Swiss Room · Leitfaden 14 von 15
SICHERHEIT
Was dieser Leitfaden Ihnen gibt
Third Party Risk Management für Schweizer KMU
Klassifizierung · Vertragsrealität · Fragebogen-Toolkit · Vorfallmanagement
Diese Leitfadenreihe ist aus einer spezifischen Perspektive heraus geschrieben: der einer General Counsel / Senior Vice President, die über viele Jahre in leitender Inhouse-Funktion in regulierten Unternehmen gearbeitet hat – in der Schweiz und in der EU. Die Autorin verfügt über eine juristische und betriebswirtschaftliche Ausbildung in der Schweiz und in Deutschland sowie über langjährige operative Erfahrung als interne Rechts- und Compliance-Verantwortliche in internationalen Konzernen und KMU-Umfeldern.
Diese Kombination – juristische Tiefe, operatives Management-Know-how und direkte Erfahrung mit den Realitäten von Lieferketten, Vertragsverhandlungen und Aufsichtsbehörden – ist der Grund, warum die Texte so geschrieben sind, wie sie sind: nicht als formale Gesetzeskommentare, sondern als Arbeitsinstrumente. Sie richten sich gleichzeitig an Führungskräfte, die schnell einordnen müssen, was eine Regulierung für ihr Unternehmen bedeutet, und an Fachabteilungen, die wissen müssen, was operativ zu tun ist.
Der interdisziplinäre Ansatz ist bewusst: Digitale Regulierung berührt gleichzeitig IT, Recht, Procurement, Geschäftsführung, HR und Lieferkette. Eine Perspektive, die nur eine dieser Dimensionen kennt, liefert unvollständige Antworten. Die Leitfäden versuchen, alle relevanten Dimensionen gleichzeitig zu adressieren – mit dem Bewusstsein, dass in der Praxis selten ein Team allein zuständig ist und die wirklichen Herausforderungen meistens an den Schnittstellen entstehen.
Die Perspektive «Schweizer KMU im EU-Kontext» ist nicht zufällig. Sie spiegelt langjährige Arbeit an der Schnittstelle zwischen Schweizer Geschäftspraxis und europäischem Regulierungsrahmen: die Erfahrung, was es konkret bedeutet, wenn ein EU-Kundenvertrag plötzlich DORA-Klauseln enthält, wenn ein Procurement-Fragebogen AI-Act-Anforderungen stellt oder wenn ein Lieferant keine NIS2-konformen Sicherheitsnachweise liefern kann. Diese Leitfäden sind aus genau diesen Situationen heraus entstanden – nicht aus dem Lesen von Gesetzestexten, sondern aus der Erfahrung ihrer Auswirkungen.
63% der Security-Incidents beginnen bei Drittanbietern. Das ist keine Statistik aus dem Lehrbuch – es ist die Realität der letzten Jahre: SolarWinds, Kaseya, MOVEit. Jedes dieser Ereignisse hat Tausende von Unternehmen getroffen, die selbst nichts falsch gemacht hatten. Ihr Anbieter hatte ein Problem – und sie trugen die Konsequenzen.
NIS2, DORA und der AI Act haben diese Realität in Regulierungsanforderungen übersetzt: Lieferkettensicherheit ist keine optionale Best Practice mehr, sondern eine gesetzliche Pflicht für regulierte Unternehmen – und damit indirekt eine Marktanforderung für alle ihre Lieferanten.
| Regulierung | Kernforderung | Was Sie als Lieferant tun müssen | Was Sie von Ihren Lieferanten verlangen müssen |
|---|---|---|---|
| NIS2 | Lieferkettensicherheit als Teil des Risikomanagements | Sicherheitsnachweise, Incident-Eskalation | ISO-27001-orientierte Sicherheit, Incident-Meldeprozess |
| DORA | Drittanbieter-Management für Finanzunternehmen | BCM/DR-Nachweis, Auditfähigkeit, Exit-Strategien | Vertragsklauseln: Logging, Auditrechte, Exit |
| AI Act | Dokumentation von Modellen und Trainingsdaten | Data Cards, Model Cards, Bias-Dokumentation | Datenherkunftsnachweise, Modell-Dokumentation |
| CRA | Sichere Software-Lieferketten | SBOM, Vulnerability-Disclosure | CVE-Monitoring, Patch-Fristen |
| ISO 27001 | Lieferantenmanagement als Pflicht-Kontrollbereich | Sicherheitspolitik kommunizieren | Lieferanten-Risikobewertung und Vertragsanforderungen |
Nicht alle Lieferanten sind gleich riskant. Das ist der wichtigste Grundsatz des Third Party Risk Managements. Wer alle Lieferanten gleich behandelt, verschwendet Ressourcen bei unkritischen Anbietern und unterschätzt kritische.
