Third-Party Risk Management (TPRM)

Um die Chancen zu nutzen, die Globalisierung und Digitalisierung bieten, lagern immer mehr mittelständische Unternehmen bestimmte Bereiche an externe Dienstleister aus. Aber mit der Beauftragung von Cloud-Anbietern, Logistik-Services oder IT-Dienstleistern steigt

das Risiko von Sicherheitsvorfällen: So haben in einer branchenübergreifenden Umfrage des US-Sicherheitsanbieters Imprivata unter 573 IT-Experten in deutschen Unternehmen mehr als die Hälfte angegeben, bereits Datenverluste oder Angriffe erlebt haben, die aus Drittanbieter-Zugriffen resultierten.
Dieser Beitrag gibt Ihnen einen Überblick über die Sicherheitsrisiken, die von sogenannten Drittparteien ausgehen und wie sich diese Risiken mit einem strategischen Third-Party Risk Management (TPRM) kontrollieren lassen.

Definition: Was ist Third-Party Risk Management?

Third-Party Risk Management (TPRM) beschreibt den Prozess, mit dem Unternehmen die Risiken in der Zusammenarbeit mit externen Partnern gezielt identifizieren, bewerten und steuern. Etwa, wenn der Ausfall einer Cloud-Plattform die Unternehmensabläufe lahmlegt. Oder wenn der ausgelagerte Kundenservice die Datenschutzbestimmungen im Umgang mit Kundendaten nicht einhält.
TPRM erfasst etwa Lieferanten, IT- und Cloud-Dienstleister, Berater oder andere Partner, an die Dienstleistungen oder Prozesse ausgelagert werden.

Ziel des Third-Party Risk Management ist es, Störungen, Haftungs- und Compliance-Risiken sowie Daten- und Sicherheitsvorfälle frühzeitig zu erkennen und durch klare Richtlinien, Prüfungen und Vertragsstandards bestmöglich zu steuern. Dies umfasst den gesamten Lebenszyklus der Zusammenarbeit mit einem Drittanbieter, von der Auswahl und Due Diligence über Vertragsgestaltung, Onboarding und laufende Überwachung bis hin zur geordneten Beendigung der Geschäftsbeziehung, einschließlich der fortlaufenden Prüfung und Sicherstellung relevanter Compliance-Anforderungen.

Sogenannte Supply Chain Attacks oder Supply Chain Hacks werden zu einer zunehmenden Bedrohung für mittelständische Unternehmen. Cyberkriminelle greifen dabei gezielt die kleineren, häufig schlechter gesicherten Drittanbieter in der Lieferkette an und nutzen sie als Einfallstor für das eigentliche Unternehmen.

Welche IT-Risiken entstehen durch Drittparteien in der Lieferkette?

• Cyber- und Informationssicherheitsrisiken:

Setzt ein Drittanbieter Sicherheitsmaßnahmen, beispielsweise eine Multi-Faktor-Authentifizierung für Fernzugriffe, nicht konsequent um, steigt das Risiko für Ransomware, Phishing/Social Engineering und Datendiebstahl. Das kann Systeme, Daten und die Betriebsfähigkeit unmittelbar beeinträchtigen.

• Organisatorische Risiken:

Besteht eine Abhängigkeit von einem kritischen Anbieter, wird dieser zum Flaschenhals. Fällt z. B. ein Netzwerk oder ein Rechenzentrum des Partners aus und es gibt keinen Notfall-Plan, kommen die Unternehmensprozesse zum Stillstand.

• Compliance-Risiken:

Unternehmen müssen die Compliance mit zahlreichen Richtlinien und Regelwerken nicht nur für sich selbst nachweisen, sondern sind in vielen Fällen zudem verpflichtet, die Einhaltung auch in ihrer Lieferkette zu überwachen.

Anforderungen zur Überwachung in der Lieferkette ergeben sich für betroffene Unternehmen etwa durch folgende Standards und Gesetze: ISO/IEC 27001, BSI C5, BSIG (NIS‑2 und KRITIS) sowie DORA. Weiterhin können kartellrechtliche und Nachhaltigkeits‑, Lieferketten- und Datenschutzanforderungen wie Art. 28 DSGVO bei der Auftragsverarbeitung zutreffen.

• Finanzielle Risiken:

Insolvenzen oder starke Preisschwankungen bei Lieferanten können Mehrkosten, Lieferunterbrechungen und vertragliche Auseinandersetzungen auslösen.

