Lieferantenrisiken bewerten — Methoden für regulierte Unternehmen
Wie Sie Dienstleister-Risiken systematisch einschätzen: Von der Kritikalitätsbewertung bis zum quantitativen Risikoscoring.
Warum eine Excel-Ampel nicht reicht
Die meisten kleinen Unternehmen bewerten ihre Dienstleister mit einer Ampel: grün, gelb, rot. Subjektiv vergeben, selten aktualisiert, nie hinterfragt.
Das Problem: Eine Ampel sagt nichts darüber aus, warum ein Anbieter riskant ist, wie hoch das Risiko tatsächlich ist und was Sie dagegen tun sollten.
Regulierungen wie DORA und NIS2 verlangen mehr. Sie verlangen eine nachvollziehbare, dokumentierte und regelmäßig aktualisierte Risikobewertung.
Schritt 1: Kritikalität bestimmen
Nicht jeder Dienstleister ist gleich wichtig. Bevor Sie in die Tiefenanalyse gehen, müssen Sie wissen, wo die Prioritäten liegen.
Kriterien für die Kritikalitätsbewertung
| Kriterium | Frage | Auswirkung |
|---|---|---|
| Geschäftsprozess | Unterstützt der Anbieter einen kritischen Geschäftsprozess? | Hoch: Kernbanking, Zahlungsverkehr. Niedrig: Büroausstattung |
| Datenzugriff | Hat der Anbieter Zugriff auf sensible Daten? | Kundendaten, Finanzdaten, personenbezogene Daten |
| Ersetzbarkeit | Wie schnell können Sie den Anbieter wechseln? | Tage vs. Monate vs. Jahre |
| Abhängigkeit | Wie viele Ihrer Systeme hängen von diesem Anbieter ab? | Einzelsystem vs. zentrale Infrastruktur |
| Regulatorische Relevanz | Fällt der Anbieter unter regulatorische Anforderungen? | ICT-Dienstleister unter DORA, Auftragsverarbeiter unter DSGVO |
Als ich bei einer regulierten Bank das Drittparteirisikomanagement aufgebaut habe, war das Ergebnis der Kritikalitätsbewertung überraschend: Einige Anbieter, die wir als unkritisch eingestuft hätten, waren tief in kritische Prozesse eingebettet — wir wussten es nur nicht.
Schritt 2: Risikodimensionen definieren
Eine gute Risikobewertung betrachtet nicht nur eine Dimension, sondern mehrere:
Die fünf Risikodimensionen
1. Operationelles Risiko
- Verfügbarkeit und Zuverlässigkeit des Dienstleisters
- Business Continuity und Disaster Recovery Fähigkeit
- Historische Ausfälle und Incident-Response
2. Informationssicherheits-Risiko
- Zertifizierungen (ISO 27001, SOC 2, BSI C5)
- Zugangskontrollen und Datenverschlüsselung
- Patch-Management und Vulnerability-Handling
3. Compliance-Risiko
- Einhaltung relevanter Regulierungen (DORA, NIS2, DSGVO)
- Vertragliche Abdeckung aller Pflichtklauseln
- Audit-Rechte und Berichtspflichten
4. Finanzielles Risiko
- Finanzielle Stabilität des Anbieters
- Abhängigkeit von Einzelkunden
- Marktposition und Wettbewerbsfähigkeit
5. Konzentrationsrisiko
- Abhängigkeit von einem einzelnen Anbieter für mehrere Services
- Branchenweite Abhängigkeit (z.B. alle Banken nutzen denselben Cloud-Provider)
- Geografische Konzentration
Mehr zum Thema Konzentrationsrisiko im DORA-Kontext: Konzentrationsrisiko nach DORA.
Schritt 3: Quantitatives Scoring statt Bauchgefühl
Der Unterschied zwischen einer professionellen Risikobewertung und einer Excel-Ampel ist die Quantifizierung.
Wie quantitatives Scoring funktioniert
Statt “grün/gelb/rot” vergeben Sie messbare Scores:
- Einzelscores pro Dimension (z.B. 1-5 oder 1-100)
- Gewichtung nach Kritikalität (operationelles Risiko bei einem Cloud-Provider wiegt schwerer als bei einem Berater)
- Gesamtscore als gewichteter Durchschnitt
- Schwellenwerte definieren, ab wann Handlungsbedarf besteht
Beispiel: Vereinfachtes Scoring
| Dimension | Gewicht | Anbieter A (Cloud) | Anbieter B (Beratung) |
|---|---|---|---|
| Operationell | 30% | 4/5 | 2/5 |
| Informationssicherheit | 30% | 4/5 | 3/5 |
| Compliance | 20% | 3/5 | 4/5 |
| Finanziell | 10% | 5/5 | 3/5 |
| Konzentration | 10% | 2/5 | 5/5 |
| Gesamtscore | 3.6 | 3.1 |
Der Vorteil: Sie können objektiv vergleichen, Veränderungen über Zeit tracken und gegenüber der Aufsichtsbehörde nachvollziehbar dokumentieren.
Schritt 4: Vertragsprüfung einbeziehen
Die Risikobewertung ist unvollständig ohne einen Blick in die Verträge. Regulierungen wie DORA (Art. 30) und DSGVO (Art. 28) schreiben konkrete Vertragsklauseln vor.
Prüfen Sie mindestens:
- Sind alle regulatorisch geforderten Klauseln enthalten?
- Gibt es Audit-Rechte?
- Sind Exit-Klauseln und Übergangsfristen definiert?
- Ist die Datenverarbeitung klar geregelt?
Für eine Vertiefung im DORA-Kontext: Artikel 30 Vertragsprüfung.
Wer sich für den Einsatz von KI bei der Vertragsprüfung interessiert: KI in der Vertragsprüfung.
Schritt 5: Regelmäßigkeit sicherstellen
Eine Risikobewertung, die nur beim Onboarding stattfindet, ist nach sechs Monaten veraltet.
Empfohlene Freqünz:
| Kritikalität | Bewertungsfreqünz | Trigger für Ad-hoc-Bewertung |
|---|---|---|
| Kritisch | Vierteljährlich | Sicherheitsvorfall, Vertragsänderung, M&A |
| Wichtig | Halbjährlich | Wesentliche Änderung beim Anbieter |
| Standard | Jährlich | Vertragsverlängerung |
Häufige Fehler bei der Risikobewertung
- Zu viele Kriterien: 50 Fragen pro Anbieter führen dazu, dass niemand den Fragebogen ausfuellt. Fokussieren Sie sich auf das Wesentliche.
- Keine Differenzierung: Kritische und unkritische Anbieter mit dem gleichen Fragebogen bewerten verschwendet Ressourcen.
- Self-Assessment als einzige Quelle: Anbieter bewerten sich selbst immer positiv. Kombinieren Sie Selbstauskunft mit Vertragsprüfung und externen Quellen.
- Kein Follow-up: Risiken identifizieren, aber keine Maßnahmen ableiten, ist Dokumentation ohne Wirkung.
Nächste Schritte
- Was ist Third-Party Risk Management? — für den breiteren Kontext
- DORA Readiness Checkliste — um Ihren aktuellen Stand einzuschätzen
- Excel vs. GRC vs. Spezialsoftware — welches Tool passt zu Ihrem Ansatz?