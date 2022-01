Noch bis vor wenigen Jahren war die Sicherheit von Lieferketten für die meisten von uns nicht unbedingt ein Thema, über das wir regelmäßig nachdenken mussten. Es genügt festzustellen, dass sie seither deutlich häufiger in den Schlagzeilen zu finden ist – und zwar nicht nur die Sicherheit, sondern die Lieferkette im Allgemeinen. Seien es Engpässe bei wichtigen Gütern (z. B. Toilettenpapier…) zu Beginn der Covid-19-Pandemie oder bei wichtigen Komponenten wie Computerchips oder Cyberangriffe auf kritische Energieinfrastrukturen.

Leider sind wir bei diesem Thema kollektiv im Rückstand. Das hat verschiedene Gründe. Was die Vorschriften anbelangt, so sind die Rahmenbedingungen für deren Einhaltung auf globaler Ebene erst im Entstehen begriffen. Das ist in den USA nicht anders. Präsident Joe Biden hat im Februar 2021 eine Executive Order erlassen, in der er darlegt, wie die Vereinigten Staaten die Sicherheit ihrer eigenen Lieferketten verbessern wollen. Eine Verordnung, die sich auf Hunderttausende von amerikanischen Unternehmen auswirkt. Trotzdem befinden wir uns noch ganz am Anfang. Es ist wichtig, zu bedenken, dass viele dieser Compliance-Rahmenwerke letztendlich als De-facto-Leitlinien für Unternehmen im Rahmen ihrer Regulierung dienen. Was im Umkehrschluss heißt, dass viele Unternehmen zum aktuellen Zeitpunkt auf sich selbst gestellt sind.

Darüber hinaus hat die Digitalisierung (beschleunigt nicht zuletzt durch Covid-19) die Komplexität der Lieferketten erheblich gesteigert. Inzwischen müssen große Mengen an Daten und digitalen Werten abgesichert und authentifiziert werden. Wie schon gesagt: Die Bemühungen im Bereich des Risikomanagements stecken noch in der Phase der Sensibilisierung.

Grundsätzlich sind die Ansätze vielversprechend. Es liegt allerdings auf der Hand, dass etliche der derzeitigen Bemühungen zur Risikoverwaltung und Risikominderung sehr isoliert ablaufen und nicht vollständig ausgereift sind. Wie sollen Firmen ihre Lieferkette sichern, wenn kaum formale Leitlinien existieren oder historische Präzedenzfälle fehlen? Kaum eine Frage, die man im Rahmen eines einzigen Artikels beantworten könnte. Hier konzentrieren wir uns auf einen bestimmten Aspekt der Sicherheit der Lieferkette, nämlich Authentifizierung und Datensicherheit.

Zunächst gilt es, den Umfang und die Komplexität der eigenen Lieferkette zu verstehen. Dazu muss man sich die eigenen Abhängigkeiten sehr genau anschauen – also all die Berührungspunkte, die außerhalb der Kontrolle des Unternehmens liegen. Dabei handelt es sich größtenteils um Dritte. Anbieter, Lieferanten, Dienstleister, Wiederverkäufer, Telekommunikations- und Netzwerkpartner, Finanzdienstleister wie Zahlungsabwickler usw. Sie lassen sich recht gut in den folgenden vier Kategorien unterbringen:

Jemand, mit dem Sie Daten austauschen.

Jemand, mit dem Sie Ihre Infrastruktur teilen.

Jemand, bei dem Ihre Organisation kauft.

Jemand, der erleichtert, wie und was Ihr Unternehmen produziert.

»Risiko« ist ein wenig schmeichelhafter Begriff, wenn man ihn mit den eigenen Partnern in Verbindung bringt. Dennoch sind externe Dritte auch genau das, ein Risiko für ein Unternehmen und die gesamte Lieferabwicklung. Was im Übrigen sowohl für eingehende wie ausgehende Lieferungen gilt.

Glücklicherweise gibt es einige rechtliche Mechanismen, die zumindest in gewisser Weise Zuverlässigkeit und Vertrauen in solchen Beziehungen gewährleisten sollen. Das sind etwa Verträge und Service Level Agreements (SLA), die nicht nur für die Lieferkette, sondern das Geschäftsleben allgemein eine wichtige Rolle spielen. In der Europäischen Union verlangt die Datenschutz-Grundverordnung (DSGVO) Datenverarbeitungsverträge zwischen Partnern, in denen deren Rechte und Pflichten in Bezug auf die Datennutzung und die Datensicherheit/den Datenschutz festgelegt sind. Solche Vereinbarungen sind bislang in den USA nicht kodifiziert, kann aber immer noch einseitig in vertragliche Vereinbarungen aufgenommen werden.

Im Kern geht es dabei um Vertrauen. Das klingt im digitalen Zeitalter zunächst etwas antiquiert, aber Vertrauen ist nach wie vor das Herzstück der Wirtschaft, der Gesellschaft und unseres gesamten Lebens. Es ist entscheidend für den Erfolg eines jeden Unternehmens. Zertifizierungsstellen müssen sich an strenge Compliance-Standards halten, um Teil des öffentlichen Web Trust zu sein – entscheidend für die Integrität des Internets. Fachleute aus unterschiedlichen Professionen benötigen staatliche Zulassungen. Ein Dokument, das bescheinigt, dass die betreffende Person tatsächlich ausreichend qualifiziert ist und man darauf vertrauen kann, dass sie ihren Beruf in dem betreffenden Land ethisch korrekt ausübt.

Dies gilt natürlich auch für die Partner und Dritten, die eine Lieferkette beeinflussen, einschließlich der Software, die ein Unternehmen nutzt. Die Sorgfaltspflicht ist deshalb so wichtig, weil ein Unternehmen die Wahl hat, mit wem es zusammenarbeitet. Ihren Kunden ist es letztlich egal, wenn etwas nicht ursächlich in der Schuld des Unternehmens liegt. Deshalb ist der Begriff »vertrauenswürdiger Partner« deutlich mehr als ein Marketing-Slogan.

Nicht selten wählen Firmen die vermeintlich kostengünstigste oder zweckmäßigste Option, wenn sie Geld sparen oder organisatorische Prozesse und Arbeitsabläufe beschleunigen wollen. Das geht oft auf Kosten der Zuverlässigkeit. Also genau der Fähigkeit, die sicherstellt, dass Sie sich darauf verlassen können, dass der betreffende Partner seinen Teil genauso erfüllt wie zugesichert. Hier die falsche Wahl zu treffen, kommt Sie auf lange Sicht deutlich teurer zu stehen.

Grundsätzlich sollte man immer die gesamte Lieferkette betrachten. Skizzieren Sie alle Abhängigkeiten und die potenziell damit verbundenen Risiken sowie alle Eventualitäten, wie genau diese Risiken die Lieferkette unterbrechen oder gefährden könnten.

Die juristischen und technologischen Maßnahmen, die Sie letzten Endes umsetzen müssen, um eine zuverlässige Lieferkette zu gewährleisten sind natürlich sehr viel ausgefeilter. Demgegenüber ist es vergleichsweise einfach, sicherzustellen, dass Dritte, mit denen kritische Risiken einhergehen, vertrauen zu können. Dahingehend, dass sie der Verantwortung Ihnen gegenüber nachkommen. Und genau das sollte im Mittelpunkt des gesamten Prozesses stehen.

Lila Kee, GlobalSign