Wenn Drittanbieter zum Risiko werden: Ein belastbares Entscheidungsframework für das Third-Party Risk Management

Aufbau eines belastbaren Entscheidungsframeworks für Third-Party Risks

Ein belastbares Entscheidungsframework im Third-Party Risk Management basiert auf konsistenten, nachvollziehbaren und evidenzbasierten Entscheidungen. Um dies zu erreichen, müssen Organisationen von ad-hoc Vendor-Bewertungen zu einem strukturierten Framework übergehen, das klar definiert, wie Entscheidungen getroffen werden und warum bestimmte Risikobehandlungsoptionen gewählt werden.

Festlegung klarer, objektiver Kriterien für Anbieterentscheidungen

Ein belastbares Framework beginnt mit dem Ersatz vager qualitativer Einschätzungen durch objektive Daten, die Drittanbieter in einen klaren Kontext setzen. Zentrale Elemente sind typischerweise:

• Risikobelastung: inhärentes Risiko, Wirksamkeit der Kontrollen und Restrisiko

• Geschäftskritikalität: Zugriff des Anbieters auf Daten, Systeme oder umsatzgenerierende Aktivitäten

• Datensensitivität: Klassifizierung, regulatorischer Status, Datenvolumen und Aufbewahrungsdauer

• Regulatorische Anforderungen: branchenspezifische Vorgaben, die zusätzliche Verpflichtungen mit sich bringen

• Finanzieller Verlust: gemessen mithilfe quantitativer FAIR-basierter Methoden

Durch die Integration objektiver Daten – anstelle ausschließlich qualitativer Analysen – wird sichergestellt, dass Entscheidungen den finanziellen Impact sowie evidenzbasierte KPIs und KRIs berücksichtigen. Objektive Daten ermöglichen es funktionsübergreifenden Stakeholdern, Risiken unternehmensweit zu vergleichen, Konsens zu schaffen und Verzerrungen sowie Meinungsverschiedenheiten zu reduzieren.

Risikoklassifizierung und Entscheidungsunterstützung

Cyber Risk Quantification (CRQ) und das FAIR™-Modell stärken den Entscheidungsprozess erheblich. FAIR bietet eine strukturierte Methode, um Third-Party-Risiken in messbare Faktoren zu zerlegen, etwa Ereignishäufigkeit, Kontrollstärke und Schadenshöhe. Anstatt sich auf subjektive Einstufungen wie „hoch/mittel/niedrig“ zu verlassen, quantifiziert FAIR Risiken in finanziellen Größenordnungen und ermöglicht dadurch vergleichbare Bewertungen über Anbieter, Servicearten und Behandlungsoptionen hinweg.

CRQ reduziert Unsicherheiten, indem Intuition durch kalibrierte Schätzungen ersetzt wird, die auf Evidenz, verfügbaren Daten und dokumentierten Annahmen beruhen. Dieses analytische Niveau unterstützt Entscheidungen, die regulatorischer, prüferischer oder exekutiver Kontrolle standhalten. Darüber hinaus versetzt es Organisationen in die Lage:

• Behandlungsoptionen auf Basis von Kosten-Nutzen-Abwägungen zu bewerten (Verlustreduktion vs. Kosten für Kontrollen, Monitoring, Versicherung oder Anbieterwechsel)

• Entscheidungen mit der Risikobereitschaft abzugleichen, anhand finanzieller Schwellenwerte statt unscharfer qualitativer Scores

• Third-Party-Risiken konsistent zu priorisieren und Ressourcen dort einzusetzen, wo sie die größte Reduktion des erwarteten Verlusts bewirken

Durch die Integration von FAIR in Entscheidungsframeworks für Drittanbieter erhalten Organisationen eine belastbare, finanziell fundierte Grundlage für Risikoakzeptanz, -minderung, -transfer oder – falls erforderlich – Risikovermeidung.

Compliance und Governance als Grundlage für Entscheidungsbegründungen

Eine starke Governance im Third-Party Risk Management erfordert klar dokumentierte Entscheidungsrationalen. Governance-Gremien, Prüfer und Aufsichtsbehörden erwarten Transparenz darüber, wie anbieterbezogene Entscheidungen getroffen wurden.

