Anmerkung der Redaktion: Dieser Artikel, verfasst von Brad Hibbert, COO und CSO von Prevalent, wurde ursprünglich auf www.sdcexec.com veröffentlicht.

Jeden Tag sind die Nachrichten voll von Beispielen für Datenverstöße durch Dritte, die schwerwiegende finanzielle Auswirkungen auf Unternehmen und Verbraucher haben. Diese Verstöße werden unweigerlich die Aufmerksamkeit der staatlichen Aufsichtsbehörden auf sich ziehen, die jeweils ihre eigenen vorgeschriebenen Best Practices und Kontrollen anbieten, um solche Verstöße in Zukunft zu verhindern (oder zumindest ihre Auswirkungen zu minimieren).

Doch trotz der Häufigkeit von Sicherheitsverletzungen durch Dritte und aller erdenklichen regulatorischen „Hilfsmaßnahmen“ haben Unternehmen nach wie vor Schwierigkeiten, die Risiken durch Dritte in den Griff zu bekommen. Schauen wir uns einmal an, warum das so ist und wie Unternehmen mit Dritten verbundene Risiken mit sinnvollen Ergebnissen angehen können.

Kein Mangel an Vorschriften

Hier sind einige der aktivsten Branchen-, regionalen und nicht-IT-bezogenen Regulierungssysteme mit spezifischen Bestimmungen, die darauf abzielen, die Unternehmensführung in Bezug auf Beziehungen zu Dritten zu verbessern.

Branchenebene

Die Finanzdienstleistungs- und Bankenbranche ist führend, wenn es darum geht, von Organisationen die Ausübung der Governance über Beziehungen zu Dritten zu verlangen. Beispiele hierfür sind Vorschriften der US-amerikanischen Finanzaufsichtsbehörde Office of the Comptroller of the Currency (OCC), des Federal Financial Institutions Examination Council (FFIEC), der britischen Prudential Regulation Authority und Financial Conduct Authority (FCA) sowie der EU-Bankenaufsichtsbehörde. Selbst in diesem ausgereiften Bereich gibt es neue Anforderungen, die auf eine Harmonisierung abzielen; ein Beispiel dafür sind die Interagency Guidance.

Regional

Eine weitere Regulierungsebene ist die regionale Ebene. Speziell für Organisationen, die in diesen Regionen tätig sind, gelten im Vereinigten Königreich die Anforderungen des National Cyber Security Center (NCSC) für Dritte. In der EU regelt die DSGVO die Datenverwaltung durch Dritte. In Singapur gibt es die Monetary Authority und den Personal Data Protection Act (PDPA).

Nicht-IT

Obwohl Verstöße durch Dritte die Schlagzeilen dominieren, nehmen die Regulierungsbehörden wichtige Themen ins Visier, beispielsweise wie sich das Lieferketten-Ökosystem eines Unternehmens auf den Klimawandel auswirkt, ob es anfällig für Bestechung und Korruption ist und ob es Kinderarbeit einsetzt. Der britische Modern Slavery Act, das deutsche Sorgfaltspflichtgesetz und die EU-Richtlinie zur sozialen Verantwortung von Unternehmen (CSRD) enthalten wichtige Bestimmungen, die eine regelmäßige Berichterstattung und Bescheinigung vorschreiben.

5 Gründe, warum Unternehmen weiterhin Schwierigkeiten haben

Warum haben Unternehmen trotz aller Kontrollen Schwierigkeiten, Risiken durch Dritte in den Griff zu bekommen? Dafür gibt es fünf Gründe.

1) Es ist ein organisatorisches heikles Thema.

Daten aus der TPRM-Studie 2022 von Prevalent zeigen, dass in 50 % der Unternehmen die IT-Sicherheit für das TPRM zuständig ist, während in 22 % der Unternehmen die Beschaffungsabteilungen dafür verantwortlich sind. Wenn es keinen klaren Verantwortlichen gibt, wie kann dann sichergestellt werden, dass alle Risiken bewertet und angegangen werden?

2) Tabellenkalkulationen

Die meisten Unternehmen verwenden nach wie vor Tabellenkalkulationen, um ihre Drittanbieter zu bewerten – und diese Zahl steigt weiter an. Wie behält man in einer Tabellenkalkulation den Überblick über all diese Anbieter, stellt die richtigen Fragen, zeichnet die Antworten auf und bewertet sie auf diese Weise?

