Qualitätsmanagement-Beauftragte predigen es seit langem: Die Produktqualität hängt nicht nur von internen Prozessen und Faktoren ab, sondern auch von der Qualität der Zulieferer. Wird ein Bauteil vom Lieferanten zu spät geliefert, kommt meist die ganze Produktion ins Stocken. Liefertreue ist deshalb eine wichtige Anforderung an Zulieferer und andere Geschäftspartner.
Betrachtet man Softwarelösungen für das Lieferantenmanagement, findet sich darin in aller Regel ein Modul "Lieferantenbewertung". Beispiele sind Ariba Lieferantenmanagement, CAQ SRM.Net Lieferantenmanagement, HCM Lieferantenmanagement, POOL4TOOL, PVM Lieferantenmanagement, Babtec.LC, IBS CAQ=QSYS SAM, Simmeth SC-Evaluator und Lieferpool SRM.
Dort können Unternehmen dann vermerken, wenn bei einem Lieferanten zum Beispiel die Liefertreue nicht stimmt. Weitere Qualitätsmerkmale und Kennzahlen bei der Lieferantenbewertung können die sogenannte Mengentreue, die Anzahl der Reklamationen, die Erreichbarkeit oder die Einhaltung von Versandvorschriften sein. Oftmals sprechen Anbieter von Lieferantenmanagement-Lösungen und SCM-Lösungen (Supply Chain Management) auch von den Risikowerten der Lieferanten, von Lieferanten-Compliance oder dem Lieferanten als Unternehmensrisiko.
- Sicherheit im Lieferantenmanagement
Schwachstellen bei Lieferanten führen zu Sicherheitslücken bei den Auftraggebern. IT-Security gehört deshalb in die Lieferantenbewertung. - Dokumentation ist alles
Zu einem Lieferantenmanagement gehört mehr als die Verwaltung der Adressen und Artikel. In aller Regel werden auch Bewertungen zu den Lieferanten dokumentiert. Dabei sollte die IT-Sicherheit des Lieferanten als Bewertungskriterium nicht fehlen. - GUARDUS Solutions
In der Lieferantenbewertung üblich sind Kennzahlen wie Parts-Per-Million (PPM), Qualitätskennzahl (QKZ), Liefertreue oder A-B-C-Bewertungen. Ergänzt werden sollten Kennzahlen zur IT-Sicherheit des Lieferanten. - Produkte der CAQ AG
Lieferantenmanagement-Lösungen wie die von CAQ sehen auch Module im Bereich Risiken und Audits vor. Fehlen dort Fragen zur IT-Sicherheit, lassen sich entsprechende Kriterien meist selbst definieren und ergänzen. - Sichere Lieferanten gefragt
Laut eco-Report "IT-Sicherheit 2015" halten 23 Prozent der befragten Sicherheitsexperten die Sicherheit von Lieferanten und Dienstleistern für sehr wichtig, 48 Prozent für wichtig. Im Vergleich zu anderen IT-Sicherheitsthemen wird die Bedeutung der IT-Sicherheit bei Dienstleistern und Lieferanten unterschätzt. - Potenzialanalyse
Drei Viertel der von Sopra Steria Consulting befragten Unternehmen haben Verträge zu Mindestsicherheitsmaßnahmen mit Lieferanten oder Dienstleistern. Aber nur 58 Prozent haben ein Lieferanten- oder Dienstleister-Audit durchgeführt.
Was in aller Regel aber zu kurz kommt, sind die IT-Sicherheitsrisiken: Die IT-Sicherheit des Lieferanten ist im Standard bei den meisten Modulen zur Lieferantenbewertung nicht vorgesehen. Dabei gilt die unzureichende IT-Sicherheit auf Seiten der Lieferanten und Service Provider als eines der größten IT-Risiken der nächsten Jahre, wie unter anderem der Threat Horizon 2016 des Information Security Forum betont.
