![\"Digitales](\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/01\/LocateRisk_NIS2_AONcasestudy.jpg\")
<\/a><\/figure><\/div>\n\n\nDie Situation ist f\u00fcr alle von NIS-2 betroffenen Unternehmen gleicherma\u00dfen herausfordernd. Unterschiedliche Reifegrade der Lieferanten und ein stark variierendes Verst\u00e4ndnis von Cybersicherheit \u2013 oft gepr\u00e4gt durch die jeweilige Branche \u2013 erschweren eine einheitliche Bewertung. Hinzu kommt: Oft sind nicht alle Zugriffe bekannt, die potenzielle Risiken mit sich bringen. Einzelgespr\u00e4che sto\u00dfen hier schnell an ihre Grenzen. Gleichzeitig steigt der Druck, den Anforderungen interner und externer Stakeholder, wie Gesch\u00e4ftsleitung, Auditoren und regulatorischen Instanzen, gerecht zu werden.<\/span><\/p>\n Alles in allem fehlt es an einer objektiven Datenbasis zur Einsch\u00e4tzung von Cyber-Risiken in der Lieferkette. Bestehende Verfahren wie Interviews oder manuelle Abfragen sind extrem zeitaufwendig und in ihrer Aussagekraft oft begrenzt. Zudem stehen f\u00fcr eine vollumf\u00e4ngliche Bewertung nicht gen\u00fcgend personelle Ressourcen zur Verf\u00fcgung.\u00a0<\/span><\/p>\n Kurz: <\/strong>F\u00fcr Unternehmen mit hunderten oder gar tausenden Lieferanten braucht es eine nachvollziehbare, skalierbare und effiziente Bewertungsmethodik, um Transparenz zu schaffen und Risiken systematisch zu managen. Ziel des Projektes war daher die Einf\u00fchrung eines digitalen, skalierbaren Verfahrens, das sowohl praxisnah als auch regelkonform ist.<\/p>\n\n\n Vorgehen und Projekt-Highlights<\/strong> Die technologische Grundlage des Projekts bildete die Plattform von LocateRisk. Mit ihr k\u00f6nnen Organisationen die IT-Sicherheitslage ihrer Lieferanten und Dienstleister effizient validieren, \u00fcberwachen und vergleichen. Die Kombination aus automatisierten Risiko-Scans, digitalen Compliance-Frageb\u00f6gen sowie leistungsstarken Vergleichs- und Verwaltungsfunktionen macht das Lieferanten-Risikomanagement effizient, transparent und skalierbar. Mehr zum Cybersecurity Compliance Mapping<\/a><\/p>\n\n\n\n Ein zentrales Element ist das Performance-Dashboard,<\/strong> das alle sicherheitsrelevanten Informationen \u2013 wie Kritikalit\u00e4t, IT-Risiko-Score, Compliance-Status und aktuelle Ver\u00e4nderungen \u2013 \u00fcbersichtlich visualisiert. Dies erm\u00f6glicht es, potenzielle Risiken durch Dritte fr\u00fchzeitig zu erkennen und gezielt zu adressieren.<\/p>\n\n\n \u201eSelbst unser Auditor hat das Vorgehen ausdr\u00fccklich gelobt und betont, dass er sich w\u00fcnscht, andere Unternehmen w\u00fcrden \u00e4hnlich strukturiert vorgehen.\u201c<\/strong>, betont der Hersteller.<\/p>\n\n\n\n Wichtige Erkenntnisse, aber auch H\u00fcrden im Projektverlauf<\/strong> Einzelne Lieferanten hatten Bedenken, der eingesetzte, nicht-invasive Scan k\u00f6nnte in interne Systeme eindringen. Da es sich jedoch ausschlie\u00dflich um externe IT-Sicherheitsanalysen handelt, die keinerlei Zugangshindernisse \u00fcberwinden, konnten die Vorbehalte schnell ausger\u00e4umt werden. Schlussendlich gab es auch einige Lieferanten, die eine Teilnahme grunds\u00e4tzlich verweigerten \u2013 sei es aus Sorge um die Offenlegung ihrer Cybersicherheitslage oder aufgrund interner Firmenrichtlinien. Diese Unternehmen mussten im weiteren Verlauf unabh\u00e4ngig von der tats\u00e4chlichen IT-Sicherheitslage als kritisches Risiko eingestuft werden.<\/p>\n\n\n\n Interessante Entwicklung am Rande:<\/strong> Ein zun\u00e4chst skeptischer Lieferant entschied sich nach dem Projekt, das automatisierte Vorgehen k\u00fcnftig selbst zur Bewertung seiner eigenen Lieferkette zu nutzen \u2013 als Vorbereitung auf seine eigene NIS-2-Strategie.<\/p>\n\n\n\n Effizienz, Transparenz und Nachweisbarkeit \u2013 die Highlights des Projekts<\/strong> F\u00fcr den Hersteller wurde ein umfassender Gesamtbericht erstellt, der alle relevanten Erkenntnisse zur Cybersicherheitslage der Lieferanten b\u00fcndelte. Er enthielt klare Handlungsempfehlungen zur Priorisierung, etwa mit welchen Lieferanten sich kurzfristig vertiefend auseinandergesetzt werden sollte. Auch die Lieferanten selbst profitierten: Jedes Unternehmen erhielt eine individuelle Auswertung mit pers\u00f6nlichen Ergebnissen sowie konkreten Empfehlungen zur Verbesserung.