Führe mich durch, wie du Drittanbieter- (Lieferanten-)Risiko bewertest und steuerst.
Kurzantwort
Behandle Lieferantenrisiko als Lebenszyklus, nicht als einmaligen Fragebogen. Inventarisiere deine Drittparteien und stufe sie nach Kritikalität und Datensensibilität ein. Führe Due Diligence proportional zur Stufe durch — prüfe SOC 2- / ISO 27001-Berichte, Sicherheitsfragebögen, Pentest-Zusammenfassungen sowie die betroffenen Daten und Zugriffe. Verankere Kontrollen im Vertrag (Sicherheitsanforderungen, Auditrecht, Meldepflicht bei Datenpannen, Datenverarbeitung, Unterauftragsverarbeiter). Überwache dann kontinuierlich, nicht nur beim Onboarding, und habe einen sauberen Offboarding-Prozess, um Zugriffe zu entziehen und Daten zurückzuholen oder zu vernichten. Auch das Viertparteien-Risiko (Unterauftragsverarbeiter) zählt.
Die meisten Datenpannen haben heute einen Supply-Chain-Aspekt, daher ist Lieferantenrisikomanagement eine zentrale GRC-Kompetenz. Interviewer fragen das, um zu sehen, ob du es als lebendiges Programm oder als jährliche Papierübung behandelst.
Einstufung nach Kritikalität
Du kannst nicht jeden Lieferanten mit gleicher Tiefe bewerten. Beginne mit einem Inventar und stufe Lieferanten dann danach ein, womit sie in Berührung kommen: die Sensibilität der Daten, den Zugriff, den sie haben, und wie kritisch sie für den Betrieb sind. Ein Gehaltsabrechnungs-Dienstleister, der PII verarbeitet, ist nicht dasselbe Risiko wie ein Stock-Foto-Abonnement.
Proportionale Due Diligence
Skaliere die Gründlichkeit auf die Stufe. Für hochstufige Lieferanten prüfe unabhängige Nachweise — SOC 2 Type II- oder ISO 27001-Zertifikate, Pentest-Zusammenfassungen, Sicherheitsfragebögen (SIG/CAIQ) und ihre Historie an Datenpannen. Sieh dir den tatsächlichen Datenfluss und die Integration an, nicht nur die Broschüre.
Sicherheit vertraglich verankern
Der Vertrag ist der Ort, an dem Risiko durchgesetzt wird. Bestehe auf Sicherheitsanforderungen, Fristen zur Meldung von Datenpannen, Datenverarbeitung und -residenz, einem Auditrecht und Transparenz über Unterauftragsverarbeiter (Viertparteien).
Kontinuierlich überwachen
Risiko friert beim Onboarding nicht ein. Nutze kontinuierliches Monitoring — Security Ratings, Breach-Benachrichtigungen, Zertifikatsablauf, periodische Neubewertung —, damit du Verschlechterungen zwischen jährlichen Prüfungen erkennst.
Sauber offboarden
Wenn die Beziehung endet, entziehe Zugriffe, hole Daten zurück oder bestätige deren Vernichtung und schließe Integrationen ab. Verbleibender Lieferantenzugriff ist ein klassischer vergessener Angriffspfad.
Warum das wichtig ist
Eine starke Antwort rahmt Lieferantenrisiko als vollständigen Lebenszyklus und erwähnt das Viertparteien-Risiko. Das signalisiert, dass du verstehst, dass das einmalige Unterzeichnen eines SOC 2-PDFs kein Programm ist.
Wahrscheinliche Anschlussfragen
- Wie gehst du mit Viertparteien-Risiko (Unterauftragsverarbeiter) in der Supply Chain eines Lieferanten um?
- Auf welche Vertragsklauseln bestehst du bei einem Lieferanten, der sensible Daten verarbeitet?
- Wie hältst du das Monitoring zwischen jährlichen Neubewertungen aussagekräftig?