Der ultimative Leitfaden für eine effektive Überwachung von Risiken durch Dritte

Ein umfassendes Programm zur Überwachung von Risiken durch Dritte kann Ihnen dabei helfen, die Auswirkungen von Datenverstößen bei Lieferanten, Unterbrechungen der Lieferkette und negativer Presseberichterstattung auf Ihr Unternehmen zu mindern.

Dekoratives Bild

Laut dem aktuellen „Global Third-Party Breach Report“ von SecurityScorecard machen Datenschutzverletzungen durch Dritte mittlerweile 35,5 % aller weltweit bestätigten Datenschutzverletzungen aus – ein Anstieg gegenüber 29 % im Vorjahr. Die Differenz zwischen diesen beiden Zahlen entspricht Tausenden von Vorfällen, Verlusten in Milliardenhöhe und einer grundlegenden Verschiebung hinsichtlich der tatsächlichen Risikobereiche in Unternehmen.

Die Aufsichtsbehörden haben aufgeholt. Das DORA-Gesetz trat im Januar 2025 in Kraft und enthält ausdrückliche Anforderungen an die kontinuierliche Überwachung von externen IKT-Anbietern. Die Durchsetzungspraxis der OFAC hat sich in Richtung einer „Gatekeeper“-Haftung verlagert, wonach Organisationen für die Handlungen ihrer Lieferanten in ihrem Auftrag zur Verantwortung gezogen werden. Für Unternehmen in regulierten Branchen ist die Überwachung von Risiken durch Dritte nun eine Compliance-Anforderung.

Was ist drin:
  1. Was versteht man unter der Überwachung von Risiken durch Dritte?
  2. Warum ist eine kontinuierliche Überwachung einer periodischen Bewertung überlegen?
  3. Wo fügt sich die Überwachung von Risiken durch Dritte in den TPRM-Lebenszyklus ein?
  4. Was sind die fünf Bereiche der Überwachung von Risiken durch Dritte?
  5. Was verlangen die Aufsichtsbehörden mittlerweile von Überwachungsprogrammen durch Dritte?
  6. Was sind die häufigsten Lücken in Überwachungsprogrammen durch Dritte?
  7. Wie richtet man ein Programm zur Überwachung von Risiken durch Dritte ein?
  8. Häufig gestellte Fragen

Was versteht man unter der Überwachung von Risiken durch Dritte?

Die Überwachung von Risiken durch Dritte (TPRM-Überwachung) – manchmal auch als Überwachung von Drittanbietern oder Lieferantenrisikomanagement bezeichnet – ist die Praxis der kontinuierlichen Erfassung und Analyse extern beobachtbarer Daten zu Anbietern, Lieferanten und Dienstleistern, um Risiken in den Bereichen Cybersicherheit, Finanzen, Reputation, Betrieb und Geopolitik zu identifizieren, bevor diese Auswirkungen auf Ihr Unternehmen haben. Sie ist ein zentraler Bestandteil jedes ausgereiften Programms zum Risikomanagement bei Drittanbietern (TPRM) und steht im Mittelpunkt sowohl des Lieferantenrisikomanagements (VRM) als auch der Methodik zum Risikomanagement in der Lieferkette.

Die Unterscheidung zwischen Überwachung und Bewertung ist von grundlegender Bedeutung. Eine Risikobewertung erfolgt in regelmäßigen Abständen: Es handelt sich um einen punktuellen Fragebogen oder ein Audit, das bei der Aufnahme neuer Lieferanten oder nach einem festgelegten Zeitplan durchgeführt wird. Die Überwachung erfolgt kontinuierlich: Dabei handelt es sich um einen fortlaufenden Strom von Signalen darüber, was bei Ihren Lieferanten zwischen den Bewertungszyklen tatsächlich geschieht.

Beides ergänzt sich. Jedes erfüllt eine eigene Funktion, die das andere nicht ersetzen kann. Eine Bewertung gibt Aufschluss darüber, was ein Anbieter über seine Sicherheitsmaßnahmen angibt. Die Überwachung zeigt, ob die tatsächliche Sicherheitslage diesen Angaben entspricht und ob sich diese seit Ihrer letzten Anfrage verändert hat.

