Rationalisierung von Risikomanagement-Prüfungen durch Dritte: 5 kritische Schritte zur Einhaltung der Vorschriften

Das Management von Risiken durch Dritte kann in dem komplexen regulatorischen Umfeld von heute eine Herausforderung sein. Hier stellen wir fünf wesentliche Schritte vor, mit denen Sie Ihre TPRM-Compliance-Maßnahmen synchronisieren und Audits einfacher und effizienter gestalten können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juni 25, 2024 8 min gelesen
Decorative image

Nur wenige Wörter lösen bei Fachleuten für Sicherheit und Risikomanagement so viel Angst aus wie „Audit“. Allein schon beim Lesen dieses Wortes läuft es manchen kalt den Rücken herunter. Die Herausforderung eines IT-Sicherheitsaudits wird noch größer, wenn es sich auf Drittanbieter und Lieferanten erstreckt, was zusätzliche Ressourcen und Zeit erfordert.

Die Herausforderung geht über die Zeit hinaus, die für das Sammeln von Beweisen und das Identifizieren und Melden von Kontrolllücken aufgewendet wird. Die Durchführung eines Risikoprüfung durch Dritte bedeutet, sich in einem komplexen und oft sich überschneidenden regulatorischen Umfeld zurechtzufinden. Wie kann also ein Sicherheits- und Risikomanagementteam, das für das Risikomanagement von Dritten (TPRM) verantwortlich ist, sicherstellen, dass seine Anbieter und Lieferanten solide Risikomanagementprinzipien befolgen, ohne das Team zu überlasten?

Der Schlüssel zur Bewältigung dieser Herausforderung liegt darin, die Gemeinsamkeiten zwischen verschiedenen Regulierungs- und IT-Sicherheitskontrollrahmen zu erkennen und Ihre Compliance-Bemühungen auf diese Gemeinsamkeiten auszurichten. In diesem Blog werden fünf sich überschneidende Bereiche der gängigen TPRM-Anforderungen für Unternehmen beschrieben, um eine solide Grundlage für Audit- und Compliance-Bemühungen zu schaffen.

1. Planung: Richten Sie Ihr Programm für die Einhaltung der TPRM-Vorschriften ein.

Das Verständnis der Risiken, denen Ihr Unternehmen durch Dritte ausgesetzt ist, ist in vielen Regulierungs- und Kontrollrahmen von entscheidender Bedeutung. Es ist unerlässlich, sich auf zwei Arten von Dritten zu konzentrieren: diejenigen, die wichtige Produkte oder Dienstleistungen anbieten, und diejenigen, die Software bereitstellen, die wichtige Geschäftsprozesse unterstützt. Viele Regulierungssysteme verlangen eine systematische Bewertung der Kritikalität von Anbietern, eine zentralisierte Verwaltung und die Überwachung von Software von Drittanbietern.

Einrichtung eines funktionsübergreifenden TPRM-Teams

Bilden Sie ein Team mit Vertretern aus dem gesamten Unternehmen, darunter IT-Sicherheit, Risikomanagement, Rechtsabteilung, interne Revision und Beschaffung. Dieses Team ist für die Einrichtung einer angemessenen Governance und die Steuerung des TPRM-Programms verantwortlich und berücksichtigt die Anforderungen aller Teams, die Einblicke in Dritte benötigen.

TRPM-Tipp: Suchen Sie nach TPRM-Lösungen, die konsolidierte Risikoinformationen für mehrere Teams bereitstellen und eine rollenspezifische Ansicht von Risiken und Berichten ermöglichen.

Bestimmen Sie die Kritikalität der Lieferanten

Zu verstehen, welche Drittanbieter für Ihre Geschäftstätigkeit von entscheidender Bedeutung sind, ist der Grundstein der TPRM-Planung. Anbieter, die wesentliche Dienstleistungen erbringen oder mit sensiblen Informationen umgehen, sollten als kritisch eingestuft werden und erfordern daher eine umfassende Sorgfaltsprüfung und kontinuierliche Überwachung.

