Wie bitte? Ein Beitrag über Cybersecurity im Einkauf? Was sollen wir denn noch alles im Einkauf machen? Genau dieses Thema ist aber für Ihren zukünftigen Geschäftserfolg ebenso wichtig wie die möglicherweise aktuell laufende Implementierung des Lieferkettensorgfaltspflichtengesetz (LkSG).

Aber von Anfang: Was hat der Einkauf bitte mit Cybersecurity zu tun? "Das macht bei uns die IT!", werde ich gerne korrigiert.

Leider lässt sich meiner Meinung nach, den IT-Kollegen nicht ganz so einfach das komplette Problem über den Zaun werfen. Denn wir vergessen, dass Cybersecurity kein rein innerbetriebliches Aktionsbündnis ist, sondern in vielen Unternehmen weit mehr als 50 Prozent der Wertschöpfung von mehreren Tausend Lieferanten beigesteuert wird.

Und es ist hoffentlich so, dass innerhalb Ihrer eigenen Organisation das Thema Cybersecurity mit den notwendigen Ressourcen ausgestattet ist. Aber soll diese Hoffnung ausreichen, um Ihre gesamte Zulieferkette abzusichern? Das nennt man wirklich unternehmerisches Risiko!

Leider ist es noch so, dass in der Praxis zumeist der Bewertung anderer Risikokriterien mehr Raum gegeben wird. Beispielsweise erfährt die "geregelte Geschäftsnachfolge" eines Lieferanten mehr Aufmerksamkeit im Risikomanagementsystem, als die Frage, wie das Unternehmen auf Cyberangriffe vorbereitet ist oder wie schnell ein Wiederanlauf nach erfolgter Attacke abgesichert ist. Auch in Bezug auf die Auditierbarkeit dieser Fragen wird in vielen Unternehmen innerhalb der Lieferantenqualität noch zu wenig Weiterqualifikation betrieben.

So könnte der Einkauf diese Information aktiv in das Unternehmen hereintragen und in Category-Strategien mit allen benötigten Unternehmensteilen analysieren.

Aber wann haben Sie zuletzt über eine Überarbeitung Ihrer Lieferantenqualifizierung in Bezug auf Cybersecurity-Inhalte nachgedacht? Sind Sie aussagefähig zu der Frage, welche Maßnahmen Ihre strategisch relevanten globalen Lieferanten an welchen Produktionsstätten vorgenommen haben, um im Falle von Cyberattacken möglichst schnell wieder lieferfähig zu werden? Haben Sie interne Notfallpläne, damit Sie koordiniert reagieren können?

Durch die drastische Zunahme an Cyberattacken auf Unternehmen muss dieses Thema meiner Meinung nach in der gleichen Gewichtung diskutiert werden wie die aktuellen Themen der ESG (Environmental, Social, Governance). Ich würde sogar für die Ausarbeitung eines Supply Chain Act for Cybersecurity plädieren. Aus Sicht des Einkaufs und der Lieferantenqualität müssen wir die Themen rund um die IT-Sicherheit wesentlich stärker in unsere strategischen Einkaufsprozesse implementieren. Angefangen mit einer systematischen Erhebung zu Business Continuity Managememt-Programmen bei unseren kritischen Lieferanten über die Integration dieser Informationen in unsere Risiko-, Lieferantenbewertungs- und Entwicklungsprozesse. Auch im Bereich des Vertragswesens sowie der Sourcing-Entscheidungen sollten diesen Fragen mehr Bedeutung zugemessen werden.

Wie Sie das konkret tun können, werde ich in den Folgeartikeln vertiefen:

CYBERPROCUREMENT