Von der Norm zur Wirkung (5): Wie Unternehmen Lieferanten einbinden und absichern: Sicherheit endet nicht am Werkstor

In den bisherigen Beiträgen dieser Reihe haben wir gezeigt, wie Governance von innen heraus wirksam wird: über strukturierte Prozesse, belastbares Vertrauen, systematisches Risikomanagement und ein integriertes Kontrollsystem (IKS). Ein solches System schafft Transparenz, definiert Verantwortlichkeiten und macht Risiken steuerbar.

Doch moderne Wertschöpfung endet nicht am Werkstor. Sie ist verteilt – technologisch, organisatorisch und geografisch. Cloud-Anbieter betreiben kritische Infrastruktur, IT-Dienstleister administrieren Kernsysteme, Softwarelieferanten spielen Updates mit unmittelbarem Einfluss auf Produktions- oder Klinikprozesse ein, und Plattformanbieter bündeln ganze Wertschöpfungsketten. Unternehmen agieren heute nicht mehr isoliert, sondern als Teil digitaler Ökosysteme (siehe auch Abbildung 1).

Damit verschiebt sich die zentrale Governance-Frage: Es geht nicht mehr darum, wie sicher das eigene Unternehmen ist, sondern darum, wie beherrschbar das gesamte digitale Wertschöpfungsnetzwerk ist.

Lieferantenrisiken sind keine operativen Detailfragen mehr. Sie sind strategische Risiken, Haftungsrisiken und Aufsichtsthemen. Spätestens mit der Network and Information Security Directive 2 (NIS-2) und dem Digital Operational Resilience Act (DORA) zeigt sich, was technologisch längst Realität ist: Verantwortung endet nicht an der eigenen Systemgrenze. Wer Governance nur innerhalb der eigenen Organisation definiert, schafft eine strukturelle Blindstelle – intern entsteht Ordnung, extern bleibt Unsicherheit. „Von der Norm zur Wirkung“ bedeutet deshalb im Kontext der Lieferkette, Anforderungen nicht additiv umzusetzen, sondern bestehende Steuerungsmechanismen integrativ zu erweitern.

Governance wird ökosystemisch – nicht durch neue Parallelprozesse, sondern durch die systemische Einbindung externer Abhängigkeiten in bestehende Risiko-, Vertrags- und Monitoringstrukturen. Damit schließt sich der Kreis dieser Reihe und öffnet sich zugleich über die Unternehmensgrenze hinaus. Doch bevor sich die Frage nach dem Wie stellt, lohnt ein Blick auf das regulatorische Warum.

Regulatorische Verantwortung entlang der Lieferkette

Die regulatorische Entwicklung der letzten Jahre ist eindeutig und folgerichtig. Was früher implizit erwartet wurde, fordert der Gesetzgeber heute explizit: Lieferkettenrisiken sind systematisch zu steuern.

Mehrere Rahmenwerke verfolgen dafür dieselbe Stoßrichtung (siehe Abbildung 2):

• NIS-2 verlangt Sicherheitsmaßnahmen einschließlich der Bewertung von Lieferkettenrisiken.
• DORA schreibt ein strukturiertes ICT Third Party Risk Management (TPRM) vor – inklusive Vertragsanforderungen, Monitoring und Exit-Strategien.
• ISO/IEC 27001:2022 A.5.19–23 adressiert die Steuerung von Lieferantenbeziehungen explizit.
• Branchen- und „Environmental, Social and Governance (ESG)”-Vorgaben erhöhen zusätzlich Transparenz- und Nachweiserwartungen.

Diese Anforderungen sind kein Nebenschauplatz mehr – sie verändern die Rolle des Lieferantenmanagements grundlegend. Lieferantenmanagement ist heute kein Einkaufsprozess, sondern Bestandteil der Governance-Architektur. Für CIOs und CISOs bedeutet das konkret: Sie klassifizieren Lieferanten risikobasiert, verankern Sicherheitsanforderungen vertraglich verbindlich, binden Drittparteien in Monitoring-und Incident-Prozesse ein und analysieren Konzentrations- sowie Abhängigkeitsrisiken transparent.

Besonders relevant ist dabei das Thema systemischer Abhängigkeiten. Mehrere kritische Dienstleister nutzen häufig denselben Cloudoder Plattformanbieter. Ein Ausfall oder regulatorischer Eingriff kann damit branchenweite Auswirkungen haben. DORA adressiert dieses Konzentrationsrisiko explizit – ein deutliches Signal an die Leitungsebene. Die regulatorische Logik ist klar: Resilienz entsteht nicht isoliert, sondern vernetzt. Organisationen tragen Verantwortung für Sicherheitsrisiken, die ihre Dienstleister verursachen – unabhängig davon, ob diese technisch oder organisatorisch außerhalb der eigenen Systemgrenzen liegen.

Damit verschiebt sich Governance strukturell: von der internen Kontrolle hin zur systemischen Steuerung eines digitalen Ökosystems. Und genau hier beginnt die eigentliche Herausforderung: Wie lassen sich externe Risiken so integrieren, dass sie steuerbar bleiben, ohne neue Parallelstrukturen zu erzeugen?

Integration in Governance-Systeme

Die eigentliche Herausforderung im Umgang mit Lieferantenrisiken ist jedoch nicht die Bewertung, sondern die Integration. Viele Organisationen reagieren auf neue regulatorische Anforderungen mit zusätzlichen Tools, Fragebögen oder separaten Prüfprozessen. Es entstehen neue Datenquellen, neue Verantwortlichkeiten, neue Berichte. Was zunächst strukturiert wirkt, entfaltet in der Praxis eine problematische Nebenwirkung: Governance wächst additiv, nicht integrativ.

Additive Governance stößt allerdings strukturell schnell an ihre Grenzen. Was fehlt, ist kein weiteres Regelwerk, sondern ein zentraler Ordnungsrahmen, der externe Risiken in die bestehende Steuerungsarchitektur einbindet. Das sogenannte Third Party Risk Management wirkt erst dann vollständig, wenn Unternehmen es systemisch einbetten. Ein isoliertes Lieferanten-Tool erzeugt Informationen – ein integriertes Governance-System erzeugt Steuerungsfähigkeit.

Für CIO und CISO bedeutet das: Lieferantenrisiken dürfen keine Parallelwelt bilden. Sie müssen Teil der bestehenden Systemlandschaft werden, nicht deren Erweiterung durch Zusatzprozesse. Drei Integrationspunkte sind dabei entscheidend.

Der erste und wichtigste Ankerpunkt ist das zentrale Risk Register. Jeder kritische Lieferant erscheint dort als eigenständiger Risikoeintrag, einer verantwortlichen Rolle zugeordnet, mit Risikobewertung, Maßnahmen und Fristen
verknüpft sowie revisionssicher versioniert. Erst dadurch wird aus einer Bewertung eine steuerbare Risikoentscheidung. Ohne diese Integration bleibt das Lieferantenmanagement ein Compliance-Nebenprozess, aber mit ihr wird es Bestandteil der unternehmensweiten Risikoarchitektur.

Ebenso wichtig ist die Verbindung zu Beschaffung und Vertragsmanagement, denn Governance beginnt nicht nach Vertragsabschluss. Eine systemische Integration bindet Sicherheitsanforderungen bereits in Beschaffungsund Vertragsprozesse ein: durch Risikoklassifizierung bei Neuanlage eines Lieferanten, Pflichtfelder zu Sicherheitsanforderungen, Verknüpfung mit Vertragsdokumenten und Eskalationsmechanismen bei fehlender Bewertung. So wird die Sicherheitsprüfung präventiv statt reaktiv. Die Beschaffung wird nicht zur Kontrollinstanz, sondern zum strukturellen Bestandteil der Governance-Kette.

