Die Einschätzung der Cyber Academy
TPRM ist die Disziplin, die das durch Lieferanten, Unterauftragnehmer und Dienstleister eingebrachte Risiko steuert. Onboarding-Due-Diligence, Vertragsklauseln, laufende Überwachung, Offboarding. Vorgeschrieben durch NIS 2 (Supply-Chain-Sicherheit) und DORA (IKT-Drittparteienrisiko). Der Crowdstrike-Ausfall und der SolarWinds-Vorfall haben TPRM zu einem Thema auf Vorstandsebene gemacht.
Das Third-Party Risk Management (TPRM) behandelt Ihre Lieferanten, Subunternehmer und Dienstleister als Erweiterung Ihrer eigenen Angriffsfläche. Die Logik ist einfach: Wenn ein Anbieter Ihre Daten verarbeitet, Ihre Infrastruktur betreibt oder Teil Ihrer Lieferkette ist, dann werden seine Schwachstellen zu Ihren Vorfällen. TPRM ist die Disziplin, die diese Exposition sichtbar, vertraglich geregelt und kontinuierlich überwacht macht, statt sie erst im Moment der Kompromittierung zu entdecken.
Die vier Phasen, die Praktiker tatsächlich durchlaufen
TPRM ist kein einmaliger Fragebogen. Es ist ein Lebenszyklus, der vom ersten Kontakt mit einem Anbieter bis zu dem Tag reicht, an dem Sie ihn abschalten. Die meisten ausgereiften Programme gliedern ihn in vier Phasen:
- Onboarding-Due-Diligence. Vor der Unterzeichnung bewerten Sie den Lieferanten anhand des Risikos, das er einbringt. Ein SaaS-Anbieter, der personenbezogene Daten verarbeitet, und ein Bürobedarfslieferant erhalten nicht dieselbe Prüfung. Die Einstufung nach Kritikalität ist es, die verhindert, dass das Programm untergeht.
- Vertragsklauseln. Der Vertrag ist der Ort, an dem die Zusicherung durchsetzbar wird: Sicherheitspflichten, Auditrechte, Fristen für die Meldung von Verstößen, Offenlegung von Unterauftragsverarbeitern, Datenstandort und Ausstiegsbedingungen. Was nicht im Vertrag steht, können Sie später nicht einfordern.
- Laufende Zusicherung. Das Risiko friert bei der Unterzeichnung nicht ein. Die Kadenz der Neubewertung, die Verfolgung von Zertifikaten (ISO 27001, SOC 2), die kontinuierliche Überwachung der Sicherheitslage des Anbieters und die Überprüfung der Abhängigkeiten von Viertparteien halten das Bild aktuell.
- Off-Boarding. Wenn die Beziehung endet, fordern Sie die Daten zurück oder bestätigen deren Vernichtung, entziehen Zugänge und schließen die verbleibende Exposition. Es ist die Phase, die Teams am häufigsten überspringen, und diejenige, die verwaiste Zugangsdaten zurücklässt.
Warum es zum Thema auf Vorstandsebene wurde
TPRM war früher im Einkauf angesiedelt. Es ist in den Vorstand gewandert, weil die aufsehenerregenden Ausfälle des letzten Jahrzehnts über die Lieferkette kamen, nicht durch die Vordertür. Der SolarWinds-Vorfall zeigte einen Angreifer, der Tausende von Organisationen erreichte, indem er ein einziges vertrauenswürdiges Software-Update kompromittierte. Der CrowdStrike-Ausfall zeigte, dass ein fehlerhaftes Update eines einzigen kritischen Anbieters den Betrieb ganzer Branchen auf einen Schlag zum Erliegen bringen konnte. Beide rahmten Dritte als systemisches Risiko neu, nicht als ein Häkchen im Einkauf.
Die Regulierung folgte. NIS 2 macht die Sicherheit der Lieferkette zu einer ausdrücklichen Pflicht für die erfassten Einrichtungen und nimmt die Leitungsorgane bei Versäumnissen in die Verantwortung. DORA geht für Finanzunternehmen weiter und widmet eine ihrer fünf Säulen dem IKT-Drittparteienrisiko, indem sie spezifische vertragliche Anforderungen auferlegt und kritische IKT-Anbieter selbst unter Aufsicht stellt. Für ein reguliertes Unternehmen ist TPRM keine bewährte Praxis mehr, sondern eine dokumentierte Pflicht.
Wie sich TPRM von benachbarten Disziplinen unterscheidet
TPRM steht neben dem Lieferantenmanagement und dem allgemeinen Risikomanagement, ist aber enger und schärfer als beide. Das Lieferantenmanagement optimiert Kosten, Leistung und die Geschäftsbeziehung. TPRM kümmert sich speziell um das Sicherheits-, Resilienz-, Datenschutz- und Compliance-Risiko, das eine Drittpartei einbringt. Es unterscheidet sich auch von der internen ISMS-Arbeit: Ihre Kontrollen enden an Ihrem Perimeter, Ihre Rechenschaftspflicht jedoch nicht. Sie können die Tätigkeit auslagern, das Risiko können Sie nicht auslagern. Diese Asymmetrie ist der ganze Grund, warum es die Disziplin gibt.
Frequently asked questions
01Was ist der Unterschied zwischen TPRM und Lieferantenmanagement?
Das Lieferantenmanagement steuert die Geschäftsbeziehung: Kosten, Service-Level, Leistung. TPRM konzentriert sich speziell auf das Sicherheits-, Resilienz-, Datenschutz- und Compliance-Risiko, das ein Lieferant einbringt. Sie überschneiden sich, aber ein starker Vertrag in Bezug auf den Preis sagt Ihnen nichts über die Meldung von Verstößen oder den Datenstandort.
02Ist TPRM nach EU-Regulierung verpflichtend?
Für viele Organisationen ja. NIS 2 macht die Sicherheit der Lieferkette zu einer ausdrücklichen Pflicht für die erfassten Einrichtungen, und DORA widmet eine ganze Säule dem IKT-Drittparteienrisiko für Finanzunternehmen. Beide legen die Verantwortung auf das Leitungsorgan, anstatt sie dem Einkauf zu überlassen.
03Was ist das Viertparteienrisiko?
Es ist das Risiko, das durch die eigenen Lieferanten Ihrer Anbieter eingebracht wird. Sie schließen den Vertrag mit der Drittpartei, doch diese ist von Unterauftragsverarbeitern und vorgelagerten Anbietern abhängig, die Sie möglicherweise nie zu Gesicht bekommen. Das Konzentrationsrisiko, wenn viele Lieferanten auf derselben Cloud oder Bibliothek beruhen, liegt in dieser Schicht.
04Wie oft sollten Drittparteien neu bewertet werden?
Es gibt kein einheitlich vorgeschriebenes Intervall. Ausgereifte Programme legen die Kadenz nach Kritikalitätsstufe fest: Die kritischsten Anbieter werden häufiger überprüft und kontinuierlich überwacht, während Anbieter mit geringem Risiko seltener neu bewertet werden. Das Prinzip ist risikobasiert, nicht kalenderbasiert.
05Bedeutet die Tatsache, dass ein Anbieter über ISO 27001 verfügt, dass wir die Due-Diligence überspringen können?
Nein. Ein Zertifikat ist ein Nachweis, kein Ersatz für eine Bewertung. Sie müssen weiterhin bestätigen, dass der Geltungsbereich der Zertifizierung den von Ihnen genutzten Dienst abdeckt, prüfen, dass es gültig ist, und das spezifische Risiko der Daten und Zugänge bewerten, die Sie ihnen gewähren.