Lieferkettensicherheit unter Druck: Resilienz als Führungsaufgabe

Geopolitische Krisen, digitale Abhängigkeiten und neue Risiken durch Künstliche Intelligenz setzen globale Wertschöpfungsketten zunehmend unter Druck. Daniel Fai, Vorstandsmitglied im Verband für Sicherheit in der Wirtschaft (VSW) sowie Leiter Informationssicherheit und Business Continuity Management bei Procter & Gamble, erläutert im Interview mit SECURITY INSIGHT, warum Resilienz heute nicht mehr am einzelnen Unternehmen enden darf und welche Verantwortung vor allem die Führungsebene trägt.

Herr Fai, die angespannte Lage im Iran an der Straße von Hormus führt gerade deutlich vor Augen, wie eng Geopolitik und Lieferketten heute verknüpft sind. Ist die Zeit planbarer globaler Warenströme aus Ihrer Sicht endgültig vorbei?

Ich würde zumindest sagen: Die Zeit vermeintlich verlässlicher globaler Warenströme ist vorbei. Geopolitische Spannungen haben wir eigentlich permanent überall auf der Welt. Es ist jetzt nicht nur die Straße von Hormus, auch wenn das natürlich sehr spezifisch ist, wenn es um Öl- und Gaslieferungen geht. Aber es passt einfach in das Bild, vor dem wir seit Jahren warnen. Man benötigt ein aktives Risikomanagement, in dem man sich permanent die geopolitischen Spannungen oder hybride Bedrohungen anschaut, um im Fall der Fälle alternative Lieferketten oder Wertschöpfungskettenrouten zu haben. Es zeigt ganz eindringlich, dass man nicht auf eine Region oder auf einen Lieferanten setzen darf. Man muss heutzutage wirklich divers sein und alternative Lieferanten im Risikomanagement oder im Business Continuity Management parat haben, damit solche Situationen nicht so eintreten, wie sie gerade eintreten. Die eigentliche Frage ist doch: Was ist mein Plan B, was ist mein Plan C, wenn so ein Fall eintritt?

Sie sehen die aktuelle Lage also vor allem als Planungsproblem?

Aus meiner Sicht ist das das Los der Menschheit. Konflikte, Spannungen und politische Unsicherheiten hat es schon immer gegeben und sie wird es auch weiterhin geben. Darauf haben Unternehmen nur begrenzt Einfluss. Worauf sie aber Einfluss haben, ist ihr Umgang mit diesen Risiken. Die entscheidende Frage lautet deshalb: Wie abhängig habe ich mich gemacht? Habe ich Alternativen vorbereitet? Habe ich kritische Lieferbeziehungen, Routen und Produktionsstandorte überhaupt einmal konsequent aus Resilienzsicht bewertet? Wir sehen das ja nicht nur an der Straße von Hormus. Wir sehen es auch an Russland und der Ukraine, wir sehen es in Afrika, wir sehen es bei der Chip-Technologie und bei Taiwan. Wenn man weiß, dass es Regionen mit dauerhaftem Spannungspotenzial gibt, dann muss man sich irgendwann ehrlich fragen, ob man dieses Risiko bewusst eingehen will, oder ob man eben in Kauf nimmt, dass Alternativen mehr kosten, dafür aber die eigene Handlungsfähigkeit sichern.

Warum ist Lieferkettensicherheit damit heute mehr als nur ein Thema für Einkauf, Logistik oder einzelne Fachabteilungen?

Weil es am Ende um Business Impact geht. Wenn Lieferketten reißen, Rohstoffe fehlen oder kritische Zulieferer ausfallen, steht nicht nur irgendwo ein Prozess still, sondern im Zweifel das komplette Geschäft. Deshalb gehört Lieferkettensicherheit aus meiner Sicht klar in die Verantwortung der Unternehmensleitung. Das ist eine Governance-Frage und keine Randaufgabe. Die Geschäftsführung muss entscheiden, welches Risiko sie eingehen will und an welcher Stelle sie bewusst in Resilienz investiert – auch dann, wenn Alternativen zunächst teurer sind. Genau das ist ja die eigentliche Risikoentscheidung: Nehme ich kurzfristig mehr Effizienz mit oder sichere ich langfristig meine Lieferfähigkeit und meinen Umsatz? Viele große Unternehmen haben dafür heute Strukturen im Enterprise Risk Management oder im Business Continuity Management. Im Mittelstand sieht das oft noch anders aus. Dort fehlt nicht selten der organisatorische Reifegrad, manchmal auch das Bewusstsein dafür, wie direkt Lieferkettenrisiken auf den Geschäftserfolg durchschlagen können. 