Bei kritischen Dienstleistern endet Governance zudem nicht mit der Vertragsunterzeichnung. Externe Zugriffe, Application-Programming-Interface-(API)-Nutzung, Administrationsrechte oder Datenschnittstellen erzeugen operative Risiken, die sichtbar bleiben müssen. Eine sinnvolle Anbindung an Monitoring und operative Systeme umfasst daher die Integration in Security-Information-and-Event-Management-(SIEM)- oder Monitoring-Systeme, die Verknüpfung mit Incident-Management-Prozessen und die Rückkopplung von Sicherheitsereignissen in die Risikobewertung.

Ein Beispiel: Ein externer IT-Dienstleister erhält administrativen Zugriff. Das Monitoring kennzeichnet diesen Zugriff gesondert. Auffälligkeiten stufen die Risikobewertung automatisch hoch. So entsteht ein geschlossener Regelkreis – vom Ereignis über die Bewertung bis zur Managemententscheidung (siehe Abbildung 3).

Die eigentliche Wirkung entsteht allerdings erst auf der Führungsebene. Ein integriertes Governance-Dashboard kann beispielsweise die Anzahl kritischer Lieferanten, die Verteilung der Risikokategorien, offene Maßnahmen, den Zertifizierungsstatus, Konzentrationsrisiken und die historische Risikoentwicklung anzeigen. Damit wird eine zuvor diffuse Risikolandschaft visuell greifbar. Für Geschäftsführung und Aufsicht entsteht Entscheidungsfähigkeit statt bloßer Reaktion.

TPRM als Steuerungsmodell

Nachdem die systemische Integration geklärt ist, stellt sich die operative Frage: Wie lassen sich externe Risiken strukturiert bewerten und steuern? Genau hier setzt Third Party Risk Management an. TPRM ist kein Fragebogenprozess, sondern ein Regelkreis. Ein wirksames Modell verbindet vier Elemente (siehe Abbildung 4):

Erstens das Klassifizieren – wie kritisch ist der Lieferant für die eigene Wertschöpfung? Zweitens das Bewerten – wie reif ist sein Sicherheitsniveau? Drittens das vertragliche Absichern – welche Mindestanforderungen sind verbindlich? Und viertens das kontinuierliche Überwachen – wie verändert sich das Risiko über die Zeit?

TPRM wird damit zur operativen Ausprägung ökosystemischer Governance.

Nicht jeder Dienstleister ist gleich kritisch. Ein Reinigungsunternehmen unterscheidet sich zum Beispiel strukturell von einem Cloud-Provider mit administrativem Zugriff auf Kernsysteme.

Entscheidend ist daher nicht die Anzahl der Lieferanten, sondern deren Einfluss auf Vertraulichkeit sensibler Daten, Verfügbarkeit kritischer Systeme, Integrität geschäftskritischer Prozesse, regulatorische Verpflichtungen und Abhängigkeiten von Subdienstleistern.

Bewährt hat sich eine risikobasierte Klassifizierung in vier Stufen:

• kritisch: direkter Einfluss auf Kernprozesse oder regulatorisch relevante Systeme
• hoch: Zugriff auf sensible Daten oder produktionsnahe Systeme
• mittel: unterstützende Funktionen mit begrenzter Systemnähe
• gering: kaum sicherheitsrelevant

Diese Einstufung entscheidet über die Tiefe der Prüfung, die Intensität des Monitorings, die vertraglichen Anforderungen und das Management-Reporting. Ohne Klassifizierung entsteht Gleichbehandlung – und Gleichbehandlung erzeugt Ineffizienz.

Viele Organisationen setzen bei der Bewertung noch auf statische Excel-Fragebögen. Ein modernes TPRM-System übersetzt Bewertungen dagegen in steuerungsrelevante Kennzahlen: Fragen orientieren sich an anerkannten Standards wie ISO 27001 Annex A, die Gewichtung erfolgt abhängig von der Kritikalität, Antworten werden in Reifegrade überführt und ein aggregierter Score entsteht.

