Lieferanten-Risikobewertung: So bewerten Sie die Sicherheit von Drittanbietern in 2026
Ein praktischer Leitfaden zur Lieferanten-Risikobewertung — was sie ist, wann sie durchgeführt wird, was bewertet wird, wie Lieferantenrisiken bewertet werden und wie ISO 27001, NIS2 und DORA-Anforderungen an Drittanbieter erfüllt werden.
Lieferanten-Risikobewertung: So bewerten Sie die Sicherheit von Drittanbietern in 2026
Eine Lieferanten-Risikobewertung evaluiert die Sicherheits-, Compliance- und Betriebsrisiken, die ein Drittanbieter für Ihre Organisation darstellt. Es ist der Prozess, der bestimmt, ob Sie einem Anbieter Ihre Daten, die Daten Ihrer Kunden oder den Zugang zu Ihren Systemen anvertrauen können — und welche Kontrollen erforderlich sind, um das Risiko zu managen, wenn Sie es tun.
Jedes wichtige Compliance-Framework verlangt es: ISO 27001 (Anhang A 5.19-5.21), NIS2 (Artikel 21(2)(d)), DORA (Artikel 28-30) und SOC 2 (CC9.2). Doch über die Compliance hinaus verhindern Lieferanten-Risikobewertungen, dass die Sicherheit Ihrer Organisation nur so stark ist wie Ihr schwächster Lieferant.
Dieser Leitfaden behandelt, wie Sie Lieferanten-Risikobewertungen durchführen, was Sie bewerten sollten, wie Sie Risiken bewerten und wie Sie einen skalierbaren Prozess aufbauen.
Warum Lieferanten-Risikobewertung wichtig ist
Das Lieferketten-Problem
Ihr Sicherheitsperimeter endet nicht an Ihrer Firewall. Jeder Anbieter mit Zugang zu Ihren Daten oder Systemen erweitert Ihre Angriffsfläche. Das Muster ist gut etabliert:
- Anbieter mit privilegiertem Zugang werden zu Einstiegspunkten für Angreifer
- Mit Anbietern geteilte Daten unterliegen deren Sicherheitskontrollen, nicht Ihren
- Ausfallzeiten des Anbieters werden zu Ihren Ausfallzeiten, wenn Dienste eng integriert sind
- Compliance-Lücken des Anbieters werden zu Ihren Compliance-Lücken, wenn Regulierungsbehörden Ihre Lieferkette prüfen
Regulatorischer Druck
Europäische Vorschriften haben die Lieferanten-Risikobewertung zur Pflicht gemacht:
- NIS2 Artikel 21(2)(d) — Lieferkettensicherheit ist eine von zehn obligatorischen Risikomanagement-Maßnahmen
- DORA Artikel 28-30 — Detaillierte Anforderungen an das IKT-Drittparteien-Risikomanagement, einschließlich Risikobewertung vor Vertragsabschluss
- ISO 27001 Anhang A 5.19-5.21 — Drei Kontrollen speziell zur Lieferantensicherheit
- DSGVO Artikel 28 — Auftragsverarbeiter müssen hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten
Wann eine Lieferanten-Risikobewertung durchgeführt werden sollte
Vorvertraglich (Due Diligence)
Vor Unterzeichnung eines Vertrags mit einem Anbieter, der:
- Auf Ihre Daten zugreift, diese verarbeitet oder speichert
- Sich mit Ihren internen Systemen oder Netzwerken verbindet
- Für Ihren Betrieb kritische Dienste erbringt
- Personenbezogene Daten in Ihrem Auftrag verarbeitet
Periodische Überprüfung
Während der Anbieterbeziehung:
- Kritische Anbieter — Jährlich
- Hochrisiko-Anbieter — Alle 12-18 Monate
- Standardanbieter — Alle 2 Jahre
- Niedrigrisiko-Anbieter — Alle 3 Jahre oder bei Vertragsverlängerung
Anlassbezogene Überprüfung
Bei wesentlichen Änderungen:
- Anbieter erlebt einen Sicherheitsvorfall oder eine Datenschutzverletzung
- Umfang des Zugriffs oder der Dienstleistungen des Anbieters ändert sich
- Anbieter durchläuft eine Fusion, Übernahme oder wesentliche organisatorische Veränderung
- Neue regulatorische Anforderungen treten in Kraft
- Zertifizierungs- oder Auditstatus des Anbieters ändert sich
Was bewertet werden sollte
1. Informationssicherheitskontrollen
