Jeder Beschaffungsleiter weiß, welchen Wert die Inhalte eines Vertrags haben. Preisgrenzen. Verhandlungsstrategien. Lieferantenbeziehungen. Ausstiegsoptionen. In vielerlei Hinsicht ist dies eine Art Landkarte Ihrer Wettbewerbs-DNA. Und wenn Sie einen Anbieter von Beschaffungsdaten zur Analyse dieser Daten nutzen, gibt es eine Frage, die Sie stellen sollten, die die meisten Menschen jedoch nie stellen.
Wer hat es noch gesehen?
Ein Branchengeheimnis, das es wert ist, näher betrachtet zu werden
Immer mehr Unternehmen im Bereich Beschaffungsanalysen stützen ihr Geschäftsmodell auf freiberufliche Mitarbeiter. Dabei handelt es sich um 1099-Mitarbeiter, die auf Projektbasis beauftragt werden, um Ihre Verträge zu analysieren, Ihre Ausgabendaten zu prüfen und in Ihrem Auftrag Marktinformationen zu erarbeiten.
Es lohnt sich, einmal darüber nachzudenken, was das in der Praxis eigentlich bedeutet.
Der Grund, warum manche Unternehmen dieses Modell eingeführt haben, ist einfach: Es ist kostengünstiger. Freiberufler verursachen deutlich geringere Kosten als Festangestellte. Es fallen keine Sozialleistungen, keine Gemeinkosten und keine langfristigen Verpflichtungen an. Für ein Unternehmen im Bereich Beschaffungsanalysen kann die Abwicklung von Aufträgen über eine Belegschaft aus Freiberuflern die Gewinnmargen erheblich verbessern. Was bei dieser Kalkulation jedoch nicht berücksichtigt wird, ist das Risiko, das dadurch direkt auf die Kunden übertragen wird. Die geschäftliche Entscheidung, die sich positiv auf das Unternehmensergebnis auswirkt, ist dieselbe, die Ihre Daten gefährdet.
Diese Auftragnehmer sind keine Mitarbeiter des von Ihnen beauftragten Unternehmens. Sie arbeiten außerhalb der kontrollierten Infrastruktur dieses Unternehmens. Sie nutzen private Geräte in privaten Netzwerken, ohne dass eine Überwachung auf Unternehmensniveau stattfindet, ohne dass Richtlinien zur Datenverwaltung durchgesetzt werden und ohne dass eine organisatorische Rechenschaftspflicht dafür besteht, was mit Ihren Daten geschieht, sobald der Auftrag beendet ist.
Und hier ist der Punkt, der jedem Verantwortlichen im Beschaffungs- oder Sicherheitsbereich zu denken geben sollte: Viele dieser Auftragnehmer arbeiten gleichzeitig für mehrere Unternehmen. Ihre Daten und die Daten eines Mitbewerbers könnten zur gleichen Zeit über dieselbe Person und denselben Laptop laufen. Nicht, weil jemand dies beabsichtigt hätte. Sondern einfach, weil das Modell dies zulässt.
Was dies aus Sicht des TPRM bedeutet
Das Risikomanagement bei Drittanbietern ist notwendig, da Ihre Sicherheitslage nur so stark ist wie das schwächste Glied in Ihrer Lieferantenkette. Die meisten Unternehmen verfügen über ausgereifte Rahmenwerke zur Bewertung der Lieferanten, mit denen sie direkt Verträge abschließen. Weitaus weniger machen sich jedoch ausreichend Gedanken darüber, wohin ihre Daten gelangen, sobald sie die Hände dieses Lieferanten verlassen.
Wenn ein Beschaffungsberatungsunternehmen Ihren Auftrag über einen 1099-Auftragnehmer abwickelt, gelangen Ihre Daten faktisch an einen vierten Beteiligten. Jemand, den Ihr Sicherheitsteam nie überprüft oder bewertet hat und über den es keinerlei Einblick besitzt. Dieser Auftragnehmer taucht nicht in Ihrem Lieferantenrisikoregister auf. Er hat Ihren Sicherheitsfragebogen nicht ausgefüllt. Er wurde nicht anhand eines Ihnen bekannten Rahmenwerks geprüft.
Aus Sicht des TPRM stellt dies eine erhebliche Lücke dar. Das von Ihnen beauftragte Unternehmen verfügt zwar möglicherweise über eine SOC-2-Zertifizierung auf Plattformebene, doch die SOC-2-Zertifizierung gilt nicht für die Mitarbeiter des Auftragnehmers in deren Heimbüros. Die Zertifizierung gilt für das Unternehmen und die von ihm kontrollierten Systeme. Sobald Ihre Daten diese Umgebung verlassen, endet der Geltungsbereich.
Sollte Ihr Lieferantenrisikoprogramm einen Subunternehmer identifizieren, der nicht Ihren Sicherheitsstandards entspricht, sollte dieses Modell genau dieses Gespräch anstoßen.
Das Problem der Cyberversicherung, über das niemand spricht
An dieser Stelle wird die Risikobewertung noch heikler.
