Risikomanagement-Rahmenwerke für Dritte: Ein Überblick

Es gibt keinen einzigen Ansatz, der für jede Organisation ideal ist, aber einige häufig verwendete Rahmenwerke dienen als solide Ausgangsbasis. Hier ist, was Sie wissen müssen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter August 19, 2024 12 min gelesen

Die Einrichtung eines Risikomanagementprogramms für Drittanbieter ist ein komplexer Prozess, der die Verwaltung von Hunderten oder sogar Tausenden von Anbietern auf mehreren Kontinenten und in verschiedenen Rechtsordnungen erfordert. Unternehmen müssen sich mit verschiedenen Risiken von Drittanbietern auseinandersetzen, darunter finanzielle Risiken, Cyber-Sicherheitsrisiken, rechtliche Schritte, Leistungsausfälle und potenzielle Betriebsunterbrechungen für jeden Anbieter oder Lieferanten. Da Unternehmen zunehmend große Teile ihrer Arbeitslasten auslagern, ist der Aufbau eines umfassenden TPRM-Programms wichtiger denn je geworden.

Es gibt zwar nicht den einen TPRM-Ansatz, der für jedes Unternehmen geeignet ist, aber einige häufig verwendete Rahmenwerke bieten einen soliden Ausgangspunkt. Dazu gehören die Rahmenwerke für IT-Kontrollen und Cybersicherheit in der Lieferkette des National Institute of Standards and Technology (NIST) und der International Standards Organization (ISO) sowie Rahmenwerke, die auf andere Risikotypen wie Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG) ausgerichtet sind. Risikomanagement-Richtlinien von Drittanbietern leiten Unternehmen bei der Entwicklung, Anwendung, Verwaltung und Umsetzung von Best Practices an, die aus diesen Rahmenwerken abgeleitet sind.

Was ist ein Rahmen für das Risikomanagement von Drittparteien?

Rahmenwerke für das Risikomanagement von Drittanbietern bieten einen Fahrplan für Unternehmen, um ihre TPRM-Programme auf der Grundlage von branchenüblichen Best Practices aufzubauen. Diese Rahmenwerke können als Grundlage für ein TPRM-Programm dienen und bieten grundlegende Kontrollanforderungen für Drittanbieter und Lieferanten, je nachdem, welche Arten von Risiken Ihr Unternehmen für wichtig erachtet.

TPRM-Rahmenwerke werden im Allgemeinen in Sicherheits- und Nicht-Sicherheitskategorien unterteilt:

  1. Rahmenwerke für das Risikomanagement gegenüber Dritten (TPRM) oder das Risikomanagement in der Lieferkette (SCRM): Diese sind als grundlegende Rahmenwerke für die Entwicklung Ihres Programms gedacht. Beispiele sind das Shared Assessments TPRM Framework und NIST 800-161.
  2. Ergänzende Rahmenwerke für Informationssicherheit: Diese können ein TPRM-Programm ergänzen oder bei der Erstellung von Fragebögen zur Risikobewertung von Anbietern helfen, z. B. NIST CSF v2.0, ISO 27001 und ISO 27036.
  3. Nicht-IT- und ESG-Rahmenwerke: Hierbei handelt es sich um umfassendere Rahmenwerke, die sich auf Nicht-Cyber-Kontrollen, ESG-Vorschriften und -Richtlinien konzentrieren. Beispiele hierfür sind die Corporate Sustainability Reporting Directive (CSRD) und das Carbon Disclosure Project (CDP).

Warum sind Risikomanagement-Rahmenwerke für Dritte wichtig?

Das Drittparteirisiko ist ein zunehmend wichtiger Aspekt des Risikomanagements von Unternehmen. Unternehmen sind heute von einer Vielzahl globaler Zulieferer und Anbieter abhängig, was sie anfällig für leichte bis schwerwiegende Unterbrechungen macht. Diese Störungen können von Insolvenzen, geopolitischen Ereignissen oder Datenschutzverletzungen herrühren, die Dritte betreffen.

TPRM- und Informationssicherheits-Frameworks bieten wertvolle Kontrollen und Anleitungen für Unternehmen, die die Risiken in den Beziehungen zu Dritten mindern wollen. Das TPRM-Rahmenwerk von Shared Assessments beispielsweise deckt den gesamten Lebenszyklus des Risikomanagements für Lieferanten ab und bietet einen umfassenden Leitfaden für den Aufbau eines soliden TPRM-Programms.