TRPM-Tipp: Führen Sie eine Profiling- und Tiering-Maßnahme durch, um das inhärente Risiko zu ermitteln und die Kritikalität der Anbieter zu identifizieren.

Zentralisierung des Lieferantenbestands

Erstellen Sie ein zentrales Inventar von Drittanbietern, mit dem Teams alle Lieferanten während des gesamten Lebenszyklus ihrer Geschäftsbeziehung verwalten können. Zu Beginn sollten Sie besonders auf alle bestehenden Drittanbieter von Software achten, die mit Ihrem Unternehmen in Verbindung stehen. Angesichts der zunehmenden Angriffe auf die Software-Lieferkette ist es unerlässlich, ein aktuelles Inventar aller Drittanbieter-Software zu führen. Dieses Inventar sollte mit Ihren Geschäftsprozessen und den sie unterstützenden Drittanbietern verknüpft sein.

TPRM-Tipp: Da Ihr Unternehmen wahrscheinlich bereits ein gemeinsames Kontroll-Framework für seine IT-Sicherheitsberichterstattung nutzt, sollten Sie Ihre Risikobewertungen für Dritte anhand von Frameworks wie NIST SP 800-53 oder ISO 27001 strukturieren.

2. Sorgfaltspflicht und Auswahl von Dritten

Sobald die Regeln zur Bestimmung der Kritikalität von Anbietern festgelegt und eine Bestandsaufnahme der vorhandenen Software und Dienste von Drittanbietern erstellt wurde, ist es an der Zeit, bei der Auswahl neuer Lösungen solide Due-Diligence-Grundsätze anzuwenden. Es ist entscheidend, eine Lösung oder einen Dienst zu wählen, der nicht nur für den jeweiligen Zweck geeignet ist, sondern auch mit dem Risikoprofil des Unternehmens übereinstimmt. Ein umfassender Due-Diligence-Prozess für Anbieter ermöglicht es Unternehmen, relevante Lieferanteninformationen im Voraus zu erfassen und wichtige Kontrollen in vielen regulatorischen Rahmenwerken zu berücksichtigen.

Der Due-Diligence-Prozess für Verkäufer umfasst einige einfache Schritte:

  • Bewerten Sie den Anbieter nach der Aufnahme durch eine Bewertung seiner Cybersicherheits- und Datenschutzpraktiken, geschäftlichen und betrieblichen Faktoren, Reputation, Compliance-Status, ESG-Richtlinien und Finanzen. Führen Sie vor der Aufnahme eine vertragliche Due-Diligence-Prüfung durch.
  • Zentralisieren Sie Risiken und Kontrolllücken in einem einzigen Risikoregister, um unternehmensweite Transparenz zu schaffen. Dies fördert die Entwicklung und Durchsetzung von Abhilfemaßnahmenplänen für Lieferanten und erleichtert interne Diskussionen über die Akzeptanz der Risiken des Lieferanten.
  • Nutzen Sie das in der Planungsphase erstellte zentrale Bestandssystem eines Drittanbieters, um den Lebenszyklus der Geschäftsbeziehung effizient zu verwalten. Berücksichtigen Sie dabei Attribute wie Daten zum Lieferantenunternehmen, Finanzinformationen und Standort.

TPRM-Tipp: Das Ziel der Durchführung der gesetzlich vorgeschriebenen Sorgfaltspflicht besteht darin, identifizierte Risiken zu mindern, und nicht nur darin, die Bewertung durchzuführen, um „die Checkliste abhaken zu können”. Setzen Sie daher Abhilfemaßnahmen durch, um sicherzustellen, dass Dritte die Risikogrenzen Ihres Unternehmens einhalten.