 

Überwachen Sie kontinuierlich die Risiken durch Dritte, um die Lücke zu schließen

Warum ist eine kontinuierliche Überwachung einer periodischen Bewertung überlegen?

Lieferantenfragebögen liefern eine Momentaufnahme. Sie geben Aufschluss darüber, wie die Kontrollmaßnahmen Ihres Lieferanten zum Zeitpunkt des Ausfüllens des Formulars aussahen. Zwischen dem Ausfüllen des Formulars und Ihrer nächsten geplanten Überprüfung kann es bei einem Lieferanten zu einer Datenpanne kommen, er kann mit einer Bußgeldstrafe belegt werden, im Rahmen eines Audits zur modernen Sklaverei genannt werden, dem Risiko von Sekundärsanktionen ausgesetzt sein oder einen Führungswechsel erleben, der seine Risikosituation vollständig verändert. Nichts davon fließt in Ihr Programm ein, es sei denn, Sie beobachten die Situation aktiv.

In der Zeit zwischen den Bewertungszyklen treten die meisten Vorfälle durch Dritte auf.

Um diese Lücke zu schließen, bedarf es einer kontinuierlichen „Outside-in“-Analyse – einer ständigen Beobachtung dessen, was über Ihre Lieferanten in der Praxis tatsächlich feststellbar ist, und nicht nur dessen, was diese über sich selbst berichten.

Unterziehen Sie Ihr Programm einer gründlichen Prüfung in jeder Phase des Anbieter-Lebenszyklus.

Holen Sie sich die Checkliste

Wo fügt sich die Überwachung von Risiken durch Dritte in den TPRM-Lebenszyklus ein?

Die Überwachung von Risiken durch Dritte ist am effektivsten, wenn sie sich wie ein roter Faden durch den gesamten Lieferantenlebenszyklus zieht: Sie verbindet die Due-Diligence-Prüfung bei der Aufnahme, die laufende Bewertung, das Vertragsmanagement und die Beendigung der Geschäftsbeziehung zu einem einzigen, sich ständig weiterentwickelnden Gesamtbild des Lieferantenrisikos. Die Überwachung sorgt dafür, dass dieses Bild zwischen den geplanten Kontrollpunkten stets auf dem neuesten Stand bleibt.

 

Was sind die fünf Bereiche der Überwachung von Risiken durch Dritte?

Was sind die fünf Bereiche der Überwachung von Risiken durch Dritte?

