Lieferantensicherheitsbewertungen: Integration von Outside-In-Scoring in Ihr TPRM-Programm

Organisationen sind heute in hohem Maße auf Drittparteien angewiesen – für kritische IT-Systeme, kundennahe Prozesse und zentrale Geschäftsabläufe. Diese Abhängigkeit hat die Angriffsfläche weit über den traditionellen Sicherheitsperimeter hinaus vergrößert. Angreifer wissen das. Laut IBM entfallen 15 % aller Sicherheitsverletzungen auf Supply-Chain-Kompromittierungen, mit durchschnittlichen Kosten von 4,91 Mio. US-Dollar pro Vorfall. Lieferanten werden gezielt angegriffen, da eine Schwachstelle upstream oft Zugang zu Daten oder Systemen ermöglicht, die direkt schwerer zu kompromittieren wären. Dennoch stützen sich viele Third-Party-Risk-Management-Programme (TPRM) weiterhin auf punktuelle Fragebögen und jährliche Audits.

Dieser Artikel beleuchtet einen datengetriebenen Ansatz für das Drittparteienrisikomanagement: wie Outside-In-Assessments, Cyber Threat Intelligence, Incident-Historien und quantitative Analysen eine risikobasierte Sicht auf das erweiterte Unternehmensökosystem ermöglichen.

Die wichtigsten Punkte:
  • Outside-In-Techniken zeigen, was ein Anbieter tatsächlich im Internet exponiert
  • Cyber Threat Intelligence und Incident-Historien machen sichtbar, welche Lieferanten mit aktiven Bedrohungen oder wiederkehrenden Schwächen korrelieren
  • FAIR liefert belastbare, risikobasierte Entscheidungsgrundlagen für Drittparteien
  • Automatisierung hält TPRM agil, während Lieferantenökosysteme wachsen
  • Modernes TPRM priorisiert Lieferanten nach Geschäftskritikalität und realer Risikoposition
Mit KI weiterforschen:
Claude
Perplexity
ChatGPT

Die Grenzen traditioneller Beschaffung und Drittparteienbewertungen

Laut dem Global Third-Party Breach Report 2025 von SecurityScorecard gingen mehr als ein Drittel aller Sicherheitsverletzungen im Jahr 2024 auf Anbieter, Lieferanten oder Dienstleister zurück. Dennoch bewertet der Einkauf neue Lieferanten überwiegend mithilfe punktueller Fragebögen und Selbstauskünfte. Diese Prüfungen erfüllen zwar formale Compliance-Anforderungen, bieten jedoch kaum Einblick in die tatsächliche Angriffsfläche eines Anbieters oder die geschäftlichen Auswirkungen eines Drittparteienvorfalls. Zudem sind Fragebögen bereits veraltet, sobald sie zurückgesendet werden.

Warum Selbstauskünfte und Fragebögen die Realität nicht abbilden

Selbstbewertungen beschreiben primär die Governance-Struktur eines Anbieters – nicht jedoch die technischen und operativen Bedingungen, die bestimmen, ob er als Einfallstor zu kritischen digitalen Vermögenswerten genutzt werden kann. Fragebögen erfassen Zertifikate, Kontrollen und Richtlinien, stellen jedoch lediglich eine Momentaufnahme dar.

Lieferanteninfrastrukturen sind jedoch dynamisch:

  • Shadow-IT entsteht
  • Zugangsdaten werden kompromittiert
  • Integrationen wachsen
  • Kontrollen erodieren
  • Neue Produkte und Services werden eingeführt

All dies bleibt in klassischen Drittparteienfragebögen unsichtbar.

Hinzu kommt, dass viele Bewertungen den entscheidendsten Aspekt ignorieren: wie ein Anbieter mit Ihren Daten und Systemen verbunden ist. Selbst konforme oder zertifizierte Lieferanten können zum Risiko werden, wenn ihre externe Angriffsfläche schwach ist oder ihre Zugriffsrechte in Ihrer Umgebung nicht angemessen berücksichtigt oder abgesichert sind.

Der Bedarf an faktenbasierten Ansätzen in einer sich schnell wandelnden Bedrohungslandschaft

Risikomanagement ist letztlich eine Disziplin der Entscheidungsfindung – und belastbare Entscheidungen benötigen belastbare Daten. Drittparteienrisiken bilden hier keine Ausnahme. Wenn Lieferanten mit derselben Sorgfalt bewertet werden sollen wie finanzielle oder operative Risiken, ist objektive Evidenz erforderlich.