| Stufe | Kriterien | Typische Beispiele | Maßnahmen |
|---|---|---|---|
| KRITISCH | Betriebsausfall bei Ausfall des Lieferanten | Zugang zu kritischen Systemen oder Daten | Direkte Auswirkung auf Kunden oder Regulierung | Core-Cloud-Provider, ISMS-Tools, Zahlungsinfrastruktur, Core-Business-Software | Vollständiger Fragebogen, jährliches Audit/Review, Vertragsklauseln, Monitoring |
| WICHTIG | Betriebsstörung (nicht -ausfall) bei Ausfall | Zugang zu nicht-kritischen Daten | Indirekte Kunden-Auswirkung | Sekundäre SaaS-Tools, Subunternehmer, professionelle Dienstleister | Verkürzter Fragebogen, zweijährliches Review, Standard-Vertragsklauseln |
| UNKRITISCH | Kein Systemzugang | Kein Datenzugang | Kein direkter Betriebseinfluss | Büromaterial, Reinigung, Catering, allgemeine Software ohne Datenzugang | Standardvertrag mit Datenschutzklausel; kein spezifisches TPRM |
Die Lieferanten-Matrix ist das zentrale Dokument Ihres TPRM. Sie existiert einmal, wird kontinuierlich aktualisiert, und ist die Grundlage für Kunden-Audits und regulatorische Prüfungen.
| Lieferant | Leistung | Stufe | Datenzugang | Letztes Review | Status |
|---|---|---|---|---|---|
| [Cloud-Provider] | Infrastruktur | Kritisch | Alle Daten | 2025-12 | Zertifikat vorhanden |
| [SaaS-CRM] | Kundendaten | Kritisch | Kundendaten | 2025-10 | Fragebogen + MSA |
| [Buchhaltungs-SW] | Finanzdaten | Wichtig | Finanzdaten | 2025-09 | Standard-Klauseln |
| [Office-Tools] | Produktivität | Wichtig | Keine sensitiven | 2025-08 | Vertragsklausel |
| [Büromaterial] | Verbrauchsmaterial | Unkritisch | Keiner | – | Standard-AGB |
Dies ist kein 'Auszug' – dies ist ein vollständiger, sofort verwendbarer Fragebogen für kritische Lieferanten. Er deckt die Anforderungen aus NIS2, DORA, ISO 27001 und AI Act ab.
| Frage | Antwort | Nachweise |
|---|---|---|
| Verfügen Sie über ein dokumentiertes ISMS (z.B. ISO 27001)? | Zertifikat / Policy | |
| Ist die Geschäftsleitung explizit für Informationssicherheit verantwortlich? | Policy-Unterschrift | |
| Führen Sie ein Risikoregister und überprüfen es mindestens jährlich? | Risikoregister-Auszug | |
| Haben Sie eine unterzeichnete Informationssicherheits-Policy? | Policy-Dokument |
| Frage | Antwort | Nachweise |
|---|---|---|
| Ist MFA für alle Admin-Zugänge aktiviert? | Technische Bestätigung | |
| Werden kritische Patches innerhalb von 72h eingespielt? | Patch-Policy | |
| Sind alle sensitiven Daten at rest und in transit verschlüsselt? | Technische Doku | |
| Betreiben Sie ein Logging- und SIEM-System? | Runbook / Log-Policy | |
| Führen Sie regelmässige Penetrationstests durch? Letztes Datum? | Pentest-Bericht | |
| Sind Ihre Systeme netzwerksegmentiert? | Architektur-Übersicht | |
| Wo werden unsere Daten gespeichert (Land/Region)? | Infrastruktur-Doku |
| Frage | Antwort | Nachweise |
|---|---|---|
| Haben Sie einen dokumentierten Incident-Response-Prozess? | IR-Plan / Playbook | |
| Gibt es einen 24/7-Notfallkontakt für Sicherheitsvorfälle? | Kontaktliste | |
