie geplant verlaufen.

Wesentliche Vertragsklauseln

Datenverarbeitungsbedingungen. Definieren Sie genau, auf welche Daten der Lieferant zugreifen wird, wie er sie verarbeiten darf, wo er sie speichern darf und für wie lange. Wenn personenbezogene Daten betroffen sind, ist eine formelle Auftragsverarbeitungsvereinbarung gemäß DSGVO erforderlich (siehe unseren DSGVO-AVV-Leitfaden).

Sicherheitsanforderungen. Spezifizieren Sie die Mindestsicherheitskontrollen, die der Lieferant aufrechterhalten muss:

• Verschlüsselungsstandards (TLS 1.2+ bei der Übertragung, AES-256 im Ruhezustand)
• Zugriffskontrollanforderungen (MFA, rollenbasierter Zugriff, Verwaltung privilegierter Zugriffe)
• Protokollierungs- und Überwachungspflichten
• Erwartungen an das Schwachstellenmanagement (Patching-SLAs, Penetrationstesthäufigkeit)
• Anforderungen an Hintergrundüberprüfungen für Personal mit Zugriff auf Ihre Daten

Vorfallbenachrichtigung. Verpflichten Sie den Lieferanten, Sie über Sicherheitsvorfälle, die Ihre Daten betreffen, innerhalb einer definierten Frist zu benachrichtigen. Für Lieferanten, die personenbezogene Daten unter der DSGVO verarbeiten, muss dies schnell genug sein, damit Sie Ihre eigene 72-Stunden-Benachrichtigungspflicht einhalten können. Ein gängiger Standard ist die Anforderung einer Benachrichtigung innerhalb von 24-48 Stunden. Schließen Sie Anforderungen an den Inhalt der Benachrichtigung ein: was passiert ist, welche Daten betroffen waren, was der Lieferant unternimmt und die Kontaktdaten seines Vorfallteams.

Prüfungsrechte. Behalten Sie sich das Recht vor, die Einhaltung der vereinbarten Sicherheitsanforderungen durch den Lieferanten zu prüfen, entweder direkt oder durch einen unabhängigen Dritten. Für Stufe-1-Lieferanten ist diese Klausel nicht verhandelbar. In der Praxis üben die meisten SaaS-Unternehmen Prüfungsrechte durch Überprüfung von SOC 2-Berichten aus, anstatt Vor-Ort-Audits durchzuführen, aber das vertragliche Recht ermöglicht Ihnen eine direkte Prüfung, wenn der SOC 2-Bericht Bedenken aufwirft.

Unterauftragsverarbeitermanagement. Verpflichten Sie den Lieferanten, Sie vor der Beauftragung neuer Unterauftragsverarbeiter, die auf Ihre Daten zugreifen werden, zu benachrichtigen. Definieren Sie Ihr Recht, Änderungen bei Unterauftragsverarbeitern zu widersprechen. Dies ist besonders wichtig unter der DSGVO, wo Sie ein genaues Bild aller Stellen aufrechterhalten müssen, die personenbezogene Daten in Ihrem Auftrag verarbeiten.

Datenrückgabe und -vernichtung. Bei Vertragsbeendigung muss der Lieferant alle Ihre Daten in einem nutzbaren Format zurückgeben und bestätigen, dass alle Kopien sicher vernichtet wurden. Definieren Sie den Zeitrahmen für Rückgabe und Vernichtung (30 Tage sind üblich) und die Methode der Vernichtungsbestätigung (schriftliche Bestätigung eines bevollmächtigten Vertreters, Vernichtungszertifikat).

Compliance-Verpflichtungen. Verpflichten Sie den Lieferanten, relevante Zertifizierungen (ISO 27001, SOC 2) während der gesamten Vertragslaufzeit aufrechtzuerhalten und Sie zu benachrichtigen, wenn ihre Zertifizierung erlischt oder sie eingeschränkte Prüfungsurteile erhalten.

Haftung und Freistellung. Definieren Sie die Haftung des Lieferanten im Falle einer Sicherheitsverletzung, die durch sein Versäumnis verursacht wird, vereinbarte Sicherheitsanforderungen zu erfüllen. Schließen Sie Freistellungen für regulatorische Bußgelder, Benachrichtigungskosten und Kundenansprüche ein, die aus Lieferantenverletzungen resultieren.