Bewerten Sie die technischen und organisatorischen Sicherheitsmaßnahmen des Anbieters:
| Bereich | Was zu bewerten ist |
|---|---|
| Zugangsverwaltung | Authentifizierungsmethoden, rollenbasierter Zugang, privilegierte Zugangskontrolle, Zugangsüberprüfungen |
| Verschlüsselung | Daten im Ruhezustand, Daten bei der Übertragung, Schlüsselverwaltung, verwendete Verschlüsselungsstandards |
| Netzwerksicherheit | Segmentierung, Firewall-Richtlinien, Intrusion Detection, DDoS-Schutz |
| Schwachstellenmanagement | Scan-Häufigkeit, Patch-Zeitpläne, Penetrationstest-Kadenz |
| Incident Response | Reaktionsplan, Benachrichtigungsfristen, Kommunikationsverfahren |
| Protokollierung und Überwachung | Aufbewahrung von Audit-Logs, Überwachungsfähigkeiten, Anomalieerkennung |
2. Compliance und Zertifizierungen
Überprüfen Sie die Compliance-Lage des Anbieters:
- Zertifizierungen — ISO 27001, SOC 2 Typ II, ISO 27701
- Auditberichte — Aktuellster SOC 2-Bericht, ISO 27001-Überwachungsaudit-Ergebnisse
- Regulatorische Compliance — DSGVO, NIS2, DORA-Status
- Penetrationstest-Ergebnisse — Letztes Testdatum, Umfang und Behebungsstatus
- Compliance-Lücken — Bekannte Abweichungen oder Behebungspläne
3. Datenverarbeitung
Verstehen Sie, wie der Anbieter Ihre Daten verwaltet:
- Datenklassifizierung — Wie verschiedene Datentypen kategorisiert und geschützt werden
- Datenspeicherort — Wo Daten gespeichert und verarbeitet werden (Regionen, Rechenzentren)
- Datenresidenz — Ob Daten in erforderlichen Jurisdiktionen verbleiben (EU, bestimmte Länder)
- Unterauftragsverarbeitung — Ob der Anbieter Daten mit weiteren Dritten teilt
- Aufbewahrung und Löschung — Wie lange Daten aufbewahrt und wie sie sicher gelöscht werden
- Portabilität — Wie Daten exportiert werden können, wenn die Beziehung endet
4. Business Continuity
Bewerten Sie die Widerstandsfähigkeit des Anbieters:
- Disaster Recovery — Recovery Time und Recovery Point Objectives (RTO/RPO)
- Backup-Verfahren — Häufigkeit, Tests, geografische Verteilung
- Redundanz — Infrastruktur-Redundanz, Failover-Fähigkeiten
- SLA-Garantien — Verfügbarkeitszusagen und Konsequenzen bei Verletzung
- Exit-Strategie — Datenmigrations-Support, Übergangsunterstützung, Kündigungsfristen
5. Finanzielle und operative Stabilität
Bewerten Sie die Überlebensfähigkeit des Anbieters:
- Finanzielle Gesundheit — Umsatztrends, Finanzierungsstatus, Profitabilitätsindikatoren
- Marktposition — Kundenbasis, Branchenreputation, Wettbewerbsstellung
- Operative Reife — Teamgröße, Schlüsselpersonen-Abhängigkeiten, Prozessreife
- Versicherung — Cyber-Haftpflichtversicherung und Deckungssummen
6. Subunternehmer-Risiko
Bewerten Sie die eigene Lieferkette des Anbieters:
- Sub-Auftragsverarbeiter-Liste — Auf wen der Anbieter für kritische Dienste angewiesen ist
- Sub-Auftragsverarbeiter-Bewertung — Wie der Anbieter seine eigenen Lieferanten bewertet
- Benachrichtigungsprozess — Wie Sie über Änderungen bei Sub-Auftragsverarbeitern informiert werden
- Vertragliche Weitergabe — Ob Sicherheitsanforderungen auf Sub-Auftragsverarbeiter ausgedehnt werden
Wie das Lieferantenrisiko bewertet wird
Schritt 1: Inhärentes Risiko bestimmen
Das inhärente Risiko ist die Risikostufe vor Berücksichtigung der Kontrollen des Anbieters. Es basiert auf der Art der Beziehung:
| Faktor | Niedrig | Mittel | Hoch | Kritisch |
|---|---|---|---|---|
| Datensensitivität | Nur öffentliche Daten | Interne Daten | Vertrauliche Daten | Regulierte personenbezogene Daten |
| Datenvolumen | Minimal | Moderat | Erheblich | Großflächige Verarbeitung |
