Person im Anzug zeigt mit dem Finger auf ein Dokument auf einem Tisch neben einem Laptop.
Kontakt
Sven Engelmann, Head of Strategic Partnerships, Kevla GmbH
Sven Engelmann
Strategic Partnerships
Newsroom
No items found.
Lieferketten
29. April 2026

Nachweise in der Lieferkette: Der Belastbarkeits-Check  

„Wir haben doch für alles Zertifikate.“ Was im Arbeitsalltag beruhigend klingt, kann bei einem Audit oder Cyybersecurity Incident plötzlich dünn wirken. 

Denn für Cybersicherheit, ESG oder auch Compliance entlang der Lieferkette zählt selten, ob irgendwo ein PDF existiert. Entscheidend ist, ob ein Vertrauensdokument wie ein Zertifikat aktuell ist, in der richtigen Version vorliegt und ad hoc vorgelegt werden kann bei Bedarf. Zudem muss es den richtigen Scope haben, also einen klar abgegrenzten Geltungsbereich eines Nachweises: für welche Services, Systeme, Standorte, Prozesse und Daten er gilt und was ausdrücklich nicht abgedeckt ist. 

In diesem Artikel erfahren Sie, wie Sie Nachweise so bewerten, dass sie im Alltag funktionieren und belastbar sind. Die Belastbarkeit von solchen Trust Docs basiert dabei stets auf drei Kriterien: Integrität, Authentizität und Nachvollziehbarkeit.  

Warum „belastbar“ mehr ist als „vorhanden“ 

Vertrauensdokumente wie Laborberichte, Zertifikate oder sonstige Nachweise sind die Basis zahlreicher Entscheidungen in Lieferketten.  

Ein kleiner Ausschnitt dessen, was Firmen anhand von vorhandenen Trust Docs entscheiden: 

  • Lieferantenbeziehung aufnehmen 
  • Zugriff erteilen, erhalten oder entziehen 
  • Updates oder Go-Live erlauben 
  • Ausnahmen befristen 
  • u.v.m. 

Damit diese Entscheidungen korrekt erfolgen, müssen gestellte Anforderungen und geforderte Evidenz in Prozesse eingebettet sein und überprüfbar bleiben, nicht nur „irgendwo abgelegt“. 

Hier besteht bei vielen Unternehmen ein typischer Schwachpunkt auf: Nachweise sind zwar vorhanden gesammelt, aber nicht betrieblich eingebunden und prozessual verankert.  

Das bedeutet, dass Nachweise zwar eingefordert und abgelegt werden, darasu ergibt sich keine klare Betriebslogik. So ist nicht festgelegt, bei welchen Triggern sie gepüft, wann sie gebraucht werden, wer sie prüft, welche Entscheidung von ihnen abhängen und was passiert, wenn ein Vertrauensdokument abläuft oder der Scope nicht passt. 

Kurz gesagt: Ohne Einbindung in Prozesse als Trigger für Entscheidungen, sind Nachweise nur Dokumente. Um sie einzubinden, müssen sie wiederum belastbar sein.  

Die drei Prüffragen, die Nachweise belastbar machen 

„Belastbar“ sind Trust Docs, die so prüfbar, aktuell und nachvollziehbar sind, dass sie Entscheidungen wie Freigaben, Zugriffe und Ausnahmen verlässlich tragen. Zudem müssen sie im Audit oder Incident ohne Nacharbeit standhalten. 

 

1. Integrität: Ist der Inhalt vollständig und unverändert? 

Die Integrität eines Vertrauensdokuments heißt: Der Nachweis liegt so vor, wie er erstellt wurde. Keine fehlenden Anhänge, keine stillen Änderungen, keine „angepassten“ Versionen. Um sie sicherzustellen, gilt es die folgenden Fehler zu vermeiden: 

Typische Bruchstellen bei manuellem Handling von Trust Docs 

  1. PDFs wandern per Mail und werden lokal neu gespeichert 
  1. Dateien liegen in Ablagen ohne Versionierung und ohne klare Schreibrechte 
  1. Inhalte werden manuell in Tabellen übertragen, dabei gehen Details verloren 

 

Wenn Sie die Integrität von einem Vertrauensdokument prüfen wollen, hilft eine kurze Prüfung. 

