Outsourcing stellt Unternehmen vor viele Herausforderungen, darunter Datensicherheits-, Finanz-, Compliance- und Reputationsrisiken. Die Identifizierung, Meldung, Verwaltung und Minderung solcher Risiken lassen sich mit einem Third Party Risk Management (TPRM) lösen.
Eine TPRM-Lösung eines Drittanbieters steigert die Effizienz und spart Zeit und Kosten, indem die Leistung des Anbieters in Echtzeit überwacht wird.
(Bild: Elnur - stock.adobe.com)
Kooperationen mit Drittpartnern haben viele Vorteile: Sie können die Organisation effizienter machen, neue Fähigkeiten oder Technologien einbringen und das Arbeitsprodukt auf andere Weise verbessern. Aber ohne ein wirksames Third Party Risk Management (TPRM) können Dritte beispiellose Risiken für ein Unternehmen darstellen.
Dies liegt daran, dass Dritten oft Zugriffe auf wertvolle Unternehmenssysteme und die damit verbundenen sensiblen Daten eingeräumt werden. Zudem können sie meist auch von einem anderen Standort oder einem anderen Server aus auf das hauseigene System zugreifen. Ein Risikomanagement Dritter (TRPM) trägt dazu bei, sicherzustellen, dass Unternehmen weniger anfällig für Hacker-Angriffe und Sicherheitsverletzungen sind, selbst wenn sie mit den vertrauenswürdigsten Geschäftspartnern zusammenarbeiten.
Risikomanagement von Drittanbietern (TPRM)
Ein effizientes Third Party Risk Management (TPRM) nutzt den Risikomanagement-Lebenszyklus eines Drittanbieters, um die Risiken zu identifizieren, die Dritte möglicherweise einbringen, und erstellt dann einen Rahmen dafür, auf welche Systeme und Datentypen ein Dritter zugreifen kann. Obwohl dieses Maß an Sicherheit im Prinzip schon immer notwendig war, ist es in den heutigen digitalen Bedrohungslandschaften noch viel wichtiger.
Unternehmen verlassen sich in allen Bereichen auf Dritte, vom Cloud-Hosting über SaaS-Softwarelösungen bis hin zu Geschäftspartnern und Anbietern. Rund 80 Prozent der Unternehmen geben auch ihre Cloud-Daten an diese Dritte weiter, die Risiken hinsichtlich fahrlässiger Verstöße als auch böswilliger Attacken in sich bergen.
Verstöße kommen in Unternehmen meist zustande, indem diesen Geschäftspartnern zu viele Zugriffsrechte eingeräumt wurden. Umfragen ergaben, dass rund 50 Prozent der Unternehmen Dritten Zugriffe auf ihre Systeme gewähren, ohne deren Sicherheitspraktiken zu überprüfen.
Für eine Risikominderung sind die meisten Unternehmen häufig nicht in der Lage, indem sie diese Kooperationen einfach stoppen, jedoch eine Verschärfung der Richtlinien für die IT-Security ist dagegen sehr gut möglich.
Risiken zur Verwaltung Dritter
Da nicht alle Risiken immer gleich sind, müssen die Richtlinien für das Management Dritter umfassend sein. In der Folge sind die wesentlichen Risiken aufgeführt, die in einer Risikomanagement-Richtlinie und den Risiko-Kontrollen abgedeckt sein sollten:
IT-Security-Risiken: Zu diesen Risiken gehören kompromittierte Systeme sowie Hacker-Angriffe oder Verstöße.
Compliance-Risiken: Diese Risiken entstehen immer dann, wenn ein Dritter Gesetze, Vorschriften oder interne Verfahren verletzt.
Reputationsrisiken: Jedes Mal, wenn ein Dritter dem öffentlichen Image einer Organisation schadet, stellt er ein Reputationsrisiko dar. Dies kann den Verlust von Kundeninformationen oder sogar öffentliche Interaktionen betreffen.
Finanzielle Risiken: Solche Risiken treten auf, wenn Dritte die finanziellen Erwartungen aufgrund hoher Kosten oder geringer Einnahmen nicht erfüllen.