• DORA (Digital Operational Resilience Act der EU) verlangt von Finanzunternehmen eine Dokumentation der Entscheidungsprozesse und Begründungen für IKT-Drittanbietervereinbarungen, einschließlich Due Diligence, Risikobewertung und Behandlungsentscheidungen.

• NIST SP 800-53 / NIST CSF erwarten dokumentierte Begründungen für Risikoakzeptanz, einschließlich der verwendeten Kriterien, geprüfter Alternativen und der Grundlage für die Genehmigung von Anbietern mit Restrisiko.

• ISO-27000-Familie betont dokumentierte Entscheidungskriterien und Begründungen, um sicherzustellen, dass Lieferantenauswahl, Onboarding und Risikobehandlung definierten und wiederholbaren Prozessen folgen.

Dokumentierte Entscheidungsrationalen stärken das Third-Party-Entscheidungsframework durch:

• Transparenz darüber, warum ein Anbieter genehmigt oder eskaliert wurde

• Prüfbarkeit von Risikoakzeptanz- und Behandlungsentscheidungen

• Konsistente Anwendung von Entscheidungskriterien über Teams hinweg

• Klare Ausrichtung zwischen Geschäftsanforderungen, Risikoposition und regulatorischen Verpflichtungen

Anwendung von Entscheidungsprinzipien im Third-Party Risk Framework

Entscheidungsprinzipien für belastbare Third-Party-Risikoentscheidungen

Ein belastbares Third-Party-Entscheidungsframework kann an die spezifischen Bedürfnisse einer Organisation angepasst werden. Bevor TPRM-spezifische Modelle betrachtet werden, lohnt sich ein Blick darauf, wie andere Organisationen Entscheidungsqualität grundsätzlich definieren.

Ein Beispiel ist das Modell „Good vs. Bad Decision Making“ von Coinbase. Obwohl es kein spezifisches TPRM-Framework ist, verdeutlicht es Verhaltensweisen, die zu besseren Entscheidungen in allen Bereichen führen:

• Wahrheitsorientierung

• Klare Definition der Entscheidungsträger

• Inklusive Informationsweitergabe statt Silodenken

• Minimierung unbewusster Verzerrungen

• Dokumentation der Rollen und Beiträge der Stakeholder

Diese Prinzipien sind besonders wertvoll, da TPRM-Entscheidungen häufig mehrere Stakeholder, konkurrierende Prioritäten sowie Abwägungen zwischen Sicherheit, Kosten und operativer Kontinuität beinhalten. Ein starkes TPRM-Framework sollte dieselbe Disziplin und Objektivität widerspiegeln.

Übertragung von Entscheidungsprinzipien auf ein Third-Party Risk Framework

Um Entscheidungen im Third-Party-Kontext belastbar zu machen, müssen Organisationen diese Prinzipien in einen strukturierten Prozess übersetzen, der klar definiert:

• Welche Inputs relevant sind: Datensensitivität, Systemzugriffe, Geschäftskritikalität

• Wie diese bewertet werden: Evidenz, Quantifizierung, Kontrollprüfungen

• Welche Entscheidungswege bestehen: akzeptieren, mindern, transferieren, vermeiden

• Wer was genehmigt: Risikoverantwortliche, Geschäftsleitung, Governance-Gremien

• Was dokumentiert werden muss: Begründung, Evidenz, Quantifizierungsannahmen

‍

Dies beginnt mit dem Aufbau und der Pflege eines priorisierten Anbieterinventars, bereits im Onboarding:

• Könnte dieser Anbieter das Geschäft bei einer Datenpanne, einem Ausfall oder einem operativen Vorfall wesentlich beeinträchtigen?

• Unterstützt dieser Anbieter direkt umsatzgenerierende oder kritische Prozesse?

Anschließend entwickeln Organisationen ein Risiko-Universum und eine Szenariobibliothek für die relevantesten Drittanbieter:

• Welche Szenarien sind angesichts der Rolle und Zugriffe des Anbieters am wahrscheinlichsten und folgenreichsten?