    1. Risiko im Bereich Cybersicherheit: Cybersicherheitslücken sind die am häufigsten auftretende Risikoart in Programmen zur Überwachung von Drittanbietern und entwickeln sich am schnellsten. Angreifer zielen gezielt auf Anbieter-Ökosysteme ab, da ein einziger Kompromittierungspunkt ihnen Zugang zu mehreren nachgelagerten Organisationen verschafft. Eine effektive Überwachung erfordert das Scannen nach offengelegten Zugangsdaten im Dark Web, nach offenen Schwachstellen in mit dem Internet verbundenen Systemen sowie nach Hinweisen aus kriminellen Foren und Paste-Seiten. Der „Vendor Threat Monitor“ automatisiert diese Überwachung über das gesamte Anbieterportfolio hinweg und sollte auch auf Beziehungen zu Viertanbietern ausgeweitet werden, da dort regulatorische blinde Flecken am häufigsten zu Sicherheitslücken führen.
    2. Finanz- und Reputationsrisiko: Die finanzielle Instabilität eines Anbieters kann die Erbringung der vertraglich vereinbarten Dienstleistungen beeinträchtigen. Eine behördliche Geldstrafe oder ein öffentlichkeitswirksamer Verstoß gegen ethische Grundsätze führt durch den damit verbundenen Zusammenhang zu einem Reputationsrisiko für Ihre Marke. Beides erfordert Überwachungsfunktionen, die über die Standard-Tools der Cybersicherheits-Intelligence hinausgehen. Eine kontinuierliche Finanz- und Reputationsüberwachung erfasst öffentliche und private Finanzberichte, negative Medienberichte, behördliche Durchsetzungsmaßnahmen und Gerichtsverfahren. Das Ziel ist eine Frühwarnung: Sie sollten informiert sein, bevor sich die Situation eines Anbieters zu einer Krise zuspitzt, die Ihren Geschäftsbetrieb oder Ihren Ruf beeinträchtigt.
    3. Arbeitsrecht, moderne Sklaverei und ESG-Risiken: Aufsichtsbehörden in zahlreichen Rechtsordnungen verlangen mittlerweile von Unternehmen, dass sie in ihren Lieferketten eine kontinuierliche Sorgfaltsprüfung hinsichtlich Menschenrechts- und Umweltverstößen durchführen und dabei über dokumentierte Prozesse zur Erkennung, Verhinderung und Behebung von Verstößen verfügen. Zu den wichtigsten Rechtsrahmen zählen der britische Modern Slavery Act von 2015, das australische Gesetz gegen moderne Sklaverei, das kalifornische Gesetz zur Transparenz in Lieferketten sowie das deutsche Lieferkettensorgfaltspflichtengesetz (LkSG), das seit Januar 2023 für Unternehmen mit mehr als 3.000 Beschäftigten gilt und ab Januar 2024 auf Unternehmen mit mehr als 1.000 Beschäftigten ausgeweitet wird. Die EU-Richtlinie zur Sorgfaltspflicht von Unternehmen im Bereich der Nachhaltigkeit (Corporate Sustainability Due Diligence Directive, CS3D), die ursprünglich im Jahr 2024 verabschiedet und im Februar 2026 durch die EU-Omnibus-I-Richtlinie wesentlich geändert wurde, gilt nun für Unternehmen mit mehr als 5.000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro, wobei die Mitgliedstaaten verpflichtet sind, sie bis zum 26. Juli 2028 umzusetzen, und die Compliance-Verpflichtungen ab dem 26. Juli 2029 gelten. Die Überwachung in diesem Bereich kombiniert eine auf Umfragen basierende Bewertung der Arbeitspraktiken bei Zulieferern mit fortlaufenden externen Informationen, die überprüfen, ob die Angaben mit der betrieblichen Realität übereinstimmen.
    4. Geopolitisches Risiko: Das Ökosystemrisiko ist das bestimmende Merkmal moderner Sanktionsrisiken. Die im April 2026 erfolgten Benennungen von Hengli Petrochemical und über 40 verbundenen Schifffahrtsunternehmen, die vom OFAC wegen ihrer Beteiligung an der iranischen Schattenflotte mit Sanktionen belegt wurden, zeigen, wie Regulierungsbehörden zunehmend ganze Lieferkettennetzwerke gleichzeitig ins Visier nehmen: Käufer, Logistikvermittler und Schiffe. Unternehmen sind letztendlich durch Beziehungen exponiert, die mehrere Ebenen vom primären Verstoß entfernt sind.Kaskadierende Zollrisiken und Risiken bei der Einbindung von Drittanbietern ergeben sich aus einer anderen Richtung. Die parallelen Section-301-Untersuchungen des US-Handelsbeauftragten (USTR) – eine betrifft 16 Länder wegen Überkapazitäten in der Fertigung und eine zweite 60 Länder wegen Versäumnissen bei der Durchsetzung des Verbots von Zwangsarbeit – sollen bis zum 24. Juli 2026 abgeschlossen sein, wenn die Notzölle gemäß Section 122 auslaufen. Unternehmen, die als Reaktion darauf ihre Beschaffung verlagern, nehmen neue Lieferanten schneller auf, als es die üblichen Sorgfaltsprüfungszyklen zulassen, und führen so ungeprüfte Beziehungen in kritische Lieferkettenpositionen ein.

