Anmerkung der Redaktion: Dieser Artikel, verfasst von Alastair Parr, Executive Director, GRC Solutions bei Mitratech, wurde ursprünglich aufcybersecurityinsiders.com veröffentlicht.
Das neue Jahr rückt immer näher und Unternehmen beginnen mit der Planung für 2025 und der Aufstellung von Budgets, um diese Pläne zu verwirklichen. Das Risikomanagement stand im vergangenen Jahr sowohl bei der Planung als auch bei der Budgetierung im Mittelpunkt – und es gibt keine Anzeichen dafür, dass sich dieser Trend verlangsamt. Aufgrund neuer Gesetze bedeutet das Risikomanagement eines Unternehmens zunehmend, die Risiken der Zusammenarbeit mit anderen Unternehmen zu minimieren. Wenn Sie ein Unternehmen betreiben, kann eine Schwachstelle in der Sicherheitslage eines Lieferanten oder Partners auch eine Schwachstelle in Ihrer eigenen Sicherheit sein. Dank neuer Vorschriften sind die Sicherheits- und Transparenzprobleme Ihrer Partner nun auch Ihre Probleme. Bedenken hinsichtlich der Geopolitik und ihrer Auswirkungen auf Lieferketten bedeuten auch, dass das Risikomanagement im nächsten Jahr eine noch größere Rolle spielen könnte.
Aus diesen Gründen entwickelt sich die Art und Weise, wie Unternehmen das Risikomanagement für Dritte (Third-Party Risk Management, TPRM) praktizieren, rasant weiter. Das vergangene Jahr war ein wichtiges Jahr für das Management von Risiken durch Dritte. Dennoch werden Unternehmen wahrscheinlich feststellen, dass auch 2025 ein gleichbleibender Fokus auf Geschäftskontinuität, Nachhaltigkeit und Transparenz erforderlich sein wird.
Vor diesem Hintergrund finden Sie hier sieben Prognosen dazu, wie sich das Risikomanagement von Drittanbietern bis 2025 entwickeln und verändern wird:
1. Dank KI werden prädiktive und vergleichende Berichterstellung sowie beschleunigte Bewertungs- und Dokumentationsabläufe möglich.
KI hat sich im letzten Jahr im Bereich TPRM etabliert, und es gibt allen Grund zu der Annahme, dass sie ab 2025 eine entscheidende Rolle spielen wird, da Unternehmen im Laufe der Zeit ein besseres Verständnis für den Einsatz von KI entwickeln und die Technologie nutzen werden, um Risikobewertungen zu automatisieren, ihre Entscheidungsfindung zu verbessern und Probleme schneller zu erkennen.
Große Sprachmodelle (LLMs) und andere KI-gesteuerte Systeme sind darauf ausgelegt, Unternehmen dabei zu helfen, Risiken durch Dritte in Echtzeit zu überwachen, indem sie große Datensätze analysieren und Muster identifizieren, die auf aufkommende Risiken hinweisen könnten. Diese Technologien werden Unternehmen auch neue Möglichkeiten bieten, Belege zu prüfen und Widersprüche zwischen Bewertungsantworten und Dokumentationen aufzudecken.
Allerdings wird KI nur dann erfolgreich sein, wenn sie durch strenge Richtlinien in Bezug auf Datensicherheit, Transparenz und Governance untermauert wird. Fehlen diese, wird ihre Einführung gebremst. Im vergangenen Jahr gaben beispielsweise nur5 % der Unternehmenan, KI aktiv in ihren TPRM-Programmen einzusetzen, da es an Governance mangelte. Diese Zahlen dürften sich jedoch bis 2025 erheblich ändern, da sich Unternehmen anpassen und sich zunehmend mit dem Einsatz von KI zur Automatisierung von Aufgaben und Berichten vertraut machen.
2. Neue Vorschriften werden Anforderungen koordinieren und eine erhöhte Sorgfaltspflicht fördern
Weltweit wird erwartet, dass Regierungen und Aufsichtsbehörden die Anforderungen an das Risikomanagement durch Dritte verschärfen werden, insbesondere in den Bereichen Datenschutz,ESG (Umwelt, Soziales und Unternehmensführung) und Unternehmensresilienz. Grenzüberschreitende Unternehmen werden mit komplexeren Compliance-Herausforderungen konfrontiert sein, die jedoch teilweise durch Bemühungen zur Harmonisierung und Vereinfachung globaler Vorschriften gemildert werden könnten, um die Einhaltung der Vorschriften zu vereinfachen.
Unternehmen müssen Drittanbieter und andere Partner strenger bewerten und dabei den Schwerpunkt auf Resilienz und Umweltauswirkungen legen. In Amerika könnte DORA (Digital Operational Resilience Act) als Vorbild für die Entwicklung von Standards für die operative Widerstandsfähigkeit im Finanzsektor dienen, in Übereinstimmung mit den Bemühungen des Office of the Comptroller of the Currency. Die Zunahme von ESG-Vorgaben wie EU CSRD und CSDDD wird Unternehmen dazu zwingen, die Nachhaltigkeitspraktiken ihrer Partner, wie CO2-Emissionen, Arbeitspraktiken und ethische Beschaffung, genau zu bewerten.
