Lieferkettensicherheit (Supply Chain Security)

Lieferkettensicherheit bezeichnet Maßnahmen, die sicherstellen, dass Hardware, Software und Dienstleistungen auf dem gesamten Weg vom Hersteller zum Betrieb nicht kompromittiert werden. Das NIST Cybersecurity Framework und das BSI betonen, dass öffentliche Auftraggeber die Sicherheit ihrer gesamten IT-Lieferkette in Beschaffungsprozesse integrieren müssen, einschließlich der Unterauftragnehmer von Dienstleistern. In IT-Ausschreibungen sollten Lieferkettensicherheitsanforderungen explizit formuliert werden, z.B. Nachweise über sichere Entwicklungsprozesse (Secure SDLC), SBOM-Pflicht und Sicherheitsüberprüfungen von Sublieferanten.