“Eine Kette ist immer nur so stark, wie ihr schwächstes Glied” – Der Spruch mag abgedroschen klingen, haben wir ihn doch alle schon so oft in den verschiedensten Zusammenhängen gehört. Doch diesmal geht es nicht um eine teambildende Maßnahme oder die Motivation eines Projektteams, sondern um die Informationssicherheit.
Durch die immer stärkere Verzahnung des eigenen Unternehmens mit den verschiedensten Lieferanten und den daraus entstehenden Kosten- und Qualitätsvorteilen kommt ein Punkt leider oft zu kurz: die Sicherheit der eigenen Informationen.
Unternehmen überlassen ihren Lieferanten das Wichtigste, was sie haben. Dies tun sie meist, ohne zu reglementieren, wie damit umgegangen werden soll. In Branchen, die sehr stark Reglementierungen unterliegen (z.B. Banken, Energie) rückt damit das sogenannte “Vendor Risk Management”, also ein Risikomanagement der Lieferanten, immer mehr in den Fokus.
Im besten Fall, der aber noch nicht überall anzutreffen ist, wird mit den Lieferanten vertraglich vereinbart, wie dieser mit den Informationen umzugehen hat. Aber Papier ist geduldig: Wichtig ist deshalb, dass diese Regegelungen und Vorgaben auch regelmäßig durch das beauftragende Unternehmen geprüft werden.
Minimal-Punkte die vertraglich geregelt sein müssen, sind hierbei:
- Wie bewahrt der Lieferant Ihre Daten auf?
- Wer hat Zugriff auf diese Daten?
- Was macht der Lieferant mit Ihren Daten, wenn das Vertragsverhältnis endet?
- Wie geht der Lieferant mit Risiken und Sicherheitsvorfällen um?
- Wer ist wann von wem über welche Vorfälle zu informieren?
Je nach Branche gibt es hier noch viele weitere Punkte, die im Vorfeld geklärt und durch den Lieferanten sichergestellt werden müssen. Hält sich ein Lieferant nicht an diese „Spielregeln“, sind Pönalen oder gar die Auflösung der Geschäftsbeziehung die logische Konsequenzen.
Was ist mit Sub-Lieferanten?
Die Reglementierung über den Umgang mit Ihren Daten darf jedoch nicht bei Ihrem Lieferanten enden. In Lieferantenverträge muss somit auch eine Passage aufgenommen werden, die sicherstellt, dass die von Ihnen definierten Anforderungen auch bei möglichen Sub-Lieferanten zwingend umgesetzt werden.
Unser Fazit
Machen Sie sich doch einmal Gedanken über Ihre Lieferanten. Welche kritischen Informationen liegen auf externen IT-Systemen oder im Web? Gehen die Lieferanten mit Ihre Informationen so um, wie Sie es auch selbst tun würden? Wo gibt es Zweifel oder Feinjustierungsbedarf?
Und vergessen Sie nicht: IT-Services können auf externe Dienstleister übertragen werden, die Verantwortung für die Informationssicherheit aber nicht. Dafür bleiben Sie ganz alleine verantwortlich.
Hinterlassen Sie eine Antwort