3. Geopolitische Entwicklungen werden Unternehmen dazu veranlassen, Konzentrations- und Resilienzrisiken zu bewerten.
Die politische Instabilität im Nahen Osten, in Ostafrika, im Südchinesischen Meer und in der Ukraine veranlasst Unternehmen dazu, ihre erweiterten Ökosysteme genauer zu überwachen. Organisationen intensivieren ihre Analyse der wirtschaftlich Berechtigten (UBOs) und Schlüsselpersonen, um Störungen besser vorhersagen und das Risiko von Sanktionen vermeiden zu können. Darüber hinaus erweitern sie ihre firmografischen Daten zu Lieferanten, um Einblicke in regionale und technologische Konzentrationsrisiken zu gewinnen und potenzielle Ausfallzeiten zu minimieren.
4. Das Risiko von Drittanbietern wird Teil der Unternehmenskultur
In der Vergangenheit wurden TPRM-Programme aufgrund der Fokussierung auf Risiken der IT-Infrastruktur von IT-Sicherheitsteams geleitet. Angesichts zunehmender Cyber-Bedrohungen und neuer Risiken muss TPRM jedoch zu einem kooperativeren, unternehmensweiten Ansatz übergehen. TPRM wird wahrscheinlich in den Zuständigkeitsbereich der Unternehmensrisikoteams fallen, um es besser in umfassendere Geschäftsprozesse zu integrieren. Auch Beschaffungsteams werden eine größere Rolle spielen, da Sourcing, Due Diligence und Vendor Offboarding für ein effektives Risikomanagement im gesamten Unternehmen immer wichtiger werden. Dies stellt eine wesentliche Veränderung gegenüber der heutigen Art der Risikominderung dar.
5. Eine konsolidierte Vorstandsperspektive erfordert eine zentralisierte GRC- und TPRM-Risikoberichterstattung.
Da das Risikomanagement von Drittanbietern (TPRM) immer stärker in das Unternehmensrisikomanagement integriert wird, wird es sich auf umfassendere Governance-, Risikomanagement- und Compliance-Funktionen (GRC) ausweiten. Vorstände und Führungskräfte werden zunehmend konsolidierte, auf die Auswirkungen auf das Geschäft ausgerichtete Sichtweisen auf interne oder externe Risiken verlangen. Um sich darauf vorzubereiten, sollten Unternehmen einheitlicheSchlüsselrisikoindikatorenentwickeln und darüber berichten, die sowohl für geschäftliche als auch für nicht-technische Stakeholder zugänglich sind und einen klareren Einblick in die Risikoexposition und -auswirkungen im gesamten Unternehmen ermöglichen.
6. Risikokonsolidierung verbessert die Fokussierung auf die Widerstandsfähigkeit des Unternehmens
Da Cybersicherheitsvorfälle durch Dritte nach wie vor weit verbreitet sind und wahrscheinlich weiter zunehmen werden, müssen Unternehmen das kollektive Risiko bewerten, das von ihrem gesamten Ökosystem aus Dritten ausgeht. Um die Widerstandsfähigkeit der Lieferketten zu erhalten, ist es unerlässlich zu erkennen, wie sich miteinander verbundene Risiken auf mehrere Lieferanten auswirken können.
Unternehmen können dieses Problem angehen, indem sie eine kontinuierliche, aggregierte Überwachung über alle Risikobereiche hinweg einführen – beispielsweise Cyber-, Betriebs-, Reputations-, ESG- und Finanzrisiken –, um Veränderungen in den Risikoprofilen von Drittanbietern schnell zu erkennen. Echtzeitdaten ermöglichen eine schnellere und effektivere Reaktion auf Bedrohungen und verbessern so die allgemeine Widerstandsfähigkeit des Unternehmens.
7. Der Wendepunkt für Datenverstöße durch Dritte
In den letzten Jahren hat dieZahl der Cybersicherheitsvorfälle durch Dritteerheblich zugenommen: Während 2021 noch 21 % der Unternehmen einen solchen Vorfall meldeten, waren es 2024 bereits mehr als 60 %. Auch die Schwere der Verstöße hat zugenommen, sodass Millionen von Menschen davon betroffen sind. Es ist zu erwarten, dass Cyberkriminelle ihre Bemühungen im Jahr 2025 noch verstärken und sich auf Dritte konzentrieren werden, die hochkarätige und sensible Branchen wie Gesundheitsdienstleister, Finanzdienstleistungsunternehmen, Bildungseinrichtungen, Landesregierungen und Hersteller unterstützen.
Blick in die Zukunft
Das Tempo der Veränderungen im Umgang von Unternehmen mit Risiken durch Dritte nimmt zu. Der verstärkte Fokus auf die Widerstandsfähigkeit von Unternehmen, die Einführung neuer KI-Programme und neue Vorschriften werden TPRM-Programme dynamischer und effektiver machen.
Durch die Nutzung von Innovationen und die Vorwegnahme sich schnell verändernder Trends können Unternehmen Risiken durch Dritte effektiv bewältigen – selbst in einem sich wandelnden Umfeld von Geschäftspartnerschaften und regulatorischen Anforderungen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
