Unterschätztes Sicherheitsrisiko? Warum Finanzabteilungen Third-Party-Risiken neu bewerten müssen

Das Rechenzentrum der Bank, der KYC-Dienstleister eines Investmenthauses oder die Auskunftei eines Finanzierers: Cyberangriffe nehmen zunehmend den Umweg über externe Partner. Statt das eigentliche Ziel direkt anzugreifen, kompromittieren Angreifer Dienstleister. Unvorbereitet und gleichzeitig zahlreiche angebundene Unternehmen indirekt.

Ist ein Data Center oder ein IT-Service-Provider einmal infiltriert, erfolgen Data Breaches, Ransomware-Attacken oder Identitätsmissbrauch überraschend und hochprofessionell. Zwei Muster stechen hervor: Entweder dienen kleinere Anbieter mit geringerer Sicherheitsreife als Einstiegspunkt in größere Organisationen.

Oder es werden gezielt große Cloud-, Software- oder Managed-Service-Provider attackiert. Der Effekt: Ein erfolgreicher Angriff wirkt gleichzeitig auf viele Kunden („One-to-many“). Wie können Firmen hier vorgehen, wenn die hauseigene Resilienz nicht mehr genügt?

Externe Abhängigkeiten als wirtschaftliches Risiko

2025 berichteten rund 97 Prozent internationaler Unternehmen von spürbaren Betriebsstörungen durch Angriffe auf Drittparteien. 2024 waren es 81 Prozent. Die drastische Zunahme ist eindeutig. Cyberrisiken sind damit längst nicht mehr nur ein IT-Thema, sondern wirken direkt auf Liquidität, Ergebnis und Unternehmenswert.

Mit der zunehmenden Digitalisierung und Auslagerung zentraler Prozesse sind Cloud-Infrastrukturen, spezialisierte Softwarelösungen oder externe IT-Services fester Bestandteil der Wertschöpfung. Sie schaffen Effizienz und Skalierbarkeit. Die Abhängigkeit gegenüber Dritten steigert sich ebenfalls.

Angreifer nutzen genau diese Struktur rücksichtslos aus. Statt Unternehmen direkt zu attackieren, kompromittieren sie Dienstleister, deren Sicherheitsniveau häufig unter dem ihrer Auftraggeber liegt. Die finanziellen Schäden entstehen dabei nicht allein durch Lösegeldforderungen. Produktionsausfälle, Lieferverzögerungen, Vertragsstrafen, regulatorische Sanktionen und Reputationsverluste schlagen sich unmittelbar in der GuV nieder.

Hinzu kommt: Viele dieser Schäden lassen sich weder vollständig versichern noch kurzfristig kompensieren.

Risk Concentration und Spillover zur Analyse von Risikostrukturen (Quelle: Swiss GRC AG)

Fehlende Transparenz als Kernproblem

Ein großes Problem: Während Markt- oder Finanzrisiken systematisch bewertet werden, bleiben Third-Party-Risiken oft fragmentiert. In vielen Organisationen fehlt ein strukturiertes Third-Party-Management, das Dienstleister klassifiziert, Sicherheitsanforderungen vertraglich festschreibt und Transparenz über Subunternehmer schafft.

Externe Administratoren, ausgelagerte Entwicklungsleistungen oder Subdienstleister sind nicht immer vollständig erfasst. Zudem werden langjährige Partnerschaften selten neu bewertet. Sicherheitsstandards, die heute selbstverständlich erscheinen, waren bei Vertragsabschlüssen vor fünf oder zehn Jahren häufig kein Thema.

Aus finanzieller Perspektive entsteht so ein Risiko, das außerhalb der eigenen Organisation liegt, im Ernstfall jedoch voll durchschlägt. Ohne zuvor systematisch gesteuert oder bilanziert worden zu sein.

Regulierung rückt Management in die Pflicht

Der europäische Gesetzgeber reagiert mit klaren Vorgaben. NIS-2 und der Digital Operational Resilience Act (DORA) verpflichten Unternehmen, Third-Party-Risiken als integralen Bestandteil ihres IKT-Risikomanagements zu behandeln. Cyberresilienz wird damit zur Governance-Aufgabe auf Management-Ebene.

DORA verlangt unter anderem, kritische IKT-Dienstleister zu identifizieren, Risiken über den gesamten Lebenszyklus zu bewerten und vertragliche Mindestanforderungen inklusive Exit-Strategien zu definieren. Auch der Cyber Resilience Act adressiert die Sicherheit digitaler Lieferketten und verpflichtet Hersteller zu strukturiertem Schwachstellen- und Update-Management.

Wer Third-Party-Risiken nicht systematisch steuert, riskiert künftig nicht nur operative Ausfälle, sondern auch regulatorische Sanktionen, Haftungsfragen und Vertrauensverluste bei Investoren. Direkte Auswirkungen auf Finanzierungskosten und Investorenvertrauen inklusive.