Ein vereinfachtes Bewertungsmodell könnte beispielsweise zwischen niedrigem, erhöhtem und kritischem Risiko unterscheiden. Entscheidend ist nicht die mathematische Präzision, sondern die Vergleichbarkeit und Nachvollziehbarkeit. Der Score wird damit nicht zum Selbstzweck, sondern zur Entscheidungsgrundlage.

TPRM ist dabei keine jährliche Pflichtübung. Regulatorische Anforderungen – insbesondere DORA – verlangen eine fortlaufende Bewertung von Drittparteien: Aktualisierung bei Vorfällen, Neubewertung bei Leistungsänderungen, Anpassung bei regulatorischen Entwicklungen und Eskalation bei erhöhtem Risikoscore.

Ein praxisnahes Beispiel verdeutlicht den Nutzen: Ein mittelständisches Unternehmen klassifiziert 120 IT- und Softwarelieferanten. Nach Einführung eines strukturierten Bewertungsmodells stuft es 14 als kritisch ein, bei fünf Lieferanten entsteht ein erhöhter Risikoscore.

Maßnahmen folgen unmittelbar: vertragliche Nachschärfung, zusätzliche Nachweise und Monitoring-Anbindung. Erstmals entsteht ein konsolidiertes Bild der externen Risikolage – integriert in das zentrale Risk Register (siehe Abbildung 5).

Genau hier schließt sich der Kreis zum vorherigen Kapitel: Bewertung ohne Integration bleibt isoliert, Integration ohne Bewertungsmodell bleibt oberflächlich.

Vertragsarchitektur und Auditierbarkeit

Risikobewertung allein erzeugt aber noch keine Resilienz. Erst wenn Anforderungen verbindlich geregelt sind, wird Governance belastbar. Mit NIS-2 und besonders DORA wird deutlich: Drittparteirisiken müssen nicht nur erkannt, sondern steuerbar und nachweisbar abgesichert sein. Damit verschiebt sich der Fokus vom Fragebogen zur Vertragsarchitektur.

Ein identifiziertes Risiko ohne vertragliche Grundlage bleibt unverbindlich, ein Vertrag ohne Bezug zur Risikobewertung bleibt formal. Wirksame Governance verbindet beides (siehe auch Abbildung 6).

Je nach Kritikalität eines Lieferanten gehören dazu etwa Mindestanforderungen an die Informationssicherheit, die Verpflichtung zur Offenlegung wesentlicher Sicherheitsvorfälle, Regelungen zu Subdienstleistern, Audit- und Einsichtsrechte sowie Exit- und Übergangsregelungen.

Entscheidend ist dabei nicht die Länge des Vertrags, sondern die klare Ableitung aus der Risikoklassifizierung. Vertragliche Anforderungen müssen proportional sein – aber sie müssen vorhanden sein.

Auditierbarkeit gilt häufig als Dokumentationspflicht. Tatsächlich ist sie ein Governance-Instrument. Auditfähigkeit bedeutet,

• Bewertungen sind nachvollziehbar dokumentiert,
• Vertragsanforderungen referenziert,
• Maßnahmen terminiert und überwacht sowie
• Entscheidungen begründet und freigegeben.

So entsteht ein belastbarer Nachweis gegenüber Aufsichtsbehörden, Wirtschaftsprüfern, der internen Revision und Versicherern. Auditfähigkeit ist damit kein administrativer Aufwand, sondern Ausdruck strukturierter Entscheidungsfähigkeit.

Ein besonders relevanter Aspekt ist darüber hinaus das Konzentrationsrisiko. Mehrere kritische Prozesse hängen häufig indirekt vom selben Cloud- oder Plattformanbieter ab. Ein Ausfall oder regulatorischer Eingriff kann damit zahlreiche Organisationen gleichzeitig treffen. DORA adressiert dieses Risiko explizit, auch NIS-2 impliziert eine Bewertung von Abhängigkeiten.