Drittparteien sind ein integraler Bestandteil der Wertschöpfungskette: Sie verarbeiten Daten, unterstützen Kernprozesse und greifen auf interne Systeme zu. Angreifer wissen das und nutzen Lieferanten gezielt als leisen, effizienten Zugang zu den kritischsten Vermögenswerten („Crown Jewels“) eines Unternehmens.

Ein datengetriebener Ansatz schließt die Lücken, die Fragebögen und Zertifizierungen nicht abdecken. Er liefert Transparenz über:

  • Exponierte Infrastrukturen
  • Frühere Sicherheitsvorfälle
  • Veränderungen der externen Angriffsfläche
  • Potenzielle Angriffswege in Ihre Umgebung

Da Ressourcen begrenzt sind, ist diese evidenzbasierte Sicht entscheidend, um Kontrollen und Aufmerksamkeit im wachsenden Lieferantenökosystem sinnvoll zu priorisieren.

In der Praxis ermöglichen datengetriebene Drittparteienbewertungen:

  • Priorisierung von Anbietern basierend auf ihrem Zugriff auf kritische Assets
  • Verständnis der Schnittstellen zwischen Drittparteien und der eigenen Wertschöpfungskette
  • Zielgerichtete Allokation von Budget und Ressourcen
  • Nachvollziehbare Entscheidungen gegenüber Prüfern, Management und Aufsichtsbehörden
  • Kontinuierliche Transparenz bei sich ändernden Lieferantenbedingungen

Der Zugang zu diesen Informationen erfolgt über Tools, die Open-Source-Cyber-Intelligence nutzen, um öffentlich sichtbare Zertifikate, Konfigurationen und Infrastruktursignale zu analysieren.

Outside-In-Methoden für externe Drittparteienbewertungen

Outside-In-Assessments basieren auf öffentlich beobachtbaren Signalen, um zu verstehen, wie ein Anbieter tatsächlich im Internet operiert. Sie erfassen exponierte Assets, überwachen deren Veränderungen und identifizieren Schwachstellen, die als Einstiegspunkt genutzt werden könnten.

Der Mehrwert ist unmittelbar: belastbare Entscheidungsgrundlagen für Lieferantenauswahl, Überwachung und Risikobehandlung.

Techniken zur externen Schwachstellenbewertung von Drittparteien

Der erste Schritt besteht darin, festzustellen, welche Assets öffentlich erreichbar sind. Outside-In-Assessments nutzen dieselben OSINT-Techniken (Open Source Intelligence), die auch Angreifer einsetzen:

  • DNS-Enumeration
  • Analyse von Certificate-Transparency-Logs
  • Untersuchung von Cloud-Metadaten
  • Infrastruktur-Korrelationen
  • Internetweite Scan-Daten

Diese Analysen zeigen:

  • Internetexponierte Assets eines Anbieters
  • Shadow-IT, vergessene Systeme und unüberwachte Entwicklungsumgebungen
  • Zusammenhänge zwischen diesen Assets und den Kernservices des Anbieters
  • Schnittstellen zu Systemen, die Ihre kritischen Assets verarbeiten

OSINT-basierte Erkennung liefert Einblicke in Betriebsrealitäten, die dem Anbieter selbst oft nicht bewusst sind. Was ein Anbieter nicht sieht, kann er nicht absichern. Und was Sie nicht sehen, können Sie nicht bewerten.

Security Ratings und Risikoscoring im TPRM

Security-Rating-Tools wenden Outside-In-Techniken an, um die externe Exponierung eines Anbieters zu bewerten. Das Ergebnis ist meist ein numerischer oder alphabetischer Score. Dieser Score allein sagt jedoch nichts über den finanziellen oder operativen Impact eines Drittparteienrisikos aus.

Dennoch sind Ratings hilfreich zur Arbeitssteuerung: Sie identifizieren Lieferanten, bei denen zusätzliche Prüfungen, Dokumentationen oder Reviews sinnvoll sind.

Beispiele für Anbieter von Security Ratings:

  • BitSight
  • SecurityScorecard
  • UpGuard
  • Panorays

Integration von Cyber Threat Intelligence in die Drittparteienanalyse

Für besonders kritische Drittparteien erweitert Cyber Threat Intelligence (CTI) das Outside-In-Bild um Kontext, den reine Scans nicht liefern. CTI zeigt, ob der Technologie-Stack eines Lieferanten von aktiv genutzten Angriffsverfahren betroffen ist – etwa anhand von Frameworks wie MITRE ATT&CK.

CTI deckt zudem Aspekte auf, die in Selbstauskünften fehlen, etwa kompromittierte Zugangsdaten, aktive Ausnutzung von Abhängigkeiten oder Veränderungen in Bedrohungskampagnen. Dieser Kontext ist entscheidend, um gezielt zusätzliche Kontrollen entlang der Wertschöpfungskette einzusetzen.

