Bewährte Praktiken der Risikobewertung durch Dritte

Risikobewertungen durch Dritte ermöglichen es Ihrem Unternehmen nicht nur, Risiken proaktiv zu erkennen und zu reduzieren, sondern helfen ihm auch, sich auf potenzielle Vorfälle bei Anbietern und Lieferanten vorzubereiten.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter September 16, 2024 11 min gelesen
Decorative image

Die richtige Einschätzung der potenziellen Gefahren durch Dritte ist ein wesentlicher Bestandteil der Risikomanagementstrategie eines Unternehmens. Zu den Risiken durch Dritte zählen Cybersicherheitsbedrohungen, Datenschutzbedenken, Compliance-Probleme und operative Risiken sowie Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG), finanzielle Risiken und Reputationsrisiken. Durch die Durchführung gründlicher, auf ein bestimmtes Risikoprofil zugeschnittener Risikobewertungen durch Dritte kann Ihr Unternehmen inakzeptable Risiken während des gesamten Lebenszyklus seiner Lieferanten- und Zuliefererbeziehungen identifizieren und mindern.

Risikobewertungen von Drittanbietern ermöglichen es Ihrem Unternehmen nicht nur, Risiken proaktiv zu erkennen und zu reduzieren, sondern helfen ihm auch, sich auf potenzielle Vorfälle vorzubereiten. Darüber hinaus schafft die Durchführung umfassender Risikobewertungen von Drittanbietern Vertrauen bei Kunden, liefert zusätzliche Nachweise für die Einhaltung gesetzlicher Vorschriften gegenüber Aufsichtsbehörden und versetzt Ihr Unternehmen in die Lage, Risiken in seiner gesamten verteilten Lieferkette aufzudecken und zu verstehen.

Arten von Risiken durch Dritte

Was ist eine Risikobewertung durch Dritte?

Risikobewertungen von Drittanbietern werden während des gesamten Lebenszyklus des Lieferantenrisikos durchgeführt, um das organisatorische Risiko, das von bestimmten Anbietern und Lieferanten ausgeht, ganzheitlich zu bewerten. Unternehmen führen in der Regel an mehreren Punkten während der Beziehung zu Drittanbietern Bewertungen durch, darunter:

  • Während der ersten Auswahl- und Beschaffungsphase, um potenzielle Lieferanten und Anbieter mit akzeptablen Risikoprofilen zu identifizieren und zu priorisieren

  • Vor der Gewährung des Zugriffs auf sensible Systeme und Daten während des Onboarding-Prozesses, als eine Form der Sorgfaltspflicht zur Bewertung potenzieller Gefahren

  • In regelmäßigen Abständen während der gesamten Partnerschaft, um die Einhaltung von Service Level Agreements zu überprüfen, die Einhaltung von Verträgen zu bewerten und Audit-Anforderungen zu erfüllen.

  • Während des Offboarding-Prozesses, um sicherzustellen, dass der Systemzugang beendet und Daten gemäß den Vorschriften geschützt oder gelöscht werden.

  • Im Falle eines Sicherheitsvorfalls, um den Umfang und die Auswirkungen der Verletzung zu ermitteln

Bei Risikobewertungen von Drittanbietern werden Fragebögen verwendet, um Informationen über die Sicherheits- und Datenschutzkontrollen eines Drittanbieters zu erfragen. Dabei können auch Informationen über die Finanz- und Betriebsdaten des Drittanbieters sowie über dessen Richtlinien zu Umwelt-, Sozial- und Governance-Themen (ESG) gesammelt werden. Die während des Bewertungsprozesses identifizierten Risiken werden in der Regel anhand von Faktoren wie der Schwere des Problems und der Wahrscheinlichkeit seines Eintretens bewertet. Die Ergebnisse werden häufig mit den wichtigsten Anforderungen abgeglichen, die in Branchen- oder Regulierungsrahmenwerken wie ISO, HIPAA, PCI DSS, UK Modern Slavery ACT, DSGVO, NIST CSF und anderen zentralen Vorschriften festgelegt sind. Dies hilft Unternehmen dabei, einen proaktiven Ansatz zur Identifizierung und Minderung von Risiken im Zusammenhang mit der Zusammenarbeit mit externen Partnern zu verfolgen.