Transparenz in Ihrer erweiterten Lieferkette

Um ein wirksames TPRM-Programm zu haben, benötigen Sie Transparenz in Ihrer erweiterten Lieferkette. Erweiterte Lieferketten, an denen Subunternehmer und N-Parteien beteiligt sind, bergen erhebliche operative Risiken, und mangelnde Transparenz kann zu Ausfällen der Ausfallsicherheit bei Störungen führen. Viele große Datenverstöße lassen sich auf Kompromittierungen durch Dritte zurückführen, aber bei der Untersuchung stellt sich oft heraus, dass die Kompromittierung auf der Ebene der Subunternehmer begann.

3. Vertragsverhandlungen: Klare Erwartungen festlegen

Unternehmen können für Verstöße gegen Vorschriften durch ihre Drittanbieter und Subunternehmer haftbar gemacht werden. Daher sollten Sie erwägen, diese drei wichtigen Anforderungen in Verträge mit Drittanbietern aufzunehmen:

  • Das Recht, Dritte auf die Einhaltung wichtiger Sicherheits- und Datenschutzbestimmungen zu überprüfen.
  • Rechtzeitige Benachrichtigung bei Sicherheitsverletzungen für eine schnellere Reaktion auf Sicherheitsvorfälle.
  • Behebung festgestellter Probleme, um das Risiko von Kontrollversagen mit Auswirkungen auf die Organisation zu mindern.

Stellen Sie sicher, dass diese Bestimmungen auch für alle Subunternehmer und vierte oder fünfte Parteien gelten und diese für etwaige Probleme zur Verantwortung gezogen werden können. Nachweise für diese Durchsetzung oder Überwachung sollten auf Anfrage vorliegen.

TPRM-Tipp: Verlangen Sie von Dritten, dass sie ihre Subunternehmer offenlegen, und nehmen Sie wichtige Vertragsbestimmungen auf, um Transparenz und Rechenschaftspflicht zu gewährleisten.

4. Laufende Überwachung: Wachsamkeit bewahren

Die kontinuierliche Überwachung von Drittanbietern ist für die Einhaltung der TPRM-Vorschriften von entscheidender Bedeutung. Überwachen Sie verschiedene Risiken, darunter Cybersicherheitsbedrohungen, betriebliche Veränderungen, finanzielle Instabilität und Compliance-Probleme. Ein konsolidierter Ansatz für die Überwachung trägt zur Rationalisierung des Prozesses bei und liefert umfassende Einblicke in die Risiken.

TPRM-Tipp: Verwenden Sie ein einheitliches Rahmenwerk für die laufende Überwachung, um die anfängliche Sorgfaltspflicht zu validieren und die kontinuierliche Compliance sicherzustellen.

Viele regulatorische Rahmenwerke verlangen routinemäßige Schulungen zum Sicherheitsbewusstsein, um Teams dabei zu helfen, Social-Engineering- und Phishing-Angriffe zu erkennen. Es hat sich bewährt, diese Schulungen auch auf Auftragnehmer, Subunternehmer und Mitarbeiter von Drittanbietern auszuweiten und die Schulungsprozesse und -ergebnisse zu dokumentieren. Darüber hinaus erfordert die Einhaltung der TPRM-Vorschriften die Aufsicht durch den Vorstand und die Geschäftsleitung, einschließlich umsetzbarer Trendberichte, Vorfallmanagementprozesse und Kommunikation mit den Aufsichtsbehörden. Eine interne Revisionsfunktion sollte im Rahmen der Risikosteuerung des Unternehmens unabhängige Überprüfungen des TPRM-Programms durchführen.

TPRM-Tipp: Dokumentieren Sie alle Schulungsprozesse und -ergebnisse, um die Einhaltung der Vorschriften und die Bereitschaft nachzuweisen.