| Systemzugang | Kein direkter Zugang | Nur-Lese-Zugang | Lese-/Schreib-Zugang | Administrativer Zugang |
| Service-Kritikalität | Nice-to-have | Wichtig | Geschäftskritisch | Essentieller Betrieb |
| Austauschbarkeit | Einfach zu wechseln | Etwas Aufwand | Schwierig | Lock-in-Risiko |
Schritt 2: Kontrolleffektivität bewerten
Die Kontrolleffektivität misst, wie gut der Anbieter das inhärente Risiko mindert:
- Stark — Zertifiziert (ISO 27001, SOC 2 Typ II), saubere Auditberichte, reife Prozesse
- Angemessen — Gute Kontrollen vorhanden, einige Zertifizierungen, regelmäßige Tests
- Schwach — Grundlegende Kontrollen, keine Zertifizierungen, begrenzte Nachweise
- Unzureichend — Erhebliche Lücken, keine Nachweise für Kontrollen, nicht reagierend auf Anfragen
Schritt 3: Restrisiko berechnen
Das Restrisiko kombiniert inhärentes Risiko mit Kontrolleffektivität:
| Starke Kontrollen | Angemessene Kontrollen | Schwache Kontrollen | Unzureichende Kontrollen | |
|---|---|---|---|---|
| Kritisch inhärent | Hoch | Hoch | Kritisch | Kritisch |
| Hoch inhärent | Mittel | Hoch | Hoch | Kritisch |
| Mittel inhärent | Niedrig | Mittel | Hoch | Hoch |
| Niedrig inhärent | Niedrig | Niedrig | Mittel | Hoch |
Schritt 4: Maßnahmen bestimmen
Jede Restrisikostufe löst spezifische Maßnahmen aus:
- Niedrig — Genehmigung, Standard-Monitoring, periodische Überprüfung
- Mittel — Genehmigung mit Auflagen, zusätzliche Kontrollen können erforderlich sein, regelmäßiges Monitoring
- Hoch — Genehmigung durch oberes Management erforderlich, obligatorische zusätzliche Kontrollen, häufiges Monitoring
- Kritisch — Geschäftsführungs-Genehmigung erforderlich, Alternativen prüfen, kontinuierliches Monitoring, Risiko muss formell akzeptiert werden
Einen skalierbaren Prozess aufbauen
Gestufter Bewertungsansatz
Nicht jeder Anbieter benötigt die gleiche Bewertungstiefe. Verwenden Sie einen gestuften Ansatz:
Stufe 1 — Vollständige Bewertung (Kritische und Hochrisiko-Anbieter)
- Umfassender Sicherheitsfragebogen
- Unabhängige Verifizierung (Auditberichte, Zertifizierungen, Penetrationstest-Ergebnisse)
- Vor-Ort- oder virtuelle Bewertung wenn gerechtfertigt
- Risikobewertung und formale Risikoakzeptanz
Stufe 2 — Standardbewertung (Mittelrisiko-Anbieter)
- Sicherheitsfragebogen
- Zertifizierungs- und Compliance-Verifizierung
- Risikobewertung
Stufe 3 — Leichtgewichtige Bewertung (Niedrigrisiko-Anbieter)
- Grundlegende Sicherheits-Checkliste
- Überprüfung öffentlicher Compliance-Informationen
Evidenzquellen
Verlassen Sie sich nicht ausschließlich auf die Selbstauskunft des Anbieters. Nutzen Sie mehrere Evidenzquellen:
- Sicherheitsfragebögen — Eigene Antworten des Anbieters (Basis-Input)
- Zertifizierungen — ISO 27001-Zertifikate, SOC 2-Berichte (unabhängige Verifizierung)
- Trust Center — Veröffentlichte Sicherheitsdokumentation und Compliance-Nachweise
- Sicherheitsbewertungen — Externe Risikobewertungsdienste
- Vertragliche Bestimmungen — Sicherheitsklauseln, SLAs, Auftragsverarbeitungsverträge
- Kontinuierliche Überwachung — Laufende Bewertung zwischen periodischen Überprüfungen
Häufige Fehler
-
Bewertung als einmaliges Ereignis behandeln. Lieferantenrisiken ändern sich kontinuierlich — Zertifizierungen laufen ab, Vorfälle treten auf, Anbieter wechseln Subunternehmer. Bauen Sie periodische Neubewertung und kontinuierliche Überwachung ein.
-
Ausschließlich auf Fragebogenantworten verlassen. Selbstbewertung des Anbieters ist notwendig, aber nicht ausreichend. Überprüfen Sie Aussagen mit Zertifizierungen, Auditberichten und unabhängigen Nachweisen.