Praktischer Check: Ist dieser Nachweis vollständig und unvollendet? 

  1. Gibt es eine versionssichere Ablage (Version, Datum, Owner)? 
  1. Ist klar geregelt, wer Dokumente einsehen, mit Dritten austauschen oder ersetzen darf? 
  1. Können Sie einwandfrei belegen, welche Version zu einem bestimmten Zeitpunkt gültig war? 

 

TIPP: Das BSI stellt im Kontext „Sichere Lieferkette“ konkrete Materialien bereit, die Sie hierbei unterstützen. 

2. Authentizität: Können Sie Quelle und Ausstellung nachvollziehen? 

Authentizität heißt bei Vertrauensdokumenten: Sie können nachvollziehen, dass der Nachweis wirklich von der genannten Stelle stammt und zur genannten Organisation gehört. Achten Sie beim Umgang mit Trust Docs auf Anzeichen von Manipulation. 

Typische Anzeichen von Manipulation von Nachweisen 

  1. Unklarer Aussteller (Logo im PDF, aber keine prüfbare Referenz) 
  1. Zertifikate ohne eindeutigen Bezug zur legalen Einheit (z.B. AG, GmbH usw.) 
  1. Auditberichte ohne Kontext: Wer hat geprüft, nach welchem Standard, mit welchem Umfang? 

Praktischer Check: Ist dieser Nachweis authentisch? 

  1. Gibt es eine prüfbare Referenz (z.B. Zertifikats-ID, Registry, Audit-Provider)? 
  1. Ist die Organisation eindeutig (Name, Adresse, legal entity) und passt sie zum Vertragspartner? 
  1. Ist der Scope klar (welche Standorte/Services/Systeme sind enthalten)? 

Auch die europäische Agentur für Cybersicherheit, ENISA, formuliert in ihren Good Practices sehr deutlich: Supply-Chain-Security kann in der praktischen Umsetzung scheitern, wenn Anforderungen, Nachweise und Verantwortlichkeiten nicht konsistent und überprüfbar zusammenlaufen.  

3. Nachvollziehbarkeit: Können Sie den Lebenszyklus und Entscheidungen über Zeit erklären? 

Nachvollziehbarkeit heißt bei Vertrauensdokumenten: Sie können später rekonstruieren, welcher Nachweis wann galt, was sich geändert hat und welche Entscheidung darauf basierte. 

Typische Probleme 

  1. Bei Rezertifizierung: Deckt die neue Version den alten Scope ab? 
  1. Bei der Genehmigung von Ausnahmen: Sind Fristen und Closure-Tracking implementiert? 
  1. Bei Freigaben: Werden sie "schnell per Mail“ erledigt und sind später nicht mehr auffindbar? 

 

Praktischer Check: Ist dieser Nachweis nachvollziehbar? 

  1. Gibt es einen klaren Owner für diesen Nachweis (intern) und einen Ansprechpartner beim Lieferanten? 
  1. Gibt es Ablaufdaten, Review-Termine, Rezertifizierungspläne? 
  1. Können Sie beweisen, welche Entscheidung (z.B. Zugriff, Go-Live, Ausnahme) auf welchen Evidenzstand getroffen wurde? 

Auch hier empfiehlt es sich das Vorgehen nach Kritikalität zu staffeln. Je kritischer ein Trust Doc, desto stringenter sollten die genutzten Checks sein. Als methodischer Rahmen für solch ein risikobasiertes Vorgehen ist ISO/IEC 27005 ein verbreiteter Referenzrahmen, der Risikoidentifikation, -bewertung und -behandlung strukturiert einordnet. 

