Neubewertung von Drittparteienrisiken: Warum Checkbox-Compliance nicht ausreicht

Von Compliance zu Priorisierung: Messen, was man steuert

Drittparteienrisiken wachsen schneller, als die meisten Organisationen sie messen können. Unternehmen arbeiten mit mehr externen Partnern als je zuvor, verlassen sich auf sie für kritische Geschäftsprozesse und übertragen ihnen den Umgang mit sensiblen Daten. Dennoch sind viele Programme zum Drittparteienrisikomanagement (TPRM) weiterhin stark compliance-getrieben und fragmentiert über Geschäftsbereiche, Einkauf, IT und Risikoteams hinweg organisiert.

Die Annahme, dass Compliance gleichbedeutend mit Resilienz sei, ist falsch. Punktuelle Bewertungen von Drittparteien erfüllen zwar formale Anforderungen, zeigen jedoch nicht, wie sich ein Sicherheitsvorfall konkret auf das eigene Unternehmen auswirken würde. Obwohl Enterprise-Risk-Management-Teams (ERM) zunehmend Zeit und Ressourcen in das Drittparteienrisikomanagement investieren, bleibt eine echte risikobasierte Priorisierung selten. Laut Gartner geben nur 19 % der ERM-Teams an, dass ihre Risikosichten effektiv priorisiert sind. Das Kernproblem ist der Mangel an aussagekräftiger Messbarkeit.

Ein risikobasierter, quantitativer Ansatz ermöglicht integrierte und funktionsübergreifende Entscheidungen, indem operative, cyberbezogene und geschäftliche Erkenntnisse rund um messbare Risikopositionen zusammengeführt werden.

Die Grenzen von Compliance für ein robustes Drittparteienrisikomanagement

Dokumentationen, Audits und Sicherheitsfragebögen bleiben unverzichtbar, sollten jedoch lediglich den Ausgangspunkt darstellen. Die meisten TPRM-Programme stützen sich weiterhin stark auf diese Compliance-Instrumente und auf Sicherheitsbewertungen zur Beurteilung der Sicherheitslage von Lieferanten. Der Einkauf sammelt Fragebögen und Zertifikate, Sicherheitsteams analysieren Scores und Kontrolllücken. Sobald die Dokumentation geprüft und das Kästchen abgehakt ist, endet der Prozess häufig – oder wird nur einmal jährlich wiederholt.

Diese Bewertungen erzählen jedoch nur einen Teil der Geschichte. Fragebögen sind naturgemäß subjektiv: Ihre Qualität hängt davon ab, wer sie ausfüllt, wie Fragen interpretiert werden und wie transparent ein Anbieter bereit ist zu sein. Sicherheitsratings und automatisierte Scans erhöhen zwar die Objektivität, liefern jedoch ebenfalls nur eine Momentaufnahme der externen Sicherheitslage eines Anbieters.

Was diese Instrumente nicht messen, ist die Verknüpfung des Lieferantenrisikos mit dem eigenen Geschäft – also welche Anbieter Zugriff auf kritische Daten haben, essenzielle Geschäftsprozesse unterstützen oder umsatzrelevante Aktivitäten beeinflussen. Ohne diesen Kontext kann eine Organisation genauso viel Aufwand in die Überwachung eines Lieferanten mit geringer Auswirkung investieren wie in einen zentralen Dienstleister für kundenkritische Prozesse.

Die entscheidende Frage lautet daher:
„Wie viel Risiko stellt dieser Anbieter tatsächlich für unser Unternehmen dar?“

Fragmentierte Überwachung von Drittparteien

In vielen Organisationen werden Drittparteienbewertungen über verschiedene Funktionen und Einheiten hinweg gesteuert. Der Einkauf verantwortet Onboarding und Dokumentation, während einzelne Geschäftsbereiche oder Tochtergesellschaften eigene Lieferantenlisten, Bewertungskriterien und Risikotoleranzen pflegen. Jede Einheit sieht einen Teil des Gesamtbildes – aber niemand das Ganze.

Branchenstudien bestätigen diese Herausforderung. Laut Gartner verfügen die meisten Unternehmen zwar über formale Drittparteienrisikoprogramme, doch weniger als jedes fünfte priorisiert Risiken effektiv. Die Daten sind vorhanden, aber nicht entlang von Risikoposition oder Auswirkung strukturiert.

Der Schlüssel zur Effizienzsteigerung und Skalierung liegt darin, zu verstehen, welche Drittparteien für das Unternehmen aus Risiko- oder Ertragssicht am relevantesten sind. Erst durch die Zuordnung von Lieferanten zu kritischen Vermögenswerten, Datenflüssen und Prozessen lassen sich Compliance-Informationen in aussagekräftige, handlungsrelevante Erkenntnisse überführen.

Internationale Regulierungen prägen die Aufsicht über Drittparteienrisiken

In den letzten zehn Jahren haben Aufsichtsbehörden weltweit den Fokus auf das Management von Drittparteienrisiken deutlich verstärkt. Dies spiegelt die wachsende Abhängigkeit von externen Dienstleistern wider. Laut dem Cyber in Focus 2025-Bericht von WTW gehen 50 % der Datenschutzverletzungen auf Drittparteien zurück.

Die regulatorischen Rahmenwerke unterscheiden sich in Reichweite und Durchsetzung, basieren jedoch auf gemeinsamen Grundprinzipien: risikobasierte Aufsicht, Resilienz und nachweisbare Cyber-Governance.

