Cyber-Risikomanagement für Drittparteien: Ein umfassender Leitfaden für das Management Ihres erweiterten Unternehmens

Kritische Aspekte des Drittanbieter-Cyberrisikomanagements

In der heutigen vernetzten digitalen Wirtschaft reicht Ihr Drittanbieter-Netzwerk weit über den direkten Einflussbereich Ihrer Organisation hinaus. Jeder Cloud-Dienst, SaaS-Anbieter und Partner stellt eine potenzielle Schwachstelle dar. Aktuelle Studien zeigen, dass fast jede dritte Datenpanne auf einen Drittanbieter-Vektor zurückzuführen ist, wobei die meisten Software- oder Technologieanbieter betreffen. Da Organisationen heute auf Hunderte, manchmal Tausende von Lieferanten angewiesen sind, ist die digitale Lieferkette zu einer kritischen Expositionsquelle und einem wachsenden Anliegen für Vorstände und Regulatoren geworden.

Frameworks wie die G7-Grundelemente für das Drittanbieter-Cyberrisikomanagement und der Digital Operational Resilience Act der EU fordern eine stärkere Governance, kontinuierliche Überwachung und Transparenz in der gesamten IKT-Lieferkette. Traditionelle compliance-basierte Ansätze zum Drittanbieter-Risikomanagement, die auf punktuellen Fragebögen und Ad-hoc-Audits basieren, reichen jedoch nicht aus. Bei C-Risk befürworten wir, dass große Organisationen ein datengetriebenes, quantitatives Modell übernehmen, das die Cyberexposition von Lieferanten in finanzielle Begriffe übersetzt und so dabei hilft, Maßnahmen zu priorisieren, Budgets zuzuweisen und die Resilienz des gesamten Ökosystems zu stärken.

Die Explosion von Cyberrisiken im erweiterten Unternehmen

Das Verständnis von Drittanbieter-Risiken ist ein integraler Bestandteil jeder Informationssicherheitsstrategie. Laut einer Cyber-Versicherungsumfrage aus dem Jahr 2024 waren 40 % der von Versicherern gemeldeten Schadensansprüche mit einem Drittanbieter verbunden. Und bis 2023 hatten 98 % der Organisationen mindestens einen Drittanbieter in ihrem Netzwerk, der bereits Opfer einer Datenpanne geworden war. Der MOVEit-Vorfall von 2023 verdeutlichte eindrücklich, wie Angriffe auf Lieferantensysteme sich nach außen ausbreiten und Kunden treffen können, die nicht direkt Ziel des Angriffs waren.

Die meisten Drittanbieter haben ihrerseits Dritt- und Viertanbieter, was bedeutet, dass sich Schwachstellen auf unerwartete Weise ausbreiten können. McKinsey warnt, dass Organisationen nicht nur Drittanbieter, sondern auch solche verwalten müssen, die mehrere Ebenen entfernt sind: „Moderne Technologie-Lieferketten ähneln überhaupt nicht wirklich Ketten. Tatsächlich gleichen sie eher dreidimensionalen Spinnennetzen, deren Fäden miteinander verbunden und voneinander abhängig sind, wobei einige weit vom Unternehmen selbst entfernt sind."

Ebenso identifiziert das Weltwirtschaftsforum Lieferketteninterdependenzen als einen führenden Faktor in der Cybersicherheitskomplexität und stellt fest, dass viele Organisationen Schwierigkeiten haben, die Transparenz über mehrstufige Lieferantennetzwerke aufrechtzuerhalten.

Regulatorische Erwartungen entwickeln sich zur Bewältigung systemischer Drittanbieter-Herausforderungen

Um den wachsenden Interdependenzen im erweiterten Unternehmen zu begegnen, haben Regulatoren und internationale Gremien neue Frameworks und Leitlinien eingeführt, die Erwartungen an das Drittanbieter- und IKT-Lieferkettenrisikomanagement formalisieren. Der Digital Operational Resilience Act (DORA) der EU, die NIS2-Richtlinie, die G7-Grundelemente für das Drittanbieter-Cyberrisikomanagement und die US-amerikanische behördenübergreifende Leitlinie zu Drittanbieterbeziehungen verfolgen ein gemeinsames Ziel: Governance zu stärken, kontinuierliche Aufsicht zu gewährleisten und die operative Resilienz in komplexen Drittanbieter-Ökosystemen zu verbessern.