<\/p>\n\n\n\n Die Ergebnisse wurden visuell aufbereitet \u2013 in Form \u00fcbersichtlicher Grafiken und einer Matrix, die eine schnelle Einsch\u00e4tzung und Vergleichbarkeit der IT-Sicherheitslage erlaubte. So entstand ein klares Bild \u00fcber das IT-Sicherheitsniveau der bewerteten Lieferanten. <\/p>\n\n\n\n Besonders relevant hinsichtlich der Risikovermeidung:<\/strong> Im Rahmen der Bewertung wurden Lieferanten mit Systemzugriffen identifiziert, die ein erh\u00f6htes Risiko darstellten. In diesen F\u00e4llen wurden gezielt Gespr\u00e4che mit den verantwortlichen Personen gef\u00fchrt und die Zugriffsrechte eingeschr\u00e4nkt, bis ein h\u00f6heres IT-Sicherheitsniveau nachgewiesen werden konnte. Mehr zur IT-Risikoanalyse<\/a><\/p>\n\n\n\n Zudem erf\u00fcllt die zugrunde liegende Methodik wichtige regulatorische Anforderungen und dient als pr\u00fcfbarer Nachweis f\u00fcr ein aktives Third-Party-Risk-Management \u2013 beispielsweise im Kontext der NIS-2-Richtlinie<\/strong><\/a>.<\/p>\n\n\n\n Angesichts zunehmender Cyberangriffe \u00fcber die Lieferkette steigen die Anforderungen an deren Sicherheit. Regulatorische Vorgaben wie NIS-2 und DORA erfordern skalierbare Methoden, um IT-Sicherheitsrisiken durch Dritte systematisch zu bewerten. Genau hier setzt der gew\u00e4hlte Ansatz an: Er steigert die Transparenz durch kontinuierliche, vergleichbare Lieferanten-Cyber-Risikopr\u00fcfungen und tr\u00e4gt mit gezielten Empfehlungen zu mehr Resilienz bei dem NIS-2 relevanten Produktionsunternehmen und dessen Lieferkette bei.<\/p>\n\n\n\n
Mit \u00fcber 1.500 Mitarbeitenden und mehreren Standorten in der EU ist der Hersteller einer der Top-Anbieter seiner Branche. Angesichts zunehmender regulatorischer Anforderungen und wachsender Abh\u00e4ngigkeiten in der Lieferkette galt es, eine strukturierte, nachvollziehbare IT-Sicherheitspr\u00fcfung der Lieferanten zu gew\u00e4hrleisten. Die Bewertung sollte nicht nur Transparenz schaffen, sondern auch eine pr\u00fcfbare Dokumentation liefern, die als Nachweis f\u00fcr ein aktives Lieferanten-Risikomanagement <\/a>dient. Der Prozess wurde von dem Expertenteam der AON, einem der f\u00fchrenden Anbieter in der Bereitstellung von Cyber-L\u00f6sungen, aufgesetzt und begleitet.<\/p>\n\n\nHerausforderung: Fragmentierte Daten, begrenzte Ressourcen<\/b><\/h3>\n
L\u00f6sung: Hybrides Assessment mit intelligenter Technologie<\/strong><\/strong><\/h3>\n\n\n\n
Zur einheitlichen und nachvollziehbaren Bewertung der Lieferanten wurde ein standardisierter Fragenkatalog mit rund 30 Fragen entwickelt, der auf ISO 27001, NIST, C5 und IT-Grundschutz basiert. Die Gesamtbewertung erfolgte in einem hybriden Verfahren: \u00fcber den digitalen Fragebogen zur Selbstauskunft, einen automatisierten, nicht-invasiven Schwachstellenscan der externen Angriffsfl\u00e4che sowie anhand der fachlichen Einsch\u00e4tzung durch die Experten der AON Cyber Advisory. Diese \u00fcbernahmen zudem die Kommunikation mit den Lieferanten, analysierten die eingegangenen Daten und bereiteten die Ergebnisse strukturiert f\u00fcr das interne Reporting auf.<\/p>\n\n\n\n![\"\"](\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/02\/Bildschirmfoto-2026-02-11-um-18.18.18.png\")
<\/figure><\/div>\n\n\n
Einige Lieferanten mussten gezielt motiviert und \u00fcberzeugt werden, um eine aktive Teilnahme zu erreichen. Die Mehrheit \u2013 rund 60 bis 70\u202f% \u2013 zeigte sich kooperativ und setzte die Anforderungen bereitwillig um. Ein kleiner Teil der Lieferanten stand der Einbindung eines externen Dritten zun\u00e4chst skeptisch gegen\u00fcber. In diesen F\u00e4llen waren gesonderte Zusicherungen erforderlich, um die Teilnahme zu best\u00e4tigen.<\/p>\n\n\n\n
<\/strong>Das Projekt \u00fcberzeugte durch eine au\u00dfergew\u00f6hnlich hohe Effizienz: <\/strong>Innerhalb von nur zehn Wochen konnten 50 Lieferanten systematisch bewertet werden. Dabei betrug die durchschnittliche Selbstauskunft \u00fcber den digitalen Fragebogen weniger als 30 Minuten pro Lieferant.<\/p>\n\n\n\n![\"LocateRisk](\"https:\/\/locaterisk.com\/wp-content\/uploads\/2021\/12\/Bildschirmfoto-2021-12-07-um-10.14-1024x672.png\")
\n <\/a>\n Ergebnisse und Mehrwert<\/strong><\/h3>\n\n\n
\n
Fazit und Ausblick: Ein effizientes Modell f\u00fcr resilientere Lieferketten<\/strong><\/strong><\/strong><\/h3>\n\n\n\n
![\"Portrait](\"https:\/\/locaterisk.com\/wp-content\/uploads\/2026\/01\/AON-FL-Profil.png\")