Sie sprechen von Reifegrad. Woran merkt man in der Praxis, dass Unternehmen an diesem Punkt noch nicht weit genug sind?

Sehr oft daran, dass Risiken zwar theoretisch bekannt sind, aber nicht systematisch bearbeitet werden. Viele Unternehmen haben das Thema schon einmal gehört, vielleicht auf einer Veranstaltung oder in einem Fachvortrag. Aber zwischen „gehört haben“ und „tatsächlich umsetzen“ liegt eine ziemlich große Lücke. Man verlässt sich dann zu sehr auf das eigene Gefühl oder auf Aussagen aus dem mittleren Management, ohne den tatsächlichen Stand der eigenen Organisation wirklich zu überprüfen. Genau deshalb halte ich Reifegrad-Assessments für so wichtig. Sie zwingen zur ehrlichen Selbstreflexion: Wo stehen wir wirklich? Welche Abhängigkeiten haben wir? Was können wir im Krisenfall auffangen und was eben nicht? Gerade bei kleinen und mittleren Unternehmen fehlen oft noch grundlegende Strukturen im Risiko- und Krisenmanagement. Das betrifft Cybersecurity, Business Continuity, aber eben auch die Lieferkette. Hier liegt aus meiner Sicht eines der Kernprobleme.

Viele kleinere Unternehmen würden wahrscheinlich trotzdem sagen: Warum sollte ausgerechnet ich ein relevantes Ziel sein?

Dieser Standpunkt ist eines der größten Missverständnisse. Kleine Unternehmen sind nicht deshalb ungefährdet, weil sie selbst kein prominentes Ziel darstellen. Im Gegenteil: Für Angreifer können sie als Zugangspunkt, Aufklärungsquelle oder Zwischenschritt sehr attraktiv sein. Wenn ich einen kleinen Zulieferer kompromittiere, kann ich Informationen gewinnen, Geschäftsbeziehungen missbrauchen, Kommunikationswege ausnutzen oder größere Partnerunternehmen mittelbar treffen. Gerade in vernetzten Lieferketten reicht oft ein kleines Glied, um erhebliche Kettenreaktionen auszulösen. Und dazu kommt noch etwas: Viele kleinere Betriebe sind bei den Grundlagen noch nicht ausreichend aufgestellt. Es fehlt an Asset Management, an aktivem Monitoring und oft schlicht an einem belastbaren Überblick darüber, was sich in der eigenen IT-Landschaft überhaupt befindet. Das Problem ist ja häufig nicht, dass gar nichts geloggt wird. Das Problem ist eher, dass niemand diese Informationen aktiv auswertet und daraus Konsequenzen zieht. 

Das heißt, die bekannte Haltung „Wir sind zu klein, um interessant zu sein“ ist aus Ihrer Sicht falsch?

Ja, absolut. Das ist ein gefährlicher Denkfehler. Angriffe dienen ja nicht immer nur der direkten Erpressung. Es geht auch um Spionage, um Vorbereitung weiterer Attacken, um Missbrauch als Einfallstor oder um die gezielte Schwächung ganzer Netzwerke. In einer vernetzten Lieferkette ist ein kleines Unternehmen eben nicht isoliert, sondern Teil eines größeren Gefüges. Deshalb muss man weg von diesem Gedanken, dass nur Großunternehmen interessant seien. Wer an einer sensiblen Stelle in der Wertschöpfung sitzt, kann relevant sein – auch mit zehn Mitarbeitern. Und das macht die Sache so anspruchsvoll. 