Diese Initiativen betonen gemeinsam, dass das Drittanbieter-Cyberrisikomanagement proaktiv, kontinuierlich und in die Unternehmens-Governance integriert sein muss:

• Kontinuierliche Überwachung und Resilienz by Design: DORA und NIS2 erfordern eine kontinuierliche Aufsicht über IKT- und Drittanbieter
• Integration in Governance-Frameworks: Vorstände und Senior Management müssen die Verantwortung für die Drittanbieter-Resilienz übernehmen
• Dynamisches Risikomanagement: Beide Vorschriften fordern eine Neubewertung von Lieferanten bei veränderten Umständen
• Systemisches Bewusstsein: Sowohl DORA als auch die G7-Grundelemente betonen die Überwachung von Konzentrations- und systemischen Risiken bei gemeinsam genutzten Lieferanten
• Zusammenarbeit und Informationsaustausch: Unternehmen werden ermutigt, Incident Response zu koordinieren und Bedrohungsinformationen mit Kollegen, Regulatoren und Lieferanten zu teilen

Über diese Frameworks hinweg ist ein gemeinsames Thema klar zutage getreten: Regulatoren bewegen sich weg von der punktuellen Compliance hin zu einer kontinuierlichen, risikobasierten Aufsicht über Drittanbieter. Für viele Organisationen bleibt es jedoch eine Herausforderung, diese Grundsätze in messbare, umsetzbare Programme zu übersetzen.

Aufbau einer risikobasierten Methodik für das Drittanbieter-Cyberrisiko

Kartierung und Klassifizierung Ihres Drittanbieter-Ökosystems

Ein risikobasierter Ansatz beginnt mit der Gewinnung von Transparenz über alle Drittanbieter und der Etablierung einer ganzheitlichen Methodik über Ihre gesamte Drittanbieter-Landschaft. Viele Organisationen operieren mit fragmentierten Lieferantendaten, die über Beschaffung, IT und Geschäftsfunktionen verstreut sind, was es schwierig macht, kritische Abhängigkeiten und Interdependenzen zu verstehen. Darüber hinaus führt das Fehlen einer einheitlichen Drittanbieter-Risikomanagement-Methodik zu doppelten Bemühungen sowie Lücken in der Aufsicht und Priorisierung.

Das erste Ziel ist die Konsolidierung eines einheitlichen, dynamischen Inventars aller Drittanbieter im gesamten Unternehmen. Dieses Inventar sollte jeden Drittanbieter mit den Geschäfts-Assets, Daten und Prozessen verknüpfen, auf die er Zugriff hat. Durch die Ausrichtung von Lieferanteninformationen an Geschäftsauswirkungen und Informationsflüssen können Organisationen die erste Triage-Ebene etablieren und so identifizieren, welche Beziehungen eine tiefergehende Bewertung und kontinuierliche Überwachung erfordern.

Quantitative Risikobewertungen für datengetriebene Priorisierung

Sobald Drittanbieter kartiert und klassifiziert sind, benötigen Organisationen eine konsistente Methode zur Bewertung des Risikos jeder Beziehung. Hier scheitern heute viele Programme: Fragmentierte Taxonomien und Bewertungsmodelle über Beschaffung, IT-Sicherheit und Geschäftsfunktionen hinweg erschweren den Vergleich oder die Aggregation von Lieferantenbewertungen. Ein quantitativer Ansatz begegnet diesem Problem, indem er finanzielle Messung in die Drittanbieter-Risikobewertung einführt. Durch die Verknüpfung der Rolle jedes Lieferanten, seines Zugangs zu kritischen Assets und seines Abhängigkeitsgrades mit Verlustszenarien können Organisationen die finanzielle Exposition im Zusammenhang mit einer potenziellen Datenpanne oder Unterbrechung abschätzen. Dies ermöglicht eine datengetriebene Sicht auf das Risiko im gesamten Ökosystem zur Unterstützung von Priorisierung, Budgetallokation und Berichterstattung auf Vorstandsebene.

Ein FAIR-Ansatz für TPRM

Frameworks wie FAIR (Factor Analysis of Information Risk) machen diese Quantifizierung praktikabel, indem sie Drittanbieter-Risiken in zwei messbare Komponenten zerlegen: die Wahrscheinlichkeit eines Ereignisses und das Ausmaß des finanziellen Verlusts, wenn es eintritt.