-
Alle Anbieter gleich bewerten. Ein SaaS-Anbieter, der Kundendaten verarbeitet, benötigt eine andere Bewertung als ein Büromaterial-Lieferant. Gestufte Bewertung verhindert sowohl Über- als auch Unterbewertung.
-
Kein Follow-up bei identifizierten Risiken. Risiken zu finden ist nur nützlich, wenn Sie die Behebung verfolgen. Dokumentieren Sie identifizierte Lücken, vereinbarte Behebungsfristen und die Überprüfung der Korrekturen.
-
Subunternehmer-Risiko ignorieren. Die Lieferanten Ihrer Lieferanten sind Teil Ihrer Lieferkette. NIS2 und DORA verlangen ausdrücklich die Berücksichtigung der gesamten Kette, nicht nur der direkten Lieferanten.
Framework-Anforderungen erfüllen
ISO 27001
Anhang A Kontrollen 5.19-5.21 verlangen:
- Eine Richtlinie für das Management von Lieferantenbeziehungen (5.19)
- Mit Lieferanten festgelegte und vereinbarte Sicherheitsanforderungen (5.20)
- Management der Informationssicherheit in der IKT-Lieferkette (5.21)
Erforderliche Nachweise: Lieferanten-Bewertungsaufzeichnungen, Lieferanten-Sicherheitsrichtlinien, vertragliche Sicherheitsklauseln, Dokumentation periodischer Überprüfungen.
NIS2
Artikel 21(2)(d) verlangt Maßnahmen zur Lieferkettensicherheit einschließlich:
- Sicherheitsbezogene Bewertungen direkter Lieferanten und Dienstleister
- Berücksichtigung lieferantenspezifischer Schwachstellen
- Bewertung der Cybersicherheitspraktiken der Lieferanten
- Berücksichtigung koordinierter Lieferketten-Risikobewertungen
DORA
Artikel 28-30 etablieren detaillierte Anforderungen an das IKT-Drittparteien-Risikomanagement:
- Vorvertragliche Bewertung von IKT-Drittdienstleistern
- Wesentliche Vertragsbestimmungen für IKT-Dienste
- Laufende Überwachung des IKT-Drittparteien-Risikos
- Exit-Strategien für kritische IKT-Dienste
Von der Bewertung zum Nachweis
Lieferanten-Risikobewertungen generieren wertvolle Compliance-Nachweise — aber nur wenn sie ordnungsgemäß dokumentiert und zugänglich sind:
- Bewertungsunterlagen — Ausgefüllte Fragebögen, Risikobewertungen, Genehmigungsentscheidungen
- Verifizierungsdokumente — Zertifikate, Auditberichte, Penetrationstest-Zusammenfassungen
- Risikobehandlung — Dokumentierte Entscheidungen zur Risikoakzeptanz, erforderliche zusätzliche Kontrollen
- Überwachungsaufzeichnungen — Laufende Bewertungsergebnisse, Vorfallbenachrichtigungen, Änderungen des Zertifizierungsstatus
Ein Trust Center optimiert beide Seiten der Lieferantenbewertung — veröffentlichen Sie Ihre eigenen Sicherheitsnachweise für die Bewertungen Ihrer Kunden und greifen Sie auf die Dokumentation der Anbieter für Ihre eigene Due Diligence zu.
Wie Orbiq bei Lieferanten-Risikobewertungen unterstützt
- Trust Center: Veröffentlichen Sie Ihre Sicherheitslage, Zertifizierungen und Compliance-Nachweise als Self-Service-Evidenz-Hub für Käufer
- KI-gestützte Fragebögen: Beantworten Sie eingehende Lieferantenbewertungs-Fragebögen automatisch mit Ihren verifizierten Compliance-Nachweisen
- Kontinuierliches Monitoring: Verfolgen Sie den Zertifizierungsstatus von Anbietern, Sicherheitsänderungen und Compliance-Lücken zwischen Bewertungen
- Evidenz-Management: Zentralisieren Sie Lieferanten-Bewertungsdokumentation, Auditberichte und Risikoakzeptanz-Aufzeichnungen
Weiterführende Lektüre
- Drittparteien-Risikomanagement — Ein umfassendes TPRM-Programm aufbauen
- Informationssicherheitsleitlinie — Das Grundlagendokument für Lieferanten-Sicherheitsanforderungen
- NIS2-Lieferkettensicherheit — Die spezifischen NIS2-Lieferkettenanforderungen
- Compliance-Automatisierung — Automatisierte Evidenzerfassung für Lieferantenbewertungen
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.