Sechs geopolitische Auslöser, die Ihr TPRM-Programm im Blick behalten sollte

  • Änderungen an den Sanktionslisten der OFAC, der EU, der UN und des Vereinigten Königreichs in Echtzeit überwachen: Kennzeichnen, ob aktuelle Lieferanten oder deren Unterauftragsverarbeiter auf den aktualisierten Listen aufgeführt sind
  • Prüfung auf das Risiko von Sekundärsanktionen: ob Ihre Lieferanten Geschäfte mit benannten Einrichtungen oder mit Vertragspartnern in Ländern tätigen, gegen die umfassende Sanktionen verhängt wurden, auch wenn Ihre Lieferanten selbst nicht benannt sind
  • Verfolgen Sie die Entwicklungen im Zusammenhang mit den „Section 301“- und Zolluntersuchungen des US-Handelsbeauftragten (USTR), die sich auf die Beziehungen zwischen Lieferanten und Ländern auswirken
  • Beachten Sie Änderungen bei den Exportkontrollen, Vorschriften zur Datenlokalisierung und Beschränkungen für ausländische Investitionen in den Ländern, in denen wichtige Anbieter tätig sind
  • Ermittlung geopolitischer Instabilitätsereignisse – bewaffnete Konflikte, Regimewechsel oder staatliche Enteignungen – in Ländern, in denen wichtige Anbieter oder deren kritische Zulieferer konzentriert sind
  • Überprüfung auf politisch exponierte Personen (PEPs) und Verbindungen zu staatlichen Unternehmen (SOEs): Bei der PEP-Überprüfung werden Personen identifiziert, die öffentliche Ämter bekleiden oder mit solchen in Verbindung stehen; die SOE-Überprüfung deckt staatliche und staatlich verbundene Unternehmen auf, die regulatorische oder Reputationsrisiken mit sich bringen könnten. Die Werte des Korruptionswahrnehmungsindex (CPI) liefern zusätzliche Informationen auf Länderebene für Lieferantenbeziehungen in Hochrisikoländern.
  1. Risiken durch „Fourth-Party“- und „Nth-Party“-Anbieter: „Fourth-Party“-Anbieter sind die Lieferanten Ihrer Lieferanten. Sie stehen in keiner vertraglichen Beziehung zu Ihrem Unternehmen, können jedoch Ihre Risikosituation erheblich beeinflussen. Um die Überwachungsreichweite auf „Fourth-Party“-Anbieter auszuweiten, ist eine systematische Informationsbeschaffung entlang der erweiterten Lieferkette erforderlich, einschließlich passiver Scans. Passive Scans sollten die von „Fourth-Party“-Anbietern eingesetzten Technologien erfassen und diese Informationen mit den Profilen Ihrer direkten Lieferanten abgleichen, um Konzentrationsrisiken zu identifizieren, bevor sie zu einem Angriffsvektor werden.

Was verlangen die Aufsichtsbehörden mittlerweile von Überwachungsprogrammen durch Dritte?

Die nachstehend aufgeführten Rahmenwerke wurden speziell für Umgebungen entwickelt, in denen sich die Risikoprofile von Lieferanten zwischen den jährlichen Bewertungszyklen erheblich ändern können. Ihre Überwachungsanforderungen setzen eine kontinuierliche Transparenz voraus und nicht nur kalendergesteuerte Momentaufnahmen. Für betroffene Organisationen stellt eine rein periodische Bewertung allein bereits eine Compliance-Lücke dar.

DORA, das EU-Gesetz zur digitalen Betriebsresilienz, trat am 17. Januar 2025 in Kraft. Artikel 28 verpflichtet Finanzinstitute in der EU, ein umfassendes Register der vertraglichen Vereinbarungen mit externen IKT-Dienstleistern zu führen, die Einhaltung der Vorschriften durch diese Dienstleister kontinuierlich zu überwachen und dokumentierte Ausstiegsstrategien für kritische IKT-Dienstleister festzulegen. DORA definiert kritische externe Dienstleister (Critical Third-Party Providers, CTPPs), die unter der direkten Aufsicht der Europäischen Aufsichtsbehörden stehen. Die zuständigen nationalen Behörden haben den Europäischen Aufsichtsbehörden bis zum 30. April 2025 erste IKT-Register vorgelegt.

Das seit Januar 2023 geltende deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette (LkSG) verpflichtet Unternehmen, die die im Gesetz festgelegten Schwellenwerte erfüllen, eine kontinuierliche Sorgfaltspflicht in Bezug auf Menschenrechte und Umwelt in ihren direkten und indirekten Lieferketten umzusetzen, einschließlich dokumentierter Verfahren zur Erkennung, Verhinderung und Behebung von Verstößen. Das Gesetz schreibt eine jährliche Risikoanalyse sowie eine unverzügliche Neubewertung vor, wenn sich die Bedingungen in der Lieferkette wesentlich ändern.