Die Szenariodefinition für Drittanbieter beginnt mit der Identifizierung des Assets oder Geschäftsprozesses, den der Lieferant unterstützt, der Definition des relevanten Bedrohungsereignisses und der Schätzung der potenziellen Auswirkungen, wenn dieses Ereignis eintritt. Dieser asset-basierte Ansatz stellt sicher, dass die Verlustexposition reale Geschäftsabhängigkeiten widerspiegelt und nicht abstrakte Lieferantenrisikobewertungen.

Lieferantenrisiko kontextualisieren

Angewandt auf Drittanbieter-Risiken bedeutet dies die Modellierung von Szenarien wie Datenpannen oder Serviceunterbrechungen basierend auf der Rolle eines Lieferanten und den von ihm unterstützten Geschäfts-Assets.

Ein quantitativer Ansatz zeigt, dass Risiko nicht proportional zum Vertragswert ist:

Ein relativ kleiner Cloud-Anbieter, der Kundendaten hostet, könnte die Organisation bei einer Kompromittierung Millionen-Euro-Verlusten aussetzen, während ein großer Marketinganbieter mit begrenztem Datenzugang minimale finanzielle Auswirkungen darstellen könnte.

Durch die Darstellung der Exposition in finanziellen Begriffen können Organisationen Aufsicht und Minderung nach potenziellen Auswirkungen auf das Geschäftsergebnis priorisieren – und nicht nach der Größe der Drittanbieter-Beziehung.

FAIR-TAM Drittanbieter-Erweiterung

In Anerkennung der Tatsache, dass Lieferanten- und Lieferkettenrisiken zusätzliche Unsicherheit mit sich bringen, hat das FAIR Institute FAIR-TAM™ (Third-Party Assessment Model) als Erweiterung eingeführt, um Drittanbieter-Cyberrisiken besser analysieren zu können. FAIR-TAM wendet die Kernlogik von FAIR auf Lieferantenbeziehungen an, indem es risikobasierte Priorisierung, kontinuierliches telemetriegestütztes Monitoring und umsetzbare Minderungsplanung kombiniert. Anstatt auf statische Fragebögen oder oberflächliche Scans zu vertrauen, betont FAIR-TAM die Bewertung, wie viel Verlust der Zugang oder die Integration eines Lieferanten verursachen könnte, die Modellierung, wie Kontrollen diese Exposition reduzieren, und die Fokussierung begrenzter Ressourcen dort, wo sie die Resilienz stärken.

Operative Umsetzung eines effektiven Cyber-TPRM-Programms

Die Etablierung einer risikobasierten Methodik ist nur der erste Schritt. Sie in ein operatives und nachhaltiges Programm zu verwandeln, erfordert robuste Governance, klare Verantwortlichkeit und die richtigen technologischen Enabler. In der Praxis scheitern viele Organisationen nicht, weil es ihnen an Frameworks mangelt, sondern weil die Verantwortung fragmentiert, Zuständigkeiten unklar und manuelle Prozesse nicht mit dem Umfang und der Komplexität heutiger Drittanbieter-Ökosysteme Schritt halten können.

Die Organisation für ein effektives Drittanbieter-Cyberrisikomanagement strukturieren

Ein effektives TPRM-Governance-Framework sollte die Corporate Governance widerspiegeln: Rechenschaftspflicht, definierte Entscheidungswege und messbare Aufsicht.

In reifen Programmen werden die Verantwortlichkeiten auf einen Lenkungsausschuss verteilt, der IT, Recht, Beschaffung und Risikomanagement zusammenbringt. Beispielsweise stellt der COO die Ausrichtung an der Unternehmensstrategie sicher, der CISO überwacht das operative Risikomanagement, während der DPO und der General Counsel die Compliance mit Datenschutz- und Vertragsklauseln gewährleisten.

Diese multidisziplinäre Governance stellt sicher, dass Cyber-TPRM zu einem festen Tagesordnungspunkt in Unternehmensrisikoausschüssen wird und keine isolierte IT-Kontrolle bleibt.

Ein strukturiertes Modell bietet Eigentümerschaft, Eskalationswege und KPIs wie Lieferantenabdeckungsrate, Anzahl der geminderten Hochrisikolieferanten und mittlere Zeit zur Behebung von Drittanbieter-Befunden.