Frameworks wie NIST 800-161, ISO 27036 und Shared Assessments bieten eine solide Grundlage für die Entwicklung eines TPRM-Programms. Rahmenwerke für Informationssicherheit wie ISO 27001, NIST CSF und NIST 800-37 dienen als Leitfaden für den Prozess der Risikobewertung von Anbietern und helfen bei der Erstellung von Fragebögen
die den Reifegrad der Cybersicherheit eines Unternehmens genau bewerten.

Überlegungen bei der Auswahl eines TPRM-Rahmens

Jedes Rahmenwerk kann Ihrer Organisation eine gewisse Kontrolle geben, um die Ziele in den Bereichen Regulierung, Risikomanagement und Sorgfaltspflicht umfassend zu erfüllen. Viele Unternehmen entscheiden sich für eine ausschließliche Zusammenarbeit mit NIST oder ISO und greifen bei der Entwicklung ihres Programms auf mehrere Rahmenwerke und Leitfäden dieser Organisationen zurück. So kann ein Unternehmen beispielsweise sein Risikomanagementprogramm für die Lieferkette auf NIST 800-161 aufbauen und die Elemente von NIST 800-53, NIST CSF v2.0 und NIST RMF heranziehen, um sein Programm und seinen Ansatz zur Lieferantenbewertung vollständig zu entwickeln. Berücksichtigen Sie die Bedürfnisse und Anforderungen Ihres Unternehmens, bevor Sie ein Rahmenwerk auswählen.

Verstehen Sie Ihre Risikolandschaft

Bei der Einführung eines Rahmens für das Risikomanagement von Drittanbietern müssen Unternehmen die Art des jeweiligen Risikos untersuchen und sich mit den sich ändernden geschäftlichen, gesetzlichen und rechtlichen Rahmenbedingungen auseinandersetzen. Das Verständnis der organisatorischen Risiken ist der erste Schritt bei der Auswahl des richtigen Rahmens für Ihr Unternehmen. Zu diesen Risikokategorien gehören unter anderem:

  • Risiken für die Cybersicherheit und den Datenschutz
  • Markt/Reputation
  • Finanzen
  • Rechtliche und regulatorische Fragen
  • Strategische
  • Technologie
  • Menschen/Kultur
  • Betrug
  • Operationelles Risiko
  • Geistiges Eigentum
  • Geopolitisch
  • Umwelt, Soziales und Governance

Berücksichtigung möglicher betrieblicher Auswirkungen

Beim TPRM geht es nicht nur darum, sicherzustellen, dass eine Partnerschaft Ihr Unternehmen nicht einem untragbaren Risikopotenzial aussetzt, sondern auch darum, Anbieter zu belohnen, die durch ihre Praktiken die Risiken für Ihr Unternehmen verringern. Aus diesem Grund ist die Auswahl des richtigen TPRM-Rahmens und das Verständnis seiner Auswirkungen auf Ihr Ökosystem externer Anbieter von entscheidender Bedeutung. Bei der Auswahl des Rahmens für Ihr TPRM-Programm sollten Sie Folgendes beachten:

  • Wie lässt sich das Framework in Ihre bestehenden Arbeitsabläufe integrieren?
  • Wie lässt sich das Rahmenwerk mit dem allgemeinen Rahmenwerk für das Risikomanagement in Ihrem Unternehmen in Einklang bringen?
  • Verfügt der Rahmen über verfügbare Benchmarks oder werden diese veröffentlicht?
  • Wird der Rahmen regelmäßig aktualisiert, um sich entwickelnde Risiken wie Cybersecurity-Risiken, geopolitische Veränderungen und Änderungen des rechtlichen Umfelds zu berücksichtigen?
  • Gibt es Standarddefinitionen für hohes, mittleres und geringes Risiko?
  • Welche TPRM-Rahmenwerke verwenden Ihre Kunden und verlangen, dass Sie darauf reagieren?
  • Gibt es in der Literatur Standard-Sanierungsverfahren im Zusammenhang mit dem TPRM-Rahmen?
  • Gibt es spezielle Branchenvorschriften, die berücksichtigt werden müssen? (z. B. für Finanzinstitute oder Gesundheitsdienstleister)
  • Wie weit wird der TPRM-Rahmen angewandt, d.h. kann er auch für die Bewältigung von Risiken der vierten Partei verwendet werden?

Sobald Sie die spezifischen Unternehmensprobleme, die Sie angehen müssen, identifiziert haben, sollten Sie die einzelnen Rahmenwerke für Informationssicherheit, Lieferkette und Nicht-Cyber-Risikomanagement untersuchen. Gemeinsame Bewertungen, NIST 800-161 und ISO 27036 können konkrete Beispiele für wichtige SCRM- und TPRM-Kontrollen liefern, während Informationssicherheitsrahmen wie NIST CSF Ihre Prozesse für das Risikomanagement von Dritten vorantreiben können.

