A.5.20 — IS in Lieferantenvereinbarungen

Ohne vertragliche Verankerung bleiben Sicherheitsanforderungen an Lieferanten gute Absichten. Du kannst bewerten, fordern und verhandeln — aber durchsetzbar sind deine Anforderungen erst, wenn sie im Vertrag stehen. A.5.20 fordert, dass alle relevanten Sicherheitsanforderungen in Lieferantenvereinbarungen dokumentiert und von beiden Seiten akzeptiert werden.

Zweck: Ein vereinbartes Maß an Informationssicherheit in Lieferantenbeziehungen aufrechterhalten.
Wirkungsrichtung: Präventiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Organisatorische Kontrolle
BSI-Bausteine: ISMS.1.A5, OPS.2.3.A4, OPS.2.3.A6, OPS.2.3.A13, OPS.2.3.A14, OPS.2.3.A21, OPS.2.3.A24, DER.2.2.A13, OPS.3.2.A2, OPS.3.2.A3, OPS.3.2.A16
KPI: % der Lieferantenverträge mit dokumentierten IS-Anforderungen

Responsible	ISB / (C)ISO
Accountable	ISB / (C)ISO
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, Facility Manager, HR, IT-Leitung, IT-Sicherheitsbeauftragter, Incident-Response-Team, ISB, interne Revision, Rechtsberatung, Risikoverantwortliche, Lieferantenmanagement
Informed	Asset-Eigentümer, Abteilungsleitung, IT-Leitung, IT-Admin, IT-Sicherheitsbeauftragter, Incident-Response-Team, ISB, Rechtsberatung, Risikoverantwortliche, Lieferantenmanagement

Was verlangt die Norm?

Sicherheitsanforderungen vertraglich fixieren. Alle relevanten Sicherheitsanforderungen werden in einer formellen Vereinbarung mit dem Lieferanten dokumentiert.
Zugangs- und Datenschutzregelungen treffen. Der Vertrag regelt, wer beim Lieferanten auf welche Daten zugreifen darf und wie diese geschützt werden.
Vorfallmeldung vereinbaren. Der Lieferant verpflichtet sich, Sicherheitsvorfälle innerhalb definierter Fristen zu melden.
Audit-Recht sichern. Die Organisation behält sich das Recht vor, die Einhaltung der Sicherheitsanforderungen zu prüfen.
Vertragsende regeln. Was geschieht mit Daten und Zugängen bei Vertragsende: Rückgabe, Löschung, Übergangsfrist.

In der Praxis

Klauselkatalog nach Risikokategorie. Standard-Lieferanten: Vertraulichkeitsvereinbarung, grundlegende Zugangsregelung. Hoch-Risiko-Lieferanten: zusätzlich Vorfallmeldung, SLA. Kritische Lieferanten: vollständiger Klauselkatalog einschließlich Audit-Recht, Zertifizierungspflicht und Regelungen zu Subunternehmern.

Bestandsverträge systematisch nachbessern. Erstelle eine Liste aller Verträge ohne IS-Klauseln, priorisiert nach Risikokategorie. Nutze Vertragsverlängerungen, Preisverhandlungen oder DSGVO-AVV-Nachträge als Anlass, die IS-Klauseln nachzuverhandeln.

Vertragsende aktiv planen. Die „Exit-Klausel” wird oft vergessen: Wie werden deine Daten zurückgegeben? In welchem Format? Innerhalb welcher Frist? Wie wird die Löschung bestätigt? Werden Zugänge gesperrt? Ein sauberer Vertragsausstieg schützt dich vor Datenverlust und Restrisiken.

ISB in den Vertragsfreigabeprozess einbinden. Kein Vertrag mit sicherheitsrelevantem Inhalt wird ohne ISB-Freigabe unterzeichnet. Das kann ein formales Gate im Beschaffungsprozess sein oder ein Review-Schritt im Vertragsmanagement.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.20 typischerweise diese Nachweise:

Verträge mit IS-Klauseln — Muster oder konkrete Verträge mit den vereinbarten Sicherheitsanforderungen
Klauselkatalog — Standardset der IS-Vertragsklauseln
Vertraulichkeitsvereinbarungen — NDAs mit allen relevanten Lieferanten
Vertragsregister — Übersicht des IS-Klausel-Status pro Vertrag
Exit-Regelungen — Vertragliche Regelungen für Vertragsende

KPI

% der Lieferantenverträge mit dokumentierten IS-Anforderungen

Gemessen am Lieferantenregister: Wie viele der aktiven Verträge mit sicherheitsrelevanten Lieferanten enthalten dokumentierte IS-Klauseln? Ziel: 100%. Bestandsverträge ohne Klauseln drücken den Wert — plane deren Nachbesserung im Lieferantenregister.

Ergänzende KPIs:

Anteil der Verträge mit vereinbartem Audit-Recht
Anteil der Verträge mit dokumentierter Exit-Regelung
Durchschnittliche Dauer bis zur Nachbesserung fehlender IS-Klauseln

BSI IT-Grundschutz

A.5.20 mappt auf zahlreiche BSI-Anforderungen zur Vertragsgestaltung:

OPS.2.3.A4 (Vertragsgestaltung bei Outsourcing) — detaillierte Anforderungen an Verträge mit Outsourcing-Dienstleistern, einschließlich Sicherheitsanforderungen, SLAs und Kontrollrechte.
OPS.2.3.A6 (Regelungen für den Notfall bei Outsourcing) — Notfallregelungen müssen vertraglich verankert sein.
OPS.2.3.A13, A14, A21, A24 — weiterführende vertragliche Anforderungen zu Audit-Rechten, Subunternehmern und Beendigung.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.5.20 — IS in Lieferantenvereinbarungen
ISO/IEC 27002:2022 Abschnitt 5.20 — Umsetzungshinweise
BSI IT-Grundschutz, OPS.2.3 — Nutzung von Outsourcing

Häufig gestellte Fragen

Welche Sicherheitsklauseln gehören in jeden Lieferantenvertrag?

Mindestens: Vertraulichkeitsvereinbarung, Vorfallmeldepflicht, Zugangsregelung, Rückgabe/Löschung von Daten bei Vertragsende, Audit-Recht und Regelungen zu Subunternehmern. Bei kritischen Lieferanten zusätzlich: SLA für Sicherheit, Zertifizierungspflicht, Strafklauseln.

Was mache ich bei Bestandsverträgen ohne Sicherheitsklauseln?

Erstelle eine Priorisierung: kritische Lieferanten zuerst. Nutze die nächste Vertragsverlängerung als Gelegenheit. Alternativ: Nachtragsvereinbarung (Addendum) mit den fehlenden Klauseln. Dokumentiere den Status im Lieferantenregister.

Braucht jeder Lieferant eine AVV (Auftragsverarbeitungsvertrag)?

Eine AVV nach Art. 28 DSGVO brauchst du, wenn der Lieferant personenbezogene Daten in deinem Auftrag verarbeitet. Die IS-Klauseln nach A.5.20 gehen darüber hinaus: Sie betreffen alle Informationen, auch nicht-personenbezogene. AVV und IS-Klauseln können in einem Dokument kombiniert werden.