einkaufwissen.de

ISMS im Einkauf: Informationssicherheit im Fokus

Informationssicherheit wird in vielen Organisationen noch immer als klassisches IT-Thema verstanden. Firewalls, Virenschutz, Zugriffsrechte – operative Maßnahmen, die irgendwo „in der IT“ verortet sind.

Diese Sichtweise greift zu kurz.

Denn in einer zunehmend vernetzten Welt entsteht ein erheblicher Teil der Risiken nicht innerhalb der eigenen Organisation, sondern an den Schnittstellen zu externen Partnern.

Und genau dort beginnt die Verantwortung des Einkaufs.

1. Die eigentliche Verschiebung: Risiko kommt von außen

Kaum ein Unternehmen arbeitet heute isoliert. IT-Dienstleister, Softwareanbieter, Medizintechnikhersteller, externe Services – sie alle greifen in Prozesse, Daten und Systeme ein.

Die Konsequenz ist klar:

Informationssicherheit ist nicht mehr nur eine Frage interner Systeme –
sondern eine Frage der Steuerung externer Abhängigkeiten.

Rahmenwerke wie ISO/IEC 27001 tragen dieser Entwicklung Rechnung. Sie verlangen explizit, dass auch Lieferanten in das Sicherheitskonzept integriert werden.

Wer das ignoriert, lässt eine der größten Risikoflächen unkontrolliert.

2. Die Illusion der Zuständigkeit: Warum IT allein nicht reicht

In der Praxis zeigt sich häufig ein wiederkehrendes Muster:

  • Die IT definiert Anforderungen
  • Die Fachbereiche wollen Lösungen
  • Der Einkauf setzt Verträge um

Was fehlt, ist die verbindende Instanz, die diese Ebenen zusammenführt.

Denn:

  • Die IT kann Anforderungen formulieren, aber keine Verträge durchsetzen
  • Fachbereiche priorisieren Geschwindigkeit, nicht Risiko
  • Lieferanten orientieren sich an dem, was vertraglich gefordert wird

Ohne den Einkauf bleibt Informationssicherheit gegenüber Dritten ein Wunsch – keine Realität.

3. Die neue Rolle des Einkaufs: Vom Preisverhandler zum Risikosteuerer

Die klassische Einkaufslogik basiert auf drei Dimensionen: Preis, Qualität, Verfügbarkeit.

ISMS erweitert diese Logik um eine vierte, oft unterschätzte Dimension:

Sicherheitsfähigkeit eines Lieferanten

Damit verändert sich die Rolle des Einkaufs fundamental.

Der Einkauf wird zum:

  • Gatekeeper für externe Zugriffe auf Systeme und Daten
  • Architekten von Sicherheitsanforderungen in Verträgen
  • Steuerer von Risiken entlang der Lieferkette

Diese Rolle ist nicht optional. Sie ergibt sich zwangsläufig aus der Struktur moderner Organisationen.

4. Was konkret zu tun ist: Die fünf entscheidenden Hebel

Die Umsetzung von ISMS im Einkauf erfordert keine theoretischen Konzepte, sondern klare strukturelle Entscheidungen.

1. Transparenz herstellen

Der erste Schritt ist banal – und wird dennoch häufig nicht sauber umgesetzt:

  • Welche Lieferanten haben Zugriff auf Systeme?
  • Wer verarbeitet Daten?
  • Wer ist betriebsrelevant?

Ohne diese Transparenz existiert kein Steuerungsansatz.

2. Kritikalität differenzieren

Nicht jeder Lieferant ist gleich kritisch.

Eine einfache Einteilung genügt:

  • Kritisch (Systemzugriff, personenbezogene Daten, Betriebsrelevanz)
  • Relevant (indirekter Einfluss)
  • Unkritisch

Diese Differenzierung ist entscheidend, um Ressourcen sinnvoll einzusetzen.

3. Mindeststandards definieren

Für kritische Lieferanten müssen klare Anforderungen gelten:

  • Nachweis von Sicherheitsmaßnahmen
  • Orientierung an Standards wie ISO/IEC 27001
  • Datenschutzkonformität gemäß Datenschutz-Grundverordnung
  • Klare Meldepflichten bei Sicherheitsvorfällen

Wichtig ist dabei weniger die Perfektion – sondern die Verbindlichkeit.

4. Vertragsarchitektur nutzen

Informationssicherheit wird nicht durch Diskussionen gesteuert, sondern durch Struktur.

Das bedeutet:

  • Verbindliche Vertragsklauseln
  • Klare Audit- und Nachweispflichten
  • Sanktionen bei Verstößen

Was nicht im Vertrag steht, wird im Ernstfall nicht durchgesetzt.

5. Onboarding steuern

Der wirkungsvollste Hebel liegt am Anfang:

  • Kein Lieferant ohne Sicherheitsprüfung
  • Keine Beauftragung ohne Freigabe
  • Kein Systemzugang ohne Klarheit

Wer hier sauber arbeitet, vermeidet spätere Eskalationen.

5. Die Realität: Zwischen Geschwindigkeit und Sicherheit

In der operativen Umsetzung entsteht zwangsläufig ein Spannungsfeld:

  • Fachbereiche drängen auf schnelle Lösungen
  • IT fordert Sicherheitsstandards
  • Lieferanten reagieren unterschiedlich kooperativ

Der Einkauf steht genau in dieser Schnittstelle.

Und genau hier entscheidet sich, ob ISMS funktioniert oder scheitert.

Nicht durch Konzepte – sondern durch konsequente Anwendung von Regeln.

6. Lieferantenperspektive: Was sich verändert

Für Lieferanten bedeutet ISMS eine klare Veränderung:

  • Mehr Transparenzanforderungen
  • Höhere Nachweispflichten
  • Strengere vertragliche Regelungen

Das führt zunächst zu Reibung.

Langfristig entsteht jedoch ein klarer Effekt:

Die Qualität der Lieferantenbasis steigt – und Risiken werden systematisch reduziert.

7. Der strategische Kern: Struktur statt Zufall

ISMS im Einkauf ist kein Zusatzthema. Es ist ein Paradebeispiel für einen grundlegenden Mechanismus:

Organisationen scheitern nicht an fehlendem Wissen –
sondern an fehlender struktureller Verankerung.

Wer Informationssicherheit dem Zufall überlässt, wird früher oder später mit den Konsequenzen konfrontiert.

Wer sie strukturell im Einkauf verankert:

  • erhöht die Steuerungsfähigkeit
  • reduziert operative Risiken
  • stärkt die eigene Rolle im Unternehmen

Fazit

Informationssicherheit endet nicht an der eigenen Systemgrenze.

Sie beginnt dort, wo externe Partner in Prozesse, Daten und Systeme eingreifen.

Und genau deshalb ist der Einkauf nicht nur beteiligt – sondern zentral verantwortlich.

Der Einkauf entscheidet, welche Risiken ins Unternehmen gelangen.
Nicht durch Technik – sondern durch Struktur.

Christian Flick

Christian Flick

Kommentare sind deaktiviert.

Über uns

Die Autoren besitzen langjährige Erfahrung in der deutschen Wirtschaft und haben sich in unterschiedlichen Bereichen weiterqualifiziert.

Von der Motivation angetrieben, betriebliche Abläufe zu optimieren, entstand dieser praxisnahe Blog zu Einkaufsprozessen.

mehr

WordPress Cookie Hinweis von Real Cookie Banner