Zum Inhalt springen
Procari Lexikon Cyberrisiko beim Lieferanten
Einkaufslexikon

Cyberrisiko beim Lieferanten

Cyberrisiko beim Lieferanten

Wenn das Werkstor offen ist, aber die Firewall des Hauptlieferanten faellt, steht die Produktion trotzdem still. Cyberrisiko beim Lieferanten ist die Gefahr, dass ein Angriff auf einen Zulieferer die eigene Wertschoepfung trifft, ob durch Datenabfluss, EDI-Ausfall, Ransomware in der Steuerung oder kompromittierte Updates, und gehoert seit 2024 zu den Top-Geschaeftsrisiken im DACH-Mittelstand.

Detaillierte Erklärung

Das Allianz Risk Barometer 2024 nennt Cybervorfaelle zum dritten Mal in Folge das Geschaeftsrisiko Nummer 1, mit 36 Prozent Nennungen aus mittelstaendischen Unternehmen. Lieferantenbezogene Cybervorfaelle sind dabei der am schnellsten wachsende Teilbereich: 2023 berichtete die Bitkom-Studie, dass 18 Prozent der befragten Unternehmen in DACH konkrete Produktions- oder Lieferprobleme durch einen Cyberangriff auf einen Geschaeftspartner hatten, 2024 stieg der Wert auf 27 Prozent.

Das Cyberrisiko beim Lieferanten manifestiert sich in vier Formen. Erstens Datenabfluss: vertrauliche Spezifikationen, Preise oder Kundendaten landen in den Haenden Dritter, weil der Lieferant kompromittiert wurde. Zweitens Verfuegbarkeitsverlust: Ransomware legt das ERP oder die Produktionssteuerung beim Lieferanten lahm, Lieferungen verzoegern sich um Wochen. Drittens Integritaetsverlust: gefaelschte Bestellbestaetigungen, manipulierte CAD-Daten oder kompromittierte Firmware-Updates erreichen das eigene Werk. Viertens Reputations- und Compliance-Schaden: bei Bekanntwerden eines Vorfalls beim Lieferanten muss das eigene Unternehmen Kunden und Behoerden informieren.

Die regulatorische Lage hat sich 2024 deutlich verschaerft. Die NIS2-Richtlinie (EU 2022/2555) musste bis 18. Oktober 2024 in deutsches Recht umgesetzt werden und gilt fuer rund 30.000 Unternehmen in Deutschland, viele davon im gehobenen Mittelstand. NIS2 verlangt explizit eine Risikomanagementpflicht fuer die Lieferkette: Cybersicherheitsanforderungen muessen in Vertraegen verankert, geprueft und ueberwacht werden. Bei Verstoessen drohen Bussgelder bis 10 Mio. EUR oder 2 Prozent des weltweiten Umsatzes.

Der BSI IT-Grundschutz behandelt das Thema im Baustein OPS.2 (Cloud-Nutzung) und im Modul OPS.1.2.4 (Telearbeit/Fernzugriff fuer Externe). ISO 27001 fordert in Annex A.5.19 bis A.5.23 explizit Informationssicherheit in der Lieferantenbeziehung. ISO 27036 ist der dezidierte Standard fuer Supplier Information Security: Beschaffung, Vertragsgestaltung, Ueberwachung, Beendigung. Im Automotive-Umfeld kommt VDA ISA TISAX (Trusted Information Security Assessment Exchange) hinzu, das vor allem fuer Serienlieferanten zur Pflicht geworden ist.

Im Risikomanagement wird Cyberrisiko entlang der Lieferantenpyramide segmentiert. Kritische Tier-1-Lieferanten (Single Source, hoher Volumenanteil, technische Schluessellieferungen) bekommen ein vollwertiges Assessment mit Onsite-Audit. Tier-2 und C-Teile-Lieferanten werden ueber Self-Assessments und externe Cyber-Ratings (BitSight, SecurityScorecard, RiskRecon) abgedeckt. Der EU-Threshold fuer wesentliche und wichtige Einrichtungen nach NIS2 zieht eine harte Linie, die der Einkauf kennen muss.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein DACH-Maschinenbauer mit 920 Mitarbeitern bezieht Steuerungselektronik im Wert von 4,1 Mio. EUR pro Jahr von einem Single-Source-Lieferanten in Sueddeutschland. Im Maerz 2026 erhaelt der Einkauf eine E-Mail mit der Information, dass der Lieferant von einem Ransomware-Angriff betroffen ist. Produktion und ERP sind seit zwei Tagen offline, alle Liefertermine fuer die naechsten 4 bis 6 Wochen sind ungewiss.