DORA (Verordnung (EU) 2022/2554)	Wortlaut
Artikel 28 DORA-VO – Allgemeine Prinzipien (1)	„Finanzunternehmen managen das IKT-Drittparteienrisiko als integralen Bestandteil des IKT-Risikos innerhalb ihres IKT-Risikomanagementrahmens nach Artikel 6 Absatz 1(…)“
Artikel 28 DORA-VO – Allgemeine Prinzipien (2)	„Die Strategie zum IKT-Drittparteienrisiko umfasst eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden(…)“

Regulatorische Pläne für Digital Operational Resilience Act (DORA). Quelle: Eigene Darstellung.

NIS-2 (Richtlinie (EU) 2022/2555)	Maßnahme
Artikel 21 NIS2-Richtlinie – Risikomanagementmaßnahmen im Bereich der Cybersicherheit, 2d	„Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;“

Regulatorische Pläne für zweite Richtlinie zur Sicherung von Netz- und Informationssystemen (NIS-2). Quelle: Eigene Darstellung

Strategische Resilienz statt formaler Prüfungen

Digitale Resilienz beginnt mit Transparenz:

• Welche Drittanbieter sind geschäftskritisch?
• Welche Leistungen wurden ausgelagert?
• Wie aktuell sind interne und externe Securitystrukturen?

Erst auf dieser Basis lassen sich Risiken priorisieren und steuern. Kritische Dienstleister müssen in Business-Continuity-Planungen einbezogen werden.

Das beinhaltet auch regelmäßige Tests, klare Incident-Prozesse und Meldewege. Kontinuierliche Bewertungen, Vertragsmonitoring, Leistungskennzahlen und Compliance-Prüfungen erhöhen die Transparenz. Technische Mindestmaßnahmen wie Multi-Faktor-Authentifizierung, Netzwerksegmentierung, eingeschränkte Zugriffsrechte und abgesicherte Update-Prozesse bilden das operative Fundament. Für CFOs ähnelt das einem laufenden Kreditmonitoring. Nur mit Fokus auf operative Abhängigkeiten.

Exit-Strategien als finanzielle Prophylaxe

Oft unterschätzt wird das Exit-Management. Fällt ein zentraler Dienstleister kurzfristig aus oder muss ersetzt werden, drohen hohe Zusatzkosten und lange Betriebsunterbrechungen.

Insbesondere der Stillstand des unternehmerischen daily Doings kostet doppelt: Reputation und Geld. Ein Schaden, der langfristig Spuren hinterlässt.

Vorbereitete Übergangsszenarien sichern die Handlungsfähigkeit und begrenzen potenzielle Schäden. In einem regulierten Umfeld sind sie zudem Ausdruck verantwortungsvoller Unternehmensführung.

KI ist Beschleuniger und Risikofaktor zugleich

Künstliche Intelligenz verstärkt die Dynamik. Vor allem durch den Faktor Schnelligkeit. Das Tempo, mit denen sowohl Verteidiger als auch Angreifer agieren, erhöht sich durch dieses Tool auf einer vorher nicht gekannten Stufe.

Angreifer nutzen KI zur Automatisierung und Beschleunigung von Angriffen. Gleichzeitig entstehen neue Drittparteienrisiken durch externe KI-Modelle oder SaaS-basierte KI-Tools, die funktional wie zusätzliche Dienstleister zu behandeln sind.

Automatisierte Risikoanalysen können dem gegenüber helfen, Auffälligkeiten frühzeitig zu erkennen. Entscheidend bleibt jedoch eine klare Governance: KI-Systeme müssen nachvollziehbar, steuerbar und prüfbar sein. Sie ersetzen keine Sicherheitsstrategie, sondern verstärken bestehende Strukturen im Positiven wie im Negativen.

Third-Party-Risiken gehören auf die CFO-Agenda

Bedeutet im Fazit: Third-Party-Angriffe sind kein Randphänomen, sondern Ausdruck einer hochvernetzten Wirtschaft. Ihre Auswirkungen betreffen Liquidität, Reputation und Unternehmenswert unmittelbar und meist gleichzeitig.

Ein strukturiertes Third-Party-Risikomanagement muss daher integraler Bestandteil von Governance-, Risk- und Compliance-Strukturen sein. Kontinuierlich überprüft und angepasst.

Für Finanzverantwortliche gilt: Externe Abhängigkeiten sind ebenso systematisch zu steuern wie Fachkräftemangel, Kostenentwicklung oder Vertriebsrisiken. Denn in einer vernetzten Ökonomie entscheidet nicht nur die eigene Stabilität über den Unternehmenserfolg, sondern zunehmend auch die Resilienz der eingebundenen Dienstleister.

Autor: Fino Scholl 

Fino Scholl ist Managing Director der Swiss GRC Germany GmbH und verantwortet den Ausbau des Deutschlandgeschäfts sowie die Weiterentwicklung der Marktaktivitäten des Unternehmens. Zuvor war er in leitenden Funktionen bei der IAV im Risiko- und Kontrollumfeld sowie in der industriellen Forschung tätig. Scholl promovierte im Maschinenbau an der Universidad de Valladolid und hält einen Masterabschluss der Karlsruhe University of Applied Sciences. 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk