Inhalt in Kürze
- Lieferantenbeziehungen sind 2026 ein Risikofaktor — laut Bitkom waren 73 Prozent der deutschen Unternehmen 2023 von Lieferunterbrechungen betroffen, meist wegen fehlender Transparenz im eigenen Lieferantenstamm.
- Sieben Strategien wirken im Mittelstand zuverlässig: schärfere Auswahlkriterien, klare KPIs, schriftliche SLAs, systematische Risikobewertung, Dual Sourcing für A-Teile, gemeinsame Innovationsroutinen und ein digitales Lieferantenportal.
- NIS2 verlangt seit 2024 von betroffenen Unternehmen eine dokumentierte Bewertung der Cyber-Resilienz kritischer Lieferanten — ein guter Anlass, das gesamte Supplier-Management aufzuräumen.
- Werkzeug zuletzt. Erst Prozess, dann KPI, dann Software — andersherum landen Sie bei einem teuren Tool, das niemand pflegt.
Wenn der Hauptlieferant ausfällt, steht oft die ganze Produktion. Das merken Hamburger Mittelständler nicht erst seit Corona oder dem Ukraine-Krieg — sondern jedes Mal, wenn ein einzelner kritischer Zulieferer plötzlich nicht mehr kann. Wir sehen bei unseren Kunden in Hamburg, Bremen und Schleswig-Holstein regelmäßig: Lieferantenmanagement wird als Excel-Hobby des Einkaufs behandelt, bis es zu spät ist.
Warum Lieferantenbeziehungen 2026 strategisch werden
Eine Bitkom-Studie zur Lieferketten-Resilienz zeigt, dass 73 Prozent der deutschen Unternehmen 2023 von Lieferunterbrechungen betroffen waren. In den meisten Fällen war nicht die globale Großwetterlage schuld, sondern fehlende Transparenz im eigenen Lieferantenstamm: niemand wusste, welcher Lieferant wirklich kritisch ist, welche Alternativen verfügbar wären und wie schnell man umstellen kann.
Hinzu kommt regulatorischer Druck. Die EU-Richtlinie NIS2 verpflichtet betroffene Unternehmen seit Oktober 2024, ihre Lieferkette systematisch auf Cyber-Risiken zu prüfen. Das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG) verlangt für Unternehmen ab 1.000 Mitarbeitern zusätzlich Menschenrechts- und Umweltsorgfalt. Wer Lieferantenmanagement bisher als Bauchgefühl behandelt hat, bekommt jetzt einen Realitätscheck.
Die gute Nachricht: Lieferantenmanagement ist kein Hexenwerk. Es ist Disziplin. Wer ein paar wenige Routinen sauber einführt, hat innerhalb eines Jahres signifikant weniger Reklamationen, niedrigere Beschaffungskosten und deutlich bessere Daten, wenn das nächste Audit kommt.
Strategie 1: Die richtigen Lieferanten auswählen
Die meisten Lieferantenbeziehungen werden im Einkauf zu Beginn falsch aufgesetzt — und reparieren lassen sich diese Fehler später nur mit großem Aufwand. Vor der ersten Bestellung gehört eine strukturierte Lieferantenqualifizierung mit klaren Kriterien dazu:
- Qualitätsnachweise: ISO 9001 als Pflicht, ISO 27001 bei IT-Lieferanten als Plus.
- Finanzielle Stabilität: Bonitätsauskunft, Jahresumsatz, Eigenkapitalquote.
- Geografisches Risiko: Single-Country-Sourcing ist heute ein No-Go.
- Compliance: DSGVO, Lieferkettengesetz, branchenspezifische Auflagen.
- Kultureller Fit: Reaktionszeit auf Angebot, Klarheit der Kommunikation, Ansprechpartner-Stabilität.
Vergeben Sie für jeden Punkt Score-Werte. Lieferanten, die unter einem definierten Schwellwert liegen, kommen nicht in den engeren Kreis — auch nicht, wenn der Preis verlockend ist. Genau diese Disziplin macht später den Unterschied zwischen „wir haben einen Lieferanten” und „wir haben einen Partner”.
Strategie 2: KPI-Set definieren — und tatsächlich messen
Was nicht gemessen wird, wird nicht besser. Vier Kennzahlen reichen für den Start:
| KPI | Was es misst | Zielwert (Richtwert KMU) |
|---|---|---|
| On-time-Delivery (OTD) | Anteil termingerechter Lieferungen | ≥ 95 % |
| Reklamationsquote | Mangelhafte Lieferungen / Gesamtlieferungen | ≤ 1 % |
| Reaktionszeit | Antwort auf Standardanfrage | ≤ 24 h |
| Preisindex | Preisentwicklung vs. Markt | ±0 bis −3 % |
Diese vier Werte landen monatlich in einem Lieferanten-Scorecard. Wer eine Microsoft 365-Umgebung hat, baut sich das in Power BI mit unter einem Tag Aufwand zusammen — die Daten kommen aus ERP, Wareneingang und CRM. Wichtig: Die Scorecard wird quartalsweise mit dem Lieferanten besprochen, nicht im stillen Kämmerlein abgeheftet.
Die meisten Mittelständler haben bessere Daten über ihre Kaffeemaschine als über ihre Top-10-Lieferanten. Das war 2015 noch okay. Heute ist es ein handfestes Risiko — gerade wenn NIS2 oder das Lieferkettengesetz greifen.
Strategie 3: SLAs statt Bauchgefühl
Ein Service Level Agreement (SLA) ist die schriftliche Übersetzung dessen, was Sie wirklich erwarten. Mündliche Zusagen sind nett — aber bei Streitigkeiten wertlos. Ein vernünftiges Lieferanten-SLA enthält:
- Leistungsbeschreibung mit messbaren Qualitätsmerkmalen.
- Liefertermine und Toleranzen (z. B. „spätestens 14 Werktage nach Bestellung, +0/−3 Tage").
- Reaktions- und Eskalationszeiten bei Problemen.
- Pönalen bei Nichteinhaltung (typisch: 0,2 % pro Verzugstag, max. 5 % der Auftragssumme).
- Datenschutz- und Geheimhaltungsklauseln (Auftragsverarbeitung nach Art. 28 DSGVO bei Datenzugriff).
- Audit-Recht für sicherheitsrelevante Lieferanten.
- Exit-Klausel mit klar geregelter Datenrückgabe und Übergangsfrist.
Bei IT-Lieferanten kommt eine Verfügbarkeitsgarantie hinzu (z. B. 99,5 % Monatsverfügbarkeit). Wer sich an einen Cloud-Partner aus Hamburg bindet, sollte das ebenfalls schriftlich fixieren — gerade weil hier sensible Geschäftsdaten im Spiel sind.
Strategie 4: Risikomanagement und Dual Sourcing
Ein Lieferant pro A-Teil ist eine Wette gegen die Realität. Das US-Office of the Director of National Intelligence nennt in seinem Annual Threat Assessment Lieferketten-Disruption als eines der Top-Risiken westlicher Industrien. Übersetzt für den Mittelstand heißt das: Dual Sourcing ist kein Luxus, sondern Versicherung.
- ABC-Analyse der Lieferanten: Welche Lieferanten machen 80 % Ihres Einkaufsvolumens oder Ihrer kritischen Bauteile aus? Diese sind A-Lieferanten — hier lohnt der Aufwand.
- Risiko-Bewertung pro A-Lieferant: Finanzkennzahlen, Standort, Single-Sourcing-Anteil, IT-Sicherheit, Compliance-Status. Score auf 1–5, jährlich aktualisieren.
- Zweitlieferanten qualifizieren: Für jeden A-Lieferanten einen Zweitlieferanten mindestens als Notfall-Bezugsquelle aufbauen. Kleine Pilotbestellungen halten die Beziehung warm.
- Notfallplan dokumentieren: Welcher Lieferant fällt wie schnell weg? Welcher Ersatz greift? Wer informiert Kunden? Einmal jährlich im Stresstest durchspielen.
Dual Sourcing kostet im Einkauf etwas Marge — typisch 2 bis 5 Prozent. Im Krisenfall ist diese Versicherungsprämie millionenfach wertvoll.
Strategie 5: Aus Lieferanten Partner machen
Die wirklich wertvollen Lieferanten erkennt man daran, dass sie Probleme melden, bevor Sie sie merken. Diese Qualität entsteht nicht durch jährliche Preisverhandlungen, sondern durch echte Partnerschaftsroutinen:
- Quartals-Reviews mit Scorecard-Besprechung und gemeinsamer Maßnahmenliste
- Innovations-Workshops einmal pro Jahr — Lieferant zeigt seine Roadmap, Sie zeigen Ihre
- Verbesserungs-Prämien bei nachgewiesener Einsparung oder Qualitätssteigerung
- Transparenz in beide Richtungen — Forecasts werden geteilt, nicht versteckt
Genau aus solchen Routinen entstehen die Ideen, mit denen Sie sich vom Wettbewerb abheben. Wer seine Lieferanten in Innovationsprozesse einbindet, profitiert messbar von deren Spezial-Know-how.
Strategie 6: Cyber-Risiken in der Lieferkette ernst nehmen
Ein Lieferant ist heute auch ein potenzielles Einfallstor. Sobald ein externer Dienstleister Zugriff auf Ihre Systeme, Daten oder Netzwerke hat, wird seine IT-Sicherheit zu Ihrer IT-Sicherheit. Genau hier setzt NIS2 an: Betroffene Unternehmen müssen die Cyber-Resilienz ihrer Lieferkette dokumentiert prüfen — Details in unserer NIS-2-Beratung Hamburg.
Konkrete Mindestanforderungen an sicherheitsrelevante Lieferanten:
- ISO 27001 oder vergleichbarer Standard (TISAX, BSI C5).
- Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bei Datenzugriff.
- Multi-Faktor-Authentifizierung auf allen Zugängen.
- Vorfallmeldepflicht mit definierter Reaktionszeit (typisch 24 h).
- Recht auf Audit oder zumindest jährliche Sicherheitsbestätigung.
Wir bei hagel IT haben das selbst getestet — in unserer Fallstudie zur Microsoft-Intune-Absicherung sehen Sie, wie 40 Arbeitsplätze und automatisierte Lieferanten-Zugänge dokumentiert abgesichert werden.
Wenn Ihr Unternehmen unter NIS2 fällt, müssen Sie die Sicherheit Ihrer kritischen Lieferanten nachweisen können. Das geht nicht ohne strukturiertes Lieferantenmanagement. Unser NIS2-Betroffenheits-Check zeigt in fünf Minuten, ob Sie betroffen sind.
Strategie 7: Digitalisieren — aber richtig
Excel ist robust, aber bei mehr als ~30 aktiven Lieferanten wird es zur Stolperfalle. Eine schlanke digitale Lösung schafft Ordnung, ohne dass Sie gleich ein SAP-Großprojekt aufsetzen müssen. Drei Optionen für den Mittelstand:
- SharePoint-/Teams-Portal mit Power Apps für die Lieferanten-Self-Service — funktioniert ab 20 Lieferanten und ist mit einer bestehenden Microsoft-365-Lizenz kostenneutral
- Spezialisierte SRM-Tools wie JAGGAER, Synertrade oder Sourcing.com — ab ca. 100 Lieferanten sinnvoll, monatliche Kosten ab 800 € aufwärts
- ERP-Modul (SAP Ariba, Microsoft Dynamics) — nur sinnvoll, wenn das ERP ohnehin Standard im Haus ist
Die Reihenfolge ist klar: Prozess zuerst, dann KPI, dann Tool. Wer ein Tool einführt, bevor er die Routinen geklärt hat, ärgert sich später über teure Lizenzen, die niemand pflegt.
Aus der Praxis: Hamburger Maschinenbau, 35 Mitarbeiter
Ein Hamburger Hydraulik-Spezialist kam mit einem klassischen Problem zu uns: zwei kritische Lieferanten lieferten seit Monaten unzuverlässig, niemand hatte einen Überblick über die Reklamationsquote, die Kommunikation lief in 14 E-Mail-Threads parallel. Ergebnis nach 90 Tagen mit ABC-Analyse, vier KPIs und schriftlichem SLA:
- OTD bei den beiden A-Lieferanten von 78 % auf 94 % gestiegen
- Reklamationen halbiert
- ein Zweitlieferant pro A-Teil qualifiziert
- gesamte Kommunikation in einem SharePoint-Portal gebündelt
Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.
Genau das Muster sehen wir bei Hamburger Mittelständlern in fast jedem Lieferanten-Audit. Mit klarer Methodik, ein paar wenigen KPIs und einem dezidierten Owner ist die Verbesserung in der Regel binnen Quartal sichtbar.
Wenn IT-Lieferanten zur Lieferkette gehören
Im Maschinenbau ist der Hersteller des Lagers ein Lieferant. Im modernen Mittelstand sind es zusätzlich Cloud-Provider, MSPs, Software-Hersteller und Beratungshäuser. Genau diese IT-Lieferanten werden bei der Lieferantenstrategie oft vergessen — obwohl ein Ausfall des Cloud-Backups in der Wirkung einem ausgefallenen A-Teil gleichkommt.
Unser Pragmatismus aus Hamburger Mittelstandsprojekten: IT-Lieferanten gehören in dieselbe Scorecard wie Material-Lieferanten. SLA, KPI, Risiko-Bewertung, Audit-Recht — alles wie sonst auch. Wer in Hamburg, Bremen, Kiel oder Lübeck einen IT-Partner sucht, der bei dieser Logik mitspielt, findet uns als Managed-IT-Partner aus Hamburg und im IT-Systemhaus Hamburg. Wir setzen die gleiche SLA-/KPI-Disziplin an die eigene Arbeit, die wir bei Ihnen empfehlen.
Für Standorte außerhalb Hamburgs läuft die Betreuung über unsere Niederlassungen — etwa als IT-Dienstleister Bremen oder im Großraum Kiel/Lübeck. Die SLA-Disziplin bleibt identisch.
Tools, Vorlagen, Praxis-Ressourcen
Wer mit dem Aufbau startet, braucht keine fertige Software — sondern Klarheit. Drei kostenlose Quellen:
- BME (Bundesverband Materialwirtschaft, Einkauf und Logistik): Vorlagen für Lieferantenbewertung und SLA-Templates
- BSI-Mindeststandard für sichere Lieferketten: PDF beim Bundesamt für Sicherheit in der Informationstechnik kostenlos erhältlich
- DIN ISO 28000 / ISO 31000: Internationale Normen für Lieferketten-Risikomanagement
Für die Tool-Auswahl im IT-Umfeld haben wir einen Ratgeber zum IT-Outsourcing zusammengestellt, der auch die Bewertung von externen Dienstleistern abdeckt — die Logik ist auf Lieferanten allgemein übertragbar.
- ABC-Analyse aller aktiven Lieferanten dokumentiert (max. ein Jahr alt).
- Pro A-Lieferant ein qualifizierter Zweitlieferant verfügbar.
- Vier Kern-KPIs (OTD, Reklamationen, Reaktionszeit, Preisindex) monatlich gemessen.
- SLAs für alle A- und kritischen B-Lieferanten schriftlich vorhanden.
- Quartalsweise Scorecard-Reviews mit den A-Lieferanten.
- Risiko-Register je A-Lieferant aktuell (Finanzen, Standort, IT-Sicherheit).
- NIS2-Anforderungen an IT-Lieferanten geprüft und dokumentiert.
- Notfallplan bei Ausfall A-Lieferant existiert und wurde getestet.
- Digitales Lieferantenportal oder strukturierte Verwaltung statt Excel-Wildwuchs.
Ihr nächster Schritt
Im 15-minütigen Erstgespräch sortieren wir, wo bei Ihren IT-Lieferanten die größten Risiken liegen — und was sich mit wenig Aufwand verbessern lässt. Sie bekommen eine ehrliche Einschätzung mit konkreten Optionen, kein Vertriebs-Pitch.
Lieferanten-IT systematisch aufstellen? Sprechen Sie mit uns.
15 Minuten. Kostenlos. Wir prüfen, wo bei Ihren IT-Lieferanten die größten Risiken liegen — und was sich mit wenig Aufwand verbessern lässt.
Erstgespräch buchen →