Überblick über Rahmenwerke für das Risikomanagement von Drittparteien

Gemeinsame Beurteilungsrahmen

Gemeinsame Beurteilungen TPRM-Rahmen

Shared Assessments hat einen umfassenden Satz von TPRM-Best-Practices veröffentlicht. Dieses Rahmenwerk soll Unternehmen dabei helfen, ihr TPRM-Programm mithilfe einer standardisierten Reihe von Kontrollen einzurichten, zu überwachen, zu optimieren und auszubauen. Das Rahmenwerk ist in zwei Abschnitte unterteilt: Grundlagen und Prozesse. Die Grundlagen umfassen vier Abschnitte: Einführung, Grundlagen, Übernahme und Governance. Die Prozesse umfassen acht Familien, die von der Outsourcing-Analyse über die Due-Diligence-Prüfung bis zur laufenden Überwachung reichen.

Shared Assessments ist eines der wenigen Rahmenwerke, das sich ausschließlich auf das Risiko Dritter konzentriert und nicht auf umfassendere Themen wie das Risikomanagement in der Lieferkette oder die Informationssicherheit von Unternehmen. Es ist jedoch eine Mitgliedsgebühr erforderlich.

Gemeinsame Bewertungen Standardisierter Fragebogen zur Informationsbeschaffung (SIG)

Shared Assessments veröffentlicht einen standardisierten Fragebogen zur Informationserfassung, der es Unternehmen ermöglicht, Risikobewertungen von Drittanbietern durchzuführen, die sich leicht an Standards wie ISO, HIPAA, NIST, GDPR und PCI DSS anpassen lassen. Der Fragebogen enthält ein Management-Tool, mit dem Sie vordefinierte Fragen auswählen können, eine Checkliste für die Implementierung und eine Anleitung, welche Unterlagen von Drittanbietern angefordert werden sollten. SIG ist von Vorteil für Unternehmen, die ihre TPRM-Programme gerade erst starten.

NIST-Rahmenwerke für das Risikomanagement von Drittanbietern

NIST-Rahmenwerk für das Risikomanagement in der Lieferkette (NIST 800-161)

NIST 800-161 ist eine ergänzende Anleitung zu NIST 800-53 Rev. 5 , die speziell darauf ausgerichtet ist, US-Bundesbehörden beim Management von Lieferkettenrisiken zu unterstützen. Obwohl NIST 800-161 auf Bundesbehörden ausgerichtet ist, kann es sich auch als äußerst nützlich für die Entwicklung eines TPRM- oder SCRM-Programms für Organisationen des privaten Sektors erweisen. NIST 800-161 unterteilt den Prozess des Risikomanagements in der Lieferkette in vier Phasen: Rahmen, Bewertung, Reaktion und Wiederherstellung. Es umfasst 19 Kontrollfamilien, die von der Bewusstseinsschulung bis zum Erwerb von Systemen und Dienstleistungen reichen.

Obwohl sich das Risikomanagement in der Lieferkette und das Risikomanagement für Dritte unterscheiden, gibt es erhebliche Überschneidungen. Die Orientierung an der NIST 800-161
kann eine hervorragende Grundlage für den Aufbau eines kompetenten TPRM-Programms bilden. NIST 800-161 kommt großen, multinationalen Organisationen mit komplexen Lieferketten und fortgeschrittenen SCRM-Anforderungen zugute.

NIST-Risikomanagement-Rahmenwerk (RMF) 800-37 Revision 2

Die NIST hat außerdem ein umfassendes Rahmenwerk für das Risikomanagement veröffentlicht, das es Unternehmen aller Branchen ermöglicht, das Risikomanagement für Dritte und das Informationssicherheitsmanagement nahtlos zu integrieren. NIST 800-37 bietet eine solide Grundlage für das Risikomanagement im gesamten Unternehmen, einschließlich der Risiken im Zusammenhang mit dritten und vierten Parteien. Abschnitt 2.8 des NIST RMF sollte bei der Betrachtung von Risiken in der Lieferkette besonders beachtet werden. NIST 800-37 kann besonders nützlich sein, wenn es darum geht, Risikominderungsstrategien für die Einbindung neuer Drittanbieter in Betracht zu ziehen.