Die Anforderungen der britischen Financial Conduct Authority und der Prudential Regulation Authority an die operative Widerstandsfähigkeit, die im März 2025 vollständig in Kraft getreten sind, legen Auswirkungstoleranzen für wichtige Geschäftsdienste fest und verlangen nachweisbare Tests der Widerstandsfähigkeit, einschließlich der Abhängigkeiten von Anbietern. Unternehmen müssen ihre wichtigen Geschäftsdienste den ihnen zugrunde liegenden Vereinbarungen mit Dritten zuordnen und nachweisen, dass sie die Toleranzgrenzen einhalten können.

Die OFAC-Leitlinien zur Einhaltung von Sanktionen verlangen von Organisationen, dass sie risikobasierte Compliance-Programme unterhalten, die eine Überprüfung von Lieferanten umfassen.

Was sind die häufigsten Lücken in Überwachungsprogrammen durch Dritte?

  • Risikoprofile werden bei der Einbindung eingefroren
    Die meisten Unternehmen investieren viel in die Due-Diligence-Prüfung vor der Einbindung und führen nur begrenzte Überwachungsmaßnahmen durch, sobald ein Anbieter aktiv ist. Ein Überwachungsprogramm, das die anfängliche Bewertung als feststehenden Zustand betrachtet, übersieht systematisch den häufigsten Treiber für die Entwicklung von Anbieterrisiken.
  • Überwachung beschränkt sich ausschließlich auf Tier-1-Lieferanten
    Unternehmen mit gut ausgebauten Programmen für Direktlieferanten haben oft keinen Einblick in die Beziehungen zu Viertparteien. Diese Lücke schließen die Aufsichtsbehörden nun. Wenn Ihr Programm mit dem Vertrag der ersten Ebene endet, endet es, bevor das Risiko beseitigt ist.
  • Cybersicherheitsüberwachung als Komplettlösung betrachtet
    Cybersicherheits-Intelligence ist in den meisten Programmen die ausgereifteste Überwachungsfunktion, oft jedoch auch die mit dem engsten Anwendungsbereich. Programme, die ausschließlich auf Cybersicherheitsüberwachung basieren, lassen die Risikokategorien außer Acht, die zu Störungen in der Lieferkette und zu regulatorischer Haftung führen.
  • Alarmvolumen ohne Triage-Logik
    Ohne eine abgestufte Eskalationslogik, die nach der Kritikalitätsstufe des Anbieters und dem Risikobereich gegliedert ist, liefert die Überwachung mehr Störsignale als Erkenntnisse. Legen Sie Eskalationspfade nach Alarmtyp und Kritikalitätsstufe des Anbieters fest, bevor der erste Alarm eintrifft.
  • Geopolitische Überwachung wird als Ad-hoc-
    betrachtet Die meisten Programme verfügen über keinen strukturierten Prozess zur Verfolgung von Änderungen an Sanktionslisten oder handelspolitischen Kurswechseln, soweit diese Auswirkungen auf bestimmte Lieferantenbeziehungen haben. Heutzutage stellt diese Lücke ein Compliance-Risiko dar und ist nicht mehr nur ein operativer Mangel.

Wie richtet man ein Programm zur Überwachung von Risiken durch Dritte ein?

Um ein effektives Programm aufzubauen, müssen in sechs Bereichen die richtigen Entscheidungen getroffen werden, und zwar in etwa in dieser Reihenfolge.

