Kollektive Verantwortungslosigkeit in der Lieferkette: Warum Informationssicherheit beim Lieferanten-Onboarding oft scheitert

In der Theorie klingt es einfach: Lieferanten werden nach definierten Kriterien ausgewählt, Risiken bewertet und dann ausgewählt. Die Praxis läuft meist anders. Speziell beim Onboarding von Lieferanten zeigt sich oft ein Muster kollektiver Verantwortungslosigkeit – jeder im Unternehmen geht davon aus, dass „die anderen“ sich schon um die Details kümmern werden. Das Ergebnis: ein bürokratischer Prozess, der zwar auf PowerPoint überzeugt, aber weder effizient noch effektiv ist. 

Das Problem: „Da kümmert sich die Konzernmutter drum“

Ich beobachte häufig, dass beim Onboarding von Lieferanten Verantwortlichkeiten unklar sind. Jede Fachabteilung geht davon aus, dass eine andere sich schon verantwortlich zeigen wird. Gerne wird auch auf Konzern- oder Gruppenrichtlinien verwiesen, verbunden mit dem Hinweis, irgendwer werde sich schon kümmern.

Da Cybersecurity wichtiger Bestandteil bei der Zusammenarbeit mit externen Lieferanten ist, werden oft Fragebögen zur Informationssicherheit von externen Dienstleistern verschickt, vom Lieferanten ausgefüllt und zurückgesendet – aber niemand prüft wirklich, was darin steht und ob die Angaben zum Risikolevel des Unternehmens passen. Die Bewertung erfolgt oft rein formal, ohne den Einsatzkontext des Lieferanten zu berücksichtigen. Es entsteht eine Tick-Box-Mentalität, bei der das Abhaken von Standardfragen wichtiger ist als das tatsächliche Verständnis der Risiken.

Bürokratie statt gelebte Informationssicherheit

Der Einsatz von Standard-Fragebögen – gerne nach einer kurzen Web-Recherche wahllos durch wenig kompetente Sachbearbeiter aus irgendwelchen Drittquellen zusammenkopiert – und die Auslagerung der Bewertung an externe Dienstleister führen dazu, dass häufig zentrale Fragen unbeantwortet bleiben:

• Welche Rolle spielt der Lieferant eigentlich im Geschäftsprozess?
• Welche Daten oder Systeme sind betroffen?
• Und welche spezifischen (Informationssicherheits)Risiken ergeben sich daraus?

Ohne diese Kontextinformationen bleibt die Risikobewertung oberflächlich. Der Prozess wirkt nach außen sauber dokumentiert, doch tatsächlich werden Risiken nicht erkannt oder angemessen adressiert. Compliance wird zur reinen Formalie, die weder Schutz bietet noch Vertrauen schafft.

Warum das gefährlich ist

Die Lieferkette heutiger Unternehmen ist längst ein zentrales Einfallstor für Cyberangriffe und andere Risiken geworden. Angreifer nutzen gezielt schwache Glieder in der Kette, um Zugang zu sensiblen Daten und Systemen zu erhalten. Unternehmen verlassen sich häufig auf Zertifizierungen wie ISO 27001 oder SOC 2 – diese zeigen zwar, dass Standards eingehalten werden, sagen aber häufig wenig über die tatsächliche Sicherheitslage oder aktuelle Bedrohungen aus.

Ein fehlgeleitetes Onboarding führt zu unentdeckten Schwachstellen bei Drittanbietern, unklaren Verantwortlichkeiten im Ernstfall und ineffektiven Abläufen beim Umgang mit Vorfällen.

Wie man es besser macht: Empfehlungen für ein wirksames Lieferanten-Onboarding

Die nachfolgenden Tipps lassen sich ohne viel Aufand umsetzen:

1. Klare Verantwortlichkeiten definieren: Jede Abteilung muss wissen, welche Rolle sie im Onboarding-Prozess spielt – von der IT über den Einkauf bis zur Fachabteilung.
2. Kontextbasierte Risikobewertung: Statt Standard-Fragebögen sollten individuelle Risiken und Einsatzszenarien betrachtet werden. Nur so lassen sich wirklich relevante Maßnahmen ableiten.
3. Digitale Tools gezielt einsetzen: Moderne Onboarding-Lösungen können helfen, Prozesse zu strukturieren und Transparenz zu schaffen – sie ersetzen aber nicht das Nachdenken über den Einzelfall.
4. Zusammenarbeit und Kommunikation fördern: Lieferanten müssen verstehen, welche Anforderungen gelten und warum. Schulungen, Feedback und regelmäßige Abstimmung sind entscheidend für eine erfolgreiche Zusammenarbeit.
5. Kontinuierliche Überprüfung und Anpassung: Die Risiken in der Lieferkette ändern sich ständig. Onboarding ist kein einmaliger Akt, sondern ein fortlaufender Prozess, der regelmäßig überprüft und angepasst werden muss.

Am wichtigsten ist jedoch, dass die definierten Verantwortlichkeiten von den Personen im Unternehmen anerkannt und auch gelebt werden. Ansonsten gilt weiterhin: „it only works on PowerPoint!“

Fazit

Kollektive Verantwortungslosigkeit im Lieferanten-Onboarding ist ein echtes Risiko für die Informationssicherheit und damit für die Organisation. Nur wenn Unternehmen Verantwortlichkeiten klar regeln, Prozesse kontextbezogen gestalten und Zusammenarbeit fördern, wird aus dem oft bürokratisch anmutenden Häkchenprozess ein wirksames Instrument zur Risikosteuerung. Andernfalls bleibt alles beim Alten: Schöne Folien, wenig Substanz – und eine Lieferkette, die beim ersten echten Angriff reißt.