NIST Cybersecurity Framework (CSF) 2.0

Bei der Gestaltung von Anbieterfragebögen können die im NIST Cybersecurity Framework beschriebenen Best Practices von unschätzbarem Wert sein. Diese Bibliothek bewährter Praktiken bietet eine Reihe von Standards, die allen Beteiligten ein einheitliches Referenzmodell für die Diskussion von Problemen an die Hand geben. Das NIST CSF gilt weithin als der Goldstandard für den Aufbau eines Cybersicherheitsprogramms. Es kann Ihnen helfen, das Cyber-Risikoprofil eines potenziellen Lieferanten im Rahmen des Bewertungsprozesses genau zu messen. Die Erstellung eines Fragebogens zum Anbieterrisiko auf der Grundlage der im NIST CSF enthaltenen Kontrollen kann besonders für Unternehmen nützlich sein, die starke Bedenken hinsichtlich des Datenschutzes oder der Einhaltung von Vorschriften haben.

ISO TPRM-Rahmenwerke

ISO 27001 & 27002

Die Normen ISO 27001 und 27002 legen Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems fest. Die ISO-Anforderungen gehen weit über das reine Drittparteirisiko hinaus und enthalten einen wichtigen Abschnitt über das Management von Lieferantenrisiken als Teil eines umfassenderen Informationssicherheitsprogramms. Bei der Entwicklung Ihres TPRM-Programms lohnt es sich, die ISO-Bestimmungen, die sich auf das Risiko Dritter beziehen, und die umfassenderen Informationssicherheitskontrollen zu berücksichtigen, die auf Ihren Prozess zur Bewertung des Lieferantenrisikos angewendet werden könnten.

ISO 27036-2

Wenn Ihr Unternehmen mit internationalen Drittanbietern und Zulieferern zusammenarbeitet, kann die Nutzung der Prozesse der Internationalen Organisation für Normung, die speziell für TPRM und Informationssicherheit gelten, ebenfalls sinnvoll sein. ISO 27036-2 spezifiziert die grundlegenden Anforderungen an die Informationssicherheit für die Definition, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Beziehungen zu Lieferanten und Auftraggebern.

Diese Norm ist besonders für das Risikomanagement von Dritten relevant, da die Anforderungen die Beschaffung und Lieferung von Produkten und Dienstleistungen abdecken. In den Abschnitten 6 und 7 werden grundlegende und hochrangige Anforderungen an die Informationssicherheit definiert, die für die Verwaltung mehrerer Lieferantenbeziehungen zu jedem Zeitpunkt des Lebenszyklus dieser Beziehungen gelten. Die Norm umfasst professionelle physische Risiken wie Sicherheitspersonal, Reinigungskräfte, Lieferdienste, Gerätewartung und weitere Standardprozesse in Bezug auf Cloud-Dienste, Datendomizile, gemeinsame Compliance-Prozesse und Anforderungen. ISO 27036-2 wurde entwickelt, um den gesamten Lebenszyklus von Geschäftsbeziehungen zu verwalten, einschließlich:

  • Initiierung - Scoping, Business Case/Kosten-Nutzen-Analyse, Vergleich von Insourcing- und Outsourcing-Optionen sowie einer Variante oder eines hybriden Ansatzes wie Co-Sourcing
  • Definition der Anforderungen, einschließlich der Anforderungen an die Informationssicherheit
  • Beschaffung, einschließlich Auswahl, Bewertung und Vertragsabschluss mit dem/den Lieferanten
  • Übergang zu bzw. Umsetzung der Versorgungsregelungen mit erhöhten Risiken in der Umsetzungsphase
  • Betrieb einschließlich Aspekten wie routinemäßiges Beziehungsmanagement, Einhaltung von Vorschriften, Verwaltung von Vorfällen und Änderungen, Überwachung
  • Die Auffrischung ist eine optionale Phase für die Erneuerung des Vertrags, in der möglicherweise die Bedingungen, die Leistung, die Probleme und die Arbeitsabläufe überprüft werden.
  • Beendigung und Ausstieg

Umwelt-, Sozial- und Governance-Rahmenbedingungen

ESG-Rahmenwerke helfen Organisationen bei der Offenlegung von Daten über ihre Umweltauswirkungen, sozialen Praktiken und Governance-Strukturen, indem sie ein standardisiertes Schema für die Messung und Berichterstattung über Nachhaltigkeit und ethische Auswirkungen bereitstellen. Diese Rahmenwerke wurden von Nichtregierungsorganisationen, Regierungen und Unternehmensgruppen entwickelt und definieren die zu verfolgenden Kennzahlen, das Berichtsformat und die Häufigkeit der Offenlegung. Sie sind von entscheidender Bedeutung für die Standardisierung der ESG-Berichterstattung in Ihrer gesamten Lieferkette und ermöglichen es Stakeholdern wie Investoren, Regulierungsbehörden und Verbrauchern, die Leistung von Unternehmen zu bewerten und zu vergleichen. Während einige Rahmenwerke freiwillige Flexibilität bieten, sind andere staatlich vorgeschrieben und erfordern eine strikte Einhaltung.