Warum sind Risikobewertungen durch Dritte unerlässlich?

In den letzten Jahren wurden globale Geschäftsabläufe und Lieferketten durch Ereignisse wie die anhaltende COVID-19-Pandemie, extreme Wetterereignisse, schwerwiegende Cyberangriffe und andere Krisen erheblich beeinträchtigt. Diese Störungen haben für viele Unternehmen zu Betriebsausfällen, finanziellen Verlusten und rechtlichen Herausforderungen geführt. Obwohl viele dieser Ereignisse unvermeidbar waren, konnten Unternehmen mit starken Programmen zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) deren Auswirkungen oft minimieren oder abmildern.

Durch die Implementierung eines robusten Risikobewertungsprozesses für Dritte kann Ihr Unternehmen sein Verständnis für die Lieferkette von Dritten vertiefen und schwer erkennbare Risiken wie Konzentrationsrisiken, ESG-Risiken von Vierten und Reputationsrisiken ganzheitlich bewerten. Dies stärkt die Widerstandsfähigkeit Ihres Unternehmens in Krisenzeiten und ermöglicht es ihm, intelligente und fundierte Geschäftsentscheidungen hinsichtlich der Risiken zu treffen, die mit der Beauftragung neuer Lieferanten verbunden sind.

Was sind die verschiedenen Kategorien von Risiken durch Dritte?

Bei der Zusammenarbeit mit Dritten sind drei Hauptarten von Risiken zu berücksichtigen: profilierte, inhärente und Restrisiken. Diese Risikoarten geben Aufschluss darüber, wie tiefgehend Ihr Bewertungsprozess sein sollte und welche Abhilfemaßnahmen Sie von Anbietern auf der Grundlage ihrer Informationssicherheit und Geschäftspraktiken verlangen sollten.

  • Das profilierte Risiko ist das Risiko, das ein Dritter für Ihr Unternehmen darstellt, basierend auf extern beobachtbaren Informationen wie Standort, Branche, Nutzung von Viertparteien, Eigentumsverhältnissen oder grundlegenden ESG-Richtlinien. Dritte, die in einer geopolitisch instabilen Region tätig sind oder selbst mehrere Dritte einsetzen, sollten im Rahmen der Risikobewertung für Dritte möglicherweise einer zusätzlichen Prüfung unterzogen werden.

  • Das inhärente Risiko ist das Risiko, das ein Dritter aufgrund seiner internen Kontrollen und Geschäftspraktiken darstellt. Beispielsweise kann eine Organisation, die auf Ihre Kundendaten zugreift und von einem Dritten geprüft und als GDPR-konform bestätigt wurde, eine niedrigere inhärente Risikobewertung aufweisen als eine Organisation ohne formalisiertes Informationssicherheits- oder Datenschutzprogramm.

  • Das Restrisiko ist das Risikoniveau, das verbleibt, nachdem der Anbieter die Anforderungen Ihres Unternehmens umgesetzt oder geeignete Ausgleichskontrollen eingeführt hat. Das Restrisiko wird manchmal als „akzeptables Risiko“ bezeichnet, wenn ein Unternehmen die mit dem Dritten verbundenen verbleibenden Risiken akzeptiert.

Bei der Bewertung und Verwaltung von Drittanbietern ist es wichtig, diese drei Arten von Risiken zu berücksichtigen, um die potenziellen Gefahren, die sie für Ihr Unternehmen darstellen können, effektiv zu identifizieren, zu mindern und zu bewältigen.

Wie bewerten Sie Risiken durch Dritte?

