A'PARI Consulting GmbH - Unternehmensblog

Ein Blog rund um Logistik und IT

Informationssicherheit – „Der Lieferant wird es schon richtig machen“

von Kommentar verfassen

„Eine Kette ist immer nur so stark, wie ihr schwächstes Glied“ – Der Spruch mag abgedroschen klingen, haben wir ihn doch alle schon so oft in den verschiedensten Zusammenhängen gehört. Doch diesmal geht es nicht um eine teambildende Maßnahme oder die Motivation eines Projektteams, sondern um die Informationssicherheit.

Durch die immer stärkere Verzahnung des eigenen Unternehmens mit den verschiedensten Lieferanten  und den daraus entstehenden Kosten- und Qualitätsvorteilen kommt ein Punkt leider oft zu kurz: die Sicherheit der eigenen Informationen.

Unternehmen überlassen ihren Lieferanten das Wichtigste, was sie haben. Dies tun sie meist, ohne zu reglementieren, wie damit umgegangen werden soll. In Branchen, die sehr stark Reglementierungen unterliegen (z.B. Banken, Energie) rückt damit das sogenannte „Vendor Risk Management“, also ein Risikomanagement der Lieferanten, immer mehr in den Fokus.

Im besten Fall, der aber noch nicht überall anzutreffen ist, wird mit den Lieferanten vertraglich vereinbart, wie dieser mit den Informationen umzugehen hat. Aber Papier ist geduldig: Wichtig  ist deshalb, dass diese Regegelungen und Vorgaben auch regelmäßig durch das beauftragende Unternehmen geprüft werden.

Minimal-Punkte die vertraglich geregelt sein müssen, sind hierbei:

  • Wie bewahrt der Lieferant Ihre Daten auf?
  • Wer hat Zugriff auf diese Daten?
  • Was macht der Lieferant mit Ihren Daten, wenn das Vertragsverhältnis endet?
  • Wie geht der Lieferant mit Risiken und Sicherheitsvorfällen um?
  • Wer ist wann von wem über welche Vorfälle zu informieren?

Je nach Branche gibt es hier noch viele weitere Punkte, die im Vorfeld geklärt und durch den Lieferanten sichergestellt werden müssen. Hält sich ein Lieferant nicht an diese „Spielregeln“, sind Pönalen oder gar die Auflösung der Geschäftsbeziehung die logische Konsequenzen.

Was ist mit Sub-Lieferanten?

Die Reglementierung über den Umgang mit Ihren Daten darf jedoch nicht bei Ihrem Lieferanten enden. In Lieferantenverträge muss somit auch eine Passage aufgenommen werden, die sicherstellt, dass die von Ihnen definierten Anforderungen auch bei möglichen Sub-Lieferanten zwingend umgesetzt werden.

Unser Fazit

Machen Sie sich doch einmal Gedanken über Ihre Lieferanten. Welche kritischen Informationen liegen auf externen IT-Systemen oder im Web? Gehen die Lieferanten mit Ihre Informationen so um, wie Sie es auch selbst tun würden? Wo gibt es Zweifel oder Feinjustierungsbedarf?

Und vergessen Sie nicht: IT-Services können auf externe Dienstleister übertragen werden, die Verantwortung für die Informationssicherheit aber nicht. Dafür bleiben Sie ganz alleine verantwortlich.

Empfohlene Beiträge

Avisierung von Stückgut-Sendungen – (noch) eine Herausforderung für alle Beteiligten

Der Prozentsatz von zu avisierenden Sendungen liegt bei Stückgut-Speditionen i.d.R. zwischen 12 und 15 Prozent, mit steigender Tendenz. Grund dafür ist das stetige Wachstum an B2C-Sendungen, die ohne eine vorherige Avisierung sehr häufig nicht zugestellt werden können. Die Avisierung hat in den Stückgut-Unternehmen eine große Auswirkung auf die Prozesse, sowohl in der Service-Abteilung als auch im […]

Über das Testmanagement zur Termintreue bei Software-Projekten

Software-Einführungsprojekte müssen sich – wie alle Projekte – daran messen lassen, ob die Anwendung den Nutzern zum geplanten Zeitpunkt und der notwendigen Funktionalität und Qualität zur Verfügung steht. Häufig steht der GoLive-Termin in Software-Einführungsprojekten unverrückbar fest. Termine werden nach wie vor eher „unternehmenspolitisch“ bestimmt, als von der Erreichung der inhaltlichen Ziele und den im Vorfeld definierten […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.