---
title: "Die Drittanbieter-Blindheit"
date: 2026-06-24T07:35:00+02:00
draft: false
image: "2026-06-24_Drittanbieter-Blindheit.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "Lieferkette", "Resilienz"]
keywords: ["Lieferantenmanagement", "Abhängigkeitskartierung", "Business-Impact-Analyse", "CrowdStrike-Ausfall", "NIS2", "Verizon DBIR"]
description: "Lieferantenbewertung fragt, wie sicher der Anbieter ist – nicht, wie abhängig wir sind. Ohne Abhängigkeits-Karte bleibt Resilienz Zufall."
---

## 🔍 Was beobachte ich?

Das Lieferantenmanagement läuft: Fragebögen verschickt, Zertifikate geprüft, Risikoklassen vergeben. Dann frage ich, welche Geschäftsprozesse der Ausfall eines einzigen Anbieters trifft. Die Antwort beginnt mit Schweigen und endet in Excel-Archäologie.

## 🎯 Was soll eigentlich erreicht werden?

ISO 27001 und NIS2 verlangen, Risiken aus Lieferantenbeziehungen zu steuern. Das eigentliche Ziel ist Resilienz: vorher wissen, was reißt, wenn ein Glied der Kette bricht.

## ⚠️ Warum funktioniert das nicht?

Die Bewertung schaut in die falsche Richtung. Sie fragt, wie sicher der Anbieter ist – nicht, wie abhängig wir von ihm sind. CrowdStrike 2024: 8,5 Millionen Geräte fielen aus. Viele Organisationen erfuhren erst im Incident, welche Prozesse an einem einzigen Agenten hingen. Verizon zählt 2025 einen doppelt so hohen Anteil von Breaches mit Drittanbieter-Beteiligung wie im Vorjahr – 30 statt 15 Prozent. Der ausgefüllte Fragebogen beantwortet diese Frage nicht.

## 💡 Was funktioniert besser?

Abhängigkeiten kartieren statt nur Lieferanten benoten. Die Business-Impact-Analyse liefert das Gerüst: Welcher Prozess hängt an welchem Anbieter, wo bündeln sich Abhängigkeiten auf einen einzigen Dienst? Und ein geübtes Ausfallszenario je kritischem Anbieter zeigt, ob die Karte stimmt – bevor der Ernstfall es tut.

## 📚🔍

- CrowdStrike Lessons for Third-Party Cyber Risk Management (FAIR Institute) [https://www.fairinstitute.org/blog/crowdstrike-lessons-third-party-cyber-risk-management-tprm](https://www.fairinstitute.org/blog/crowdstrike-lessons-third-party-cyber-risk-management-tprm)
- Verizon 2025 DBIR: Alarming surge in third-party breaches [https://www.verizon.com/about/news/2025-data-breach-investigations-report](https://www.verizon.com/about/news/2025-data-breach-investigations-report)
- ENISA Good Practices for Supply Chain Cybersecurity [https://www.enisa.europa.eu/sites/default/files/publications/Good%20Practices%20for%20Supply%20Chain%20Cybersecurity.pdf](https://www.enisa.europa.eu/sites/default/files/publications/Good%20Practices%20for%20Supply%20Chain%20Cybersecurity.pdf)
- NIST SP 800-161r1: Cybersecurity Supply Chain Risk Management [https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final](https://csrc.nist.gov/pubs/sp/800/161/r1/upd1/final)