Die Bewertung von Risiken durch Dritte umfasst die Berechnung von Risikowerten, die die Wahrscheinlichkeit des Eintretens eines Ereignisses und dessen potenzielle Auswirkungen berücksichtigen. Nehmen wir beispielsweise einen Anbieter, der Dienstleistungen für ein Krankenhaus erbringt und große Mengen geschützter Gesundheitsdaten (PHI) verarbeitet, aber nicht die Bestimmungen des Health Insurance Portability and Accountability Act (HIPAA) einhält.

In diesem Fall würde der Anbieter als Geschäftspartner eingestuft werden und denselben regulatorischen Anforderungen unterliegen wie der Gesundheitsdienstleister. Die Auswirkungen in diesem Szenario wären erheblich und könnten zu Geldstrafen sowohl für den Gesundheitsdienstleister als auch für den Geschäftspartner führen. Die Wahrscheinlichkeit, dass die Aufsichtsbehörden die Nichteinhaltung der Vorschriften entdecken, wäre ebenfalls hoch. Dies würde ein inakzeptables Risiko für jede Gesundheitsorganisation darstellen und wahrscheinlich zur Kündigung des Vertrags führen.

Risikomatrix für Dritte

Dieses Beispiel unterstreicht die Bedeutung einer umfassenden Risikobewertung von Drittanbietern, insbesondere für Organisationen, die mit großen Mengen sensibler Daten umgehen, wie beispielsweise Auftragnehmer der Regierung und Gesundheitsdienstleister. In vielen Fällen machen Vorschriften wie HIPAA die primäre Organisation für Verstöße ihrer Lieferanten verantwortlich, weshalb es für Organisationen von entscheidender Bedeutung ist, die mit ihren Beziehungen zu Drittanbietern verbundenen Risiken angemessen zu bewerten und zu mindern.

Schritte zur Risikobewertung durch Dritte

1. Interne Stakeholder zusammenbringen

Die erfolgreichsten Risikobewertungsprogramme von Drittanbietern beziehen die Beiträge und/oder die Beteiligung von Stakeholdern ein, die verschiedene Rollen mit unterschiedlichen Prioritäten vertreten. Das Verständnis dieser Prioritäten kann dazu beitragen, Ihr Programm zu optimieren und sicherzustellen, dass wichtige Schritte nicht übersehen oder vernachlässigt werden. Durch die Zusammenstellung eines funktionsübergreifenden Teams zur Planung und Steuerung Ihres Bewertungsprogramms können Sie dazu beitragen, die Akzeptanz innerhalb des Unternehmens und den langfristigen Erfolg sicherzustellen.

2. Definieren Sie Ihr akzeptables Restrisikoniveau

Es ist wichtig zu verstehen, dass selbst bei größter Sorgfalt immer ein gewisses Risiko besteht, wenn man mit Dritten zusammenarbeitet. Bevor Sie potenzielle Partner bewerten, müssen Sie festlegen, welches Risikoniveau für Ihr Unternehmen akzeptabel ist. Dies trägt dazu bei, die Auswahl von Lieferanten und das Risikomanagement effizienter und einheitlicher zu gestalten. Mit dieser Methode können Sie auch schnell Dritte identifizieren, die möglicherweise nicht mit Ihren Geschäftszielen und Ihrer Risikotoleranz übereinstimmen.

3. Entwickeln Sie Ihren Prozess zur Risikobewertung von Drittanbietern

Um Risiken durch Dritte effektiv zu managen, ist ein standardisierter Prozess unerlässlich. Der Prozess der Risikobewertung kann jedoch je nach Dritter, dessen Bedeutung für Ihre Lieferkette, dessen Zugang zu sensiblen Daten und dessen Anfälligkeit für Kontinuitätsereignisse variieren. Beispielsweise erfordern Dritte mit hoher Bedeutung und potenziellem Risiko eine gründlichere Due Diligence als solche mit geringerem Risiko. Ein strukturierter Prozess ermöglicht einen effizienteren Ablauf Ihres Programms und hilft Ihnen, bessere, risikobasierte Entscheidungen über Ihre Beziehungen zu Drittanbietern zu treffen.