Betriebsrisiko: Dritte können ein Risiko darstellen, wenn sie nicht ordnungsgemäße Abläufe oder Verfahren einhalten, einschließlich der richtigen Protokolle für den Zugriff auf Systeme und Daten.
Wesentliche Vorteile von TPRM
Bei korrekter Umsetzung hilft das TPRM Unternehmen dabei, Risiken Dritter effektiver zu verwalten und unnötige Kosten und andere Arten von Schäden zu vermeiden.
Bessere Datentransparenz und Berichtsfunktionen: Ein effektives TPRM-Programm bietet eine durchgängige Transparenz und genaue KI-gesteuerte Dateneinblicke für eine bessere Entscheidungsfindung, Planung und Berichterstattung. Es bietet außerdem ein benutzerfreundliches Dashboard zum Anpassen der Berichterstellung, um Domänen zu identifizieren, die verbessert werden müssen und konform zu bleiben.
Schnelleres Onboarding von Dritten: Der Onboarding-Prozess ist für ein Unternehmen äußerst komplex und lebenswichtig und kann mehrere Wochen dauern. Die Automatisierung dieses Prozesses kann ihn effizient, einheitlich und sicher machen. Wenn das Onboarding schneller und transparenter erfolgt, werden die Beziehungen zu den Geschäftspartnern tendenziell stärker.
Erhöhte Zeit- und Kosteneinsparungen: Eine TPRM-Lösung eines Drittanbieters erhöht die Effizienz und spart Zeit und Kosten, indem sie die Performance des Geschäftspartners in Echtzeit überwacht. Obwohl eine TPRM-Lösung eine Anfangsinvestition erfordert, spart sie dem Unternehmen auf lange Sicht viel Geld und Zeit.
Erstellung eines TPRM
Der Einstieg in das Risikomanagement von Anbietern und Dritten kann Probleme bereiten. Effektive Richtlinien für ein Risikomanagement bestehen aus mehreren Ebenen. Sie liefern Hinweise für ein Unternehmen, wie es die Sicherheit Dritter bewerten soll, und geben den Dritten dann Hinweise, wie sie mit sensiblen Daten umgehen müssen. Die IT-Teams können mit der Erstellung ihrer TPRM-Lösung mit folgenden Schritten beginnen:
1. Prüfung aller Drittparteien: Der erste Schritt besteht im Grunde darin, zu prüfen, welche Geschäftspartner über Zugriffe auf Unternehmenssysteme oder -daten verfügen. Zu diesem Zweck sollte das Team eine umfassende Liste aller Personen, mit denen die Organisation zusammenarbeitet, einschließlich Auftragnehmern, Beratern und Lieferanten erstellen. Dabei ist zu beachten, welche Zugriffsebenen diese Parteien bereits innehaben, als auch welche Zugriffsebene sie benötigen.
2. Jeder Drittpartei eine Risikobewertung zuweisen: Um die Risikostufe jedes Dritten zu bewerten, muss sich das Team die jeweiligen Systemzugriffe genauer ansehen. Auf je mehr Daten sie zugreifen können, umso höher ist das Risiko. Hierzu sollte das Team eine Datenbank erstellen, die Dritte danach kategorisiert, ob sie ein hohes, mittleres oder niedriges Risiko aufweisen. Diese Datenbank muss stets aktualisiert werden.
3. Verfahren für das Risikomanagement erstellen: Mithilfe der Liste der Geschäftspartner und den zugehörigen Risikobewertungen ist ein Verfahren für jede Risikostufe zu entwickeln, was folgende Punkte umfassen sollte.
Due Diligence: Welche Sicherheitsfragen muss die Organisation jedem Dritten stellen?
Security Service Level Agreements (SLAs): Wie überprüft die Organisation, ob Anbieter die SLAs einhalten, und welche Schritte unternimmt die Organisation, wenn dies nicht der Fall ist?
Kontrollen: Welche Kontrollen sind obligatorisch und welche akzeptabel?
Compliance: Wie überprüft die Organisation, ob der Anbieter die gesetzlichen und Branchenstandards einhält?
Haftung: Wer ist im Falle eines Verstoßes verantwortlich und welche Rechtsbehelfe hat die Organisation?
