Das Lieferkettensorgfaltspflichtengesetz (LkSG) stellt immer mehr Unternehmen vor die Berichtspflicht – und vor große Herausforderungen. Das Gesetz deckt auf, wie weitreichend die unternehmensbezogenen Lieferketten eigentlich sind und welche Risiken seitens Drittparteien damit einhergehen. Wie Führungskräfte ihre Verantwortlichkeiten managen und die Reputation des Unternehmens aufrechterhalten können, lesen Sie nachfolgend.
Risiken Dritter, zum Beispiel Datenlecks bei externen Dienstleistern oder Lieferanten, mit denen ein Unternehmen zusammenarbeitet, sind unvorhersehbar und können sich negativ auf das gesamte Unternehmen auswirken.
(Bild: Romolo Tavani - stock.adobe.com)
Fokusthema für viele Compliance-Manager ist seit einigen Monaten, wie sie das Risikomanagement Dritter und die Sorgfaltsprüfung der Lieferkette im Rahmen des LkSG handhaben können. Ein Beispiel: Unternehmen sind für die ethische und ökologische Beschaffung der Garnelen in den in ihren Geschäften verkauften Sandwiches verantwortlich. Aber wie sieht es mit der Futterquelle für diese Garnelen aus – ist das Unternehmen auch für dessen Herkunft verantwortlich? Die kurze Antwort: Ja. Wo endet diese Verantwortlichkeit also und wie setzen Führungskräfte Systeme ein, um diese zuverlässig zu managen?
Unternehmen heute haben zum Teil mit einer Vielzahl an Drittparteien und Lieferanten zu tun – und das wöchentlich. Entsprechend sind die Player auf dem heutigen Markt mehr denn je miteinander verflochten. Das bedeutet gleichzeitig, dass die Risiken Dritter oder der Lieferanten zwangsläufig zu den eigenen werden und im Zweifel die eigene Reputation auf dem Spiel steht. Für Führungskräfte ist es daher unabdingbar, auf ein System bauen zu können, welches dabei unterstützt, den Überblick über diverse Daten und Vorgänge zu behalten.
Reduzieren Sie Risiken Dritter
Hier kommt das Third-Party-Risikomanagement (TPRM) zum Tragen und erfordert Zusammenarbeit und Aufmerksamkeit, um Risiken zu identifizieren. Dies kann Türen zu neuen Produkten und Märkten öffnen, Wachstum vorantreiben und die Kundenbindung erhöhen. Dies gilt für alle Organisationen, unabhängig von ihrer Größe – ob kleine Bio-Lebensmittelkette oder multinationaler Technologiekonzern.
Risiken Dritter, zum Beispiel Datenlecks bei externen Dienstleistern oder Lieferanten, mit denen ein Unternehmen zusammenarbeitet, sind ebenso weit verbreitet und vielfältig wie interne Risiken, aber eben auch unvorhersehbarer, da die Komplexität der Bedrohung mit den Handlungen einer externen Einheit verknüpft ist. Auch in die Abläufe und Prozesse anderer Geschäftspartner ist wenig oder gar keine Sichtbarkeit gegeben.
Ein Menschenrechtsvorfall, der beispielsweise in einer ausländischen Fabrik, die die Waren eines Unternehmens herstellt, beobachtet wird, könnte sich indirekt negativ auf das gesamte Unternehmen auswirken. Daher ist ein klarer und aussagekräftiger Überblick über die Lieferkette zu erhalten.
Heute und auch zukünftig erwarten Regulierungsbehörden, Kunden, Mitarbeiter und Investoren zunehmend von Unternehmen, dass diese nicht nur für ihr eigenes Handeln, sondern auch für das ihrer Lieferketten Verantwortung übernehmen. Immer mehr junge und innovative Unternehmen nutzen ihre Kompetenzen und ihre Strenge in diesem Bereich als Differenzierungspunkte in einem Markt, der Wert auf Transparenz und Ethik legt. Doch insbesondere für größere, etablierte Unternehmen ist es nicht einfach, die Risiken und Compliance ihres komplexen und mehrstufigen Netzwerks von Lieferanten und Dritten zu verfolgen.
Um diese Herausforderungen zu meistern, gibt es Systeme, Prozesse und Prinzipien, die Unternehmen dabei helfen können, sich bestmöglich aufzustellen.
Risikoarten
Unternehmen können verschiedensten Gefahren und Risiken ausgesetzt sein, was es erschwert, einen einheitlichen Ansatz für die Risikobewältigung Dritter aufzusetzen. Dennoch gibt es einige Kernrisikobereiche, die dazu beitragen, die gravierende Bedeutung eines effektiven Risikomanagements für Dritte zu verdeutlichen:
IT-Sicherheit: Die Bedrohungslandschaft wächst ständig, was bedeutet, dass selbst die besten Krisenmanagementprozesse der Welt keine Prävention von Risiken garantieren können, die von Partnern oder der Lieferkette übertragen werden. Unternehmen sollten daher ihre Mitarbeiter regelmäßig in bewährten Verfahren zur IT-Sicherheit schulen, sicherstellen, dass die Software der Partner nicht veraltet ist und die notwendigen Tools und Technologien zur Unterstützung ihres Playbooks implementieren.
