A.5.19 — IS in Lieferantenbeziehungen

Ein IT-Dienstleister betreut dein ERP-System per Fernwartung. Er hat Admin-Zugriff auf deine produktive Datenbank mit Kundendaten, Finanzdaten und Personalinformationen. Sein eigenes ISMS existiert aus einer Passwort-Richtlinie und einer Firewall. A.5.19 fordert, dass du die Sicherheitsrisiken in Lieferantenbeziehungen systematisch identifizierst, bewertest und steuerst.

Was verlangt die Norm?

Lieferantenrisiken identifizieren. Die Organisation analysiert, welche Lieferantenbeziehungen Auswirkungen auf die Informationssicherheit haben.
Sicherheitsanforderungen definieren. Für jeden relevanten Lieferanten werden Sicherheitsanforderungen festgelegt, die zum Risiko der Beziehung passen.
Risikobewertung durchführen. Die Sicherheitspraktiken des Lieferanten werden bewertet — durch Selbstauskunft, Zertifikatsprüfung oder Audit.
Maßnahmen bei Beendigung regeln. Der Prozess für das sichere Ende einer Lieferantenbeziehung (Datenlöschung, Zugangsentzug, Informationsrückgabe) ist definiert.

In der Praxis

Lieferantenregister aufbauen. Erfasse alle Lieferanten mit: Name, Art der Dienstleistung, Zugang zu Daten/Systemen, Risikokategorie, verantwortliche Person intern, Vertragslaufzeit, letzte Sicherheitsbewertung. Dieses Register ist das zentrale Steuerungsinstrument.

Sicherheitsfragebogen standardisieren. Erstelle einen Fragebogen mit den wichtigsten Sicherheitsanforderungen: ISMS vorhanden? Zertifizierungen? Verschlüsselung? Zugriffsmanagement? Vorfallmeldung? Der Fragebogen skaliert: Standard-Lieferanten bekommen 15 Fragen, kritische Lieferanten 50.

Zertifikate und Berichte auswerten. Ein ISO-27001-Zertifikat oder SOC-2-Bericht des Lieferanten reduziert deinen Prüfaufwand erheblich. Prüfe aber: Deckt der Geltungsbereich die für dich relevante Dienstleistung ab? Wie alt ist das Zertifikat?

Periodische Überprüfung einplanen. Kritische Lieferanten: jährlich. Hochrisiko-Lieferanten: alle zwei Jahre. Standard-Lieferanten: bei Vertragsverlängerung. Anlassbezogen: bei bekannten Sicherheitsvorfällen des Lieferanten.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.19 typischerweise diese Nachweise:

Lieferantenregister — Übersicht aller sicherheitsrelevanten Lieferanten mit Risikokategorisierung (→ Lieferantenregister im Starter Kit)
Lieferantensicherheitsrichtlinie — Anforderungen und Prozesse für Lieferantenmanagement (→ Lieferantensicherheit im Starter Kit)
Risikobewertungen — ausgefüllte Fragebögen oder Audit-Berichte pro Lieferant
Zertifikate — ISO-27001-Zertifikate oder SOC-2-Berichte der Lieferanten
Vertragliche Regelungen — Sicherheitsklauseln in Lieferantenverträgen (Verweis auf A.5.20)

KPI

% der Lieferanten mit abgeschlossener IS-Risikobewertung

Gemessen am Lieferantenregister: Wie viele der als sicherheitsrelevant eingestuften Lieferanten haben eine aktuelle Risikobewertung? Ziel: 100%. „Aktuell” heißt: innerhalb des für die Risikokategorie festgelegten Intervalls.

Ergänzende KPIs:

Anteil der kritischen Lieferanten mit ISO-27001-Zertifizierung oder gleichwertigem Nachweis
Anzahl der offenen Maßnahmen aus Lieferantenbewertungen
Anteil der Lieferanten mit vertraglichen IS-Klauseln

BSI IT-Grundschutz

A.5.19 mappt auf den BSI-Baustein für Outsourcing:

OPS.2.3 (Nutzung von Outsourcing) — regelt die Sicherheitsanforderungen an Outsourcing-Dienstleister, einschließlich Risikobewertung, vertragliche Regelungen und Überwachung.
CON.9.A9 (Vertraulichkeitsvereinbarungen) — Vertraulichkeitsvereinbarungen mit Dienstleistern, die Zugang zu sensiblen Informationen haben.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.19 — IS in Lieferantenbeziehungen
ISO/IEC 27002:2022 Abschnitt 5.19 — Umsetzungshinweise
BSI IT-Grundschutz, OPS.2.3 — Nutzung von Outsourcing

Häufig gestellte Fragen

Muss ich jeden Lieferanten bewerten?

Jeden Lieferanten, der Zugang zu Informationen, Systemen oder Räumlichkeiten der Organisation hat oder Dienstleistungen erbringt, die die Informationssicherheit beeinflussen. Das betrifft typischerweise IT-Dienstleister, Cloud-Anbieter, Personaldienstleister mit Systemzugang und Facility-Management-Unternehmen.

Wie bewerte ich die Sicherheit eines Lieferanten?

Drei Stufen: Selbstauskunft (Fragebogen), Nachweisanforderung (ISO-27001-Zertifikat, SOC-2-Bericht, Penetrationstest-Ergebnisse) und bei kritischen Lieferanten: eigenes Audit. Der Aufwand sollte zum Risiko passen — ein Cloud-Anbieter, der Kundendaten verarbeitet, braucht mehr Prüfung als ein Büromateriallieferant.

Was mache ich, wenn ein Lieferant die Anforderungen nicht erfüllt?

Optionen: Vertragsverhandlung mit konkreten Verbesserungsfristen, kompensierende Maßnahmen auf deiner Seite (z. B. eigene Verschlüsselung der Daten), Lieferantenwechsel. Dokumentiere die Entscheidung und das akzeptierte Restrisiko.

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, Facility Manager, HR, IT-Admin, IT-Sicherheitsbeauftragter, interne Revision, Rechtsberatung, Risikoverantwortliche, Software-Entwicklungsleitung, Lieferantenmanagement
Informed	Abteilungsleitung, ISB, interne Revision, Geschäftsführung