  1. Segmentieren Sie zunächst Ihr Lieferantenverzeichnis. Richten Sie die Überwachung entsprechend Ihrer Struktur aus Kritikalitäts- und Risikostufen ein, bevor Sie sich für ein Tool entscheiden. Kritische Lieferanten mit Datenzugriff oder betrieblicher Abhängigkeit erfordern eine umfassende, kontinuierliche Überwachung; Lieferanten niedrigerer Stufen benötigen möglicherweise eine geringere Abdeckung, ergänzt durch regelmäßige Bewertungen. Behandeln Sie das Verzeichnis als ein „lebendes“ Dokument: Die Aufnahme eines neuen Lieferanten löst dessen Erfassung aus, und jede wesentliche Änderung des Lieferantenumfangs löst eine Neubewertung des Überwachungsumfangs aus.
  2. Erfassen Sie Ihre Überwachungsbereiche, bevor Sie sich für ein Tool entscheiden. Ordnen Sie die Bereiche Ihrer Taxonomie für Anbieterrisiken zu. Cybersicherheit deckt ein anderes Profil ab als die Überprüfung auf finanzielle Schwierigkeiten oder Sanktionen; Programme, die standardmäßig ausschließlich auf Cybersicherheit ausgerichtet sind, lassen die regulatorischen und geopolitischen Kategorien außer Acht, die zunehmend die Haftung in der Lieferkette bestimmen.
  3. Kombinieren Sie „Outside-in“-Informationen mit „Inside-out“-Bewertungsdaten. Beide müssen in einer einzigen Risikoübersicht einsehbar sein und dürfen nicht als parallele Prozesse mit unterschiedlichen Verantwortlichen verwaltet werden. Beziehen Sie Bewertungsdaten aus Fragebögen und Audits sowie externe Informationen ein. Wenn die von einem Anbieter selbst angegebenen Kontrollmaßnahmen von dessen tatsächlich beobachtbarer Sicherheitslage abweichen, liegt genau in dieser Lücke Ihr Risiko.
  4. Legen Sie die Logik für die Alarmtriage fest, bevor der erste Alarm eingeht. Definieren Sie für jeden Risikobereich, was einen wesentlichen Alarm ausmacht, weisen Sie klare Zuständigkeiten zu und richten Sie Eskalationspfade nach Alarmtyp und Kritikalitätsstufe des Anbieters ein. Ohne eine abgestufte Logik führt die kontinuierliche Überwachung dazu, dass Störsignale schneller zutage treten als Entscheidungen getroffen werden.
  5. Erfassen Sie die Abhängigkeiten von Viertparteien bei Ihren Lieferanten mit der höchsten Kritikalität. Legen Sie den Schwerpunkt zunächst auf die Transparenz der Beziehungen zu Subunternehmern, bei denen Viertparteien direkten Zugriff auf Ihre Systeme oder Daten haben, und erweitern Sie anschließend die Erfassung nach Risikostufen.
  6. Integrieren Sie Überwachungswarnungen in Workflows zur Bewertung, Behebung und Abwicklung. Legen Sie fest, welche Warnungstypen eine Vertragsüberprüfung, Behebung oder Abwicklung auslösen – und wer befugt ist, Maßnahmen zu ergreifen. Die Abwicklung ist in den meisten Programmen der am wenigsten ausgearbeitete Integrationspunkt: Eine Lieferantenbeziehung, die endet, ohne dass der Zugriff widerrufen und die vertragliche Beendigung bestätigt wird, birgt ein Restrisiko, das durch die Überwachung nicht mehr abgedeckt werden kann.

Die TPRM-Plattform von Mitratech wurde entwickelt, um jeden dieser Schritte in großem Maßstab umzusetzen – von der abgestuften Erfassung von Lieferanten bis hin zur domänenübergreifenden Risikoüberwachung sowie automatisierten Workflows zur Triage von Warnmeldungen und zum Offboarding. Der in die TPRM-Plattform von Mitratech integrierte „Vendor Threat Monitor“ ermöglicht eine kontinuierliche Überwachung des Dark Webs und der Bedrohungsinformationen in Ihrem gesamten Lieferantenportfolio und deckt dabei auch kriminelle Foren, Paste-Seiten und Bedrohungs-Feeds ab, die bei manuellen Verfahren übersehen werden.

Für Teams ohne eigene TPRM-Kapazitäten kann das Risk Operations Center (ROC) von Mitratech diese Schritte in Ihrem Auftrag umsetzen – von der Durchführung der Bewertung über die Koordination der Abhilfemaßnahmen bis hin zur laufenden Überwachung. Für Teams, die eine Funktion zur Überwachung von Risiken durch Dritte aufbauen oder weiterentwickeln, bietet Mitratech die Struktur, um von einer punktuellen Bewertung zu einer kontinuierlichen, nach Risikostufen gegliederten Überwachung überzugehen.