Überprüfung: Wie prüft die Organisation fortlaufend ihre Partner, um sicherzustellen, dass sie weiterhin die Sicherheitsanforderungen erfüllen?
Aufsicht: Welche Prozesse werden vom Vorstand bzw. der Geschäftsleitung überwacht?
Risikominderung: Welche Verfahren sind vorhanden, falls es zu einem Verstoß kommt?
Kontinuierliche Aktualisierung der Richtlinien: IT-Security-Bedrohungen entwickeln sich ständig weiter, ebenso wie die Abhängigkeit von Unternehmen durch Dritte. Um Schritt zu halten, sollten Unternehmen einen „Always-on“-Ansatz zur Überwachung und Aktualisierung der Risikomanagementrichtlinien Dritter verfolgen.
(ID:49669893)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/d2/e9d2b519698bb7dc52d21d1735ff6b6e/0128637037v2.jpeg "Europa droht laut Google 2026 eine deutliche Zunahme staatlich gesteuerter Cyberangriffe, bei denen KI-gestützte Deepfakes, Vishing und eingeschleuste falsche IT-Fachkräfte gezielt Unternehmen ausspähen, erpressen und sabotieren. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/44/b444e312fe3afc078a5dccb184098b0f/0128881472v2.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5b/94/5b940fd0f2a907c9b981ad715bd1a1a7/0128740476v2.jpeg "Die betroffenen D-Link-Router haben 2020 ihr End-of-Life erreicht. Deshalb wird es von D-Link keine Sicherheitsupdates geben, um CVE-2026-0625/EUVD-2026-0944 zu schließen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6e/e6/6ee646db17c9fde60a314f5a304829f4/0128889483v1.jpeg "Der Austausch einer Firewall markiert häufig den Übergang von historisch gewachsenen Netzwerken zu konsolidierten Sicherheitsarchitekturen mit stärkerer Segmentierung und klaren Zugriffskontrollen. (Bild: © Woodapple - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/dc/c6dc484c002d4c89d06f11173e753926/0128919272v1.jpeg "Ein symbolischer Akt zur offiziellen Inbetriebnahme der AWS European Sovereign Cloud: (v.l.) Hester Somson (Botschafterin der Niederlande in Deutschland), Dr. Karsten Wildberger (Bundesminister für Digitales und Staatsmodernisierung), Stéphane Israël (Managing Director AWS European Sovereign Cloud and Digital Sovereignty), Matt Garman (CEO AWS), Madalena Fischer (Botschafterin von Portugal in Deutschland), Daniel Keller (Minister für Wirtschaft, Arbeit, Energie und Klimaschutz von Brandenburg), Claudia Plattner (Präsidentin des BSI) und Stefan Höchbauer (Managing Director AWS Deutschland und Central Europe). (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/a0/f2/a0f210f50889348c9b06243cf16c294f/0128830499v2.jpeg "Watchguard vereint mit einem neuen Zero Trust Bundle drei Sicherheitsbereiche in einer cloudbasierten Plattform. MSP erhalten damit ein skalierbares Servicemodell ohne VPN-Engpässe und komplexe Einzellösungen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/38/0e/380e0d4a17254692074ed5872ffc3908/0128878981v1.jpeg "Integrierte Endpoint-Plattformen sollen ITOps und SecOps eine gemeinsame Arbeitsbasis bieten und Reaktionszeiten verkürzen. (Bild: © Rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/2d/6e2dae8dfad47cd031d8727dc87e578b/0128886755v1.jpeg "Lohn- und Gehaltsabrechnungen enthalten besonders sensible personenbezogene Daten und unterliegen strengen datenschutzrechtlichen Anforderungen. (Bild: © StockPhotoPro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/25/6e25fe25fd017458e7c3c2cca2629623/0128786853v2.jpeg "Mit FRITZ!OS 8.20 bringt AVM neue Funktionen, u.a. Fritz! Failsafe als Ausfallschutz für die Internetverbindung. (Bild: AVM GmbH)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/f5/1cf5cfb8d1888abeecba82e9c7e396f1/0127320123v1.jpeg "SSoT ist keine neue Technologie, spielt aber eine immer wichtigere Rolle in modernen Netzwerken. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")