Cloud-Anbieter-Bewertung und das Modell der geteilten Verantwortung

Control A.5.23 adressiert speziell Cloud-Dienste und erkennt an, dass Cloud-Anbieterbeziehungen grundlegend anders sind als traditionelle Lieferantenbeziehungen aufgrund des Modells der geteilten Verantwortung.

Das Modell der geteilten Verantwortung verstehen

In einer Cloud-Umgebung wird die Sicherheit zwischen dem Cloud-Anbieter und dem Kunden aufgeteilt. Die genaue Aufteilung hängt vom Servicemodell ab:

Infrastructure as a Service (IaaS) — AWS EC2, GCP Compute Engine, Azure VMs:

• Anbieterverantwortung: Physische Sicherheit, Hypervisor, Netzwerkinfrastruktur, Speicherinfrastruktur
• Ihre Verantwortung: Betriebssystem-Patching, Anwendungssicherheit, Datenverschlüsselung, Zugriffsverwaltung, Netzwerkkonfiguration, Protokollierung, Überwachung

Platform as a Service (PaaS) — AWS RDS, Google App Engine, Azure App Service:

• Anbieterverantwortung: Alles in IaaS plus Betriebssystem, Laufzeitumgebung und Middleware
• Ihre Verantwortung: Anwendungscode, Daten, Zugriffsverwaltung, Verschlüsselung auf Anwendungsebene, Überwachung

Software as a Service (SaaS) — Salesforce, Slack, Datadog:

• Anbieterverantwortung: Fast alles — Infrastruktur, Plattform, Anwendung, physische Sicherheit
• Ihre Verantwortung: Datenklassifizierung, Zugriffsverwaltung (Benutzerbereitstellung/-deprovisionierung, MFA-Durchsetzung), Konfigurationseinstellungen, Integrationssicherheit

Bewertung von Cloud-Anbietern

Für IaaS- und PaaS-Anbieter (Ihre Stufe-1-Lieferanten) konzentriert sich die Bewertung auf:

Zertifizierungen und Bescheinigungen. Große Cloud-Anbieter pflegen umfassende Zertifizierungsportfolios. Überprüfen Sie, ob die spezifischen Dienste und Regionen, die Sie nutzen, im Geltungsbereich ihrer Zertifizierungen liegen. Das ISO 27001-Zertifikat von AWS deckt beispielsweise bestimmte im Geltungsbereich aufgeführte Dienste ab — überprüfen Sie, ob Ihre Dienste enthalten sind.

Dokumentation der geteilten Verantwortung. Überprüfen Sie die Dokumentation des Anbieters zum Modell der geteilten Verantwortung, um genau zu verstehen, was er absichert und was Sie absichern müssen. Gleichen Sie dies mit Ihren Kontrollanforderungen ab, um sicherzustellen, dass keine Lücken bestehen.

Ergänzende Nutzerentitätskontrollen (CUECs) / Ergänzende Unterdienstleisterkontrollen (CSOCs). SOC 2-Berichte von Cloud-Anbietern listen Controls auf, die sie von Ihnen erwarten. Wenn Sie sich auf AWS verlassen, aber deren CUECs für Verschlüsselungs-Schlüsselmanagement, Netzwerksicherheit und Zugriffskontrollen nicht implementiert haben, besteht eine Lücke in Ihrer Kontrollumgebung, die Ihr Auditor identifizieren wird.

Datenresidenz und -souveränität. Überprüfen Sie, ob der Anbieter Ihre Anforderungen an die Datenresidenz erfüllen kann. Wenn Sie sich verpflichtet haben, EU-Kundendaten in der EU zu speichern, bestätigen Sie, dass die spezifischen Cloud-Regionen und -Dienste, die Sie nutzen, konform sind. Berücksichtigen Sie Datenreplikation, Backup-Speicherorte und Support-Zugriff, der geografische Grenzen überschreiten kann.

Ausstiegsstrategie. Control A.5.23 verlangt eine Ausstiegsplanung. Bewerten Sie die Machbarkeit eines Wechsels vom Cloud-Anbieter: Datenexportformate, API-Kompatibilität, vertragliche Bedingungen für den Datenabruf und den Zeitrahmen für die Datenlöschung nach Vertragsbeendigung. Lieferantenabhängigkeit ist ein Risiko, das gesteuert werden muss.