In der Praxis bedeutet das: Transparenz über Subdienstleister, Mapping gemeinsamer Plattformabhängigkeiten, Szenarioanalysen für Ausfall oder regulatorische Einschränkung und strategische Exit-Planung. Konzentrationsrisiken sind kein technisches Detail – sie sind Geschäftsrisiken.

KI und Automatisierung

Mit steigender regulatorischer Dichte und wachsender Lieferantenlandschaft wird eine Realität deutlich: Manuelles Third Party Risk Management skaliert nicht. Große Organisationen arbeiten mit Hunderten, teilweise Tausenden Drittparteien. Re-Bewertungen, Vertragsaktualisierungen, Monitoring-Auswertungen und Auditnachweise erzeugen eine Datenmenge, die rein manuell kaum beherrschbar ist. Automatisierung wird hier nicht zur Komfortfunktion, sondern zum Stabilitätsfaktor.

Moderne Governance-Systeme ermöglichen die automatische Bewertung und Priorisierung: automatische Gewichtung von Self-Assessments, Plausibilitätsprüfung inkonsistenter Angaben, Abgleich mit bekannten Sicherheitsvorfällen und dynamische Anpassung von Risikoscores. Statt statischer Jahresbewertungen entsteht eine kontinuierliche Risikobetrachtung.

Ein Beispiel: Ein kritischer IT-Dienstleister meldet einen Sicherheitsvorfall. Das Incident-Management-System übermittelt ein Ereignis, der Risikoscore wird automatisch angepasst, Maßnahmen werden neu priorisiert. So wird aus Dokumentation operative Steuerung. Automatisierung ersetzt dabei nicht die Entscheidung – sie strukturiert die Entscheidungsgrundlage.

Eine besondere Stärke von Systemen mit künstlicher Intelligenz (KI) liegt in der Erkennung indirekter Abhängigkeiten: Mehrere Lieferanten nutzen denselben Sub-Cloud-Anbieter, identische Schwachstellen treten bei verschiedenen Drittparteien auf, wiederkehrende Kontrolllücken zeigen strukturelle Defizite. Solche Zusammenhänge bleiben in isolierten oder Excelbasierten Verfahren häufig unsichtbar.

Gerade vor dem Hintergrund regulatorischer Anforderungen zu Konzentrationsrisiken gewinnt diese Fähigkeit strategische Bedeutung. KI wird hier zum Instrument, um systemische Risiken sichtbar zu machen – nicht nur einzelne Ereignisse.

Neben Bewertung und Analyse entsteht Mehrwert vor allem im Bereich der automatisierten Nachweisführung: versionierte Bewertungsstände, automatische Report-Generierung, Historienanalyse von Risikoverläufen und konsistente Management-Dashboards. Der manuelle Aufwand sinkt, die Transparenz steigt. Automatisierung erhöht nicht nur Effizienz, sondern auch Nachvollziehbarkeit – und Nachvollziehbarkeit ist die Grundlage regulatorischer Resilienz.

Verantwortung auf Leitungsebene

Supply-Chain-Sicherheit ist kein Spezialthema der IT, sondern Ausdruck moderner Unternehmensführung. Wo Wertschöpfung vernetzt ist, muss auch Governance vernetzt sein. Resilienz entsteht nicht durch Isolation, sondern durch Transparenz, Verbindlichkeit und kontinuierliche Steuerung.

Mit der Integration externer Risiken in das Risk Register, die Vertragsarchitektur, das Monitoring und die automatisierte Bewertung verschiebt sich die Perspektive endgültig: Lieferantenmanagement ist kein Nebenprozess, sondern Teil der strategischen Steuerungsarchitektur.