Evidenzpakete: So nutzen Sie Nachweise  als Steuerungs­instrument 

Ein Evidenzpaket ist die gebündelte, prüfbare Sammlung von Nachweisen zu einer Lieferantenbeziehung, einem Produkt oder einem Service, mit der Sie eine konkrete Entscheidung begründen können. Denken Sie an eine Einsatzmappe: nicht alles, was irgendwo existiert, sondern das, was im Ernstfall handlungsfähig macht. 

Welche 8 Fragen muss ein Evidenzpaket abdecken? 

1. Wie ist der Scope laut den Vertrauensdokumenten?  

  • Welche Services, Systeme und Datenklassen umfasst die Leistung?  
  • Wofür wird sie genutzt? 

2. Welches Zugriffsmodelle in das eigene Netzwerk bestehen? 

  • Welche Konten und Rechte existieren?  
  • Welche Remote-Wege und welche Notfallzugänge gibt es? 

3. Change und Updates 

  • Wie gelangen Änderungen in den Betrieb?  
  • Wer genehmigt zum Beispiel Updates?  
  • Wie werden solche Changes dokumentiert? 

4. Was ist die Security-Baseline? 

  • Welche Basis-Nachweise liegen vor (z.B. ISO 27001, Audit Summary)?  
  • Für welchen Scope gelten sie? 

5. Wie werden Vulnerabilität und Patches gehandhabt? 

  • Welche SLAs (Service Level Agreements) gelten? 
  • Wie läuft Disclosure ab? 
  • Wie werden Patches gehandhabt? 

6. Wie ist die Incident Response geregelt? 

  • Wer ist 24/7 erreichbar?  
  • Welche Mindestinformationen werden im Vorfall geliefert?  
  • Wie ist die Eskalationskette? 

7. Lifecycle 

  • Welche Ablaufdaten und Rezertifizierungen gelten?  
  • Wie werden Versionen geführt?  
  • Wie werden Änderungen am Scope nachgehalten? 

8. Ausnahmen 

  • Welche Ausnahmen existieren und wer ist deren Owner?  
  • Welche Fristen gelten?  
  • Wie wird Closure-Tracking sichergestellt? 

Drei Warnsignale: Dieser Nachweis ist unhaltbar

Doch nicht jedes Vertrauensdokument oder Evidenzpaket beanwortet diese kritischen Fragen. Somit kann es zu drei typischen Problemen kommen. 

  1. Scope-Nebel: Der Nachweis ist da, aber es ist unklar, ob er den konkreten Service, Standort oder Prozess abdeckt.
  2. Zeitloch: Trotz vorhandener Informationen wie Ablaufdatum, Rezertifizierung und Version sind daraus kein Folgeaktionen wie Review-Pflichten, Termine und Verantwortlichkeiten abgeleitet und terminiert worden. 
  3. Kettenbruch: Der Nachweis liegt vor, jedoch ohne Verbindung zu Freigaben, Zugriffsentscheidungen oder Ausnahmen.  

Bei jedem dieser drei Phänomene fehlt dem einzelnen Nachweis und damit dem gesamten Evidenzpaket für eine Lieferantenbeziehung, ein Produkt oder einen Service die notwendige Qualität. Ohne diese ist es nicht belastbar, es kann also keine operativen Entscheidungen korrekt auslösen oder rechtfertigen. 

Wie Kevla TrustDocS Sie praktisch unterstützt

Wenn Teams daran scheitern, Nachweise sicher auszutauschen und optimal zu verwenden, liegt das oft an einer Überflutung mit notwendigen Dokumenten: zu viele Nachweise, zu viele Versionen, zu viele Beteiligte. All dies kann zu wenig Klarheit über Belastbarkeit, Gültigkeit und Zuständigkeit führen. Um die darin liegenden Risiken für Ihr Unternehmen zu minimieren, empfehlen wir eine sichere und automatisierte Plattform zum Dokumentenaustausch und Verwaltung zu nutzen. 