Carbon Disclosure Project (CDP)

Das CDP ist ein Benchmarking-Rahmen, der sich auf Umweltmanagement und -politik, Risiko- und Chancenmanagement sowie Umweltziele konzentriert. Es bietet detaillierte Fragebögen zu Klimawandel, Wasser und Wäldern, die von akkreditierten Partnern ausgewertet werden. Das CDP ist besonders wertvoll für Organisationen, die die Transparenz und Verantwortlichkeit ihrer Umweltpraktiken verbessern wollen.

Global Reporting Initiative (GRI)

Die GRI ist einer der am häufigsten verwendeten freiwilligen ESG-Rahmenwerke. Er bietet umfassende Standards für die Berichterstattung zu wirtschaftlichen, ökologischen und sozialen Themen. Der modulare Aufbau der GRI ermöglicht es Organisationen, die für ihre wesentlichen Themen relevantesten Standards auszuwählen, was sie zu einem flexiblen und breit anwendbaren Rahmenwerk macht.

Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (CSRD)

Die CSRD
ist ein von der Europäischen Union entwickelter Regelungsrahmen. Sie verlangt von Organisationen, über verschiedene Nachhaltigkeitsthemen zu berichten, darunter auch über ökologische und soziale Fragen. Die CSRD betont die doppelte Wesentlichkeit und verlangt von den Unternehmen, in ihrer Berichterstattung sowohl finanzielle als auch gesellschaftliche Auswirkungen zu berücksichtigen. Dieser Rahmen ist für in der EU tätige Organisationen verpflichtend und wird sich voraussichtlich auf Tausende von Unternehmen weltweit auswirken.

Abschließende Überlegungen zu TPRM-Rahmenwerken

Wenn Sie sich von NIST, ISO, Shared Assessments und anderen Framework-Anbietern leiten lassen, können Sie einen Großteil der manuellen Arbeit bei der Entwicklung Ihres TPRM-Programms einsparen. Die Rahmenwerke NIST 800-161 und ISO 27036-2 können wertvolle Informationen für die in TPRM- und SCRM-Programmen häufig eingesetzten Kontrollen liefern. Andere Rahmenwerke wie NIST CSF, ISO 27001 und NIST 800-37 können bei der Gestaltung Ihres Risikobewertungsprozesses für Lieferanten äußerst hilfreich sein, während sich CDP, GRI und andere auf die ESG-Berichterstattung in Ihrer Lieferkette konzentrieren.

Nächste Schritte: Automatisieren mit Prevalent

Die Prevalent-Plattform für das Risikomanagement von Drittanbietern vereinfacht den Aufbau eines effektiven und schlanken TPRM-Programms. Sie ermöglicht es Ihnen, schnell Informationen über Lieferantenkontrollen zu sammeln, einschließlich IT-Sicherheit, Compliance, Leistung, Vertragstreue, Geschäftskontinuität, Finanzlage, Reputation, Ethik, Bestechungs- und Korruptionsbekämpfung, ESG, Vielfalt und mehr. Sie können diese Ergebnisse dann mit den Erkenntnissen der kontinuierlichen Überwachung korrelieren, um die Wirksamkeit der Kontrollen zu überprüfen.

Prevalent hilft bei der Automatisierung und Standardisierung von Risikobewertungen von Anbietern unter Verwendung verschiedener Rahmenwerke und Vorschriften und bietet gleichzeitig die Überwachung von Anbieterrisiken und das Management von Abhilfemaßnahmen während des gesamten Lebenszyklus von Risiken Dritter. Mit vorgefertigten Workflows und Fragebögen, die sich an Branchenstandards orientieren, macht die Plattform die Einrichtung und Verwaltung Ihres TPRM-Programms deutlich schneller und kostengünstiger. Darüber hinaus bietet die Plattform über ihre Vendor Intelligence Networks On-Demand-Zugriff auf vollständige, standardisierte Risikoberichte zu Tausenden von Unternehmen.

Wenden Sie sich an Prevalent, um eine kostenlose Reifegradbewertung zu erhalten, um festzustellen, wie es um Ihre derzeitigen TPRM-Richtlinien bestellt ist, oder fordern Sie noch heute eine Demo der Prevalent TPRM-Plattform an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.