Die Mitratech-Studie zum Risikomanagement bei Drittanbietern (TPRM) aus dem Jahr 2025 vermittelt eine klare Botschaft: Die Risikolandschaft bei Drittanbietern entwickelt sich zu einem komplexen, vernetzten Ökosystem, in dem jeder Anbieter, Lieferant und Partner eine wichtige Rolle spielt. Mit dem Wachstum dieses Ökosystems stehen Unternehmen unter zunehmendem Druck, sich anzupassen.
Die Studie, für die Fachleute aus verschiedenen Branchen und Unternehmen unterschiedlicher Größe befragt wurden, beleuchtet einen Sektor, der sich an einem entscheidenden Scheideweg befindet, an dem Veränderungen im regulatorischen Umfeld, technologische Anpassungen und operative Ungleichgewichte die Gesundheit des Systems bedrohen.
Im Folgenden untersuchen wir die wichtigsten Ergebnisse der Studie und was sie über den Zustand der heutigen Ökosysteme von Drittanbietern aussagen – und wie widerstandsfähige Unternehmen stärkere, ausgewogenere Risikoumgebungen schaffen.
Erkenntnis Nr. 1: Personalmangel und mangelnde Vorbereitung: Eine Ressourcenkrise
In jedem Ökosystem kann ein Mangel an Pflegekräften und eine übermäßige Vermehrung unkontrollierter Arten zu einem Ungleichgewicht führen. Bei TPRM spiegelt sich dies darin wider, dass fast 70 % der Teams einen Personalmangel melden, wobei die Differenz zwischen der tatsächlichen und der idealen Teamgröße fast 30 % beträgt. Infolgedessen verwalten Unternehmen nur etwa 40 % ihrer Lieferantenpopulation.
Wie in einem unbewirtschafteten Wald mit konkurrierenden Lebensformen verschärft mangelnde Koordination das Risiko. Weniger als 25 % der Programme sind „hochgradig koordiniert“, und fast die Hälfte nennt Abteilungsisolation als großes Hindernis. Die Risikoverantwortung ist fragmentiert: Informationssicherheits- und Risikoteams überwachen die Strategie, die Beschaffung verwaltet die Lieferantendatenbank und die Geschäftsbereiche pflegen die täglichen Beziehungen, oft ohne nennenswerten Austausch.
Auswirkung: Ohne abgestimmte Verwaltung kommt es zu Verwicklungen im Ökosystem von Drittanbietern. Um erfolgreich zu sein, müssen Unternehmen die Rollen koordinieren und eine gemeinsame Verantwortung über den gesamten Lebenszyklus der Anbieter hinweg fördern.
Erkenntnis Nr. 2: Regulatorischer Druck verändert die TPRM-Landschaft
Ähnlich wie eine plötzliche Veränderung der Wetterverhältnisse einen natürlichen Lebensraum stört, verändert die behördliche Kontrolle das TPRM-Umfeld. Compliance-Teams, die einst nur Beobachter am Rande waren, fungieren nun als Regulatoren des Ökosystems, wobei ihre Präsenz im TPRM von 42 % im Jahr 2023 auf 88 % im Jahr 2025 steigen wird.
Dieser wachsende Einfluss führt zu einer umfassenderen Rechenschaftspflicht und einer besseren Datenverwaltung. Da Unternehmen auf sich verändernde regulatorische Rahmenbedingungen in Bezug auf Datenschutz und operative Resilienz reagieren, gleichen sie interne Verantwortlichkeiten neu aus und erweitern ihre Aufsicht über Lieferantenökosysteme.
Implikation: Regulierung ist nicht mehr nur Hintergrundrauschen – sie ist eine dominante Kraft, die das Klima beeinflusst. Programme müssen Compliance in ihre operative DNA integrieren, um Anpassungsfähigkeit und die langfristige Gesundheit des Ökosystems sicherzustellen.
Erkenntnis Nr. 3: Cybersicherheit dominiert weiterhin, aber die Risikohorizonte erweitern sich
So wie Ökosysteme von Schlüsselarten abhängig sind, bleibt Cybersicherheit das am stärksten überwachte Risiko (85 %). Risikomanager erweitern jedoch zunehmend ihre Überwachung um Datenschutz (79 %), Compliance (70 %) und Geschäftskontinuität (64 %) – und erkennen damit die symbiotische und wechselseitige Abhängigkeit moderner Risiken an.
Abteilungen wie Informationssicherheit, Risikomanagement und Datenschutz übernehmen zunehmend eine aktivere Rolle innerhalb des Ökosystems, was einen Wandel hin zum Management eines breiteren Spektrums von Bedrohungen innerhalb der gesamten Unternehmenslandschaft widerspiegelt.
Implikation: TPRM muss sich weiterentwickeln, um die biologische Vielfalt im Risiko widerzuspiegeln, die Sichtbarkeit zu erhöhen und eine stärkere abteilungsübergreifende Zusammenarbeit im gesamten Unternehmen aufzubauen.