Eine Studie von Kaspersky Lab zeigt dies anschaulich anhand von Schadenshöhen: Große Unternehmen müssen durchschnittlich mit über drei Millionen US-Dollar Folgekosten rechnen, wenn ein Zulieferer einen Cybersicherheitsvorfall verschuldet. Über die Lieferkette ausgelöste Hackerattacken, Datenabfluss oder Systemausfälle sind damit für große Firmen mit Abstand am kostenintensivsten, vor Mitarbeiterfehlern (1,3 Millionen US-Dollar) und Cyberspionage (1,1 Millionen US-Dollar).
Lieferantenmanagement gehört zum IT-Sicherheitsmanagement
Aus gutem Grund führt die Norm ISO/IEC 27001:2013 im Annex A die Sicherheit der Lieferanten (Supplier Relationships) explizit auf. Das Management und die Kontrolle von Lieferanten gehören elementar zum IT-Sicherheitsmanagement dazu. Umfragen zeigen allerdings, dass Security Audits bei Lieferanten in vielen Unternehmen noch nicht zur betrieblichen Praxis gehören.
So ergab die Tripwire IP Expo Survey, dass nur 53 Prozent der befragten Unternehmen Security Audits für ihre Lieferanten und Geschäftspartner vorsehen. Doch nur 22 Prozent der Befragten gaben an, dass sie über keine Ressourcen verfügen, um die Lieferantenverträge entsprechend zu überprüfen und um sicherzustellen, dass ihre Sicherheitsvorgaben eingehalten werden. Man kann also davon ausgehen, dass die Security Audits bei Lieferanten schlicht vergessen werden oder nicht den notwendigen Stellenwert haben. Beides könnte und sollte verhindert werden, wenn IT-Sicherheit zum festen Bestandteil einer Lieferantenbewertung wird.
Foto: eco
In verschiedenen Branchen ist dies bereits der Fall. So werden Zulieferer und Dienstleister von der Automobilindustrie in regelmäßigen Abständen zum Ausfüllen sogenannter VDA-Assessments aufgefordert, um den Stand ihrer Informationssicherheit zu dokumentieren und die Sicherheit sensibler Daten zu gewährleisten. Der Verband der Automobilindustrie (VDA) zeigt beispielhaft, wie ein Security Audit oder Information Security Assessment aussehen kann.
IT-Sicherheit als Lieferantenkriterium ergänzen
Ein wichtiger Schritt dabei, IT-Sicherheit als Einkaufskriterium generell stärker zu etablieren, ist die Erweiterung des Kriterienkatalogs in der jeweiligen Lieferantenmanagement-Software. Die meisten Lösungen bieten die Erweiterbarkeit der Kriterien an: "Neben den im Standard vorhandenen Bewertungskriterien können beliebige weitere Bewertungskriterien angelegt werden", so heißt es bei der Lösung ERPframe. Auch bei dem Lieferantenmanagement mit SRM.Net gibt es "frei definierbare Hard und Soft Facts" in der Lieferantenbewertung, bei dem SC-Evaluator sind die Kriterien ebenso frei gestaltbar.
Die IT-Sicherheit auf Seiten der Lieferanten und Dienstleister kann auch außerhalb der Lieferantenmanagement-Software geprüft und dokumentiert werden. In jedem Fall sollten Verweise auf eine Lieferanten-Sicherheitsbewertung in der Lieferantenmanagement-Software nicht fehlen, wenn diese in einer zusätzlichen Anwendung zu finden ist. Ein Beispiel für eine spezielle IT-Sicherheitslösung im diesem Bereich ist die Software RSA Archer Vendor Management. Innerhalb der Funktion Vendor Risk Assessment werden auch die IT-Sicherheitsanforderungen adressiert, den Nutzern stehen vorbereitete Fragebogen für die Security Audits bei den Dienstleistern und Lieferanten zur Verfügung.