3) Jeder Anbieter ist einzigartig.

Ein einheitlicher Ansatz funktioniert selten für alle Anbieter, da diese in der Regel mit unterschiedlichen Systemen oder Datensätzen arbeiten oder Dienstleistungen mit unterschiedlichem Umfang anbieten. Die Bewertung von Anbietern stellt eine Belastung für den Verantwortlichen für das TPRM dar. Ohne eine gewisse Standardisierung (z. B. anhand einer Reihe von Best-Practice-Grundsätzen nach Branchenstandard) herrscht Chaos.

4) TPRM unterliegt Schwankungen hinsichtlich Ressourcen und Priorität, und es ist schwierig, Ergebnisse zu messen.

Da es bei TPRM ebenso sehr um Prozesse und Menschen wie um Technologie geht, ist es schwierig, das Budget für dessen Priorisierung zu rechtfertigen. Wenn Sie zumindest einige wenige Lieferantenmanager haben, die die Lieferanten mit hoher Priorität bewerten, haben Sie doch schon einiges erreicht, oder?

5) Abhilfemaßnahmen werden selten durchgesetzt.

Es ist schon schwer genug, Anbieter dazu zu bewegen, einen Fragebogen auszufüllen und Nachweise einzureichen, geschweige denn, etwas dagegen zu unternehmen. Aber hier ist der Haken: Wenn der Anbieter nichts gegen seine Sicherheits- oder Compliance-Lücken unternimmt, können diese Lücken ausgenutzt werden. Dadurch wird Ihr Unternehmen angreifbar.

Was kann man dagegen tun?

Hier sind vier Maßnahmen, mit denen Sie sofort beginnen können, um den Prozess der Berichterstattung über Risiken durch Dritte besser zu bewältigen:

  1. Beginnen Sie damit, Risikoprüfungen, Bewertungen und Prüfungsrechte von Drittanbietern in Ihre Lieferantenverträge aufzunehmen. Legen Sie SLAs für die Reaktion und spezifische Richtlinien für Nachweise, Bescheinigungen und Berichterstattung fest, sonst laufen Sie Gefahr, sich in einen Teufelskreis zu begeben, während die Aufsichtsbehörden Ihnen im Nacken sitzen.
  2. Implementieren Sie ein einziges System, das Ihre internen Teams unter einer einzigen Version der Wahrheit, einer einzigen Datenbank für Dritte, zusammenführt. Auf diese Weise können Sie Dritte zentral profilieren und einstufen und langfristige Ziele zur Risikominderung für Ihr Programm festlegen.
  3. Erstellen Sie einen Standardbewertungs- und kontinuierlichen Überwachungsprozess, um einen effizienten Vergleich zwischen Anbietern zu ermöglichen. Beziehen Sie Stakeholder wie die Beschaffungs- und Rechtsabteilung ein, um den Umfang und die Häufigkeit der Bewertungen festzulegen. Ein Nebeneffekt dieses Prozesses ist ein besseres Reaktionskonzept für den Fall, dass Ihr Unternehmen (oder ein Dritter) von einer Sicherheitsverletzung oder einer anderen Störung betroffen ist.
  4. Holen Sie sich Hilfe bei der Behebung. Mit einem Verständnis für den Umfang der Risiken durch Dritte und definierten Programmvolumina und -zielen sollten Sie nach Technologieanbietern und/oder Managed Services suchen, die Ihnen dabei helfen, Ihre Zeitpläne und festgelegten Ziele einzuhalten. Lösungen wie diese können Ihnen dabei helfen, Ihre TPRM-Bemühungen zum Abschluss zu bringen und aus regulatorischer Sicht alle offenen Fragen zu klären.

Maßnahmen zum Risikomanagement bei Drittanbietern können Ergebnisse liefern. Mit den folgenden Schritten können Sie schrittweise Fortschritte bei der Verbesserung der Governance von Drittanbietern erzielen. Ihr Team wird es Ihnen danken, und die Aufsichtsbehörden werden, nun ja, weiterhin Aufsichtsbehörden bleiben.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.