Kevla TrustDocS hilft Ihnen, Vertrauensdokumente strukturiert und rollenbasiert zu verwalten, Versionen und Gültigkeiten nachvollziehbar zu halten sowie Prüfungen rund um Aktualität und Nachweisqualität zu automatisieren. Das wird besonders wertvoll, wenn Nachweise als Grundlage für Freigaben, Ausnahmen und Remediation dienen.  

Deep Dive gefällig? Unser Cybersecurity Whitepaper  

Wenn Sie mehr wissen wollen oder auf ein durchgängiges Steuerungsmodell setzen: In unserem Whitepaper Cybersecurity in der Lieferkette: Herausforderungen & Strategien für mehr Resilienz“ (Februar 2026) gehen wir tiefer auf Priorisierung, Tiering, Monitoring und praktische Umsetzung ein.  

Jetzt Whitepaper herunterladen

Erhalten Sie den kostenlosen Leitfaden mit zahlreichen praktischen Tipps und Checks.

Die Kevla GmbH speichert und verarbeitet Ihre personenbezogenen Daten zur Organisation und Kommunikation rund um das Event.
Um Ihnen die gewünschten Inhalte bereitzustellen, müssen wir Ihre personenbezogenen Daten speichern und verarbeiten.
Sie können diese Benachrichtigungen jederzeit abbestellen. Weitere Informationen dazu und zum Schutz Ihrer Privatsphäre finden Sie in unserer
Datenschutzerklärung
Thanks for submitting the form.

Zeit für die Praxis: Ihr 30-Minuten-Upgrade für belastbare Nachweise 

  1. Wählen Sie drei kritische Lieferanten/Services mit hoher Kritikalität. Wie Sie Kritikalität ermitteln und warum Größe nicht entscheidend ist, verraten wir im Whitepaper.
  1. Bauen Sie pro Lieferant ein Evidenzpaket entlang der acht Fragen oben. 
  1. Entwickeln Sie ein Ampelsystem:  Bewerten Sie jedes Dokument nach Integrität, Authentizität und Nachvollziehbarkeit (grün/gelb/rot). Und dann stufen Sie Ihre Evidenzpakete entsprechend ein. 
  1. Rot oder gelb? Dann handeln Sie, indem Sie zunächst veraltete Dokumente neu anfragen oder Lieferanten mit einem Update des Scopes beauftragen. Setzen Sie klare Fristen und Erwartungen.  
  1. Legen Sie Review- und Ablauf-Logik der Vertrauensdokumente als Termine und Verantwortlichkeiten fest. Am besten direkt ab in die Kalender als To Do damit!

Zeit, Ihre Nachweisführung zu optimieren und Dokumente sicher austauschen.  

Wenn Sie Evidenzpakete pro Lieferant zentral führen, Versionen sauber nachhalten und Ablaufdaten aktiv steuern möchten, beraten wir Sie gerne! 

Kontakt aufnehmen

Weitere Themen

IT-Sicherheit

This is some text inside of a div block.

February 12, 2026

Leitfaden: Cybersecurity in der Lieferkette

In unserem Leitfaden erfahren Sie, wie Sie Vertrauensdokumente richtig einsetzen, um die Cybersecurity Ihrer Lieferkette zu erhöhen. Nutzen Sie den 7-Schritte-Ansatz zur risikobasierten Steuerung von Lieferkettenrisiken.

Produktion

Lieferketten

This is some text inside of a div block.

December 5, 2025

Supply-Chain-Strategien: Effizienz, Risiko­management & Nachhaltigkeit

Erfahren Sie, wie digitale Supply-Chain-Lösungen und SCM-Systeme Effizienz, Risiko­management und Nachhaltigkeit in Lieferketten verbessern.

Lieferketten

This is some text inside of a div block.

October 13, 2025

CSDDD vs. LkSG: Warum Digitalisierung jetzt unverzichtbar ist

CSDDD- und LkSG-Compliance: Warum digitale Plattformen die Zukunft der Lieferkettentransparenz sind.

Newsroom