NCSC-Leitfaden für die Cybersicherheit in der Lieferkette und das Risikomanagement von Drittanbietern

Verwenden Sie diese bewährten Verfahren, um die Anforderungen in allen fünf Phasen der Leitlinien des britischen National Cyber Security Centre zu erfüllen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter April 12, 2023 9 min gelesen
Decorative image

Angesichts der stetig zunehmenden Zahl hochkarätiger Cyberangriffe aufgrund von Schwachstellen in der Lieferkette hat das britische National Cyber Security Centre (NCSC) – eine Abteilung des GCHQ – aktualisierte Leitlinien veröffentlicht, die Unternehmen dabei helfen sollen, die Cybersicherheit ihrer Lieferketten effektiv zu bewerten und Vertrauen in diese aufzubauen.

Die neuesten Leitlinien, die im Oktober 2022 veröffentlicht wurden, sollen Organisationen dabei helfen, die ursprünglich im Januar 2018 veröffentlichten 12 Grundsätze des NCSC zur Sicherheit der Lieferkette umzusetzen, die in der folgenden Abbildung dargestellt sind (mit freundlicher Genehmigung des National Cyber Security Centre, einer Abteilung des GCHQ).

Die Anleitung ist in die folgenden fünf Schritte unterteilt:

  1. Bevor Sie beginnen
  2. Entwicklung eines Ansatzes zur Bewertung der Cybersicherheit in der Lieferkette
  3. Wenden Sie diesen Ansatz auf neue Lieferantenbeziehungen an.
  4. Integrieren Sie den Ansatz in bestehende Lieferantenkontrollen.
  5. Kontinuierlich verbessern

Dieser Beitrag untersucht die fünf Phasen der neuesten NCSC-Leitlinien und identifiziert bewährte Verfahren zur Umsetzung der Leitlinien.

NCSC-Leitfaden zur Cybersicherheit in der Lieferkette Stufe 1: Bevor Sie beginnen

Gemäß den NCSC-Leitlinien besteht das Ziel von Stufe 1 darin, „Kenntnisse über den Ansatz Ihrer eigenen Organisation zum Management von Cybersicherheitsrisiken zu erwerben“. Diese erste Planungsphase umfasst die folgenden Schritte.

Die Risiken verstehen, denen Ihr Unternehmen ausgesetzt ist

Laut einer aktuellen Branchenstudie haben 45 % der Unternehmen in den letzten 12 Monaten eine Verletzung des Datenschutzes oder eine Datenpanne durch Dritte erlebt. Beantworten Sie diese wichtigen Fragen:

  • Kann Ihr Unternehmen angesichts einer Cyber-Störung der Lieferkette widerstandsfähig bleiben?
  • Können Sie das Ziel eines Cyberangriffs identifizieren? Sind es Daten?
  • Können Sie den wahrscheinlichsten Angriffspfad für einen Cyberangreifer identifizieren?

Wenn die Antwort auf eine dieser Fragen „Nein“ lautet, müssen Sie die Schwachstellen in Ihrer Cyber-Lieferkette bewerten und einen Plan zur Minderung dieser Risiken erstellen.

Festlegen, wer an Entscheidungen zur Cybersicherheit in der Lieferkette beteiligt sein sollte

Zu den Teilnehmern können Vertreter aus den Bereichen Beschaffung und Sourcing, Risikomanagement, Sicherheit und IT, Recht und Compliance sowie Datenschutz gehören. Der Grund dafür, dass so viele Teams in den Prozess des Cyber-Risikomanagements in der Lieferkette einbezogen werden sollten, liegt darin, dass jede Abteilung dazu neigt, sich auf die für sie relevanten Risiken zu konzentrieren. Zum Beispiel:

  • IT-Sicherheits- und Datenschutzteams müssen feststellen, welche Kontrollen zum Schutz von Daten und zum Zugriff auf Systeme vorhanden sind, ob es bei dem Lieferanten zu einer Sicherheitsverletzung gekommen ist, welche Auswirkungen dies hatte und ob ein unangemessenes Risiko durch vierte Parteien besteht.
  • Beschaffungsteams sollten dies möglicherweise tun, wenn die Finanz- oder Bonitätshistorie des Lieferanten Anlass zur Sorge gibt oder wenn der Lieferant ein Reputationsproblem hat.
  • Compliance- und Rechtsabteilungen werden wissen wollen, ob der Lieferant wegen Datenschutz-, Umwelt-, Sozial- und Governance-Verstößen, Bestechung oder Sanktionen auffällig geworden ist.
  • Risikomanagementteams werden wissen wollen, ob der Lieferant in einer Region ansässig ist, die anfällig für Naturkatastrophen oder geopolitische Instabilität ist.