Laufende Überwachung und Überprüfung

Control A.5.22 verlangt eine laufende Überwachung — Lieferantenmanagement endet nicht nach der Vertragsunterzeichnung. Ihr Überwachungsprogramm muss die Sicherheitslage des Lieferanten, die Dienstleistungsperformance und Änderungen, die Ihr Risikoprofil beeinflussen, verfolgen.

Kontinuierliche Überwachungsaktivitäten

Zertifizierungs- und Berichtsverfolgung. Verfolgen Sie die Ablaufdaten für jedes ISO 27001-Zertifikat und jeden SOC 2-Berichtszeitraum Ihrer Lieferanten. Fordern Sie aktualisierte Berichte an, bevor sie ablaufen. Ein Lieferant, dessen SOC 2-Bericht vor sechs Monaten abgelaufen ist und der keinen neuen erstellt hat, ist ein Risikoindikator, der untersucht werden muss.

Überwachung von Sicherheitshinweisen. Überwachen Sie Sicherheitshinweise, Benachrichtigungen über Sicherheitsverletzungen und Schwachstellenoffenlegungen von Lieferanten. Viele Lieferanten veröffentlichen Sicherheitshinweise über E-Mail-Listen, Statusseiten oder Trust-Portale. Abonnieren Sie diese Kanäle für alle Stufe-1- und Stufe-2-Lieferanten.

Benachrichtigungen über Unterauftragsverarbeiteränderungen. Verfolgen Sie Änderungen an den Unterauftragsverarbeiterlisten der Lieferanten. Unter der DSGVO müssen Auftragsverarbeiter Sie über neue Unterauftragsverarbeiter informieren, bevor sie diese beauftragen. Unter ISO 27001 können Änderungen bei Unterauftragsverarbeitern Ihr Risikoprofil beeinflussen und eine Neubewertung erfordern.

Performance- und Verfügbarkeitsverfolgung. Überwachen Sie die Verfügbarkeit, Reaktionszeiten und SLA-Einhaltung des Lieferanten. Anhaltende Performanceverschlechterung kann auf zugrundeliegende Sicherheits- oder Betriebsprobleme hindeuten.

Nachrichten und Bedrohungsintelligenz. Überwachen Sie Sicherheitsnachrichtenquellen und Bedrohungsintelligenz-Feeds auf Berichte über Verletzungen, Schwachstellen oder andere Sicherheitsereignisse, die Ihre Lieferanten betreffen. Sie werden möglicherweise durch öffentliche Berichterstattung auf eine Kompromittierung eines Lieferanten aufmerksam, bevor der Lieferant Sie formal benachrichtigt.

Regelmäßiger Überprüfungsprozess

Jährliche Lieferantenüberprüfung (Stufe 1). Führen Sie eine umfassende jährliche Überprüfung jedes Stufe-1-Lieferanten durch:

• Fordern Sie aktualisierte SOC 2 Typ II-Berichte oder ISO 27001-Überwachungsaudit-Ergebnisse an und überprüfen Sie diese
• Überprüfen Sie alle Sicherheitsvorfälle, die der Lieferant während des Jahres gemeldet hat
• Bewerten Sie die Risikoklassifizierung des Lieferanten anhand etwaiger Änderungen in der Beziehung neu
• Überprüfen Sie vertragliche Bedingungen auf Angemessenheit (Sicherheitsanforderungen, Benachrichtigungsfristen, Prüfungsrechte)
• Verifizieren Sie, dass Ihre ergänzenden Controls weiterhin wirksam sind
• Aktualisieren Sie Ihr Risikoregister mit etwaigen Änderungen bei lieferantenbezogenen Risiken

Jährliche Lieferantenüberprüfung (Stufe 2). Führen Sie eine leichtere Überprüfung der Stufe-2-Lieferanten durch:

• Verifizieren Sie den Zertifizierungsstatus
• Überprüfen Sie gemeldete Vorfälle
• Bestätigen Sie, dass sich die Datenverarbeitungsaktivitäten nicht wesentlich geändert haben
• Aktualisieren Sie die Risikoklassifizierung bei Bedarf