Wie lässt sich Resilienz entlang der Lieferkette denn konkret erhöhen?

Ein zentraler Punkt ist ein belastbares Third-Party-Risk-Management. Unternehmen müssen ihre Lieferanten danach bewerten, welche Rolle sie in der Wertschöpfung spielen, welche Daten sie verarbeiten, wie kritisch ihr Beitrag ist und welches Risiko mit einem Ausfall verbunden wäre. Entscheidend ist dabei, dass man sich nicht mit formaler Checkbox-Compliance begnügt. Wer resilient werden will, muss Nachweise einfordern und genauer hinschauen: Gibt es Sicherheitsrichtlinien? Wie ist das Incident Management organisiert? Was passiert bei IT-Ausfall, Personalausfall oder Standortverlust? Wie belastbar ist das Business Continuity Management? Ich halte es für einen Fehler, wenn man Lieferanten einfach irgendeinen Fragebogen ausfüllen lässt und dann sagt: passt schon. So funktioniert Resilienz nicht. Man muss realistisch prüfen, ob die Strukturen tatsächlich vorhanden sind. 

Das klingt nach erheblichem Aufwand, vor allem auch für kleine Zulieferer.

Natürlich ist das ein Aufwand. Aber man muss es auch andersherum sehen: Wenn kleine Zulieferer Teil einer kritischen Wertschöpfungskette sind und gutes Geschäft mit großen Unternehmen machen wollen, dann müssen sie heute auch ein gewisses Niveau erreichen. Das ist keine Schikane, sondern Ausdruck der Realität. Und man kann Anforderungen ja auch skalieren. Ein kleiner Betrieb muss keine Konzernbürokratie aufbauen. Aber er muss die für seine Rolle notwendigen organisatorischen und technischen Grundlagen nachweisen können. Das Entscheidende ist: Große Unternehmen können über ihre Anforderungen den Reifegrad ihrer Lieferanten mit anheben. Das ist nicht nur im Eigeninteresse sinnvoll, sondern stabilisiert die Kette insgesamt. Insofern hat dieses Thema auch eine gesamtwirtschaftliche Dimension.

Lässt sich Lieferkettensicherheit heute überhaupt noch von Cyber-Resilienz trennen?

Nur sehr bedingt. Lieferkettensicherheit ist ein Oberbegriff. Darunter fallen physische, digitale, organisatorische und auch finanzielle Risiken. Cyber ist dabei ein zentraler Baustein, aber eben nicht der einzige. Das eigentliche Problem beginnt dort, wo Unternehmen diese Themen noch isoliert betrachten. Ich halte das für nicht mehr zeitgemäß. Wir müssen Lieferketten, Business Continuity, Cybersecurity und operative Sicherheit viel stärker zusammen denken. Resilienz endet eben nicht am Werkstor. Sie zieht sich durch die gesamte Kette – vom Rohstofflieferanten über kritische Dienstleister und Logistikpartner bis hin zum Kunden. Wenn irgendwo in dieser Kette ein zentrales Glied ausfällt, dann kann sich das sehr schnell bis in den eigenen Geschäftsbetrieb hinein fortsetzen. 

Das heißt, der Blick auf das eigene Unternehmen reicht bei weitem nicht mehr aus?

Nein, genau dieses isolierte Denken funktioniert heute nicht mehr. Wenn ich als Unternehmen mitten in einer Wertschöpfungskette stehe, dann reicht es nicht, nur auf meine internen Prozesse zu schauen. Ich muss den Blick nach vorne und nach hinten richten: auf Zulieferer, auf kritische Dienstleister, auf die Logistik und auch auf meine Kunden. Denn auch auf der Abnehmerseite können Risiken entstehen. Wenn ein Kunde meine Produkte plötzlich nicht mehr abnehmen kann, dann habe ich vielleicht produziert, aber trotzdem keinen Umsatz. Das zeigt sehr deutlich: Resilienz muss entlang der gesamten Kette gedacht werden. Und der moderne Ansatz besteht für mich genau darin, dieses Silo-Denken zu verlassen. Unternehmen müssen lernen, Sicherheit und Krisenfestigkeit kooperativer zu organisieren.