Cyber-Versicherungspolicen werden auf der Grundlage von Annahmen darüber abgeschlossen, wie Daten verarbeitet, gespeichert und geschützt werden. Die meisten Policen enthalten Bestimmungen zur Datenverarbeitung durch Dritte, zur Überwachung von Subunternehmern sowie zu den Sicherheitsmaßnahmen, die über den gesamten Datenlebenszyklus hinweg gelten.
Ein Modell, bei dem Kundendaten routinemäßig von nicht überprüften externen Auftragnehmern auf nicht überwachten privaten Geräten außerhalb einer SOC-2-konformen Umgebung verarbeitet werden, ist genau die Art von Risiko, die Versicherer zur Zurückhaltung veranlasst. Im Falle eines Datenvorfalls wird ein Versicherer nicht nur fragen, ob Ihr Dienstleister über eine Richtlinie verfügte. Er wird wissen wollen, ob der tatsächliche Umgang mit Ihren Daten den in Ihrer Richtlinie festgelegten Standards entsprach.
Wenn Ihr Anbieter von Beschaffungsinformationen nicht nachweisen kann, dass jede Person, die mit Ihren Daten zu tun hatte, in einer kontrollierten, geprüften Umgebung auf Unternehmensniveau gearbeitet hat, könnte sich herausstellen, dass Ihr Schutz weniger umfassend ist, als Sie angenommen haben – gerade dann, wenn Sie ihn am dringendsten benötigen.
Warum ich mich für Grünkohl entschieden habe
Ich war jahrelang als Chief Procurement Officer bei Fortune-20-Unternehmen tätig. Bei der Bewertung von Anbietern spielte die Datensicherheit keine untergeordnete Rolle – sie war ein zentraler Faktor. Ich habe an genügend Besprechungen mit den Teams für Informationssicherheit und der Rechtsabteilung teilgenommen, um zu wissen, dass das Risiko selten dort liegt, wo man es erwartet. Es geht fast nie auf eine spektakuläre Sicherheitsverletzung zurück. Es entsteht vielmehr durch eine strukturelle Lücke, an deren Schließung niemand gedacht hat.
Als ich Anbieter von Beschaffungsinformationsdiensten evaluierte, kam das Modell mit 1099-Auftragnehmern überhaupt nicht in Frage. Nicht wegen des Anscheins, sondern wegen der operativen Auswirkungen auf die Datenverwaltung, das TPRM-Risiko und das Versicherungsrisiko.
Bei Green Cabbage ist jeder Analyst, der mit Kundendaten arbeitet, ein festangestellter Mitarbeiter, der in unserer sicheren, überwachten Umgebung tätig ist. Keine Leiharbeitskräfte. Keine Dritten. Keine privaten Geräte. Unsere OneWorkspace-Plattform läuft auf einer SOC-2-konformen Infrastruktur mit Zugriffskontrollen, Authentifizierung und Überwachung auf Unternehmensniveau über den gesamten Projektzyklus hinweg – nicht nur auf Plattformebene, sondern in jedem einzelnen Schritt der Analyse.
Das ist kein Marketingversprechen. Es ist eine architektonische Entscheidung, die zeigt, wie ernst wir die Daten nehmen, die uns unsere Kunden anvertrauen.
Die Fragen, die Sie Ihrem Lieferanten stellen sollten
Wenn Sie derzeit mit einem Anbieter von Beschaffungsinformationen zusammenarbeiten oder gerade einen solchen Anbieter prüfen, sollten Sie folgende Fragen direkt stellen:
- Sind Ihre Analysten festangestellte Mitarbeiter oder freiberufliche Mitarbeiter?
- Wenn es sich um Auftragnehmer handelt, arbeiten diese gleichzeitig mit anderen Firmen zusammen?
- Wo werden Kundendaten während der Analyse physisch gespeichert?
- Gilt Ihre SOC-2-Zertifizierung für den gesamten Datenverarbeitungsablauf, einschließlich der Arbeitsplätze der Analysten?
- Welche KI-Tools verwenden Ihre Analysten gegebenenfalls, und unterliegen diese Tools den unternehmensweiten Datenvereinbarungen?
Wenn ein Lieferant diese Fragen nicht klar und überzeugend beantworten kann, ist das Ihre Antwort.
Ihre Beschaffungsdaten gehören zu den sensibelsten strategischen Informationen, über die Ihr Unternehmen verfügt. Sie verdienen es, vom Zeitpunkt ihrer Weitergabe bis zum Abschluss des Geschäfts entsprechend behandelt zu werden.
Chad Johnson ist ehemaliger Chief Procurement Officer eines Fortune-20-Unternehmens und derzeit als Regional Vice President of Sales bei Green Cabbage tätig, dem weltweit führenden Anbieter von Procurement Intelligence. Green Cabbage betreut mehr als 2.500 Kunden in den Bereichen Technologie, externe Arbeitskräfte, Marketing sowie Reise- und Spesenabrechnung. Alle Kundenprojekte werden von festangestellten Mitarbeitern über die SOC-2-konforme OneWorkspace-Plattform abgewickelt.