Beispiele relevanter Regelwerke:

• NIS2-Richtlinie (EU): Erweitert die Verantwortung für Lieferketten- und Dienstleisterrisiken auf Betreiber wesentlicher und wichtiger Einrichtungen

• DORA (Digital Operational Resilience Act): Verpflichtet Finanzinstitute zur Überwachung von IKT-Drittparteien und unterstellt kritische Anbieter einer Aufsicht

• HIPAA (USA): Legt Sicherheits- und Datenschutzanforderungen für geschützte Gesundheitsdaten fest, einschließlich Pflichten für Drittparteien

• PCI DSS: Globaler Standard für den sicheren Umgang mit Zahlungskartendaten durch Organisationen und deren Dienstleister

• APRA CPS 230 (Australien): Stärkt Anforderungen an Outsourcing- und Drittparteienrisiken mit Fokus auf operative Resilienz

Gemeinsam erhöhen diese Regelwerke die Anforderungen an TPRM erheblich. Organisationen müssen ein unternehmensweites Lieferanteninventar pflegen, risikobasierte Programme betreiben und Governance sowie Überwachung über den gesamten Lebenszyklus nachweisen. Die praktische Herausforderung besteht darin, Sicherheitsressourcen gezielt einzusetzen – proportional zur Kritikalität der jeweiligen Beziehung.

Risikobasierte Priorisierung von Drittparteien

Regulierungen machen deutlich: Drittparteienrisiken müssen proportional zur Kritikalität gesteuert werden. Statt punktueller Bewertungen ist eine Methodik erforderlich, die misst, wie sehr ein Anbieter zur Resilienz und Leistungsfähigkeit des Unternehmens beiträgt – oder diese gefährdet.

Ein risikobasierter Ansatz ordnet jede Drittpartei den unterstützten Vermögenswerten, Daten und Prozessen zu. So entsteht die Grundlage für Priorisierung: Welche Beziehungen könnten bei einer Störung erhebliche finanzielle, operative oder reputative Schäden verursachen?

Sobald diese Abhängigkeiten transparent sind, wird Priorisierung datenbasiert. Organisationen können gezielt:

• Strategische Partner priorisieren und die Zusammenarbeit zur Stärkung der Resilienz intensivieren

• Einen kontinuierlichen Dialog etablieren und Veränderungen regelmäßig überwachen

• Für systemrelevante Anbieter (z. B. AWS, Microsoft 365, Google Cloud) ausgleichende Kontrollen implementieren

• Zu riskante Beziehungen begrenzen oder beenden, wenn kritische Vermögenswerte nicht ausreichend geschützt werden können

Ein klar definierter Risikoschwellenwert in geschäftlichen und finanziellen Größen macht diese Entscheidungen objektiv und nachvollziehbar.

Von Triage zu Quantifizierung: Objektiv messen, was zählt

Die erste Triage zeigt, welche Lieferanten kritisch sind. Die Quantifizierung zeigt, wie teuer eine Störung werden könnte.

Cyber Risk Quantification (CRQ) ermöglicht es, Risiken in finanziellen Größen auszudrücken und funktionsübergreifend abzustimmen. Anstelle subjektiver Kategorien wie „hoch“ oder „mittel“ werden Risiken mit den Geschäftszielen und der Risikobereitschaft abgeglichen.

Das FAIR-Modell (Factor Analysis of Information Risk) liefert hierfür einen konsistenten, datengetriebenen Rahmen zur Modellierung von Szenarien wie Datenschutzverletzungen, Serviceausfällen oder Ransomware-Angriffen. Es betrachtet zwei Kerndimensionen:

• Loss Event Frequency (LEF): Wie häufig tritt ein Ereignis auf?

• Loss Magnitude (LM): Wie hoch ist der finanzielle Schaden?

Quantifizierung stellt Annahmen häufig infrage.
Beispielsweise kann ein großer Cloud-Anbieter trotz hoher Abhängigkeit ein relativ geringes Restrisiko aufweisen – mit einer modellierten jährlichen Verlustexposition von etwa 800.000 €.
Eine kleine Marketingagentur hingegen kann bei geringem Vertragswert ein jährliches Risikopotenzial von 3 Mio. €verursachen, wenn sie personenbezogene Kundendaten verarbeitet.

Der FAIR-Ansatz zeigt klar: Nicht der Vertragswert, sondern Datensensitivität und Geschäftsauswirkung bestimmen das Risiko.

Operationalisierung eines quantitativen TPRM-Ansatzes

Die Herausforderung von CRQ liegt darin, eine aktuelle, quantifizierte Sicht auf Drittparteienrisiken aufrechtzuerhalten. TPRM muss sich von periodischen Bewertungen zu einem kontinuierlichen, datengestützten Prozess entwickeln.

FAIR-basierte Erweiterungen unterstützen diese Integration:

• FAIR-TAM: Anwendung von FAIR auf Drittparteienökosysteme

• FAIR-CAM und FAIR-MAM: Verknüpfung von Kontrollwirksamkeit und Materialität mit Risikomodellen

Gemeinsam ermöglichen sie eine konsistente, vergleichbare und kontinuierlich aktualisierte Sicht auf Drittparteienrisiken – ohne zusätzliche Komplexität.

ROI und geschäftlicher Nutzen eines quantitativen TPRM

Ein quantitativer Ansatz macht Wirksamkeit messbar. CRQ liefert eine finanzielle Basis zur Bewertung von:

• Reduktion drittparteienbezogener Vorfälle

• Verringerung der modellierten jährlichen Verlustexposition

• Bessere Allokation von Prüf- und Überwachungsressourcen

• Nachweisbaren Return on Security Investment (ROSI)

Organisationen, die FAIR einsetzen, berichten von besserer Priorisierung, schnelleren Maßnahmen und messbaren Effizienzgewinnen.