Zweijährliche Lieferantenüberprüfung (Stufe 3). Überprüfen Sie Stufe-3-Lieferanten alle zwei Jahre:

• Verifizieren Sie, dass der Lieferant für den erbrachten Dienst noch geeignet ist
• Prüfen Sie auf bedeutende Sicherheitsereignisse
• Bestätigen Sie, dass die Beziehung nicht im Umfang erweitert wurde (was eine Neuklassifizierung rechtfertigen könnte)

Umgang mit Lieferantenrisikoänderungen

Wenn die Überwachung eine Änderung des Lieferantenrisikos aufzeigt, benötigen Sie einen definierten Reaktionsprozess:

Der Lieferant meldet einen Sicherheitsvorfall. Aktivieren Sie Ihre eigenen Vorfallmanagement-verfahren. Bewerten Sie, ob Ihre Daten betroffen waren. Bestimmen Sie, ob der Lieferantenvorfall Ihre eigenen Benachrichtigungspflichten auslöst. Fordern Sie einen Nachvorfallbericht vom Lieferanten an und bewerten Sie, ob Ihre Risikobewertung und Controls aktualisiert werden müssen.

Zertifizierung des Lieferanten erlischt. Ein erloschenes ISO 27001-Zertifikat oder ein überfälliger SOC 2-Bericht ist ein bedeutender Risikoindikator. Kontaktieren Sie den Lieferanten, um den Grund zu verstehen. Fordern Sie alternative Nachweise seiner Sicherheitslage an (aktueller Penetrationstest, aktualisierter Sicherheitsfragebogen). Eskalieren Sie intern und prüfen Sie, ob kompensierende Controls erforderlich sind, während die Zertifizierungslücke besteht.

Änderung beim Unterauftragsverarbeiter des Lieferanten. Bewerten Sie den neuen Unterauftragsverarbeiter anhand Ihrer Sicherheitsanforderungen. Prüfen Sie, ob die Änderung neue Risiken einführt (neues Rechtsgebiet, neuer Datenzugriff, andere Sicherheitslage). Üben Sie Ihr Widerspruchsrecht aus, wenn die Änderung inakzeptabel ist.

Übernahme oder wesentliche Geschäftsänderung des Lieferanten. Wenn ein Lieferant übernommen wird, kann sich seine Sicherheitslage ändern. Bewerten Sie die Beziehung neu, überprüfen Sie aktualisierte Bedingungen und Zertifizierungen und bestimmen Sie, ob die übernehmende Einheit Ihre Anforderungen erfüllt.

Behandlung von Lieferantenvorfällen

Wenn ein Lieferant einen Sicherheitsvorfall erlebt, der Ihre Organisation betreffen kann, muss Ihre Reaktion mit der Reaktion des Lieferanten koordiniert werden.

Empfang der Lieferanten-Vorfallbenachrichtigung. Wenn Sie eine Vorfallbenachrichtigung von einem Lieferanten erhalten:

1. Protokollieren Sie die Benachrichtigung mit Zeitstempel, Quelle und Inhalt
2. Bewerten Sie die potenzielle Auswirkung auf Ihre Daten und Systeme
3. Bestimmen Sie, ob Ihre eigenen Vorfallreaktionsverfahren aktiviert werden sollten
4. Identifizieren Sie, ob der Lieferantenvorfall Ihre Benachrichtigungspflichten gegenüber Kunden oder Aufsichtsbehörden auslöst
5. Fordern Sie regelmäßige Updates vom Lieferanten über den Untersuchungsfortschritt und die Behebung an

Ihre Verantwortlichkeiten während eines Lieferantenvorfalls:

• Implementieren Sie empfohlene Abhilfemaßnahmen (Anmeldedatenrotation, Zugriffsbeschränkung, erweiterte Überwachung)
• Bewerten Sie den Schadensradius in Ihrer eigenen Umgebung
• Sichern Sie relevante Protokolle und Nachweise aus Ihren Systemen, die die Untersuchung unterstützen können
• Koordinieren Sie die Kundenkommunikation, wenn Kundendaten betroffen sein könnten
• Verfolgen Sie den Behebungsfortschritt des Lieferanten und verifizieren Sie, dass Schwachstellen behoben werden