Damit wird auch die Verantwortung klarer – und sie verteilt sich auf mehrere Schultern:

• Für CIO und CISO ist Third Party Risk Management Teil der Sicherheitsarchitektur: Externe Zugriffe gehören ins Monitoring, Risikoscores müssen im zentralen Risk Register sichtbar sein, Konzentrationsrisiken sind aktiv zu analysieren, und Vertragsanforderungen müssen technisch nachvollziehbar sein. Die Aufgabe besteht nicht darin, Fragebögen zu verwalten, sondern externe Risiken steuerbar zu machen.
• Für die Geschäftsführung sind Supply-Chain-Risiken strategische Risiken: Abhängigkeiten beeinflussen die Geschäftskontinuität, Konzentrationsrisiken können systemische Auswirkungen haben, und fehlende Vertragsklarheit erhöht Haftungsrisiken. Transparenz reduziert die persönliche Verantwortung nicht – aber sie macht sie beherrschbar. Investitionen in strukturierte Integration und Automatisierung sind daher keine IT-Kosten, sondern Resilienz-Investitionen.
• Für Beschaffung und Compliance gilt: Sicherheitsanforderungen definieren sie vor Vertragsabschluss, Klassifizierung ist verpflichtend, Sicherheitsklauseln müssen risikobasiert sein und Auditfähigkeit ist ein Wettbewerbsfaktor. Beschaffung wird damit nicht nur zur wirtschaftlichen, sondern auch zur regulatorischen Schnittstelle.

Von der Norm zur Wirkung – der geschlossene Kreis

Normen definieren Anforderungen, Governance strukturiert Verantwortung, Technologie ermöglicht Skalierung und Transparenz schafft Entscheidungsfähigkeit. Erst wenn diese Elemente zusammenwirken, entsteht Wirkung. Sicherheit endet nicht am Werkstor – sie beginnt dort, wo Organisationen ihre Abhängigkeiten erkennen und aktiv steuern.

Was Sie mitnehmen sollten:

• Lieferantenrisiken sind Compliance- und Haftungsrisiken.
• TPRM muss risikobasiert, vertraglich verankert und systemisch integriert sein.
• Monitoring und Dashboard-Transparenz schaffen Steuerungsfähigkeit.
• Automatisierung ermöglicht Skalierung ohne Kontrollverlust.
• Governance ist heute ökosystemisch – nicht isoliert.

Unternehmen, die Supply-Chain-Sicherheit nur als regulatorische Pflicht verstehen, verwalten Komplexität. Unternehmen, die sie als strategischen Hebel begreifen, gestalten Resilienz.

Damit schließt sich die Klammer dieser Reihe: „Von der Norm zur Wirkung“ bedeutet, Verantwortung dort wahrzunehmen, wo Wertschöpfung tatsächlich stattfindet – im vernetzten System.

Regulierung wirksam gestalten: Wie Organisationen durch Struktur, KI und Systeme souverän agieren

Regulatorische Anforderungen nehmen stetig zu. Neue EU-Verordnungen, branchenspezifische Standards und umfangreiche Berichtspflichten treffen auf globalisierte Lieferketten und digitalisierte Geschäftsmodelle. Unternehmen stehen dabei vor der Herausforderung, einerseits flexibel zu bleiben und andererseits jederzeit nachweisbar regelkonform zu handeln. Entscheidend ist nicht mehr die Frage, ob Managementsysteme nötig sind, sondern wie sie so gestaltet werden können, dass sie wirksam, schlank und zugleich belastbar sind.

Hier setzt diese fünfteilige Artikelreihe an. Sie beleuchtet, wie Organisationen:

• Qualität als Grundlage für stabile Prozesse etablieren,
• Informationssicherheit strategisch verankern,
• Risiken strukturiert steuern,
• Governance-Anforderungen aus Bereichen wie Internem Kontrollsystem (IKS), ESG oder DORA integrieren, und
• Lieferkettenrisiken umfassend managen.

Jeder Beitrag entwickelt praxisnahe Lösungsansätze und zeigt, wie diese in Rollen, Abläufen und Kennzahlen verankert werden können. Die Serie richtet sich an Führungskräfte ebenso wie an Fachverantwortliche, die regulatorische Anforderungen nicht allein als Pflicht, sondern als Chance zur Verbesserung von Steuerung, Transparenz und Leistungsfähigkeit begreifen möchten.