Wenn Abhängigkeiten zur Falle werden

In einer Notfallübung erlebte ich einen Fall, der das ganze Problem auf den Punkt bringt.

Ein Unternehmen musste eine zentrale Steuerungsanlage ersetzen. Als die Verantwortlichen das Projekt aufsetzten, kam die böse Überraschung. Die Lieferzeit für die Anlage betrug mehr als ein Jahr. Niemand im Unternehmen hatte dieses Risiko auf dem Radar. Im Ernstfall hätte das ein ganzes Jahr Produktionsausfall bedeutet

Dieses Beispiel zeigt, wie gravierend mangelndes Lieferantenmanagement sein kann, nicht nur für die Cybersecurity, sondern für das gesamte Unternehmen.

Typische Risiken in der Lieferkette

In meiner Arbeit sehe ich immer wieder dieselben Muster:

  • Lieferant als Einfallstor für Cyberangriffe
    Hacker suchen gezielt den schwächsten Punkt. Oft ist das nicht das eigene Unternehmen, sondern ein Partner mit geringeren Sicherheitsstandards.
  • Abhängigkeit von einem einzigen Lieferanten
    Wenn dieser ausfällt, ob durch Lieferengpässe, Insolvenz oder geopolitische Gründe, steht die eigene Produktion still.
  • Unklare Verträge und fehlende Sicherheitsanforderungen
    Viele Verträge regeln Service und Preis, aber nicht, welche Sicherheitsstandards eingehalten werden müssen.
  • Fehlende Transparenz in der Lieferkette
    Oft kennen Unternehmen ihre direkten Lieferanten, aber nicht deren Sub-Lieferanten. Damit bleibt ein Teil des Risikos unsichtbar.

Was Unternehmen tun können

Die gute Nachricht, Lieferantenrisiken lassen sich managen, wenn man es konsequent angeht. Wichtige Schritte dabei sind:

  1. Risiken systematisch bewerten
    Welche Lieferanten sind wie kritisch fürs Unternehmen? Welche Abhängigkeiten bestehen? Welche Cyber-Risiken gehen von ihnen aus?
  2. Abhängigkeiten reduzieren
    Alternative Lieferanten aufbauen oder strategische Vorräte anlegen.
  3. Klare Anforderungen definieren
    Sicherheitsstandards, Zertifizierungen und Notfallpläne gehören in jeden Vertrag mit kritischen Lieferanten.
  4. Transparenz schaffen
    Nicht nur den direkten Lieferanten betrachten, sondern die gesamte Kette.

Das Resultat

Unternehmen, die ihre Lieferkette aktiv steuern, sind nicht nur resilienter gegen Angriffe, sondern auch besser auf Krisen vorbereitet. Sie vermeiden böse Überraschungen, sichern ihre Produktion und erfüllen regulatorische Anforderungen deutlich leichter.

Mein Erfahrung

Lieferantenmanagement ist längst kein reines Einkaufsthema mehr. Es ist ein zentraler Baustein der Cyber- und Betriebssicherheit.

Wer hier nicht proaktiv handelt, riskiert nicht nur finanzielle Verluste, sondern im schlimmsten Fall die eigene Existenz.