• Reputationsrisiken:

Fehlverhalten von Drittanbietern kann die Außenwahrnehmung eines Unternehmens belasten, etwa bei Vorwürfen zu Korruption, Umwelt- oder Arbeitsrechtsverstößen oder bei schlechtem Kundenservice im Namen des Unternehmens.

Cyberangriffe auf Zulieferer in der eigenen Lieferkette können zu Produktionsausfällen, Lieferstopps, einem Zusammenbruch des Kommunikationssystems oder zu Reputationsschäden führen. In einer repräsentativen Studie des Digitalverbandes Bitkom mit mehr als 1.000 Unternehmen unterschiedlichster Branchen, geben 28 Prozent der befragten Unternehmen an, dass es bei ihren Zulieferern einen Sicherheitsvorfall oder einen Verdacht darauf gab. Von den betroffenen Unternehmen haben 41 % Auswirkungen aus der Lieferkette gespürt.

Welche Herausforderungen gibt es beim Drittparteien-Risikomanagement im Mittelstand?

Mittelständischen Unternehmen mangelt es beim TPRM in der Praxis weniger an der Einsicht, sondern an Ressourcen, Transparenz und einheitlichen Prozessen.
Typische TPRM-Herausforderungen in KMUs sind:

• Knappes Personal und wenig Zeit: TPRM konkurriert häufig mit Tagesgeschäft, IT-Betrieb und Compliance, sodass strukturierte Prüfungen liegen bleiben.
• Fehlender Überblick über Drittanbieter: Viele Unternehmen führen kein aktuelles Lieferanten- und Service-Register und verlieren den Blick auf Datenflüsse und Verantwortlichkeiten.
• Fehlende Transparenz über Subunternehmer: Viele Drittanbieter arbeiten mit Subdienstleistern ohne klare Vorgaben und Meldepflichten, wodurch blinde Flecken entstehen.
• Uneinheitliche Prozesse im Unternehmen: Wenn Einkauf, IT, Fachbereiche, Datenschutz und Recht jeweils mit eigenen Abläufen arbeiten, fehlen häufig klare Rollen, Freigaben und Standards.
• Fehlende Kontrolle: Änderungen bei Services, Zugängen, Datenarten oder Standorten werden oft nicht zeitnah überprüft und dokumentiert.
• Kein zentrales Dokumentenmanagement: Zertifikate, Reports und Kontrollen liegen häufig bei verschiedenen Abteilungen, wodurch Audits und Kundenanforderungen unnötig Zeit kosten.
• Wenig Verhandlungsmacht bei großen Anbietern: Hyperscaler und SaaS-Anbieter setzen häufig Standardverträge, sodass sich Audit-Rechte, SLAs, Sicherheitsanforderungen und Exit-Regeln nur begrenzt nachschärfen lassen.

Third-Party Risk Management aufbauen: Wie Unternehmen gezielt auf Drittanbieterrisiken reagieren

1.Inventarisierung aller Drittanbieter (Third-Party-Register)

Aufbau eines vollständigen Verzeichnisses aller relevanten Drittanbieter, insbesondere IT-Dienstleister sowie Cloud-/SaaS-Anbieter zur Erfassung von:

• Leistung
• Ansprechpartner
• Vertragsbezug
• betroffene Systeme
• Abhängigkeit (z. B. kritisch/nicht kritisch)

2.Risikoklassifizierung nach Kritikalität und Wesentlichkeit

Einstufung jedes Drittanbieters in zuvor festgelegte interne Risikostufen (z. B. niedrig/mittel/hoch) anhand definierter Faktoren:

• Datenzugriff (personenbezogene Daten, Geschäftsgeheimnisse)
• Bedeutung für Kernprozesse
• Umfang der Zugriffsrechte
• Integrationstiefe
• Standort- und Länderrisiken

3.Vertrags- und Kontrollstandard festlegen

Definieren von Mindestanforderungen, die entsprechend der Risikoklasse vertraglich abgesichert werden:

• Informationssicherheitsanforderungen
• SLAs/Verfügbarkeiten
• Regelungen zu Unterauftragnehmern
• Incident- und Meldepflichten
• Audit- und Nachweisrechte
• Rechte- und Zugriffsmanagement
• Exit- und Übergaberegeln (inkl. Datenrückgabe/-löschung)

4.Due Diligence vor Beauftragung und bei Änderungen

• Durchführung risikobasierter Prüfungen vor dem Onboarding:
• Sicherheitsfragebögen und Nachweise
• Prüfung von Zertifizierungen und Prüfberichten (z. B. ISO 27001, SOC 2, BSI C5)Vor-Ort-Prüfungen oder Remote-Assessments
• Ergänzend: Bonitäts- und Reputationsprüfung sowie bei Datenverarbeitung datenschutzrechtliche Prüfung (insbesondere Auftragsverarbeitung)