Nachbesprechung nach einem Lieferantenvorfall. Nachdem der Lieferantenvorfall gelöst ist:

• Fordern Sie einen detaillierten Nachvorfallbericht vom Lieferanten an
• Bewerten Sie, ob die Reaktion des Lieferanten angemessen war
• Bewerten Sie die Risikoklassifizierung des Lieferanten neu
• Bestimmen Sie, ob vertragliche Änderungen erforderlich sind (strengere Benachrichtigungsanforderungen, zusätzliche Sicherheitsverpflichtungen)
• Aktualisieren Sie Ihr Risikoregister und Ihre Controls basierend auf den gewonnenen Erkenntnissen

Lieferanten-Offboarding und Datenrückgabe/-vernichtung

Das Ende einer Lieferantenbeziehung ist eine Hochrisikophase, die viele Organisationen schlecht handhaben. ISO 27001 verlangt, dass Sie den Ausstieg aus Lieferantenbeziehungen mit der gleichen Sorgfalt wie das Lieferanten-Onboarding verwalten.

Offboarding-Prozess

Schritt 1: Dateninventur und -rückgabe. Vor Beendigung der Beziehung:

• Identifizieren Sie alle Daten, die der Lieferant hält (Produktionsdaten, Backups, Protokolle, Testdaten)
• Fordern Sie den Export aller Daten in einem nutzbaren, portablen Format an
• Verifizieren Sie die Vollständigkeit der zurückgegebenen Daten
• Übertragen Sie Daten an Ihre Systeme oder einen Ersatzlieferanten

Schritt 2: Zugriffsentzug. Sofort bei Beendigung:

• Entziehen Sie dem Lieferanten den Zugriff auf Ihre Systeme (API-Schlüssel, Dienstkonten, VPN-Zugriff, SSH-Schlüssel)
• Entziehen Sie dem Team Ihres Unternehmens den Zugriff auf die Systeme des Lieferanten (um versehentliche fortgesetzte Nutzung zu verhindern)
• Entfernen Sie den Lieferanten aus Ihren SSO-/Identity-Provider-Integrationen
• Aktualisieren Sie Firewall-Regeln und Netzwerkkonfigurationen, um die Lieferantenverbindung zu blockieren

Schritt 3: Verifizierung der Datenvernichtung.

• Fordern Sie eine schriftliche Bestätigung vom Lieferanten an, dass alle Kopien Ihrer Daten sicher vernichtet wurden
• Die Bestätigung sollte die Vernichtungsmethode, das Datum und die vernichteten Datensätze spezifizieren
• Für Lieferanten, die personenbezogene Daten unter der DSGVO verarbeiten, ist die Verifizierung der Datenvernichtung eine gesetzliche Anforderung
• Setzen Sie eine Erinnerung, um die Vernichtung innerhalb des vertraglich vereinbarten Zeitrahmens zu bestätigen (typischerweise 30-90 Tage)

Schritt 4: Dokumentation aktualisieren.

• Aktualisieren Sie Ihr Lieferanteninventar, um die beendete Beziehung widerzuspiegeln
• Aktualisieren Sie Ihr Risikoregister, um lieferantenbezogene Risiken zu entfernen oder zu ändern
• Archivieren Sie die Sicherheitsdokumentation, den Vertrag und die Korrespondenz des Lieferanten für Ihre Unterlagen
• Wenn der Lieferant ein in Ihrer kundenseitigen Datenverarbeitungsdokumentation aufgeführter Unterauftragsverarbeiter war, aktualisieren Sie diese Aufzeichnungen

SaaS-Lieferketten-Überlegungen

SaaS-Unternehmen stehen vor Lieferkettenrisiken, die sich vom traditionellen Lieferantenmanagement in Unternehmen unterscheiden. Ihr ISO 27001-Programm muss diese berücksichtigen.

Open-Source-Abhängigkeitsrisiko

Ihre Anwendung hängt wahrscheinlich von Hunderten oder Tausenden von Open-Source-Bibliotheken ab. Jede einzelne ist Teil Ihrer Lieferkette und birgt Risiken.