Beginnen Sie mit einer internen Profilerstellung und einer Bewertung der Hierarchie, um Ihre Lieferanten zu kategorisieren und die Art, den Umfang und die Häufigkeit der für jede Gruppe erforderlichen Bewertungen zu planen.

4. Fragebögen zur Risikobewertung durch Dritte versenden

Um Risiken durch Dritte effektiv zu managen, ist es wichtig, Informationen über die internen Kontrollen des Lieferanten zu sammeln. Eine Möglichkeit hierfür ist das Versenden von Fragebögen. Diese Fragebögen können eine Vielzahl von Themen abdecken, wie z. B. Informationssicherheitspraktiken, Compliance-Anforderungen, finanzielle Stabilität und Daten von Lieferanten der vierten und N-ten Ebene.

Bei der Auswahl von Fragebögen für primäre Risikobewertungen müssen Unternehmen entscheiden, ob sie einen branchenüblichen Fragebogen verwenden oder einen eigenen erstellen möchten. Standardisierte Fragebögen wie der Standard Information Gathering (SIG) -Fragebogen, der H-ISAC-Fragebogen für Gesundheitsorganisationen und der Prevalent Compliance Framework (PCF)-Fragebogen sind weithin anerkannt und den meisten Anbietern und Lieferanten vertraut. Wenn ein Dritter jedoch bereits über eine Informationssicherheitszertifizierung wie CMMC oder SOC 2 verfügt, kann diese anstelle einer Bewertung akzeptiert werden. Alternativ können Sie diese durch proprietäre und/oder Ad-hoc-Bewertungen ergänzen, um Informationen über bestimmte Kontrollen oder potenzielle Risiken außerhalb der Cybersicherheit zu sammeln.

Eine weitere Möglichkeit besteht darin, bei der Erstellung von Fragebögen zur Lieferantenbewertung auf Rahmenwerke zurückzugreifen. Rahmenwerke wie das NIST Cybersecurity Framework, ISO 27001 und NIST 800-30 können dazu beitragen, dass die Fragebögen in der gesamten Lieferkette einheitlich sind und bewährte Verfahren widerspiegeln. Wenn darüber hinaus bestimmte Vorschriften wie die DSGVO oder PCI-DSS gelten, kann es von Vorteil sein, Fragen zu diesen Standards direkt in das Programm aufzunehmen.

5. Ergänzung von Bewertungen durch kontinuierliche Risikokontrolle

Cybersicherheitslücken, Herausforderungen in der Lieferkette und Compliance-Anforderungen entwickeln sich ständig weiter. Führen Sie daher eine kontinuierliche Risikoüberwachung durch, um alle Cyber-, Geschäfts-, Finanz- oder Reputationsrisiken zu erkennen, die zwischen Ihren regelmäßigen Lieferantenbewertungen auftreten. Sie können Risikodaten auch verwenden, um zu überprüfen, ob die Antworten eines Dritten auf die Bewertung mit den tatsächlichen Geschäftsaktivitäten übereinstimmen.

Datenverstöße bei Anbietern, offengelegte Anmeldedaten und andere Cyberrisiken

In der sich ständig weiterentwickelnden Cyberlandschaft von heute müssen Unternehmen externe Cybersicherheitsrisiken in ihrem gesamten Lieferantenumfeld proaktiv überwachen, anstatt sich auf eine einmalige Bewertung der Lieferantenrisiken zu beschränken. Zu den potenziellen Risiken, die es im Auge zu behalten gilt, gehören:

  • Offenlegung von Anmeldedaten

  • Bestätigte Datenschutzverletzungen und Vorfälle

  • Falsch konfigurierte Webanwendungen und Schwachstellen

  • Typosquatting und andere Gefahren für Marken.

Weitere Informationen zur Identifizierung dieser und anderer Risiken finden Sie in unserem Beitrag zu Best Practices für das Cyber Supply Chain Risk Management (C-SCRM).