5.Laufendes Monitoring und Re-Assessments

Aufsetzen eines regelmäßigen, risikobasierten Monitoring-Prozesses (z. B. jährlich für hohe Risiken). Dazu gehören:

• Re-Assessments
• Review von Leistungs- und Sicherheitskennzahlen
• Nachweise aktuell halten
• Auswertung von Incidents
• Identifikation von Konzentrations- und Abhängigkeitsrisiken

Wesentliche Änderungen der Lieferantenbedingungen, etwa bei Serviceumfang, Datenarten, Standorten, Subunternehmern oder Zugriffsrechten sollten eine Neubewertung auslösen.

6.Notfall- und Exit-Plan für kritische Anbieter

Definition von Notfallprozessen für Ausfälle kritischer Drittanbieter wie Cloud-Provider etc.:

• Verantwortlichkeiten
• Eskalations- und Kommunikationswege
• Workarounds
• Wiederanlaufpläne

Ergänzend:

• Pflege von Alternativen (Second Source)
• Migrations- und Exit-Plänen
• Tests/Übungen, um die Umsetzbarkeit sicherzustellen

Spezielle TPRM-Tools können Unternehmen beim Management von Drittanbieterrisiken unterstützen. Je nach Lösung decken sie u. a. das Drittanbieter-Register (Inventur), die Risikoklassifizierung, Due-Diligence-Prüfungen, das laufende Monitoring sowie die Exit- und Notfallplanung ab.

Wie lässt sich das Drittparteienrisiko messen?

Das Risiko aus Drittparteien lässt sich anhand definierter Kriterien und Kennzahlen bewerten.

• Relevante Faktoren sind insbesondere:
• Abhängigkeit vom Dienstleister
• Kritikalität der bezogenen Leistung
• Datenzugriff
• mögliche Ausfallfolgen
• Wiederherstellungsdauer nach Störungen
• Anteile klassifizierter Anbieter
• aktuelle Nachweise (z. B. ISO-, SOC- oder C5-Berichte)
• kritische Findings aus Re-Assessments
• Incidents mit Drittanbieterbezug
• Anteile kritischer Anbieter mit getesteten Exit- oder Notfallplänen

Aus diesen Faktoren lässt sich ein Risikoscore ableiten, der eine Einstufung in niedrig, mittel oder hoch ermöglicht.

Governance und Verantwortlichkeiten im Third-Party Risk Management

Ein wirksames Third-Party Risk Management steht und fällt mit klaren Rollen, Entscheidungswegen und einer dokumentierten Risikoverantwortung. Ziel ist nicht Bürokratie, sondern schnelle, nachvollziehbare Entscheidungen – insbesondere bei kritischen Dienstleistern und Standard-SaaS-Verträgen.
Zu den typischen Rollen und Verantwortlichkeiten zählen:

• Business Owner (Fachbereich): Verantwortlich für Bedarf und Scope, fachliche Kritikalität, das Budget sowie – falls vorgesehen – die Risikoakzeptanz.
• IT / Informationssicherheit: Verantwortlich für Sicherheitsanforderungen, Zugriffsmodelle, technische Bewertungen und Vorgaben für das Monitoring.
• Einkauf: Verantwortlich für Beschaffungsprozesse, Lieferantenkommunikation, den Preis-Leistungs-Rahmen und die Durchsetzung von Mindestanforderungen.
• Legal / Datenschutz: Verantwortlich für Vertragsklauseln, datenschutzrechtliche Rollen, AVV/DPA sowie Regelungen zu Unterauftragnehmern und Flow-down-Verpflichtungen.

Entscheidungslogik für die Bewertung und Freigabe von Drittanbietern:

• Die Risikoklassifizierung basiert auf Datenkategorie, Zugriffsart, Kritikalität des Services, möglichen Ausfallfolgen sowie Konzentrations- und Lock-in-Risiken.
• Beim Freigabeprinzip gilt:
• niedrig/mittel: Freigabe durch Business Owner und IT/Informationssicherheit nach Standardprüfung.
• hoch/kritisch: zusätzliche formale Freigabe, zum Beispiel durch IT-Leitung oder CISO, sowie dokumentierte Risikoabwägung.
• Ausnahmen und Risikoakzeptanz: Wenn Standardverträge oder Kontrollen nicht vollständig umsetzbar sind, sollte ein geregeltes, schlankes Verfahren für Ausnahmen (Exception-Prozess) greifen:
• Abweichung beschreiben
• Risiko bewerten
• Kompensationskontrollen festlegen
• Befristung definieren
• verantwortliche Freigabe dokumentieren