Das ist dann also auch eine Frage von Zusammenarbeit und nicht nur von Kontrolle?

Ja, denn es geht nicht nur darum, Anforderungen in Verträge zu schreiben. Es geht auch darum, gemeinsam das Grundniveau anzuheben. Das kann über technische Mindeststandards laufen, über gemeinsame Übungen, über abgestimmte Prozesse im Krisenfall oder einfach über mehr Transparenz in kritischen Schnittstellen. Gerade dort, wo Unternehmen eng miteinander verflochten sind, bringt isoliertes Denken nicht mehr viel. Wenn größere Unternehmen ihre Partner ernsthaft mitnehmen und nicht nur formale Häkchen abfragen, dann kann das viel bewegen. Und ich glaube, darin liegt auch eine positive Perspektive: Wenn das viele große Unternehmen konsequent machen, dann steigt automatisch das Sicherheits- und Resilienzniveau, und zwar weit über das eigene Unternehmen hinaus.

Mit Blick nach vorn: Wird die Lage durch KI und agentische Systeme noch einmal schwieriger?

Davon ist auszugehen. Die Angriffsoberfläche von Unternehmen ist bereits durch Digitalisierung, Cloud und enge Vernetzung massiv gewachsen. Mit KI kommt nun eine weitere Ebene hinzu. Dabei geht es nicht nur um ein neues Werkzeug, sondern um eine neue Risikoklasse. Modelle, Trainingsdaten und automatisierte Entscheidungen eröffnen zusätzliche Manipulations- und Ausfallrisiken, die sich mit klassischer IT-Sicherheit allein nicht mehr beherrschen lassen. Besonders kritisch wird es dort, wo KI oder agentische Systeme in geschäftskritische Prozesse eingreifen und Entscheidungen vorbereiten oder sogar automatisiert treffen. Dann stellt sich sehr schnell die Frage nach Transparenz, Kontrollierbarkeit und menschlicher Aufsicht. Hier sehe ich in Zukunft einen der sensibelsten Punkte. 

Gleichzeitig stehen viele Unternehmen unter Druck, bei KI möglichst schnell voranzukommen.

Das ist auch völlig nachvollziehbar. Kein Unternehmen will den Anschluss verlieren. Aber darin liegt eben auch die Gefahr, dass Sicherheitsfragen zu spät gestellt werden. Wir haben das in ähnlicher Form bei früheren Digitalisierungsschüben schon erlebt: Erst kam der Hype, dann die breite Einführung, und erst dann die Frage nach der Sicherheit. Diesen Fehler sollten wir bei KI nicht wiederholen. Ich halte deshalb den Responsible-AI-Ansatz für entscheidend. Innovation und Sicherheit schließen sich ja nicht aus. Unternehmen müssen neue Technologien nutzen können, aber eben mit klaren Leitplanken: Transparenz, Datenschutz, Prüfbarkeit, Sicherheitsmechanismen und verantwortliche Entscheidungen. Gerade dort, wo KI in geschäftskritischen Bereichen eingesetzt wird, darf man die Kontrolle nicht einfach an Systeme abgeben, deren Ergebnisse niemand mehr nachvollziehen kann.

Was ist für Sie die wichtigste Lehre aus all dem?

Das Unternehmen Sicherheit nicht länger als nachgeordneten Kostenfaktor behandeln dürfen. Lieferkettensicherheit, Cybersecurity, Business Continuity und neue Technologien wie KI greifen heute ineinander. Wer diese Zusammenhänge nicht versteht, unterschätzt das eigentliche Risiko. Es reicht im Zweifel ein einziger schwerwiegender Vorfall, und aus einem vermeintlich technischen oder organisatorischen Nebenthema wird sehr schnell ein existenzielles Geschäftsrisiko. Lieferkettensicherheit ist heute deshalb eine Führungsaufgabe. Und deshalb muss Resilienz auch zwingend über die Grenzen des einzelnen Unternehmens hinaus gedacht werden.