Die Drittanbieter-Blindheit
đ Was beobachte ich?
Das Lieferantenmanagement läuft: FragebÜgen verschickt, Zertifikate geprßft, Risikoklassen vergeben. Dann frage ich, welche Geschäftsprozesse der Ausfall eines einzigen Anbieters trifft. Die Antwort beginnt mit Schweigen und endet in Excel-Archäologie.
đŻ Was soll eigentlich erreicht werden?
ISO 27001 und NIS2 verlangen, Risiken aus Lieferantenbeziehungen zu steuern. Das eigentliche Ziel ist Resilienz: vorher wissen, was reiĂt, wenn ein Glied der Kette bricht.
â ď¸ Warum funktioniert das nicht?
Die Bewertung schaut in die falsche Richtung. Sie fragt, wie sicher der Anbieter ist â nicht, wie abhängig wir von ihm sind. CrowdStrike 2024: 8,5 Millionen Geräte fielen aus. Viele Organisationen erfuhren erst im Incident, welche Prozesse an einem einzigen Agenten hingen. Verizon zählt 2025 einen doppelt so hohen Anteil von Breaches mit Drittanbieter-Beteiligung wie im Vorjahr â 30 statt 15 Prozent. Der ausgefĂźllte Fragebogen beantwortet diese Frage nicht.
đĄ Was funktioniert besser?
Abhängigkeiten kartieren statt nur Lieferanten benoten. Die Business-Impact-Analyse liefert das GerĂźst: Welcher Prozess hängt an welchem Anbieter, wo bĂźndeln sich Abhängigkeiten auf einen einzigen Dienst? Und ein geĂźbtes Ausfallszenario je kritischem Anbieter zeigt, ob die Karte stimmt â bevor der Ernstfall es tut.
đđ
- CrowdStrike Lessons for Third-Party Cyber Risk Management (FAIR Institute) https://www.fairinstitute.org/blog/crowdstrike-lessons-third-party-cyber-risk-management-tprm
- Verizon 2025 DBIR: Alarming surge in third-party breaches https://www.verizon.com/about/news/2025-data-breach-investigations-report
- ENISA Good Practices for Supply Chain Cybersecurity https://www.enisa.europa.eu/sites/default/files/publications/Good%20Practices%20for%20Supply%20Chain%20Cybersecurity.pdf
- NIST SP 800-161r1: Cybersecurity Supply Chain Risk Management https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final