Zum TPRM im Regelbetrieb zählen insbesondere:

• Die zentrale Grundlage für die Verwaltung und Überwachung aller relevanten Drittanbieter bildet das TPRM-Register.
• Der Review-Takt richtet sich nach der jeweiligen Risikoklasse.
• Eskalationen erfolgen insbesondere bei schwerwiegenden Findings, Abweichungen von Mindestklauseln, Vorfällen mit Drittanbieterbezug, dem Wechsel wesentlicher Unterauftragnehmer sowie bei Ausfällen oder Themen der Business Continuity.

Technische Mindestkontrollen für Drittanbieter

Für Drittanbieter mit Datenzugriff oder Fernzugriff sollten bereits beim Onboarding folgende technischen Mindestkontrollen verbindlich umgesetzt und im laufenden Monitoring sowie bei Re-Assessments überprüft werden:

• Rechte- und Zugriffsmanagement: Personalisierte Benutzerkonten statt Shared Accounts, Multi-Faktor-Authentifizierung für Fernzugriffe, das Prinzip der minimalen Rechtevergabe sowie regelmäßige Überprüfungen und Rezertifizierungen von Zugriffsrechten.
• Protokollierung und Monitoring: Aktivierte Audit- und Administrationsprotokolle, die Überwachung auffälliger Ereignisse (etwa neuer Integrationen, erweiterter Berechtigungen oder Massendownloads) sowie die Auswertung sicherheitsrelevanter Vorfälle.
• Schnittstellen und Integrationen (Integrationstiefe): API- und Servicezugänge mit minimalen Berechtigungen, ein geregelter Umgang mit Secrets und Schlüsseln (insbesondere hinsichtlich Verantwortlichkeit und Rotation) sowie eine dokumentierte Abgrenzung der betroffenen Daten und Systeme.
• Datenzugriff und Schutz vor Datenabfluss: Zugriff nur auf erforderliche Datenarten, kontrollierte und nachvollziehbare Exporte oder Downloads sowie klare Regelungen zur Datenrückgabe und Datenlöschung beim Exit.
• Privilegierte Zugriffe: Administrationsrechte nur bei tatsächlichem Bedarf, getrennte Admin-Konten sowie eine nachvollziehbare Freigabe und Protokollierung (bei hohen Risiken gegebenenfalls ergänzt um PAM- oder JIT-Konzepte).

Fazit: Großes Potenzial für TPRM im Mittelstand

Drittanbieter stellen heute einen wesentlichen Risikofaktor in der Lieferkette dar. Mit einer klaren Strategie und passenden Prozessen lassen sich diese Risiken jedoch wirksam managen. Gerade mittelständische Unternehmen verfügen häufig über kurze Entscheidungswege und eine hohe Veränderungsbereitschaft und damit über eine sehr gute Ausgangslage, um ein praxistaugliches Third-Party Risk Management aufzubauen. Entscheidend ist, TPRM nicht als einmaliges Projekt zu verstehen, sondern als fortlaufenden Steuerungs- und Verbesserungsprozess, der regelmäßig überprüft, nachgeschärft und an neue Anforderungen angepasst wird.

Warum wir von Möhrle Happ Luther der perfekte Partner für die Risikobewertung Ihrer Lieferkette sind

Als multidisziplinäre Wirtschaftskanzlei begleiten wir mittelständische Unternehmen beim Aufbau und der Implementierung eines strategischen Third-Party Risk Managements. Unsere IT-Consultants unterstützen Sie dabei, Third-Party Risk Management wirksam, skalierbar und auditierbar aufzusetzen. Wir halten Tool-Unterstützung und Automatisierung dort für sinnvoll, wo sie den größten Effekt bringt, z. B. für ein zentrales Drittanbieter-Register, risikobasierte Klassifizierung/Scoring, standardisierte Workflows für Onboarding und Re-Assessments, Erinnerungen/Eskalationen sowie ein Reporting zu Risiken, Findings und Incidents.
Wir unterstützen Sie im gesamten Prozess: Drittanbieter-Register aufbauen, Risiken klassifizieren, Mindeststandards (Vertrag/Nachweise/Kontrollen) definieren, Due Diligence sowie Re-Assessments operationalisieren und Governance inkl. Reporting etablieren – bei kritischen Anbietern ergänzt um Exit- und Notfallanforderungen. Falls (noch) kein Tool im Einsatz ist, setzen wir die gleiche Struktur pragmatisch mit schlanken Templates um.