Tools und Technologien zur Automatisierung des Drittanbieter-Risikomanagements

Trotz wachsender Investitionen in Drittanbieter-Risikoprogramme bleiben die Ergebnisse inkonsistent. Gartner berichtet, dass 75 % der Sicherheits- und Risikoverantwortlichen heute mehr Zeit für das Drittanbieter-Cybersicherheitsmanagement aufwenden als 2021, während Vorfälle, die zu Geschäftsunterbrechungen führen, im gleichen Zeitraum um 45 % gestiegen sind. Dieses Paradoxon verdeutlicht eine zentrale Einschränkung traditioneller Ansätze: Manuelle, punktuelle Bewertungen können mit der Komplexität und Geschwindigkeit heutiger digitaler Lieferketten nicht Schritt halten.

Automatisierung und Datenintegration sind unerlässlich, um Transparenz, Konsistenz und Geschwindigkeit über den gesamten Drittanbieter-Risikolebenszyklus aufrechtzuerhalten. Bei C-Risk empfehlen wir, dass ein Drittanbieter-Tool Outside-in-Intelligence, kontinuierliche Maßnahmenbewertung und quantitative Analysen auf Basis des FAIR-Modells kombiniert, um Daten in umsetzbare Erkenntnisse über Funktionen hinweg zu verwandeln. Diese Fähigkeiten ermöglichen Organisationen:

• Lieferanten zu zentralisieren und Drittanbieter automatisch kritischen Geschäfts-Assets und Datenflüssen zuzuordnen
• Die externe Sicherheitsstrategie von Lieferanten kontinuierlich durch Security-Rating-Feeds, Bedrohungsinformationen und Schwachstellen-Telemetrie zu überwachen
• Exposition in finanziellen Begriffen zu quantifizieren, indem Cyber-Bedrohungsdaten mit FAIR-basierten Verlustszenarien verknüpft werden und hervorgehoben wird, wo Risikoreduktion den größten Return on Investment erzielt
• Neubewertungen zu automatisieren, wenn sich Lieferantenumstände, Technologien oder Expositionsniveaus ändern, im Einklang mit den Anforderungen von DORA und NIS2 zur kontinuierlichen Aufsicht

Tooling ersetzt kein menschliches Urteilsvermögen – es unterstützt datengetriebene Entscheidungsfindung im großen Maßstab. Durch die Konsolidierung des Drittanbieter-Risikomanagements im gesamten Unternehmen und die Anwendung quantitativer Modelle wechseln Organisationen von reaktiver Compliance zu proaktiver, datengetriebener Aufsicht. Gemessene Risikobewertungen ermöglichen es Sicherheits- und Beschaffungsteams, Drittanbieter nach realer Exposition und nicht nach Annahmen zu priorisieren – was sowohl Resilienz als auch operative Effizienz stärkt und sicherstellt, dass menschliche Expertise dort eingesetzt wird, wo sie den größten Wert schafft.

Cyber-TPRM als Treiber von Resilienz und Geschäftswert

Wirksamkeit messen und Wert nachweisen

Anstatt TPRM als Kostenstelle zu betrachten, sehen führende Organisationen es heute als messbare Investition in operative Resilienz. Das FAIR-Modell und seine Erweiterungen wie FAIR-TAM ermöglichen es, Drittanbieter-Cyberrisiken in finanziellen Begriffen auszudrücken und technische Kontrolldaten in Geschäftskennzahlen zu verwandeln, die Führungskräfte verstehen.

Durch die Integration dieser Modelle in kontinuierliche Bewertungs-Workflows können Organisationen die Risikoexpositionsreduzierung und Kontrollwirksamkeit im Zeitverlauf verfolgen – genauso wie sie die Finanzleistung überwachen. Die Quantifizierung von Drittanbieter-Risiken ermöglicht eine gemeinsame Sprache zwischen Cybersicherheit, Beschaffung und Finanzen und befähigt zu datengetriebenen Entscheidungen darüber, wo für den höchsten Return on Risk Reduction investiert werden soll.

Diese Verschiebung hin zu messbarem Wert schafft die Voraussetzungen für die Quantifizierung des Return on Investment in Cyber-TPRM – und zeigt nicht nur, wie Risiken reduziert werden, sondern wie jeder investierte Euro in verbesserte Resilienz und vermiedene Verluste übersetzt wird.