Erkenntnis Nr. 4: Manuelle Tools beeinträchtigen die Einsicht und die Bereitschaft für Zwischenfälle
In einem Ökosystem können unzureichende Überwachungsinstrumente dazu führen, dass frühe Anzeichen eines Ungleichgewichts übersehen werden, sei es ein Krankheitsausbruch in einer Population oder eine Veränderung der Wasserqualität. Bei TPRM gilt dasselbe. Trotz zunehmender Komplexität verlassen sich 41 % der Unternehmen bei der Bewertung von Dritten immer noch auf Tabellenkalkulationen. Während 60 % der Meinung sind, dass diese Tools die grundlegenden Anforderungen erfüllen, können nur 29 % das Risiko in jeder Phase des Lieferantenlebenszyklus bestimmen, und nur 15 % fühlen sich bereit, auf Vorfälle bei Dritten zu reagieren.
Dieses Patchwork an Tools – oft ohne Integration – schränkt die Transparenz ein, beeinträchtigt die Agilität und verhindert ein proaktives Management.
Implikation: Veraltete Tools sind vergleichbar mit der Überwachung eines Waldes mit einer Lupe. Um ein widerstandsfähiges und anpassungsfähiges Risiko-Ökosystem aufzubauen, müssen Unternehmen in integrierte Plattformen investieren, die umfassende Echtzeit-Einblicke ermöglichen.
Erkenntnis Nr. 5: KI im TPRM: Vorsichtiger Optimismus trifft auf Implementierungshürden
Künstliche Intelligenz entwickelt sich zu einer leistungsstarken neuen Spezies innerhalb des TPRM-Ökosystems – einer Spezies, die das Potenzial hat, Aufgaben zu automatisieren, Erkenntnisse zu beschleunigen und Risikodaten zu zentralisieren. Heute nutzen 14 % der Programme aktiv KI, und 65 % erkunden deren Möglichkeiten.
Dennoch bleibt Vorsicht geboten. Bedenken hinsichtlich Datensicherheit, undurchsichtiger Algorithmen und mangelnder menschlicher Kontrolle führen dazu, dass viele Unternehmen noch abwarten. Dennoch werden die Grundlagen geschaffen: Nur noch 12 % geben an, dass das Fehlen einer KI-Strategie ein Hindernis darstellt, gegenüber 49 % im Jahr 2024.
Implikation: KI ist ein vielversprechender, aber sensibler Organismus im TPRM-Lebensraum. Eine sorgfältige Einführung, Steuerung und Überwachung sind entscheidend, um ihr volles Potenzial auszuschöpfen, ohne das Gleichgewicht zu stören.
Bringen Sie Ihr Ökosystem für Risiken durch Dritte wieder ins Gleichgewicht
In der jährlichen Studie zum Risikomanagement durch Dritte 2025
Lesen Sie den vollständigen BerichtAusblick: Der Aufstieg des vernetzten Risikomanagements
Die Studie zeigt, dass die Branche den Wert eines vernetzten, symbiotischen Risikoökosystems erkannt hat. Zukunftsorientierte Unternehmen sind:
- Silos durch funktionsübergreifende Governance aufbrechen
- Einbettung der Compliance in Risikoworkflows als strukturelle Sicherheitsmaßnahme
- Nutzung von Automatisierung und KI zur Stärkung der Widerstandsfähigkeit des Ökosystems
- Ausweitung der Risikoüberwachung, um einem breiteren Spektrum von „Umweltbedrohungen“ Rechnung zu tragen
Empfehlungen für den Aufbau eines widerstandsfähigen TPRM-Programms
Um das Gleichgewicht und die Nachhaltigkeit ihrer Ökosysteme von Drittanbietern aufrechtzuerhalten, sollten Unternehmen die folgenden Best Practices berücksichtigen:
1. Einrichtung einer funktionsübergreifenden Governance
Vereinheitlichen Sie Risiko, Compliance, Beschaffung und IT-Sicherheit unter einem gemeinsamen Rahmenwerk mit klaren Zuständigkeitsprotokollen.
2. KI durchdacht einsetzen
Fangen Sie klein an mit KI – wenden Sie sie in Bereichen mit geringem Risiko an und legen Sie gleichzeitig Richtlinien für Transparenz, Aufsicht und Sicherheit fest.
3. Automatisieren, um Ressourcenlücken auszugleichen
Identifizieren Sie manuelle Engpässe und priorisieren Sie die Automatisierung von Bewertungs-, Überwachungs- und Berichtsfunktionen.
4. Integrieren Sie Compliance in Risikoworkflows
Integrieren Sie regulatorische Anforderungen in Ihre Due-Diligence-und Überwachungsprozesse, um den Anforderungen von Audits immer einen Schritt voraus zu sein.
5. Einführung abgestufter Risikobewertungen
Segmentieren Sie Anbieter nach Risikostufe und wenden Sie proportionale Bewertungen unter Verwendung sowohl traditioneller als auch dynamischer Informationsquellen an.
Nächste Schritte: Pflegen Sie Ihr TPRM-Ökosystem
So wie Biologen wissen, dass Ökosysteme empfindlich und miteinander verbunden sind, müssen Risikomanager erkennen, dass Resilienz nicht aus isolierten Bereichen der Exzellenz entsteht, sondern aus Verbindungen. Ihr Unternehmen ist kein isolierter Organismus, sondern Teil eines viel größeren Ganzen. Es ist an der Zeit, Ihr Ökosystem zu pflegen.
Wir helfen Ihnen dabei, eine sicherere, intelligentere und nachhaltigere Umgebung für Ihr erweitertes Unternehmen zu schaffen.