Erstellen Sie zunächst eine RACI-Matrix, um festzulegen, wer in der Organisation:

  • Verantwortlich für das Risikomanagement
  • Verantwortlich für Ergebnisse
  • Beraten mit
  • Über den Prozess und die Ergebnisse auf dem Laufenden gehalten

Schließlich gewinnen Sie die Unterstützung der Führungskräfte und des Vorstands, indem Sie:

  • Darstellung einer konsolidierten Übersicht über das aktuelle Risiko für das Unternehmen aus der Lieferkette
  • Kommunikation des aktuellen Risikostatus und der Maßnahmen zur Risikominderung
  • Ermitteln, wo Unterstützung durch die Geschäftsleitung erforderlich ist

Risiken bewerten

Eine gängige Methode zur Kategorisierung von Risiken ist die Verwendung einer „Heatmap“, die Risiken anhand von zwei (2) Achsen misst: Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Betrieb. Natürlich sollten Risiken, die auf beiden Skalen hoch bewertet werden (z. B. im oberen rechten Quadranten), eine höhere Priorität erhalten als Risiken, die niedriger bewertet werden.

NCSC-Leitfaden Stufe 2: Entwicklung eines Ansatzes zur Bewertung der Cybersicherheit der Lieferkette

Die Anleitung für Stufe 2 lautet: „Entwickeln Sie einen wiederholbaren, einheitlichen Ansatz zur Bewertung der Cybersicherheit Ihrer Lieferanten.“ Diese Stufe umfasst:

  • Wissen, welche Vermögenswerte die Organisation schützen sollte;
  • Festlegung der idealen Sicherheitskontrollen zum Schutz der Vermögenswerte; und
  • Festlegen, wie Lieferanten bewertet und Verstöße behandelt werden sollen.

Bevor Sie das Sicherheitsprofil des Lieferanten erstellen, sollten Sie die Risiken berücksichtigen , denen das Unternehmen durch ihn ausgesetzt ist. Berücksichtigen Sie bei der Berechnung des inhärenten Risikos das folgende Schema:

  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand der Erkenntnisse aus dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen und profilieren, spezifische Vertragsklauseln zur Durchsetzung von Standards festlegen, angemessene Stufen für weitere Sorgfaltspflichten festlegen, den Umfang laufender Bewertungen bestimmen und Abhilfemaßnahmen für den Fall der Nichteinhaltung definieren.

Um die Einhaltung der Sicherheitsanforderungen zu überwachen, sollten Sie eine Standardisierung der Bewertungen anhand von Cyber Essentials, ISO oder anderen gängigen Rahmenwerken für die Informationssicherheit in Betracht ziehen.

NCSC-Leitfaden Stufe 3: Anwendung des Ansatzes auf neue Lieferantenbeziehungen

In Stufe 3 empfiehlt die NCSC-Richtlinie, „neue Sicherheitspraktiken während des gesamten Vertragslebenszyklus neuer Lieferanten zu verankern, von der Beschaffung und Lieferantenauswahl bis zum Vertragsabschluss“. Dazu gehört die Überwachung der Einhaltung vertraglicher Bestimmungen und die Sensibilisierung des Teams für seine Verantwortlichkeiten während des Prozesses.

Diese Leitlinien verlangen von Organisationen, sich der Risiken in jeder Phase des Lieferantenlebenszyklus bewusst zu sein, darunter:

  • Durchführung einer vorvertraglichen Due Diligence, indem vor der Auswahlentscheidung Einblicke in die Cybersicherheit oder die Geschichte von Datenverstößen potenzieller Lieferanten eingeholt werden.
  • Bewertung und Kategorisierung von Lieferanten, damit Sie wissen, wie Sie diese einstufen müssen und welche laufenden Sorgfaltspflichten erforderlich sind.
  • Validierung von Bewertungsergebnissen mit Echtzeit-Cyberüberwachungsdaten
  • Zentrale Nachverfolgung aller Verträge und sicherheitsrelevanten Vertragselemente
  • Messung der Lieferanteneffektivität, einschließlich KPIs, KRIs und SLAs, anhand von Compliance-Maßnahmen, um sicherzustellen, dass diese Anbieter die vertraglichen Anforderungen erfüllen.
  • Beziehungen auf eine Weise auslaufen lassen, die die Einhaltung von Verträgen, die Vernichtung von Daten und die endgültige Abhaken von Punkten gewährleistet.

Führen Sie Cybersicherheitsbewertungen Ihrer Lieferanten bei der Aufnahme, Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durch. Stellen Sie sicher, dass die Bewertungen durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt werden.

Verfolgen und analysieren Sie anschließend kontinuierlich externe Bedrohungen für Dritte, indem Sie das Internet und das Dark Web auf Cyberbedrohungen und Schwachstellen überwachen. Zu den Überwachungsquellen sollten gehören: kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Bedrohungs-Feeds, Paste-Seiten für durchgesickerte Anmeldedaten, Sicherheits-Communities, Code-Repositorys, Schwachstellen-Datenbanken und Datenverletzungs-Datenbanken. Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie sie in einem einheitlichen Risikoregister für jeden Anbieter, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu optimieren.

