Heutzutage nutzen fast alle Unternehmen IT-Drittanbieter, doch nur wenige schützen sich effektiv vor den damit verbundenen Sicherheitsvorfällen. Oft werden lediglich Security Rating Services eingesetzt, die Risiken zwar erkennen, aber kaum beseitigen können. Um diesen Risiken wirksam zu begegnen, ist ein Third-Party Risk Management-System erforderlich.
Kaum ein Unternehmen kommt heute noch ohne IT-Drittanbieter, ohne IT-Partner und IT-Zulieferer, aus, aber zu selten wird auch deren Potenzial für Cyberrisiken berücksichtigt.
(Bild: immimagery - stock.adobe.com)
Seit Jahrzehnten sind Unternehmen im Kontext ihrer IT zahlreichen Risiken ausgesetzt – und schützen sich entsprechend. Ein Bereich jedoch ist und bleibt eine empfindliche Schwachstelle – und gerät deshalb zunehmend ins Fadenkreuz von Cyberkriminellen. Die Rede ist von Software und Dienstleistungen, die von Drittanbietern bereitgestellt werden. Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), stellen Schwachstellen innerhalb einer Software-Lieferkette für Angreifer mittlerweile eines der zentralen Einfallstore in die IT-Systeme ihrer Opfer dar.
Supply Chain entwickelt sich für deutsche Unternehmen zu einem echten Risikofaktor
Tatsächlich hat die Zahl der Angriffe hier in den vergangenen Jahren spürbar zugenommen. Laut BlueVoyants aktuellem State of Supply Chain Defense Report hat die durchschnittliche Zahl der Sicherheitsverletzungen bei Lieferketten, mit tatsächlichen negativen Folgen für die angeschlossenen Unternehmen, 2023 um ganze 26 Prozent zugelegt – auch in Deutschland. In einer kürzlich erschienenen Bitkom-Untersuchung gaben 13 Prozent der befragten deutschen IT-Entscheider zu Protokoll, im vergangenen Jahr von mindestens einem Partner oder Zulieferer ihres Unternehmens erfahren zu haben – weitere 13 Prozent sprachen einen Verdacht aus – der oder die Opfer eines Datendiebstahls, einer Industriespionage oder eines Sabotageakts geworden seien. Und dennoch: Gegenmaßnahmen, gar präventive Maßnahmen, hat – zumindest bislang – nur knapp die Hälfte ergriffen. Lediglich 48 Prozent gaben in der von BlueVoyant durchgeführten Umfrage zu Protokoll, ihre Supply Chains mindestens einmal im Monat einer Überprüfung zu unterziehen.
Security Rating Service-Systeme greifen zu kurz
Im Hinblick auf diejenigen Risiken, die Unternehmen durch Partner und Zulieferer entstehen können, kann die derzeitige Sicherheitsarchitektur dementsprechend allenfalls als ‘schwach entwickelt’ bezeichnet werden. Hinzu kommt: die wenigen Unternehmen, die hierbei Tools zur Anwendung bringen, setzen überwiegend auf Security Rating Service (SRS)-Systeme. Diese können Risiken zwar identifizieren und bewerten – nicht aber beheben, wie George Aquila von BlueVoyant in einem Blogbeitrag erklärt. Zudem weisen sie eine hohe False Positive-Rate auf.
Die Folge: eine Überlastung der IT-Sicherheitsteams – der eigenen, wie derjenigen der Drittanbieter. Und – was mindestens ebenso schwer wiegt – eine Belastung der Beziehungen zu den Partnern und Zulieferern, sobald die eigene Analyse sich einmal als falsch entpuppt – was viel zu häufig der Fall ist. Zu den zentralen Schwachstellen eines SRS-Systems zählen:
1. viele Fehlalarme: Effektive Abhilfemaßnahmen erfordern präzise, validierte Daten. Sowohl die Risiken als auch die Angriffsflächen eines Unternehmens müssen genau identifiziert und bewertet werden. SRS-Systeme haben den Nachteil, dass sie sich in aller Regel auf unkuratierte Datenquellen stützen. Die Folge: viele unerwünschte False Positives, die die Aufmerksamkeit der Cyberanalysten von den tatsächlichen Bedrohungen ablenken und die Beziehungen zu den Drittanbietern unnötig belasten, wenn diese von den IT-Sicherheitsteams des Unternehmens zu Unrecht als Sicherheitsrisiko ausgemacht werden.
2. unscharfe Diagnosen: Eine Schwachstelle, die in der einen IT-Umgebung ein großes Sicherheitsrisiko darstellt, kann in einer anderen Umgebung weit weniger kritisch sein. SRS-Systeme haben hier den Nachteil, dass sie ein allgemeines Bewertungsmodell auf alle Anbieter umlegen. Spezifische Geschäftsprozesse und die kritische Bedeutung bestimmter Anbieter innerhalb einer Lieferkette können dadurch nicht berücksichtigt werden.
3. mangelnde Unterstützung bei der Risikobehebung: SRS-Systeme versorgen Unternehmen mit Risikofeststellungen, überlassen ihnen aber die Aufgabe, auf diese Informationen angemessen zu reagieren. Was fehlt ist eine Validierung der eskalierten Risiken, die Priorisierung der Feststellungen und die Entwicklung von Aktionsplänen. Handlungsanweisungen zur Risikominderung sucht man vergebens. Ebenso eine effektive Kommunikation mit den Drittparteien zur best- und schnellstmöglichen Beseitigung etwaiger Schwachstellen und Risiken.
