Die vollständige Version des Originalartikels finden Sie in unserem Blog.

Warum die Sicherheit der Lieferkette kritisch geworden ist

Laut dem Verizon Data Breach Investigations Report 2026 sind Dritte an 48 % aller bestätigten Datenpannen beteiligt — ein Anstieg von 60 % gegenüber dem Vorjahr, als dieser Anteil noch bei 30 % lag. Bei dieser Entwicklung ist das Management von Lieferantenzugriffen kein aufschiebbares Risiko mehr.

Die finanziellen Folgen sind erheblich. Laut IBM Cost of a Data Breach Report 2025 belaufen sich die durchschnittlichen Kosten einer Kompromittierung der Lieferkette auf 4,91 Mio. US-Dollar; die Erkennung solcher Vorfälle dauert im Schnitt 267 Tage. Art. 21 der NIS-2-Richtlinie sowie die Durchführungsverordnung (EU) 2024/2690 — im deutschen Recht umgesetzt durch § 30 BSIG (NIS2UmsuCG) — machen das Management von Lieferantenzugriffen zur Pflichtanforderung im IAM. Ihre Organisation trägt die regulatorische Verantwortung für jeden Zugangspfad, den Sie einem externen Dritten gewähren — ob VPN, API, administrative SaaS-Konsolen, CI/CD-Pipelines oder Fernwartungswerkzeuge.

Fünf wesentliche Zugriffskontrollen

Sobald ein Lieferant über Fernzugriff oder privilegierten Zugang verfügt, wird NIS-2-Konformität zu einer Frage der Identitätskontrolle. § 30 Abs. 2 BSIG nennt zehn Mindestmaßnahmen — fünf davon betreffen den Lieferantenzugriff unmittelbar: rollenbasierte Zugriffskontrolle, Mehrfaktorauthentifizierung, Privileged Access Management, Audit-Protokollierung und automatischer Zugriffsentzug.

1. Rollenbasierte Zugriffskontrolle (RBAC)

Gemeinsam genutzte Lieferantenkonten sind abzuschaffen. Jeder Mitarbeiter eines Lieferanten erhält ein namentliches, personenbezogenes Konto, das an seinen konkreten Auftrag gebunden ist. Gemeinsam genutzte Konten vom Typ „vendor" machen eine Zurechenbarkeit im Falle eines Vorfalls unmöglich — diese ist jedoch für die Einhaltung der 24-Stunden-Frühwarnpflicht nach Art. 23 NIS-2-Richtlinie (§ 32 BSIG) zwingend erforderlich.

2. MFA der Stufe 1 für privilegierten Zugriff

Die ENISA-Leitlinien 2025 klassifizieren die Mehrfaktorauthentifizierung in drei Stufen. Für jeden Lieferanten mit administrativem Zugriff ist ausschließlich Stufe 1 (FIDO2, WebAuthn, Hardware-Sicherheitsschlüssel) akzeptabel. SMS-OTP ist für die schrittweise Abschaffung vorgesehen und erfüllt die Mindestanforderungen nicht.

3. Privileged Access Management (PAM)

Der Just-in-time-Zugang (JIT) ist das richtige Modell für externe Support-Teams. Erhöhte Berechtigungen werden für eine definierte Sitzung gewährt, protokolliert und nach deren Abschluss automatisch entzogen. Für gemeinsam genutzte Zugangsdaten ist ein Tresor mit rollenbasierten Berechtigungen einzusetzen.

4. Unveränderliche Audit-Protokolle

32 BSIG (Art. 23 NIS-2-Richtlinie) legt strenge Meldefristen fest: 24-Stunden-Frühwarnung, 72-Stunden-Meldung und Abschlussbericht innerhalb eines Monats. Diese Fristen ohne manipulationssichere Audit-Protokolle einzuhalten ist nicht realistisch. Die Protokolle müssen vor unbefugtem Zugriff und Veränderung geschützt sein.

5. Automatischer Entzug von Zugangsdaten

Der Lieferantenzugriff muss direkt mit den Ereignissen im Vertragslebenszyklus verknüpft sein. Bei Vertragsablauf muss der Zugriffsentzug unverzüglich und automatisiert erfolgen.

Lieferanten-Zugriffskontrolldatensatz (Supplier Access Control Record)

Dies ist ein operativer Datensatz, der die Lieferantenbeziehung mit konkreten Zugriffsrechten und dem Nachweis ihrer Kontrolle verknüpft. Ein Datensatz pro Lieferant bildet die Einheit der Rechenschaftspflicht. Der Datensatz muss folgende Fragen beantworten: Wer hat Zugriff, worauf, über welchen Zugangspfad, mit welcher Authentifizierungsmethode und wer hat dies genehmigt?

7-Punkte-Checkliste: Bestandsaufnahme des Lieferantenzugriffs

Beginnen Sie mit einer vollständigen Bestandsaufnahme aller Lieferanten. Erfassen Sie alle externen Verbindungen (VPN, API, SaaS usw.) und identifizieren Sie die jeweilige Authentifizierungsmethode sowie die Berechtigungsstufe. Verwenden Sie dabei folgende Prüfliste:

1. Jedes Lieferantenkonto ist namentlich und personenbezogen.
2. Die MFA-Stufe entspricht der Sensitivität des Zugriffs.
3. Alle Konten werden mit automatischem Entzug bereitgestellt.
4. Verträge enthalten Anforderungen an namentliche Konten, MFA, 24-Stunden-Vorfallmeldung und Prüfrechte.
5. PAM deckt alle privilegierten Lieferantensitzungen ab.
6. API-Token unterliegen definierten Rotationsplänen.
7. Die Häufigkeit von Zugriffsüberprüfungen ist dokumentiert.

Die Kosten der Nichteinhaltung: Bußgelder und Haftung

Besonders wichtige Einrichtungen (§ 28 Abs. 1 BSIG) riskieren Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Für wichtige Einrichtungen (§ 28 Abs. 2 BSIG) beträgt der Rahmen bis zu 7 Millionen Euro oder 1,4 % des Umsatzes.

Darüber hinaus begründet § 38 BSIG (Art. 20 NIS-2-Richtlinie) die persönliche Haftung von Leitungsorganen. Führungskräfte können mit einem vorübergehenden Verbot der Ausübung von Leitungsaufgaben belegt werden, wenn ihrer Organisation grobe Fahrlässigkeit nachgewiesen wird. Die Pflicht, Risikomanagementmaßnahmen zu genehmigen und deren Umsetzung zu überwachen, liegt bei der Geschäftsleitung.

Die Umsetzung der NIS-2-Zugriffskontrollen für die Sicherheit der Lieferkette erfordert einen systematischen Ansatz: von der Erfassung jedes Lieferanten bis hin zur Automatisierung der Zugriffsentzugsprozesse. Unternehmen müssen proaktiv handeln, um ihre Assets zu schützen und schwerwiegende regulatorische Sanktionen nach NIS2UmsuCG zu vermeiden.

Ausführliche Informationen und eine detaillierte Beschreibung jedes Umsetzungsschritts finden Sie in der vollständigen Version des Artikels in unserem Blog.