Assessing cyber risks at suppliers combines external security assessments (360TPRM), questionnaires and due diligence reviews into a complete risk picture.
Schritt 1-3: Externe Bewertung und Datenerhebung
Schritt 1 — Externe Cyber-Intelligence-Bewertung (360TPRM): Attack Surface Scan, Dark-Web-Monitoring, CVE-Prüfung, SSL/TLS-Analyse, E-Mail-Sicherheits-Check. Ergebnis: objektiver Risiko-Score ohne Lieferantenbeteiligung, in unter 24 Stunden. Schritt 2 — Zertifikatsprüfung: ISO 27001 Zertifikat vorhanden und aktuell? SOC 2 Type II Report verfügbar? TISAX (Automotive) oder PCI DSS (Zahlungen) falls relevant? Schritt 3 — Fragebögen (selektiv): für kritische Lieferanten: gezielter Fragenkatalog zu spezifischen Sicherheitskontrollen. Nicht für alle Lieferanten — das skaliert nicht.
Best Practice: 90% der Risikobewertung basiert auf externen Daten (360TPRM, Zertifikate). Fragebögen nur für kritische Lieferanten und gezielte Tiefenprüfungen.
Schritt 4-6: Bewertung, Dokumentation und Follow-up
Schritt 4 — Gesamtbewertung: externe Score + Zertifikatsstatus + interne Einschätzung (Kritikalität, Abhängigkeit) = Gesamtrisikostufe. Schritt 5 — Dokumentation: Bewertungsergebnis dokumentieren, Datum und Methodik festhalten, auditfähig ablegen. Schritt 6 — Follow-up: bei hohem Risiko: Lieferant informieren, Remediation-Plan fordern, Exit-Option prüfen. Regelmäßige Re-Bewertung: kritische Lieferanten kontinuierlich (360TPRM), andere jährlich.
Fragebögen messen Selbstauskunft — nicht die tatsächliche Sicherheitslage. 360TPRM misst was wirklich extern sichtbar ist. Kombination beider Ansätze ist Best Practice.
FAQ
Assess supplier cyber risks efficiently
See in a 45-minute demo how 360TPRM specifically meets your requirements.
Request free demo →