| Innerhalb welcher Frist informieren Sie uns bei einem Vorfall, der unsere Daten betrifft? | SLA / Vertrag | |
| Wurde Ihr IR-Prozess in den letzten 12 Monaten getestet? | Testprotokoll |
| Frage | Antwort | Nachweise |
|---|---|---|
| Haben Sie einen dokumentierten Business Continuity Plan (BCP)? | BCP-Dokument | |
| Was ist Ihr Recovery Time Objective (RTO) für kritische Dienste? | BCP / SLA | |
| Was ist Ihr Recovery Point Objective (RPO)? | BCP / SLA | |
| Wurde der BCP in den letzten 12 Monaten getestet? | Testprotokoll | |
| Haben Sie einen dokumentierten Exit-Plan für die Beendigung unserer Zusammenarbeit? | Exit-Konzept |
| Frage | Antwort | Nachweise |
|---|---|---|
| Welche kritischen Subdienstleister setzen Sie für unsere Leistungserbringung ein? | Lieferantenmatrix | |
| Informieren Sie uns über wesentliche Änderungen in Ihrer Sub-Lieferkette? | Vertrag / Prozess | |
| Haben Ihre Subdienstleister Zugang zu unseren Daten? | Datenfluss-Doku | |
| Werden Ihre Subdienstleister auf Sicherheitsanforderungen geprüft? | Supplier Policy |
| Frage | Antwort | Nachweise |
|---|---|---|
| Erstellen Sie eine SBOM (Software Bill of Materials) für Ihre Produkte? | SBOM-Datei | |
| Wie handhaben Sie bekannte Schwachstellen (CVEs) in integrierten Komponenten? | Vulnerability Policy | |
| Innerhalb welcher Frist patchen Sie kritische Schwachstellen? | Patch-Policy | |
| Gibt es einen Security-Review-Prozess in der Softwareentwicklung? | SDLC-Doku |
Für wichtige (nicht kritische) Lieferanten genügt ein kürzerer Fragebogen. Diese fünf Fragen decken die Kernrisiken ab:
| Frage | Antwort / Nachweis |
|---|---|
| Haben Sie ein dokumentiertes Sicherheitsprogramm oder eine ISO-27001-Zertifizierung? | |
| Wo werden unsere Daten gespeichert? | |
| Wie schnell informieren Sie uns bei einem Sicherheitsvorfall, der unsere Daten betrifft? | |
| Welche Subdienstleister haben Zugang zu unseren Daten? | |
| Können wir bei Vertragsbeendigung alle unsere Daten vollständig exportieren? |
Lieferantenbewertung ist kein einmaliger Prozess. Die gefährlichsten Vorfälle entstehen bei Lieferanten, die lange als sicher galten und deren Situation sich unbemerkt verändert hat.
| Frequenz | Maßnahme | Kritische Lieferanten | Wichtige Lieferanten |
|---|---|---|---|
| Laufend | CVE/Vulnerability-Monitoring für eingesetzte Software | Automatisiert | Manuell bei Kenntnis |
| Monatlich | SLA-Überprüfung (Verfügbarkeit, Incidents) | Ja | Bei Auffälligkeiten |
| Halbjährlich | Incident-Statistik und Sicherheits-Update | Ja | Nein |
| Jährlich | Vollständige Neubewertung; Fragebogen aktualisiert | Ja | Kurzversion |
| Bei Ereignis | Neu-Assessment bei: M&A, Datenpanne, wesentliche Änderung, Kritikalitätsänderung | Sofort | Je nach Auswirkung |
Öffentlich bekannt gewordene Datenpanne beim Lieferanten: Sofort kontaktieren, Exposition prüfen, bei Bedarf Contingency-Plan aktivieren.
Lieferant wird übernommen oder fusioniert: Vertragliche Konditionen prüfen; Daten exportieren, bevor neue Eigentümer Zugang haben.