Software-Kompositionsanalyse (SCA). Implementieren Sie automatisiertes Scanning Ihrer Abhängigkeitsmanifeste, um bekannte Schwachstellen, Lizenz-Compliance-Probleme und veraltete Pakete zu identifizieren. SCA sollte in Ihre CI/CD-Pipeline integriert werden, damit verwundbare Abhängigkeiten vor dem Deployment erkannt werden.

Abhängigkeits-Pinning und Integritätsverifizierung. Pinnen Sie Abhängigkeitsversionen und verifizieren Sie die Paketintegrität mithilfe von Prüfsummen oder Signaturen. Dies verhindert Angriffe, bei denen ein böswilliger Akteur eine kompromittierte Version eines beliebten Pakets veröffentlicht.

Überwachung auf Lieferkettenangriffe. Abonnieren Sie Sicherheitshinweise für Ihre kritischen Abhängigkeiten. Überwachen Sie auf Berichte über kompromittierte Pakete, Typosquatting-Angriffe und Kompromittierungen von Maintainer-Konten.

SaaS-zu-SaaS-Integrationen

Moderne SaaS-Architekturen umfassen oft umfangreiche Integrationen zwischen SaaS-Diensten. Jede Integration schafft einen Datenfluss, der als Lieferantenbeziehung bewertet werden muss.

OAuth-Token-Management. SaaS-Integrationen verwenden typischerweise OAuth-Token zur Authentifizierung. Diese Token gewähren Zugriff auf Ihre Daten und müssen als Anmeldedaten verwaltet werden: inventarisiert, minimal berechtigt, regelmäßig überprüft und bei Nichtbedarf widerrufen.

Datenfluss-Mapping. Dokumentieren Sie für jede SaaS-zu-SaaS-Integration, welche Daten zwischen den Diensten fließen, in welche Richtung, zu welchem Zweck und was der empfangende Dienst damit macht. Dieses Mapping unterstützt sowohl Ihre ISO 27001-Konformität als auch Ihre DSGVO-Datenverarbeitungsaufzeichnungen.

Integrationszugriffsüberprüfungen. Überprüfen Sie periodisch alle aktiven SaaS-Integrationen. Identifizieren Sie Integrationen, die nicht mehr benötigt werden, Integrationen mit übermäßigen Berechtigungen und Integrationen, die von ehemaligen Mitarbeitern verbunden wurden, deren Konten deprovisioniert wurden, aber deren Integrationen fortbestehen.

API-Sicherheit in Lieferantenbeziehungen

APIs sind das verbindende Gewebe von SaaS-Lieferketten. Lieferanten-APIs führen Risiken ein, die gesteuert werden müssen:

API-Authentifizierung und -Autorisierung. Stellen Sie sicher, dass Lieferanten-API-Integrationen starke Authentifizierung verwenden (API-Schlüssel, OAuth, Mutual TLS). Überprüfen Sie die API-Sicherheitsdokumentation des Lieferanten hinsichtlich Rate Limiting, Eingabevalidierung und Zugriffskontrollpraktiken.

API-Versionierung und -Abkündigung. Überwachen Sie Ankündigungen zu API-Versionen des Lieferanten. Abgekündigte APIs erhalten möglicherweise weniger Sicherheitsaufmerksamkeit. Planen Sie Migrationen auf unterstützte API-Versionen innerhalb des Abkündigungszeitraums des Lieferanten.

Datenminimierung bei API-Aufrufen. Fordern Sie nur die Daten an, die Sie von Lieferanten-APIs benötigen. Übermäßig breite API-Abfragen rufen Daten unnötig ab und übertragen sie, was die Auswirkungen eines möglichen Abfangens oder einer Lieferantenverletzung erhöht.