Die Wirkung trifft das eigene Werk innerhalb von 96 Stunden: Sicherheitsbestand reicht fuer 11 Tage, danach Linienstillstand mit geschaetzten 280.000 EUR pro Tag Deckungsbeitragsverlust. Der Einkauf aktiviert sofort den Notfallplan: Anfrage bei drei Alternativlieferanten ueber Kompatibilitaetspruefung, Direktkontakt zum OEM-Hersteller der Mikrocontroller, Pruefung der eigenen Lagerbestaende an aelteren Steuerungsversionen.

Innerhalb von 8 Tagen wird eine Brueckenloesung aufgebaut: 60 Prozent der Bedarfe ueber den Zweitlieferanten zu 14 Prozent Aufpreis, 25 Prozent ueber direkte Beschaffung beim OEM mit verlaengerter Lieferzeit, 15 Prozent durch Aufbrauch von Lagerresten plus interne Substitution. Die Produktion laeuft mit reduzierter Kapazitaet weiter, kein vollstaendiger Stillstand.

Nachgelagert wird die Lieferantenstrategie ueberarbeitet. Der Single-Source-Anteil wird ueber 18 Monate auf maximal 65 Prozent reduziert, ein qualifizierter Zweitlieferant aufgebaut. Vertraglich werden Cybersicherheits-Mindeststandards aufgenommen: TISAX-Label-2-Nachweis, jaehrliches Penetrationstest-Zertifikat, Vorfallsmeldepflicht binnen 24 Stunden, Recovery-Time-Objective von 72 Stunden fuer geschaeftskritische Systeme. Der Einkauf bindet den eigenen CISO als beratende Stimme in den Lieferantenauswahlprozess ein.

Typische Fehler & Verhandlungskontext

Drei Fehler tauchen in Mittelstandsbetrieben mit hoher Regelmaessigkeit auf. Erstens das Auslagern der Verantwortung an die IT-Abteilung: Cyberrisiko beim Lieferanten ist ein Einkaufs- und Risikothema, das gemeinsam mit IT bearbeitet werden muss, nicht delegiert. Zweitens das Fehlen einer Lieferantensegmentierung nach Cyberkritikalitaet: nicht jeder Lieferant braucht ein TISAX-Assessment, aber jeder Single-Source-Lieferant fuer Tier-1-Komponenten schon. Drittens das Ignorieren der Tier-2-Ebene: ein Angriff auf den Subzulieferer des Hauptlieferanten kann die Lieferkette genauso treffen wie ein direkter Vorfall.

In Verhandlungen ist Cybersicherheit ein wachsendes Gewicht. Mindestklauseln im Vertrag umfassen: ISO 27001-Zertifizierung oder gleichwertiger Nachweis, jaehrlicher externer Penetrationstest mit Bericht an den Kunden, Meldepflicht fuer Cybervorfaelle binnen 24 bis 72 Stunden, Recht auf Cybersicherheits-Audit (eigenes oder durch beauftragten Dritten), klar definierte Wiederanlaufzeiten (RTO) fuer geschaeftskritische Systeme, Haftungsregelungen fuer Folgeschaeden aus Cybervorfaellen. Im NIS2-Umfeld kommt die Pflicht hinzu, dass der Lieferant die eigenen Subzulieferer entsprechend bindet (Kaskadierungspflicht).

Das TIBER-DE-Framework der BaFin erlaubt threat-led Penetration Tests fuer Finanzdienstleister, dient aber zunehmend als Referenzmodell auch fuer Industriekunden. Bei NIS2-pflichtigen Lieferanten ist die Nachweisfuehrung der wesentlichen Pflichten Teil der Lieferantenbewertung geworden.

Verwandte Begriffe

  • [[lieferantenrisikomanagement]]
  • [[risikoanalyse-lieferkette]]
  • [[lieferantenausfallrisiko]]
  • [[single-source-risiko]]
  • [[klumpenrisiko-einkauf]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →