Lieferanten-Risiko-Check ist kein Audit

Wenn Unternehmen anfangen, sich mit Lieferantenrisiken zu beschäftigen, greifen sie häufig zu einem von zwei Instrumenten: einem Audit oder einem Fragebogen. Beides hat seinen Platz. Beides beantwortet aber nicht die eigentlich relevante Frage — und wer das nicht unterscheidet, gewinnt kein Risikobild, sondern Papiermenge.

Was ein Audit tut — und was nicht

Ein Audit prüft Erfüllung. Der Auditor kommt, er schaut, ob dokumentierte Anforderungen tatsächlich umgesetzt sind. Das Ergebnis ist ein Befund: Konformität oder Abweichung gegenüber einem Standard oder einer Anforderung.

Das ist wertvoll. Aber ein Audit beantwortet nicht die Frage, welche Risiken für Ihr Unternehmen aus einer Lieferantenbeziehung entstehen. Es beantwortet, ob der Lieferant das tut, was er dokumentiert hat zu tun. Der Unterschied ist nicht trivial: Ein Lieferant kann ISO-27001-zertifiziert sein und trotzdem ein erhebliches Risiko für Ihr konkretes Betriebsumfeld darstellen — weil er Zugang zu Ihren kritischsten Systemen hat, weil er ein Single Point of Failure ist oder weil seine Ausfallwahrscheinlichkeit Ihre Branchenspezifika nicht berücksichtigt.

Was ein Fragebogen leistet

Ein Lieferanten-Fragebogen sammelt Selbstauskünfte. Der Lieferant gibt an, welche Sicherheitsmaßnahmen er hat, ob er Backups betreibt, ob er Penetrationstests durchführt. Das Ergebnis ist eine Aussage — keine Überprüfung.

In der Praxis zeigt die Erfahrung aus ISO-27001-Audits: Selbstauskünfte und Wirklichkeit klaffen oft auseinander. Nicht aus böser Absicht, sondern weil Selbstwahrnehmung und tatsächliche Umsetzung selten deckungsgleich sind. Wer seinen Lieferanten fragt, ob er Backups hat, und „Ja” als Antwort akzeptiert, hat kein Risiko bewertet — er hat Vertrauen dokumentiert.

Was ein Risiko-Check beantwortet

Ein Risiko-Check stellt eine andere Frage: Wo kann es uns wirklich treffen?

Das ist keine Compliance-Frage. Es ist eine unternehmerische. Welche Lieferanten sind für unseren Betrieb kritisch — nicht nach ihrem eigenen Sicherheitsniveau, sondern nach dem, was ihr Ausfall oder eine Kompromittierung bei uns auslösen würde? Welche Konzentrationsrisiken entstehen, wenn ein Dienstleister Daten für mehrere Geschäftsbereiche verarbeitet? Welche Risiken akzeptieren wir bewusst — und welche nicht?

Ein Cyber Reality Check beantwortet genau das: In der Regel in ein bis zwei Tagen, ohne dass Lieferanten überhaupt einbezogen werden müssen. Denn das Risikobild entsteht nicht beim Lieferanten — es entsteht aus der Analyse, wie abhängig Ihr Betrieb von welchen externen Beziehungen ist.

Die Management-Frage dahinter

In der Lieferkette verdichtet sich ein grundsätzliches Prinzip: Verantwortung endet nicht dort, wo ein Dokument unterschrieben ist.

Die eigentliche Prüffrage für Führungskräfte lautet nicht: „Haben wir den Fragebogen versendet?” Sondern: „Würden wir diese Entscheidung genau so treffen, wenn wir das Risiko selbst tragen müssten?” Wer mit einem Lieferanten arbeitet, weil er günstig ist, weil der Wechsel zu aufwendig erscheint oder weil man schon immer so zusammengearbeitet hat — der hat eine Entscheidung getroffen, auch wenn er sie nie explizit als solche formuliert hat.

Ein Risiko-Check macht diese impliziten Entscheidungen sichtbar. Das ist manchmal unbequem. Es ist aber die Voraussetzung dafür, dass Führung tatsächlich stattfindet — und nicht nur Aktivität.

Fazit

Audit, Fragebogen und Risiko-Check sind drei verschiedene Instrumente mit drei verschiedenen Antworten. Wer sie verwechselt, bekommt Befunde, Aussagen und Papiermenge — aber kein Bild davon, wo die Lieferkette das eigene Unternehmen wirklich gefährdet. Dieses Bild ist die Grundlage für jede ernsthafte Entscheidung über Lieferantenrisiken.