5. Beendigung: Eine klare Ausstiegsstrategie haben

Die meisten regulatorischen Rahmenwerke verlangen von Organisationen, dass sie über eine dokumentierte Ausstiegsstrategie verfügen, wenn sie kritische Geschäftsfunktionen auslagern. So heißt es beispielsweise in den Outsourcing-Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA): „Entwickeln und implementieren Sie Ausstiegspläne, die umfassend und dokumentiert sind und gegebenenfalls ausreichend getestet wurden (z. B. durch eine Analyse der potenziellen Kosten, Auswirkungen, Ressourcen und zeitlichen Auswirkungen der Übertragung einer ausgelagerten Dienstleistung auf einen alternativen Anbieter).“

Eine robuste Ausstiegsstrategie gewährleistet die Aufrechterhaltung der betrieblichen Widerstandsfähigkeit bei der Beendigung von Beziehungen zu Dritten. Sie sollte Ziele wie die Rückgabe oder Vernichtung aller vertraulichen Informationen, die dem Dritten und seinen Subunternehmern anvertraut wurden, die Löschung ihrer Daten, die Beendigung ihres Zugangs zur Infrastruktur und zu den Räumlichkeiten, die Bestätigung, dass die Vertragsklauseln einen geordneten Prozess für die Vertragsbeendigung vorsehen, sowie die Einhaltung aller gesetzlichen Anforderungen umfassen.

TRPM-Tipp: Nutzen Sie Checklisten und automatisierte Workflows, um über Systemzugriff, Datenvernichtung, Zugriffsverwaltung, Einhaltung relevanter Gesetze, Abschlusszahlungen und vieles mehr zu berichten. Dieser Ansatz vereinfacht das Offboarding von Dritten und zeigt den Prüfern, dass Ihr Unternehmen über einen robusten, zukunftsorientierten Prozess verfügt.

Nächste Schritte: Über die Grundlagen hinausgehen

Befolgen Sie diese fünf Schritte, um einen Vorsprung bei der Erfüllung der TPRM-Compliance-Anforderungen zu erzielen. Denken Sie daran, dass diese Aufgaben nur die Grundlagen darstellen. Wenden Sie sich unbedingt an Ihr internes Audit-Team und externe Wirtschaftsprüfer, um diese Liste um die spezifischen Compliance-Anforderungen Ihres Unternehmens zu ergänzen.

Wie Prevalent helfen kann

Prevalent kann Ihrem Unternehmen dabei helfen, ein umfassendes TPRM-Programm zu etablieren, das mit Ihren allgemeinen Programmen für Informationssicherheit, Governance und Unternehmensrisikomanagement im Einklang steht. Mit der Prevalent Third-Party Risk Management Platform kann Ihr Unternehmen:

  • Quantifizieren Sie die inhärenten Risiken für alle Dritten, um Lieferanten automatisch zu einstufen und zu kategorisieren und angemessene Sorgfaltspflichten festzulegen.
  • Nutzen Sie eine umfangreiche Bibliothek mit über 750 vorgefertigten Vorlagen für die Due Diligence von Drittanbietern, die durch Risikobewertung, Workflow und integrierte Abhilfemaßnahmen unterstützt werden.
  • Kartografieren Sie Ökosysteme von Drittanbietern durch spezielle Bewertungen und passives Scannen.
  • Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen, um den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln eingehalten werden.
  • Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte, einschließlich der Überwachung des Internets und des Dark Webs auf Cyber-Bedrohungen und Schwachstellen sowie öffentlicher und privater Quellen für operative Reputations-, Sanktions- und Finanzinformationen.
  • Automatisieren Sie Vertragsbewertungen und Offboarding- Verfahren, um das Risiko Ihrer Organisation nach Vertragsende zu reduzieren.
  • Vereinfachen Sie die regulatorische Berichterstattung mit integrierten Vorlagen für verschiedene Interessengruppen, gängige interne Kontrollrahmenwerke und branchenspezifische Vorschriften.

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, die Einhaltung der TPRM-Vorschriften zu vereinfachen und den Audit-Anforderungen immer einen Schritt voraus zu sein, fordern Sie noch heute eine Vorführung oder ein Strategiegespräch an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.