Logo des Bundesverband fĂĽr Digitale Sicherheit
Unternehmen & Kontinuität

Ihre Lieferkette absichern

Bundesverband digitale Sicherheit e.V. · Stand: Februar 2023

Was ist eine „Lieferkette" in der IT-Sicherheit?

Kein Unternehmen betreibt seine IT komplett allein – Software, Cloud-Dienste, Zulieferer und Dienstleister sind alle Teil der „Lieferkette". Wird einer dieser Partner gehackt, kann das auch das eigentliche Ziel-Unternehmen treffen, selbst wenn dessen eigene Systeme sicher waren.

WeiterfĂĽhrend: Lieferkette (Wikipedia)

Warum auch kleine Betriebe eine Lieferkette haben

Auch als Selbstständige nutzen Sie vermutlich Buchhaltungssoftware, einen Cloud-Speicher, vielleicht einen externen IT-Dienstleister und diverse Online-Tools. Jeder davon ist ein potenzieller Angriffsweg in Ihr Geschäft.

Ein einfacher erster Schritt

  • Machen Sie eine kurze Liste: Welche externen Dienste und Anbieter haben Zugriff auf Ihre Daten oder Systeme?
  • PrĂĽfen Sie bei den wichtigsten davon, ob es öffentliche Sicherheitsvorfälle gab.
  • Nutzen Sie nach Möglichkeit MFA auch fĂĽr Zugänge zu diesen Drittanbieter-Diensten.

Weiterführend: Den richtigen IT-Dienstleister auswählen

Warum Lieferketten-Risiken oft unterschätzt werden

Viele Sicherheitsvorfälle bei kleinen und mittleren Unternehmen entstehen nicht durch einen direkten Angriff, sondern über kompromittierte Zulieferer, Software-Anbieter oder IT-Dienstleister. Ihre eigene Sicherheit ist immer nur so stark wie das schwächste Glied Ihrer Lieferkette.

Unsere Schritte zur Absicherung

  1. Lieferkette kartieren: Erstellen Sie eine Übersicht aller Zulieferer und Dienstleister mit Systemzugriff oder Datenzugang – auch indirekte, wie Zulieferer Ihrer Zulieferer bei kritischen Abhängigkeiten.
  2. Kritikalität bewerten: Welcher Ausfall oder welche Kompromittierung hätte die größten Auswirkungen auf Ihr Geschäft?
  3. Sicherheitsanforderungen vertraglich verankern: Mindeststandards (z. B. MFA, Meldepflichten bei Vorfällen) in Verträgen festschreiben.
  4. Zugriffsrechte minimieren: Zulieferer erhalten nur Zugriff auf das, was für ihre Aufgabe nötig ist.
  5. Regelmäßig überprüfen: Lieferkettenrisiken verändern sich – eine einmalige Bewertung reicht nicht.

WeiterfĂĽhrend: Empfehlungen (BSI) · Lieferkettensorgfaltspflichtengesetz (Wikipedia)

Verwandte Artikel: Den richtigen IT-Dienstleister auswählen · NIS-2 und Ihre Pflichten
Quelle: NCSC UK, „Mapping your supply chain"
ZurĂĽck zur Ăśbersicht

Made with 🤍 by IF.DIGITAL