Cognic. Erstgespräch buchen

Lieferantenfragebögen als Scheinsicherheit – warum der gesetzte Haken trügt

In vielen Unternehmen läuft das Lieferantenmanagement nach einem eingespielten Muster ab: Der Fragebogen geht raus, kommt ausgefüllt zurück, wird abgeheftet. Haken gesetzt, Aufgabe erledigt. Das Gefühl von Sicherheit stellt sich ein – doch genau hier beginnt das Problem.

Denn ein ausgefüllter Lieferantenfragebogen ist kein Nachweis für Sicherheit. Er ist lediglich ein Nachweis dafür, dass jemand Fragen beantwortet hat. Was auf dem Papier wie ein erledigter Sicherheitsprozess aussieht, ist in Wahrheit oft nicht mehr als eine dokumentierte Selbstauskunft – ungeprüft, unbewertet und ohne echten Erkenntnisgewinn.

Eine der schwächsten Stellen im ISMS

Lieferantenmanagement gehört zu den schwächsten Punkten vieler ISMS-Implementierungen. Das liegt nicht daran, dass das Thema ignoriert würde. Im Gegenteil: Fragebögen werden versendet, Antworten werden eingeholt, Akten werden gefüllt. Das eigentliche Problem ist, dass die falsche Methode als ausreichend gilt.

Der Fragebogen wird zum Selbstzweck. Er erzeugt Aktivität und Dokumentation, aber keine Sicherheit. Was dabei systematisch fehlt, sind drei entscheidende Schritte:

Eine Plausibilitätsprüfung der Antworten. Stimmen die gemachten Angaben mit der Realität überein? Ein Lieferant, der jede Frage mit „Ja“ beantwortet, ist nicht automatisch sicher – er hat möglicherweise nur die gewünschten Antworten geliefert. Ohne kritische Bewertung bleibt der Fragebogen wertlos.

Eine Einschätzung der Kritikalität. Welche Lieferanten sind tatsächlich kritisch für den eigenen Betrieb? Nicht jeder Dienstleister hat dasselbe Risikoprofil. Wer alle Lieferanten gleich behandelt, verschwendet Ressourcen bei den unkritischen und übersieht die wirklich gefährlichen Abhängigkeiten.

Ein Plan für den Ausfall. Was passiert, wenn einer dieser Lieferanten ausfällt oder kompromittiert wird? Wer diese Frage nicht beantworten kann, hat keine Resilienz, sondern nur eine Sammlung ausgefüllter Formulare.

Der MOVEit-Vorfall: ein Lehrstück in fehlender Übersicht

Wie real diese Lücke ist, hat der MOVEit-Vorfall 2023 eindrücklich gezeigt. Eine einzige Schwachstelle in einem weit verbreiteten Dateitransfer-Dienst zog sich durch Hunderte von Lieferantenketten. Die Kompromittierung eines einzelnen Dienstleisters reichte aus, um eine kaskadenartige Betroffenheit über zahllose Unternehmen hinweg auszulösen.

Das Beunruhigende daran: Viele betroffene Unternehmen hatten keine Übersicht darüber, welche Daten überhaupt über diesen Dienst liefen. Sie wussten nicht, dass sie betroffen waren, weil sie ihre eigene Lieferkette nicht kannten. Ausgefüllte Fragebögen in der Schublade haben hier niemandem geholfen.

Das eigentliche Problem ist die fehlende Eigenübersicht

Die zentrale Erkenntnis lautet daher: Das Problem ist nicht der Lieferant. Es ist die fehlende Eigenübersicht.

Wer nicht weiß, welche Dienste für den eigenen Betrieb kritisch sind, welche Daten wohin fließen und welche Abhängigkeiten bestehen, kann diese Risiken auch nicht steuern. Sicherheit beginnt nicht beim Fragebogen an den Lieferanten, sondern beim klaren Bild der eigenen Strukturen.

Echtes Lieferantenmanagement bedeutet, die eigene Abhängigkeitslandkarte zu kennen, kritische Dienste zu identifizieren, Antworten kritisch zu prüfen und für den Ernstfall vorbereitet zu sein. Der Fragebogen kann ein Baustein davon sein – aber niemals der Ersatz für echte Übersicht und Bewertung.

Wer nicht weiß, welche Dienste kritisch sind, kann sie nicht schützen. Und genau das, nicht das brave Abhaken von Formularen, entscheidet im Ernstfall über die Sicherheit eines Unternehmens.

NIS-2 in der Lieferkette: Was auf Zulieferer zukommt

NIS-2 trifft nicht nur die direkt regulierten Unternehmen. Sie trifft auch ihre Lieferketten.

Viele Unternehmen fragen gerade: „Fallen wir selbst unter NIS-2?“ Die wichtigere Frage lautet oft: „Fallen unsere Kunden darunter?“

Denn sobald ein Unternehmen als wichtige oder besonders wichtige Einrichtung gilt, muss es Cyberrisiken in der eigenen Lieferkette aktiv steuern. Dadurch landen NIS-2-Anforderungen plötzlich bei Zulieferern, Dienstleistern, Softwareanbietern, Agenturen, Hostingpartnern, Logistikern, Produktionsbetrieben und Managed-Service-Providern — auch dann, wenn diese Unternehmen selbst nicht direkt NIS-2-pflichtig sind.

Was kommt konkret?

Kunden werden zunehmend Nachweise verlangen:

Der Grund ist einfach: Betroffene Unternehmen müssen nicht nur ihre eigene IT absichern. Sie müssen auch Risiken durch direkte Lieferanten und Dienstleister bewerten.

Damit wird Cybersecurity in der Lieferkette vom „IT-Thema“ zum Geschäfts- und Vertriebsthema.

Wer regulierte Kunden bedienen will, muss zeigen können, dass Informationssicherheit organisiert, dokumentiert und überprüfbar umgesetzt wird.

Die größte Falle?

Fragebögen schnell ausfüllen, ohne intern Substanz aufzubauen. Denn ein Häkchen im Lieferantenportal hilft wenig, wenn später kein Prozess, keine Richtlinie, kein Verantwortlicher und kein Nachweis existiert.

Ein pragmatischer Fahrplan

NIS-2 ist nicht nur Regulierung

NIS-2 wird zu einem neuen Vertrauensstandard in B2B-Lieferketten. Vorbereitete Unternehmen beantworten Security-Fragebögen schneller, reduzieren Reibung im Einkauf und wirken als verlässlicher Partner. Unvorbereitete Unternehmen werden schnell als Risiko wahrgenommen — selbst wenn Produkt, Preis und Leistung stimmen.

Die eigentliche Frage ist nicht „Müssen wir NIS-2 machen?“, sondern: „Können wir unseren Kunden morgen beweisen, dass wir kein Cyberrisiko in ihrer Lieferkette sind?“

Wer darauf keine gute Antwort hat, sollte jetzt anfangen. Cognic unterstützt Unternehmen dabei, NIS-2-Anforderungen pragmatisch einzuordnen, Lieferkettenrisiken sichtbar zu machen und belastbare Sicherheitsnachweise aufzubauen.