Sobald Risikoszenarien definiert und quantifiziert sind, werden Entscheidungen klarer:

• Sollten wir das Restrisiko akzeptieren, mindern, vermeiden oder transferieren?

Bei der Präsentation von Empfehlungen gegenüber der Führungsebene sollten Risikoteams in finanziellen und probabilistischen Größen sprechen – nicht in vagen Kategorien wie „hoch/mittel/niedrig“.
So verlagern sich Diskussionen von subjektiven Einschätzungen hin zu vergleichbarer betriebswirtschaftlicher Logik, wodurch Entscheidungen leichter erklärbar und verteidigbar werden.

Stärkung des Third-Party-Entscheidungsframeworks mit FAIR™-Quantifizierung

Quantifizierung des Return on Security Investment mit FAIR

Quantifizierung schärft den Entscheidungsprozess, indem sie Exponierung und Nutzen von Behandlungsmaßnahmen in finanziellen Größen ausdrückt und Sicherheits- sowie Geschäftsverantwortlichen erlaubt, Optionen objektiv zu vergleichen. Das folgende Beispiel zeigt, wie FAIR datenbasierte Evidenz in Third-Party-Risikoentscheidungen einbringt.

FAIR-Szenario:
Ein Anbieter für Marketing-Automatisierung verarbeitet Kundendaten und ist in zentrale Engagement-Systeme integriert. Ein externer Angreifer kompromittiert gültige Zugangsdaten des Anbieters und erhält aufgrund schwacher Überwachung unautorisierten Zugriff auf Kundendaten – es kommt zu einer Datenschutzverletzung.

Zentrale Inputs:

• Datensensitivität: Personenbezogene Daten (PII) und Zahlungsinformationen

• Geschäftskritikalität: Direkte Verbindung zu umsatzgenerierenden Prozessen

• Kontrollbewertung: SSO vorhanden; Monitoring unzureichend

Quantifiziertes Restrisiko:

• Verlusthöhe (Loss Magnitude): 600.000 € – 1,4 Mio. €

• Erwarteter Jahresverlust (EAL): ca. 300.000 €

Behandlungsoptionen:

• Akzeptanz:
  
  • Keine Kosten
  • EAL bleibt bei 300.000 €
  • ROSI: 0 €

• Minderung:
  
  • Verbesserung von Logging- und Monitoring-Kontrollen
  • Kosten: ca. 60.000 €/Jahr
  • Geschätzte EAL-Reduktion: 220.000 €
  • ROSI: 160.000 €

• Transfer (Versicherung):
  
  • Cyber-Versicherungszusatz für Anbieter-Vorfälle: 90.000 €/Jahr
  • EAL-Reduktion: 0 – 100.000 €
  • ROSI: marginal

• Vermeidung (Offboarding):
  
  • Wechsel zu neuem Anbieter
  • Kosten: 600.000 €
  • Risikoreduktion: 100 %
  • Nettokosten übersteigen den Nutzen deutlich

Basierend auf diesen Zahlen ist eine Entscheidung klar belastbar: Risikominderung. Die Kosten für verbessertes Monitoring liefern einen eindeutigen Return on Security Investment. Liegt die Risikobereitschaft bei 300.000 €, schafft eine Reduktion um 220.000 € Spielraum für neue Initiativen mit zusätzlichem Risiko. Ziel des Risikomanagements ist nicht die Eliminierung jeglicher Exponierung, sondern deren Steuerung innerhalb der Risikobereitschaft, damit das Unternehmen sicher wachsen kann.

Skalierung des Entscheidungsframeworks für Third-Party Risk Management

Operationalisierung mit einer datengetriebenen Third-Party-Plattform

Ein skalierbares Entscheidungsframework erfordert eine TPRM-Plattform, die Anbieterinformationen vereinheitlicht und die relevantesten Lieferanten kontinuierlich überwacht. Werden Anbieterdaten, Kontrolldokumentationen und Risikosignale unternehmensweit zusammengeführt, erhält die Führungsebene eine klare, aktuelle Sicht auf die Third-Party-Bedrohungslandschaft und die zu verwaltende Angriffsfläche. Dadurch wird das Entscheidungsframework zu einer operativen Fähigkeit.