Erfahren Sie, wie Mitratech Ihr TPRM-Programm unterstützt

Sprechen Sie mit einem Experten

Häufig gestellte Fragen

Was ist der Unterschied zwischen der Überwachung von Risiken durch Dritte und der Risikobewertung von Lieferanten?
Eine Risikobewertung von Lieferanten ist ein regelmäßiger, auf Fragebögen basierender Prozess, bei dem die Sicherheitskontrollen, Compliance-Maßnahmen und die Risikosituation eines Lieferanten zu einem bestimmten Zeitpunkt bewertet werden. Die Überwachung von Risiken durch Dritte erfolgt kontinuierlich: Dabei werden zwischen den einzelnen Bewertungen fortlaufend extern beobachtbare Signale zur Cybersicherheitslage, zur finanziellen Situation, zum Ansehen und zu regulatorischen Risiken eines Lieferanten erfasst. Beide Verfahren ergänzen sich: Bewertungen liefern Tiefe, die Überwachung sorgt für Kontinuität.

Welche Arten von Risiken sollte ein Programm zur Überwachung von Drittanbietern abdecken?
Ein umfassendes Programm deckt fünf Bereiche ab: Cybersicherheit (Exposition im Dark Web, Informationen zu Sicherheitslücken, Verlust von Zugangsdaten), finanzielle und Reputationsrisiken (negative Medienberichterstattung, behördliche Maßnahmen, finanzielle Instabilität), Arbeits- und ESG-Risiken (moderne Sklaverei, Sorgfaltspflichten in der Lieferkette), geopolitische Risiken (Änderungen der Sanktionslisten, Risiko durch Sekundärsanktionen, Entwicklungen in der Handelspolitik) sowie Risiken durch Viertparteien. Programme, die ausschließlich die Cybersicherheit überwachen, lassen die Kategorien außer Acht, die zunehmend zu Störungen in der Lieferkette und zu regulatorischer Haftung führen.

Schreibt DORA eine kontinuierliche Überwachung durch Dritte vor?
Ja. DORA, das am 17. Januar 2025 in Kraft getreten ist, verpflichtet EU-Finanzinstitute dazu, ein umfassendes Register der Vereinbarungen mit externen IKT-Dienstleistern zu führen und die Einhaltung der Vorschriften durch diese Anbieter kontinuierlich zu überwachen. Kritische IKT-Drittanbieter (CTPPs) unterliegen einer zusätzlichen Aufsicht, die direkt von den europäischen Aufsichtsbehörden ausgeübt wird. DORA-pflichtige Organisationen müssen zudem Ausstiegsstrategien für kritische Anbieter dokumentieren und Risikobewertungen hinsichtlich IKT-Konzentrationen durchführen.

Inwiefern hängt die Überwachung geopolitischer Risiken mit der Einhaltung der OFAC-Sanktionen zusammen?
Die Durchsetzungspraxis der OFAC hat sich in Richtung einer „Gatekeeper-Haftung“ verschoben, wonach Organisationen nicht nur für ihre direkten Transaktionen, sondern auch für Sanktionsverstöße verantwortlich gemacht werden, die im Rahmen ihrer Lieferantenbeziehungen auftreten. Ein Überwachungsprogramm, das Aktualisierungen der Sanktionslisten der OFAC, der EU, der UN und des Vereinigten Königreichs in Echtzeit verfolgt und Lieferanten sowie deren Unterauftragsverarbeiter anhand dieser Listen überprüft, ist ein wesentlicher Bestandteil eines vertretbaren Programms zur Einhaltung von Sanktionen.

Wie sieht eine effektive Überwachung von Risiken durch Viertparteien aus?
Die Überwachung von Viertparteien beginnt mit einer Bestandsaufnahme: Dabei werden die Subunternehmer, Lieferanten und Dienstleister identifiziert, auf die Ihre direkten Lieferanten zurückgreifen, insbesondere wenn diese Viertparteien Zugriff auf Systeme oder Daten haben, die Ihr Unternehmen betreffen. Die Überwachung umfasst die Sammlung von Informationen über die erweiterte Lieferkette – Cybersicherheitslage, Sanktionsrisiko, betriebliche Vorfälle – und nicht eine direkte, auf Fragebögen basierende Bewertung. Unternehmen sollten der Transparenz bei Viertparteien zunächst bei ihren Lieferantenbeziehungen mit der höchsten Kritikalität Priorität einräumen und den Umfang anschließend entsprechend der Risikostufe und den regulatorischen Verpflichtungen ausweiten.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 hat Mitratech das KI-gestützte Drittparteien-Risikomanagement-Tool Prevalent übernommen. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance-Anforderungen abgestimmt sind.