Lieferant ändert Datenspeicherort: Compliance-Auswirkung prüfen (GDPR, FINMA, revDSG). Schriftliche Bestätigung verlangen.
Lieferant kündigt Dienst an oder geht in Insolvenz: Exit-Plan sofort aktivieren. Datensicherung hat Priorität.
Lieferant verweigert Audit oder Fragebogen: Eskalation; bei kritischen Lieferanten: Vertragskündigung prüfen.
Wenn ein Sicherheitsvorfall bei einem Lieferanten entsteht oder dort seinen Ursprung hat, brauchen Sie einen klaren Prozess. Ohne Vorbereitung verlieren Sie wertvolle Zeit.
| Schritt | Aktion | Verantwortlich | Frist |
|---|---|---|---|
| 1 | Lieferanten-Incident identifizieren (eigene Systeme, Medien, Lieferantenmeldung) | Alle Mitarbeitenden / IT | Sofort |
| 2 | Kritikalität bewerten: Sind unsere Daten oder Systeme betroffen? | Sicherheitsverantwortlicher | Innerhalb 1h |
| 3 | Lieferanten kontaktieren: Was ist passiert? Sind unsere Daten betroffen? | Vertragsverantwortlicher | Innerhalb 2h |
| 4 | Interne Eskalation: Management informieren bei kritischen Incidents | Sicherheitsverantwortlicher | Innerhalb 4h |
| 5 | Eigene Meldepflichten prüfen: NIS2? DORA? GDPR? BACS? | Legal/Compliance | Parallel zu Schritt 3–4 |
| 6 | Contingency-Maßnahmen aktivieren (Failover, Daten-Backup prüfen, etc.) | IT | Je nach Schwere |
| 7 | Post-Incident: Lieferanten-Bewertung aktualisieren, Konsequenzen prüfen | Management | Innerhalb 2 Wochen |
Die häufigste Antwort auf 'Welche Lieferanten haben Zugang zu Ihren Kundendaten?' ist Schweigen oder Unsicherheit. Das ist ein Grundlagenproblem: Ohne Inventar ist kein TPRM möglich.
Der Rahmenvertrag enthält Sicherheitsklauseln. Aber die Arbeitspakete, Einzelaufträge und Erweiterungen werden ohne diese Klauseln beauftragt. Im Schadensfall gilt der Einzelauftrag.
Eine SBOM wird für einen Kunden erstellt, dann nie aktualisiert. Beim nächsten Release ist sie veraltet. Eine veraltete SBOM ist irreführend und kann Sicherheitslücken verbergen, die sie eigentlich aufdecken sollte.
Sie haben Ihren Cloud-Provider bewertet und ein Zertifikat erhalten. Aber dieser Cloud-Provider hostet Ihre Daten auf einer Drittinfrastruktur, die Sie nicht kennen. In einem Incident stellt sich heraus: das eigentliche Problem war beim Sub-Tier-Anbieter.
| Prio | Maßnahme | Warum jetzt |
|---|---|---|
| 1 | Lieferanten-Inventar erstellen: alle Dienste mit Datenzugang | Ohne Inventar kein TPRM. Halbtägiger Workshop. |
| 2 | Lieferanten klassifizieren: kritisch / wichtig / unkritisch | Bestimmt, wie viel Aufwand pro Lieferant gerechtfertigt ist. |
| 3 | Kritische Lieferanten mit Fragebogen aus Abschnitt 3 befragen | Erste Sicherheitsbewertung. Identifiziert sofort Hochrisiko-Anbieter. |
| 4 | Bestehende Verträge auf Sicherheitsklauseln prüfen | Viele Verträge enthalten keine oder unzureichende Klauseln. |
| 5 | Incident-Response-Prozess für Drittanbieter-Incidents dokumentieren | 63% aller Incidents beginnen beim Drittanbieter. Kein Prozess = Chaos. |
| 6 | Jährlichen TPRM-Review-Termin im Governance-Kalender verankern | TPRM ist kein Projekt. Es ist ein kontinuierlicher Prozess. |
| NBK Legal Rechts- und Compliance-Beratung EU-Digitalregulierung · Datenschutz · Cybersicherheit Schweiz · EU | Website www.nbklegal.online Alle Leitfäden der Serie www.nbklegal.online/leitfäden |
|---|