Lieferantenfragebögen als Scheinsicherheit – warum der gesetzte Haken trügt
In vielen Unternehmen läuft das Lieferantenmanagement nach einem eingespielten Muster ab: Der Fragebogen geht raus, kommt ausgefüllt zurück, wird abgeheftet. Haken gesetzt, Aufgabe erledigt. Das Gefühl von Sicherheit stellt sich ein – doch genau hier beginnt das Problem.
Denn ein ausgefüllter Lieferantenfragebogen ist kein Nachweis für Sicherheit. Er ist lediglich ein Nachweis dafür, dass jemand Fragen beantwortet hat. Was auf dem Papier wie ein erledigter Sicherheitsprozess aussieht, ist in Wahrheit oft nicht mehr als eine dokumentierte Selbstauskunft – ungeprüft, unbewertet und ohne echten Erkenntnisgewinn.
Eine der schwächsten Stellen im ISMS
Lieferantenmanagement gehört zu den schwächsten Punkten vieler ISMS-Implementierungen. Das liegt nicht daran, dass das Thema ignoriert würde. Im Gegenteil: Fragebögen werden versendet, Antworten werden eingeholt, Akten werden gefüllt. Das eigentliche Problem ist, dass die falsche Methode als ausreichend gilt.
Der Fragebogen wird zum Selbstzweck. Er erzeugt Aktivität und Dokumentation, aber keine Sicherheit. Was dabei systematisch fehlt, sind drei entscheidende Schritte:
Eine Plausibilitätsprüfung der Antworten. Stimmen die gemachten Angaben mit der Realität überein? Ein Lieferant, der jede Frage mit „Ja“ beantwortet, ist nicht automatisch sicher – er hat möglicherweise nur die gewünschten Antworten geliefert. Ohne kritische Bewertung bleibt der Fragebogen wertlos.
Eine Einschätzung der Kritikalität. Welche Lieferanten sind tatsächlich kritisch für den eigenen Betrieb? Nicht jeder Dienstleister hat dasselbe Risikoprofil. Wer alle Lieferanten gleich behandelt, verschwendet Ressourcen bei den unkritischen und übersieht die wirklich gefährlichen Abhängigkeiten.
Ein Plan für den Ausfall. Was passiert, wenn einer dieser Lieferanten ausfällt oder kompromittiert wird? Wer diese Frage nicht beantworten kann, hat keine Resilienz, sondern nur eine Sammlung ausgefüllter Formulare.
Der MOVEit-Vorfall: ein Lehrstück in fehlender Übersicht
Wie real diese Lücke ist, hat der MOVEit-Vorfall 2023 eindrücklich gezeigt. Eine einzige Schwachstelle in einem weit verbreiteten Dateitransfer-Dienst zog sich durch Hunderte von Lieferantenketten. Die Kompromittierung eines einzelnen Dienstleisters reichte aus, um eine kaskadenartige Betroffenheit über zahllose Unternehmen hinweg auszulösen.
Das Beunruhigende daran: Viele betroffene Unternehmen hatten keine Übersicht darüber, welche Daten überhaupt über diesen Dienst liefen. Sie wussten nicht, dass sie betroffen waren, weil sie ihre eigene Lieferkette nicht kannten. Ausgefüllte Fragebögen in der Schublade haben hier niemandem geholfen.
Das eigentliche Problem ist die fehlende Eigenübersicht
Die zentrale Erkenntnis lautet daher: Das Problem ist nicht der Lieferant. Es ist die fehlende Eigenübersicht.
Wer nicht weiß, welche Dienste für den eigenen Betrieb kritisch sind, welche Daten wohin fließen und welche Abhängigkeiten bestehen, kann diese Risiken auch nicht steuern. Sicherheit beginnt nicht beim Fragebogen an den Lieferanten, sondern beim klaren Bild der eigenen Strukturen.
Echtes Lieferantenmanagement bedeutet, die eigene Abhängigkeitslandkarte zu kennen, kritische Dienste zu identifizieren, Antworten kritisch zu prüfen und für den Ernstfall vorbereitet zu sein. Der Fragebogen kann ein Baustein davon sein – aber niemals der Ersatz für echte Übersicht und Bewertung.
Wer nicht weiß, welche Dienste kritisch sind, kann sie nicht schützen. Und genau das, nicht das brave Abhaken von Formularen, entscheidet im Ernstfall über die Sicherheit eines Unternehmens.