Bewertung der Cyber-Resilienz anhand von Incident-Historien

Die Incident-Historie eines Anbieters liefert wertvolle Hinweise darauf, wie effektiv dessen Resilienz-Kontrollen im Ernstfall sind. Öffentliche Berichte, regulatorische Meldungen und forensische Analysen zeigen, wie schnell Vorfälle erkannt und eingedämmt wurden.

Wiederholte Vorfälle weisen häufig auf strukturelle Kontrolllücken hin, die direkt mit dem Partner adressiert werden müssen. Denn Ihre Angriffsfläche ist nur so sicher wie Ihre schwächste Drittpartei.

Risikobewertung und Priorisierung

Ein Outside-In-Score ist nur ein Input in einer umfassenderen Bewertung. Der nächste Schritt besteht darin, zu verstehen, was diese Exponierung für Ihr Unternehmen bedeutet. Zur Bewertung des potenziellen finanziellen Impacts und zur Priorisierung von Maßnahmen eignet sich ein quantitativer Ansatz wie die FAIR-Methodik, die technische Bedingungen in geschäftsrelevante Risiken übersetzt.

FAIR zur Bewertung der Geschäftsauswirkungen von Drittparteien

Die Cyber-Risikobewertung mit FAIR liefert belastbare Daten, um fundierte Empfehlungen zu Sicherheitsmaßnahmen und zum Umgang mit geschäftskritischen Drittparteien zu treffen.

FAIR ermöglicht die Darstellung von:

  • Verlustwahrscheinlichkeit
  • Potenzieller finanzieller Schadenshöhe

Die FAIR-Erweiterungen FAIR-MAM, FAIR-CAM und FAIR-TAM erlauben eine weitergehende Analyse von Materialität, Kontrollwirksamkeit und Drittparteienökosystemen.

Das Ergebnis ist ein risikobasiertes Gesamtbild, das gegenüber dem Management verteidigt werden kann – und Drittparteienrisiken aus der Welt der Ampeldiagramme in den unternehmensweiten Entscheidungsrahmen überführt.

Operationalisierung von TPRM durch Automatisierung und skalierbare Workflows

Mit wachsendem Lieferantenportfolio verschiebt sich die Herausforderung von der Datensammlung zur kontinuierlichen Aktualisierung. Automatisierung verbindet Outside-In-Signale, CTI und Quantifizierung zu einem skalierbaren Prozess.

Ein CRQ-Tool kann Daten automatisiert erfassen und verarbeiten, sodass Änderungen in der Sicherheitslage eines Anbieters automatisch geeignete Folgemaßnahmen auslösen.

Wichtige Funktionen moderner TPRM-Tools:

  • Kontinuierliche Datenerfassung (Telemetry, Evidenz, CTI, Schwachstellen, Kontrollen)
  • Konsistente Szenariomodellierung nach FAIR-Taxonomie
  • Kontrollfokussierte Analysen (z. B. FAIR-CAM)
  • Workflow- und Systemintegration zur Vermeidung von Silos
  • Trendanalysen, kontinuierliches Monitoring und Alerts

Vendor Security Assessments

TPRM weiterentwickeln: Datengetrieben und quantitativ

Die meisten TPRM-Programme basieren noch auf manuellen Fragebögen und jährlichen Reviews – Prozesse, die nicht für die Geschwindigkeit und Komplexität moderner Lieferantenökosysteme ausgelegt sind. Ein datengetriebener Ansatz verändert dies grundlegend.

C-Risk verfügt über tiefgehende Expertise im Aufbau belastbarer, quantitativer Cyber-Risikoprogramme und deren Anwendung im Drittparteienrisikomanagement. Unser Ansatz priorisiert Lieferanten nach ihrer tatsächlichen Kritikalität – basierend auf Datenzugriffen, Systemabhängigkeiten und geschäftlicher Relevanz.

C-Risk unterstützt TPRM-Teams bei:

  • Definition und Quantifizierung von Drittparteien-Risikosszenarien mit FAIR
  • Bewertung der Kontrollwirksamkeit entlang der Wertschöpfungskette
  • Implementierung und Operationalisierung von CRQ-Tools
  • Integration von Outside-In-Daten, CTI und Incident-Informationen in TPRM-Workflows
  • Schulungen zur Anwendung datengetriebener, FAIR-basierter Methoden

Ein modernes TPRM-Programm muss mit dem Unternehmen skalieren. Quantifizierung, Automatisierung und kontinuierliche externe Transparenz bilden dafür das Fundament.