Identifizieren und Beheben – Third-Party Risk Management-Systeme können mehr
Effektiv helfen kann hier mittlerweile eine neue Generation von Cyber-Risikomanagementsystemen – speziell entwickelt für die Identifizierung und Minderung von Risiken, die sich aus der Kooperation mit Drittanbietern ergeben. Die Rede ist von Third-Party Risk Management (TPRM)-Systemen. Mit ihnen lässt sich sicherstellen, dass Drittparteien: Vorschriften einhalten, vertrauliche Informationen schützen, die Sicherheit ihrer Lieferkette stärken, Störungen effektiv bewältigen sowie in Punkto Sicherheit ein hohes Leistungs- und Qualitätsniveau erreichen und beibehalten. Zu den wichtigsten Vorzügen eines TPRM-Systems zählen:
1. aktive Identifizierung und Behebung von Risiken
TPRM-Systeme helfen aktiv bei der Behebung von Schwachstellen. Sie kommunizieren direkt mit Drittanbietern und stellen so sicher, dass Schwachstellen umgehend behoben werden. Das Zeitfenster, das Angreifern für einen erfolgreichen Angriff zur Verfügung steht, kann so bedeutend reduziert werden. Durch die Bereitstellung klarer, umsetzbarer Anleitungen, können Unternehmen ihren Drittanbietern dabei helfen, Schwachstellen zu priorisieren und effektiv zu beheben.
2. individuell definierbare Risikoschwellenwerte
Eine gute Behebung erfordert eine gute Prioritätensetzung, die die individuellen Bedürfnisse und Risikotoleranzen jedes einzelnen Drittanbieters berücksichtigt. TPRM-Systeme bieten die Möglichkeit, maßgeschneiderte Risikoschwellenwerte zu erstellen, die die spezifischen Geschäftsprozesse und die kritische Bedeutung der einzelnen Lieferanten innerhalb einer Lieferkette berücksichtigen. Dadurch liefert eine TPRM-Lösung weit bessere Erkenntnisse zu Schwachstellen und Risiken bei einem Drittanbieter als eine SRS-Lösung.
3. kontinuierliche Überwachung und Updates in Echtzeit
Des Weiteren können TPRM-Systeme Drittanbieter-IT kontinuierlich und präzise überwachen – da Sicherheits-Updates hier in Echtzeit erfolgen. So wird sichergestellt, dass Zero Day-Schwachstellen und neu auftretende Bedrohungen schnell erkannt und behoben werden können. Der proaktive Ansatz verkürzt die SRS-Systemen inhärente Verzögerungszeit spürbar und bietet zudem eine robustere Verteidigung gegen Neu- und Weiterentwicklungen der Cyber-Bedrohungslandschaft.
Software und Dienstleistungen von Drittanbietern müssen effektiv vor unerwünschten Fremdzugriffen abgesichert werden. Unternehmen dürfen hier kein Risiko eingehen. Sie müssen lernen, die IT ihrer Partner und Zulieferer besser im Blick und im Griff zu behalten. Auch und gerade in Deutschland setzen hier bislang noch zu wenige Unternehmen auf Technologien, mit denen sich Schwachstellen, Sicherheitslücken und Risiken bei Drittanbietern nicht nur aufspüren, sondern auch effektiv beheben lassen. Hier muss sich dringend etwas ändern. Anders werden sich durch Dritte eingeschleppten Cyberrisiken nicht in den Griff bekommen lassen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Andy Fourie ist VP Sales EMEA bei BlueVoyant.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/0b/0b0bf8dd9dc859897cef8ae371f848c1/0129476551v2.jpeg "Claude-Hersteller Anthropic habe sich dazu entschieden, die gemeldete Schwachstelle vorerst nicht zu beheben, obwohl diese den Analysten von Layerx zufolge zu einer vollständigen Systemübernahme führen könnte. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/4a/e34a68d48018059ecb7aef41e101dcff/0111274291.jpeg "Wenn Mitarbeitende durch Simulationen lernen, was im Notfall zu tun ist, wissen sie, wie sie im Ernstfall reagieren sollten. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/0f/660f253c1ce9fd3246898882cf964279/0113604227.jpeg "Eine TPRM-Lösung eines Drittanbieters steigert die Effizienz und spart Zeit und Kosten, indem die Leistung des Anbieters in Echtzeit überwacht wird. (Bild: Elnur - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/e1/c2e1d872cfd6f35b6d068dbe0e65de8e/0107617249.jpeg "Es ist heute üblich, dass Unternehmen die Bonität ihrer Zulieferer, Geschäftspartner und Kunden mit Hilfe von Dienstleistern prüfen, warum nicht auch deren IT-Sicherheit? (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/75/c5754ce1c35d5c702b48494667c66be3/0125539543v2.jpeg "Lieferketten sind ein attraktives Ziel für Cyberkriminelle, besonders wenn wirtschaftlicher Druck zu Abstrichen bei der IT-Sicherheit führt. (Bild: © Travel mania - stock.adobe.com)")