Aufbau eines ISO 27001-konformen Lieferantenmanagement-Programms: Schritt für Schritt

Für SaaS-Unternehmen, die ihr Lieferantenmanagement-Programm im Rahmen der ISO 27001-Implementierung aufbauen, hier eine praktische Roadmap:

Monat 1: Grundlage

• Entwerfen und genehmigen Sie Ihre Lieferanten-Informationssicherheitsrichtlinie (A.5.19)
• Definieren Sie Ihren Lieferantenstaffelungsrahmen
• Beginnen Sie das Lieferanteninventar durch Analyse von Finanzunterlagen und SSO-Protokollen

Monat 2: Inventarisierung und Klassifizierung

• Vervollständigen Sie das Lieferanteninventar über alle Abteilungen
• Klassifizieren Sie jeden Lieferanten in die entsprechende Stufe
• Priorisieren Sie Stufe-1-Lieferanten für sofortige Sorgfaltspflicht

Monat 3-4: Stufe-1-Sorgfaltspflicht

• Fordern Sie Sicherheitsdokumentation von allen Stufe-1-Lieferanten an
• Bewerten Sie SOC 2-Berichte, ISO 27001-Zertifikate und Fragebogenantworten
• Identifizieren Sie vertragliche Lücken und initiieren Sie Nachverhandlungen für fehlende Sicherheitsklauseln
• Dokumentieren Sie Risikobewertungen für jeden Stufe-1-Lieferanten

Monat 5: Stufe-2-Sorgfaltspflicht und vertragliche Abstimmung

• Schließen Sie die Bewertung der Stufe-2-Lieferanten ab
• Stellen Sie sicher, dass alle Stufe-1- und Stufe-2-Verträge die erforderlichen Sicherheitsklauseln enthalten (A.5.20)
• Schließen Sie AVVs ab, wo die Verarbeitung personenbezogener Daten dies erfordert

Monat 6: Start des Überwachungsprogramms

• Etablieren Sie Zertifizierungs- und Berichtsverfolgung für alle Stufe-1- und Stufe-2-Lieferanten
• Abonnieren Sie Sicherheitshinweiskanäle für kritische Lieferanten
• Richten Sie Kalendererinnerungen für jährliche Überprüfungszyklen ein
• Dokumentieren Sie Ihre Überwachungsverfahren

Laufend: Betreiben und Verbessern

• Führen Sie jährliche Lieferantenüberprüfungen gemäß Ihrem Staffelungsplan durch
• Verarbeiten Sie Lieferanten-Vorfallbenachrichtigungen über Ihre Vorfallmanagementverfahren
• Verwalten Sie das On- und Offboarding von Lieferanten mithilfe Ihrer definierten Prozesse
• Berichten Sie über den Lieferantenrisikostatus in Management-Reviews
• Aktualisieren Sie Ihr Lieferantenmanagement-Programm basierend auf gewonnenen Erkenntnissen und Audit-Feststellungen

Dieses Programm sollte mit Ihrer gesamten ISO 27001-Zertifizierungscheckliste abgestimmt sein und mit Ihrer Risikobewertung und Ihren kontinuierlichen Verbesserungs-prozessen verbunden werden.

Häufige Fehler im ISO 27001 Lieferantenmanagement

Kein Lieferanteninventar. Sie können nicht steuern, was Sie nicht identifiziert haben. Organisationen, die den Inventarschritt überspringen und nur die Lieferanten verwalten, an die sie zufällig denken, werden Lücken haben. Schatten-IT — Tools, die von einzelnen Teams ohne zentrale Beschaffung eingeführt werden — ist die häufigste Quelle ungesteuerten Lieferantenrisikos.

Alle Lieferanten gleich behandeln. Die gleiche Sorgfaltspflicht auf Ihren Bürobedarfslieferanten wie auf Ihren Cloud-Infrastrukturanbieter anzuwenden, verschwendet Ressourcen bei risikoarmen Lieferanten und investiert möglicherweise zu wenig in kritische. Staffelung macht Ihr Programm proportional und nachhaltig.

Selbstauskunft als Sorgfaltspflicht akzeptieren. Dass ein Lieferant Ihnen sagt, er sei sicher, ist kein Beweis dafür, dass er sicher ist. Fordern Sie unabhängige Nachweise: ISO 27001-Zertifikate, die von akkreditierten Zertifizierungsstellen ausgestellt wurden, SOC 2-Berichte von qualifizierten Prüfungsgesellschaften, Penetrationstestberichte von seriösen Testern. Selbst ausgefüllte Sicherheitsfragebögen ergänzen, ersetzen aber nicht die unabhängige Bescheinigung.