NCSC-Leitfaden Stufe 4: Integration des Ansatzes in bestehende Lieferantenverträge

In Stufe 4 empfiehlt das NCSC, „Ihre bestehenden Verträge entweder bei Verlängerung oder, wenn es sich um wichtige Lieferanten handelt, schon früher zu überprüfen“. Die Leitlinien setzen ein gewisses Maß an Vertragslebenszyklusmanagement und die Verwaltung von KPIs und KRIs voraus.

Verwaltung des Vertragslebenszyklus

Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen, damit alle zuständigen Teams an der Vertragsüberprüfung teilnehmen können, um sicherzustellen, dass die entsprechenden Sicherheitsklauseln enthalten sind.

Zu den wichtigsten Praktiken, die bei der Verwaltung von Lieferantenverträgen zu berücksichtigen sind, gehören:

  • Zentrale Speicherung von Verträgen
  • Verfolgung aller Verträge und Vertragselemente wie Art, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentrale Vertragsbesprechung und Nachverfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

KPI- und KRI-Management

Ein wichtiger Bestandteil von Überprüfungsverträgen ist die Messung von Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs). Um eine effiziente Überprüfung der vertraglichen KPIs und KRIs zu ermöglichen, sollten Sie diese wie folgt kategorisieren:

  • Risikomessungen helfen dabei, das Risiko einer Geschäftsbeziehung mit einem Lieferanten sowie die damit verbundenen Risikominderungsmaßnahmen zu verstehen.
  • Die Bewertung von Bedrohungen überschneidet sich teilweise mit der Risikobewertung und liefert ein vollständigeres und validierteres Bild des Risikos.
  • Compliance -Messungen legen fest, ob Lieferanten Ihre internen Kontrollanforderungen erfüllen.
  • Abdeckungsmessungen beantworten die Frage: „Habe ich eine vollständige Abdeckung meiner Lieferantenpräsenz und werden diese entsprechend gestaffelt und behandelt?“

Stellen Sie dann sicher, dass Sie die Ergebnisse mit den Vertragsbestimmungen verknüpfen, um eine vollständige Kontrolle über den Prozess zu gewährleisten.

Stellen Sie schließlich sicher, dass Ihr Team genau versteht, welche Art von Informationen dem Vorstand vorgelegt werden sollten. Dieser Ansatz sollte Ihrem Team Folgendes ermöglichen:

  • Präsentieren Sie eine konsolidierte Übersicht über das aktuelle Risiko, dem das Unternehmen aus der Lieferkette ausgesetzt ist.
  • Kommunizieren Sie den aktuellen Status wichtiger Lieferanten, die die wesentlichen Unternehmensaktivitäten unterstützen.
  • Zeigen Sie inhärente und verbleibende Risiken aus Bedrohungsinformationsquellen auf, um den Fortschritt bei der Risikominderung im Laufe der Zeit zu demonstrieren.
  • Identifizieren Sie, wo Unterstützung durch die Geschäftsleitung erforderlich ist.

NCSC-Leitfaden Stufe 5: Kontinuierliche Verbesserung

Die letzte Phase der NCSC-Leitlinien lautet: „Verfeinern Sie Ihren Ansatz regelmäßig, wenn neue Probleme auftreten, um die Wahrscheinlichkeit zu verringern, dass Risiken über die Lieferkette in Ihr Unternehmen gelangen.“

Verfolgen und analysieren Sie kontinuierlich externe Bedrohungen für Dritte, indem Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen überwachen. Zu den Überwachungsquellen sollten gehören: kriminelle Foren, Onion-Seiten, spezielle Zugangsforen im Dark Web, Threat Feeds, Paste-Seiten für geleakte Zugangsdaten, Datenbanken für Sicherheitsverletzungen sowie verschiedene Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung sollten in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst werden, in denen Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen gemessen und kategorisiert werden. Entwickeln Sie Abhilfemaßnahmen mit Empfehlungen, die Lieferanten befolgen können, um Restrisiken zu reduzieren. Bieten Sie Lieferanten ein Forum, in dem sie Nachweise hochladen und über bestimmte Abhilfemaßnahmen kommunizieren können, mit einem sicheren Prüfpfad, um die Abhilfemaßnahmen bis zum Abschluss zu verfolgen.

Nächste Schritte: Laden Sie die umfassende NCSC-Checkliste zur Cybersicherheit in der Lieferkette herunter.

Die Anforderungen des NCSC können dabei helfen, Strukturen und Best-Practice-Empfehlungen zu entwickeln, um die Risiken von Cybersicherheitsangriffen auf die Lieferkette zu mindern. Prevalent bietet eine zentrale, automatisierte Plattform zur Bewertung und kontinuierlichen Überwachung von Risiken in Abstimmung mit Ihrem umfassenden Cybersicherheits-Risikomanagementprogramm.

Weitere Informationen darüber, wie Prevalent Ihnen helfen kann, finden Sie auf unserer NCSC-Lösungsseite. Laden Sie die umfassende NCSC-Checkliste zur Cybersicherheit in der Lieferkette herunter oder wenden Sie sich noch heute an Prevalent, um eine individuelle Vorführung zu vereinbaren.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.