Finanzen, Geschäftspraktiken und Ruf von Drittanbietern

Neben Cybersicherheitsrisiken ist es von entscheidender Bedeutung, die finanzielle Stabilität, die Geschäftspraktiken und den Ruf von Lieferanten zu überwachen. Finanzielle Ausfälle, Betriebsstörungen oder negative Presseberichte können erhebliche Auswirkungen auf Ihr Unternehmen und auf Herausforderungen in den Bereichen Umwelt, Soziales und Unternehmensführung (ESG) haben, wie beispielsweise moderne Sklaverei, Bestechung/Korruption und Verbraucherschutzfragen. Um diese Risiken zu mindern, sollten Sie die Geschäftspraktiken, die Beschaffung von Rohstoffen und andere wichtige Prozesse der Lieferanten untersuchen, die zu Reputations- oder Ethikproblemen führen könnten. Fordern Sie außerdem Referenzkunden und -partner an, um weitere Einblicke in die Fähigkeit des Drittanbieters zu erhalten, SLAs und andere vertragliche Verpflichtungen zu erfüllen.

Auswahl einer Überwachungsstrategie

Bei der Erstellung eines Überwachungsprogramms ist es wichtig, eine umfassende und effiziente Strategie zu verfolgen. Viele Unternehmen nutzen automatisierte Software zur Überwachung von Bedrohungen durch Anbieter, um Risiken zu identifizieren und zu bewerten. Dies kann Unternehmen dabei helfen, Informationen aus verschiedenen Quellen, wie beispielsweise Open-Source-Informationen, effizient zu sammeln.

6. Risiken kategorisieren und beheben

Bei der Bewertung von Risiken durch Dritte ist es wichtig, diese als akzeptabel oder inakzeptabel einzustufen. Inakzeptable Risiken müssen vor der Zusammenarbeit mit dem Anbieter behoben werden. Die Behebung dieser Risiken kann verschiedene Formen annehmen, z. B. die Forderung nach einer Sicherheitszertifizierung wie SOC 2, die Beendigung von Beziehungen zu Viert- und N-Partei-Anbietern oder die Änderung von Geschäftspraktiken, die zu Störungen in der Lieferkette oder anderen Störungen führen könnten.

Eine definierte Strategie für die Reaktion auf Vorfälle ist auch bei Datenverletzungen oder anderen Störungen, die durch einen Anbieter verursacht werden, von entscheidender Bedeutung. Mit einem vorab festgelegten Plan können Sie die Reaktionszeit erheblich verkürzen und die Auswirkungen auf Ihr Unternehmen minimieren.

So starten Sie ein Programm zur Bewertung von Risiken durch Dritte

Viele Unternehmen begehen den Fehler, bei der Einführung eines Bewertungsprogramms eine Kombination aus E-Mail und Tabellenkalkulationen zu verwenden. Dieser manuelle Ansatz kann zeitaufwändig und schwierig zu verwalten sein, insbesondere wenn mit vielen Anbietern zusammengearbeitet wird. Außerdem führt er oft zu begrenzten und unzuverlässigen Daten.

Um ein effektives Bewertungsprogramm zu erstellen, sollten Sie die Nutzung eines Lieferanteninformationsnetzwerks in Betracht ziehen, das Zugriff auf eine Bibliothek mit Lieferantenrisikoberichten auf der Grundlage standardisierter Bewertungsdaten bietet. Eine weitere Option ist eine automatisierte Lösung zur Bewertung von Risiken durch Dritte, die eine größere Anpassung und Kontrolle über den Bewertungsprozess ermöglicht. Alternativ kann ein Managed Service Provider die Bewertungen in Ihrem Namen durchführen, wenn Sie einen eher passiven Ansatz bevorzugen.

Nächste Schritte

Prevalent bietet Lösungen und Dienstleistungen zur Risikobewertung von Drittanbietern als Teil unserer umfassenden Plattform für das Risikomanagement von Drittanbietern. Um Ihre spezifischen Anforderungen mit einem Experten von Prevalent zu besprechen, fordern Sie noch heute eine personalisierte Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.