BES.1.3.1 — Gesamte Lieferkette
Sub-control of BES.1.3
Beschaffungsmanagement für Einkäufe KANN die gesamte Lieferkette inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten dokumentieren.
Sicherheitsvorfälle können nicht nur auf direkter Ebene entstehen, sondern werden häufig durch nachgelagerte Dienstleister oder Unterlieferanten verursacht – etwa wenn ein Unterauftragnehmer unzureichende Sicherheitsmaßnahmen umsetzt, kritische Softwarekomponenten fehlerhaft bezieht oder sensible Daten bei einem Subdienstleister unkontrolliert verarbeitet werden. Ein solches Ereignis könnte sich durch Lieferausfälle, den Einschleusung kompromittierter Hard- oder Software oder auch durch den Verlust von Betriebsgeheimnissen bemerkbar machen. Nur wenn eine Institution die gesamte Kette kennt, kann sie Schwachstellen lückenlos erkennen, Abhängigkeiten bewerten und im Bedarfsfall schneller reagieren, etwa indem bei Störungen alternative Bezugsquellen aktiviert werden. Die (ja fortlaufend zu gewährleistende) Dokumentation der gesamten Lieferkette ist allerdings auch mit großem Aufwand verbunden und setzt auch die Bereitschaft zur Mitwirkung in der gesamten Lieferkette voraus.
| Name | Value |
|---|---|
| target_object_categories | Einkäufe |
| documentation | Liste der Hersteller und Dienstleister |
| result | die gesamte Lieferkette |
| result_specification | inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten |
| action_word | dokumentieren |
| modal_verb | KANN |
| Name | Value |
|---|---|
| alt-identifier | 4aa61c74-cb3e-42ee-8217-ed9cabe74c3b |
| sec_level | erhöht |
| effort_level | 5 |
| tags | Lieferketten |
Auto-generated similarity matches — orientation only, verify before use. The score is the text-similarity confidence, not an authoritative crosswalk.
| Framework | Mapped control | Mapped control title | Match |
|---|---|---|---|
| GitHub Security Controls 🐙 | GH-DEP-01 | Dependency graph and alerts | |
| GitHub Security Controls 🐙 | GH-DEP-02 | Automated security updates | |
| GitHub Security Controls 🐙 | GH-DEP-03 | Dependency review gate | |
| GitHub Security Controls 🐙 | GH-DEP-04 | Pin and verify dependencies | |
| GitHub Security Controls 🐙 | GH-DEP-05 | Curated registries | |
| GitHub Security Controls 🐙 | GH-DEP-06 | SBOM per release | |
| GitHub Security Controls 🐙 | GH-DEP-07 | Licence gate | |
| GitHub Security Controls 🐙 | GH-DEP-08 | Sign and verify artifacts |
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "BES.1.3.1",
"parts": [
{
"id": "BES.1.3.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Einkäufe"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Liste der Hersteller und Dienstleister"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die gesamte Lieferkette"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "dokumentieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Beschaffungsmanagement für Einkäufe KANN die gesamte Lieferkette inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten dokumentieren."
},
{
"id": "BES.1.3.1_gdn",
"name": "guidance",
"prose": "Sicherheitsvorfälle können nicht nur auf direkter Ebene entstehen, sondern werden häufig durch nachgelagerte Dienstleister oder Unterlieferanten verursacht – etwa wenn ein Unterauftragnehmer unzureichende Sicherheitsmaßnahmen umsetzt, kritische Softwarekomponenten fehlerhaft bezieht oder sensible Daten bei einem Subdienstleister unkontrolliert verarbeitet werden. Ein solches Ereignis könnte sich durch Lieferausfälle, den Einschleusung kompromittierter Hard- oder Software oder auch durch den Verlust von Betriebsgeheimnissen bemerkbar machen. Nur wenn eine Institution die gesamte Kette kennt, kann sie Schwachstellen lückenlos erkennen, Abhängigkeiten bewerten und im Bedarfsfall schneller reagieren, etwa indem bei Störungen alternative Bezugsquellen aktiviert werden. Die (ja fortlaufend zu gewährleistende) Dokumentation der gesamten Lieferkette ist allerdings auch mit großem Aufwand verbunden und setzt auch die Bereitschaft zur Mitwirkung in der gesamten Lieferkette voraus."
}
],
"props": [
{
"name": "alt-identifier",
"value": "4aa61c74-cb3e-42ee-8217-ed9cabe74c3b"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Lieferketten"
}
],
"title": "Gesamte Lieferkette"
}