Leitfaden · 10 Min. Lesezeit
Lieferanten-Cyberrisikobeurteilung — was das automatisierte NIS2-Monitoring prüft
Eine vollständige Übersicht aller Prüfkategorien, ihrer Relevanz für NIS2 und wie Befunde in Maßnahmen überführt werden.
Passive Aufklärung — kein Datenverkehr zum Lieferanten
Das automatisierte Monitoring basiert auf passiver Aufklärung: Alle Daten werden aus öffentlichen Quellen gesammelt — Zertifikatsregistern, DNS-Einträgen, Ransomware-Datenbanken, HIBP-Datenpannen-Datenbanken, Sanktionsregistern und offenen OSINT-Feeds. Es wird kein Datenverkehr an das Netzwerk des Lieferanten gesendet, und eine Zustimmung des Lieferanten ist nicht erforderlich.
Die vollständige Prüfsuite läuft täglich, Ransomware- und Dark-Web-Feeds etwa alle 6 Stunden. Kritische Befunde — wie eine Ransomware-Opferlistung oder ein aktives Dark-Web-Datenleck — lösen sofort eine E-Mail-Warnung aus.
Ransomware-Opferüberwachung
Art. 21(2)(b)Mehrere Ransomware-Intelligence-Feeds werden etwa alle 6 Stunden geprüft. Erscheint Ihr Lieferant auf einer Opferliste — ein Zeichen für einen aktiven oder jüngsten Ransomware-Angriff — erhalten Sie noch am selben Tag eine Warnung. Dies kann ein dringendes Gespräch mit dem Lieferanten rechtfertigen, ob Sie oder Ihre Daten gefährdet sind.
Dark-Web-Zugangsdatenlecks
Art. 21(2)(i)Infostealer-Malware-Datenbanken und Dark-Web-Marktplätze werden nach E-Mail-Passwort-Paaren durchsucht, die mit der Domain des Lieferanten verknüpft sind. Kompromittierte Zugangsdaten sind der häufigste Angriffseinstiegspunkt — durchgesickerte Anmeldedaten der Mitarbeiter Ihres Lieferanten können auf Ihre Systeme abzielen.
E-Mail-Sicherheit
Art. 21(2)(h)Fehlende oder falsch konfigurierte SPF-, DKIM- oder DMARC-Einträge ermöglichen den Missbrauch der Domain des Lieferanten für E-Mail-Spoofing. Geprüft werden auch MTA-STS (E-Mail-Transportschichtschutz), TLS-RPT-Meldedatensatz und BIMI-Markenindikator. Alle sind kryptografische Anforderungen gemäß NIS2 Art. 21(2)(h).
TLS-Zertifikate und DNSSEC
Art. 21(2)(h)Die Gültigkeit von TLS-Zertifikaten wird überprüft, mit Warnungen 14 Tage vor Ablauf. Die DNSSEC-Validierung prüft, ob die DNS-Kette signiert und integer ist — fehlendes DNSSEC setzt den Lieferanten DNS-Spoofing aus. CAA-Einträge zeigen an, ob die Zertifikatausstellung auf zugelassene CAs beschränkt ist.
Websicherheitskonfiguration
Art. 21(2)(c)Cookie-Sicherheitsattribute (Secure, HttpOnly, SameSite) werden geprüft — fehlende Attribute ermöglichen Session-Hijacking oder XSS-Angriffe. Die robots.txt wird auf die Preisgabe sensibler Pfade analysiert. Die security.txt wird geprüft, um das Vorhandensein eines verantwortungsvollen Schwachstellenmeldekanals zu bestätigen.
Schwachstellen und CVE/EPSS-Scores
Art. 21(2)(e)CISA-KEV-Einträge (Known Exploited Vulnerabilities) zu CVEs, die mit der Infrastruktur des Lieferanten verknüpft sind, werden sofort identifiziert. EPSS-Scores (Exploit Prediction Scoring System) priorisieren Schwachstellen nach Ausnutzbarkeitswahrscheinlichkeit — nicht nur nach CVSS-Schweregrad allein.
Sanktionen und MX-Blacklist-Prüfungen
Art. 21(2)(e) & Art. 21(2)(j)EU-, UN- und OFAC-Sanktionslisten werden gegen die Organisation des Lieferanten geprüft. Die IP-Adressen der Mailserver des Lieferanten (MX-Einträge) werden gegen vier Echtzeit-Blackhole-Listen (RBLs) geprüft — eine Listung weist auf E-Mail-Missbrauch oder frühere Kompromittierung hin.
SAQ — Selbstbewertungsfragebogen
Art. 21(2)(a) & (b) & (d)Das technische Monitoring deckt die von außen sichtbare Angriffsfläche ab. Anforderungen auf Prozessebene — Risikomanagement, Vorfallbehandlung, Supply-Chain-Governance — werden durch das Versenden eines SAQ-Selbstbewertungsfragebogens an den Lieferanten über das norppa.io-Portal abgedeckt. Antworten werden gespeichert und mit dem technischen Risikoprofil kombiniert.
Risikobewertung und Schweregrade
Jeder Befund wird in einen von vier Schweregraden eingestuft: kritisch (sofortiger Handlungsbedarf), hoch (Behebung innerhalb von 7 Tagen), mittel (Behebung innerhalb von 30 Tagen) und niedrig (informativ). Der Risikowert (0–100, 100 = sauber) wird anhand der Schwere offener Befunde berechnet.
Der Risikowert ist als Priorisierungshilfe gedacht, nicht als absolute Wahrheit. Ein Lieferant kann aufgrund einer einzelnen kritischen Schwachstelle einen niedrigen Wert erhalten, obwohl sein allgemeines Sicherheitsniveau stark ist.
Lebenszyklus eines Befunds
Ein Befund entsteht, wenn eine Prüfung eine Anomalie erkennt. Er bleibt offen, bis das Problem behoben ist — der Prüfer bestätigt die Behebung automatisch beim nächsten Durchlauf. Stellt ein Befund ein bekanntes, akzeptiertes Risiko dar, kann er mit einem Kommentar als "akzeptiertes Risiko" markiert werden. Derselbe Befund löst keine weiteren Warnungen aus, bis sich die Lage ändert.
Alle Befunde werden automatisch dem entsprechenden NIS2 Art. 21(2)-Unterabsatz zugeordnet — sie erscheinen sowohl in der Echtzeit-Portalansicht als auch im monatlichen PDF-Bericht.
NIS2-Zuordnung und Berichterstattung
Der monatliche Bericht enthält eine KI-Geschäftsführungszusammenfassung, NIS2-Scores nach Artikel, lieferantenspezifische Risikoprofile und eine priorisierte Maßnahmenliste. Der Bericht ist für die Präsentation auf Führungsebene konzipiert — nicht nur für technische Teams.
Der Bericht enthält auch Befunde, die als dokumentierte Risiken akzeptiert wurden. Dies ist für Prüfungszwecke wichtig: NIS2 erfordert keine null Befunde — es erfordert ein dokumentiertes Risikomanagement.
Ihre eigene Domain — umfassende externe Bewertung
Lieferantendomains werden mit passivem OSINT überwacht — nur öffentlich verfügbare Daten. Ihre eigene Domain kann zusätzlich eine monatliche externe Sicherheitsbewertung erhalten: exponierte Ports und Dienste, bekannte Schwachstellenrisiken und SSL/TLS-Konfiguration. Keine Integration, kein Zugriff auf Ihr internes Netzwerk.