Supply Chain Risk Management (SCRM)

Supply Chain Risk Management umfasst die systematische Identifizierung, Bewertung und Beherrschung von Risiken, die durch Lieferanten, Subunternehmer und Softwarekomponenten in die eigene IT-Infrastruktur eingetragen werden können, darunter kompromittierte Updates (SolarWinds-Typ), unsichere Open-Source-Abhängigkeiten und Lieferantenausfälle. NIST SP 800-161r1 definiert einen umfassenden SCRM-Rahmen; das BSI fordert im IT-Grundschutz Anforderungsmanagement für Dienstleister (OPS.2.3) und empfiehlt SBOM-Nutzung. In IT-Ausschreibungen für kritische Systeme sind Lieferkettenanforderungen (Code-Herkunft, Subunternehmer-Transparenz, Notfallkonzepte bei Lieferantenausfall) als Eignungskriterien zu verankern.