Dezember 2020: Ein Update für die SolarWinds-Orion-Plattform wird an 18.000 Kunden verteilt — inklusive einer Backdoor, die staatliche Angreifer in den Build-Prozess eingeschleust haben. Die betroffenen Organisationen hatten ihren direkten Lieferanten geprüft, aber die Lieferkette dahinter war unsichtbar. A.5.21 adressiert genau dieses Risiko: Sicherheit in der gesamten IKT-Lieferkette, nicht nur beim direkten Lieferanten.
Was verlangt die Norm?
- Lieferketten-Risiken identifizieren. Die Organisation analysiert die Risiken, die aus der IKT-Lieferkette entstehen — nicht nur vom direkten Lieferanten, sondern über die gesamte Kette.
- Sicherheitsanforderungen weitergeben. Sicherheitsanforderungen werden vertraglich so gestaltet, dass sie an Subunternehmer und Vorlieferanten durchgereicht werden.
- Integrität von Lieferungen prüfen. Gelieferte IKT-Produkte und -Dienste werden auf Authentizität und Integrität geprüft.
- Transparenz einfordern. Der Lieferant muss offenlegen, welche Subunternehmer und Komponenten in der Lieferkette beteiligt sind.
In der Praxis
IKT-Lieferanten im Register kennzeichnen. Markiere im Lieferantenregister alle Lieferanten, die IKT-Produkte oder -Dienste liefern (Hardware, Software, Cloud, Netzwerk). Diese Lieferanten unterliegen den erweiterten Anforderungen von A.5.21.
Lieferketten-Transparenz vertraglich einfordern. Klauseln im Vertrag: Offenlegung von Subunternehmern, Herkunftsland von Komponenten, verwendete Open-Source-Bibliotheken. Bei Cloud-Diensten: Standort der Rechenzentren und beteiligte Drittanbieter.
Integrity-Checks implementieren. Bei Software-Lieferungen: Prüfsummen (Hashes) und digitale Signaturen verifizieren. Bei Hardware: Lieferkette dokumentieren, Siegel prüfen, bei kritischen Komponenten Stichproben-Audits beim Hersteller erwägen.
Schwachstellen in der Lieferkette überwachen. Verknüpfe dein Schwachstellenmanagement mit der SBOM: Wenn eine neue CVE für eine Open-Source-Bibliothek veröffentlicht wird, prüfe automatisch, ob deine eingesetzte Software betroffen ist.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.21 typischerweise diese Nachweise:
- IKT-Lieferantenliste — Übersicht aller IKT-Lieferanten mit Lieferketten-Bewertung
- Vertragliche Transparenzklauseln — Nachweis der Subunternehmer-Offenlegungspflicht
- SBOMs — Software Bill of Materials für kritische Anwendungen
- Integrity-Check-Protokolle — Nachweis der Prüfung gelieferter Software (Hashes, Signaturen)
- Schwachstellen-Monitoring — Nachweis der Überwachung von Lieferketten-Schwachstellen
KPI
% der IKT-Lieferanten mit bewerteten Lieferketten-Sicherheitsrisiken
Gemessen am Lieferantenregister: Wie viele IKT-Lieferanten haben eine dokumentierte Lieferketten-Risikobewertung? Ziel: 100% für kritische und hochrisiko IKT-Lieferanten. Die Bewertungstiefe skaliert mit der Risikokategorie.
Ergänzende KPIs:
- Anteil der geschäftskritischen Software mit verfügbarer SBOM
- Anzahl der Lieferketten-Schwachstellen, die proaktiv identifiziert wurden
- Anteil der IKT-Lieferanten mit vertraglicher Subunternehmer-Offenlegung
BSI IT-Grundschutz
A.5.21 mappt auf den BSI-Baustein für Outsourcing:
- OPS.2.3 (Nutzung von Outsourcing) — adressiert die Risiken aus der Lieferkette bei Outsourcing-Dienstleistungen, einschließlich Subunternehmer und Weiterbeauftragung. BSI fordert explizit Transparenz über die gesamte Lieferkette.
Verwandte Kontrollen
A.5.21 ergänzt den Lieferanten-Block um die Tiefendimension:
- A.5.19 — IS in Lieferantenbeziehungen: Die direkte Lieferantenbeziehung — A.5.21 geht einen Schritt weiter.
- A.5.20 — IS in Lieferantenvereinbarungen: Vertragliche Verankerung der Lieferketten-Anforderungen.
- A.5.23 — IS für Cloud-Dienste: Cloud-Dienste sind ein häufiger Fall komplexer IKT-Lieferketten.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.21 — IS in der IKT-Lieferkette
- ISO/IEC 27002:2022 Abschnitt 5.21 — Umsetzungshinweise
- BSI IT-Grundschutz, OPS.2.3 — Nutzung von Outsourcing