Compliance: Regulatorische Fallstricke sind unvermeidbar, daher müssen Drittpartner alle lokalen, regionalen und internationalen Standards einhalten, die Sie befolgen, um kollaterale Schäden zu vermeiden.
Finanziell: Wenn Lieferanten oder Verkäufer in finanzielle Schwierigkeiten geraten und/oder in Konkurs gehen, kann sich dies direkt auf das Unternehmen auswirken. Daher ist es unerlässlich, regelmäßige Überprüfungen der finanziellen Gesundheit der Drittparteien durch Kreditberichte, Audits und andere finanzielle Bewertungen durchzuführen.
Prozess und Priorisierung
Verbände von Drittparteien ohne geeignete Screenings und Audits können in weniger als einer Minute zu einer Schwachstelle werden. Es ist daher unerlässlich, Risikobereiche zu identifizieren, diese laufend zu bewerten und Sicherheitsmaßnahmen wie die des eigenen Unternehmens zu bewerten.
Das kann erreicht werden, indem ein klares Playbook erstellt wird, das den Umgang mit eintretenden Risiken beschreibt und Beispiele gibt, wie darauf reagiert werden kann und sollte.
Berücksichtigen Führungskräfte einige Tipps, lässt sich die Komplexität des TPRM besser begreifen und steuern:
Identifikation und Klassifizierung des Risikoniveaus Dritter:
Hohes Risiko: Diese Unternehmen erfordern umfangreiche Audits und häufige Check-ins. Ein Beispiel ist eine Organisation, die eine Schlüsselkomponente des Gesamtprodukts eines Unternehmens liefert, oder ein Auftragnehmer, der Zugriff auf geschäftsbeeinflussende Systeme hat.
Mittleres Risiko: Eine angemessene Due-Diligence-Prüfung ist ausreichend; dies würde kleine oder mittlere Unternehmen einschließen, die Produkte oder Dienstleistungen anbieten, die einen unwesentlichen Einfluss auf den Betrieb haben.
Geringes Risiko: Für Unternehmen wie zum Beispiel Bürozulieferer, Druckereien und Landschaftsgärtner ist eine minimale Aufsicht erforderlich.
Durchführung einer Sorgfaltsprüfung: Tools wie Hintergrundprüfungen, Kreditberichte und Compliance-Zertifikate einsetzen, um Anmeldedaten zu überprüfen und Partner auf geschäftsrelevante Bedenken zu überprüfen.
Überwachung und Überprüfung: Basierend auf Zero-Trust-Prinzipien sollten alle Parteien stetig verifiziert und überwacht werden. Parallel sollten automatisierte Steuerungs-, Risiko- und Compliance-Lösungen implementiert werden, um Leistungskennzahlen zu verfolgen und Risiken und Anomalien zu kennzeichnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Reagieren und überarbeiten: Sobald ein Risiko identifiziert wurde, sollte eine gründliche Untersuchungen der Grundursache durchgeführt werden. Es gilt, vorbeugende Maßnahmen zu entwickeln, um zukünftige und weitere Schäden, Eskalationen oder Verluste für das Unternehmen zu vermeiden.
Es gibt eine Vielzahl von Lösungen, die diese Aufgaben erleichtern und intelligentere, effektivere Strategien ermöglichen. Dazu gehören KI-basierte Analyseplattformen, Risikomanagementsoftware, Vertragsmanagementsysteme, Kollaborationsportale und Prüfungslösungen.
Unternehmen, die wissen, wie sie ihr Risiko für Dritte erfolgreich mindern und schnell reagieren können, haben einen Wettbewerbsvorteil – sie werden für Stakeholder und Mitarbeiter als attraktiver angesehen. In unserem digitalen Zeitalter fordern institutionelle Investoren alle Standards und Zertifizierungen, um zu beweisen, dass das Unternehmen nachhaltig und grün ist.
Über den Autor: Florian Haarhaus ist International General Manager bei NAVEX.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/0c/4e0c11eb5fec8640e2b1aec71e928eaa/0128384623v2.jpeg "ISC2 empfiehlt Unternehmen fünf zentrale Maßnahmen um ihre Sicherheit zu stärken, darunter regelmäßige Bewertungen von Drittanbietern, Zero Trust, klare Vertragsprüfungen und der Ausbau von Cybersicherheitskompetenzen. (Bild: Lee - stock.adobe.com)")