Verträge ohne Sicherheitsklauseln. Wenn Ihr Vertrag mit einem kritischen Lieferanten keine Sicherheitsanforderungen, Vorfallbenachrichtigungspflichten und Prüfungsrechte enthält, haben Sie keine vertragliche Grundlage, ihn zur Rechenschaft zu ziehen, wenn etwas schiefgeht. Die nachträgliche Einarbeitung von Sicherheitsklauseln in bestehende Verträge ist schwierig — nehmen Sie sie von Anfang an auf.

Einmalige Sorgfaltspflicht ohne laufende Überwachung. Ein Lieferant, der Ihre Bewertung vor zwei Jahren bestanden hat, erfüllt Ihre Anforderungen heute möglicherweise nicht mehr. Menschen ändern sich, Architekturen ändern sich, Eigentumsverhältnisse ändern sich. Laufende Überwachung (A.5.22) ist nicht optional — es ist ein separates, explizites Control-Erfordernis.

Das Modell der geteilten Verantwortung ignorieren. SaaS-Unternehmen, die davon ausgehen, dass ihr Cloud-Anbieter die gesamte Sicherheit übernimmt, schaffen kritische Lücken. Ihr Cloud-Anbieter sichert seine Infrastruktur. Sie müssen Ihre Konfiguration, Ihre Zugriffsverwaltung, Ihre Daten und Ihre Anwendungen absichern. Das Versäumnis, Ihre ergänzenden Controls zu implementieren, ist eine Feststellung in Ihrem ISO 27001-Audit und eine reale Sicherheitslücke.

Kein Offboarding-Prozess. Lieferanten mit fortbestehendem Zugriff nach Vertragsbeendigung sind ein Sicherheitsrisiko. Daten, deren Vernichtung nach Ende einer Beziehung nicht bestätigt wird, sind ein Compliance-Risiko. Definieren und führen Sie einen Offboarding-Prozess für jede endende Lieferantenbeziehung durch.

SaaS-zu-SaaS-Integrationen nicht überwachen. OAuth-Token und API-Integrationen, die zwischen SaaS-Diensten erstellt werden, sind Lieferantenbeziehungen, die viele Organisationen nicht inventarisieren und verwalten. Eine ungenutzte Integration mit umfassenden Berechtigungen ist eine Angriffsfläche, die darauf wartet, ausgenutzt zu werden.

Wie GRCTrail hilft

GRCTrail bietet SaaS-Unternehmen ein strukturiertes Lieferantenmanagement-Programm, das die Annex A Controls A.5.19-A.5.23 von ISO 27001 erfüllt und gleichzeitig die laufende Lieferantenüberwachung im großen Maßstab handhabbar macht.

• Zentralisiertes Lieferantenregister mit Staffelung, das jeden Anbieter inventarisiert, nach Risikostufe klassifiziert, deren Sicherheitsdokumentation (ISO 27001-Zertifikate, SOC 2-Berichte, Fragebogenantworten) verfolgt und Sie benachrichtigt, wenn Zertifizierungen oder Berichte vor dem Ablauf stehen
• Automatisierung des Sorgfaltspflicht-Workflows, die Ihr Team durch den Bewertungsprozess für jede Lieferantenstufe führt, die Dokumentenerfassung verfolgt und Risikobewertungsentscheidungen in einem prüfungsfähigen Format aufzeichnet, das Ihre Zertifizierungsstelle überprüfen kann
• Laufende Überwachungs-Dashboards mit automatischen Erinnerungen für jährliche Überprüfungen, Verfolgung von Unterauftragsverarbeiteränderungen und Integration mit Ihrem Risikoregister, sodass Lieferantenrisikoänderungen direkt in Ihr ISMS-Management-Review fließen

Starten Sie mit GRCTrail

Verwandte Leitfäden

• Was ist ISO 27001? Ein vollständiger Leitfaden für SaaS-Unternehmen
• ISO 27001 Risikobewertung: Framework und Prozess
• ISO 27001 Annex A Controls: Vollständiger Leitfaden
• ISO 27001 Zertifizierungscheckliste
• SOC 2 Anbietermanagement: Anforderungen an das Drittanbieterrisiko
• DSGVO Auftragsverarbeitungsvereinbarungen: Ein vollständiger Leitfaden
• ISO 27001 Richtlinien: Was Sie dokumentieren müssen