Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Ihre Anbieter werden jeden Monat gehackt. Das bedeutet das für Ihr Unternehmen.

Ihre Anbieter werden jeden Monat gehackt. Das bedeutet das für Ihr Unternehmen.

von Patrick Spencer updated Februar 24, 2026 Third-Party-Risiko
Lesezeit: 14 Minuten

Beginnen wir mit einer Zahl, die jede Führungskraft aufhorchen lassen sollte: Im Durchschnitt verzeichnete jedes Unternehmen im vergangenen Jahr 12 Datenschutzvorfälle durch Drittparteien. Das entspricht einem Vorfall pro Monat – und zwar nicht aus den eigenen Systemen, sondern verursacht durch die Anbieter, Lieferanten und Dienstleister, denen Sie Zugriff auf Ihre Daten und Abläufe gewähren.

Diese Erkenntnis stammt aus dem ProcessUnity State of Third-Party Risk Assessments 2026 Report, basierend auf einer Umfrage unter fast 1.500 Risikomanagern, durchgeführt vom Ponemon Institute. Und jetzt kommt der entscheidende Punkt: Während 90 % der Unternehmen im vergangenen Jahr einen Drittparteien-Vorfall erlebten, äußerten dennoch 53 % der Befragten Vertrauen in die Wirksamkeit ihres Third-Party-Risk-Managements.

Diese Diskrepanz zwischen Wahrnehmung und Realität offenbart ein grundlegendes Problem im Umgang mit Lieferantenbeziehungen. Unternehmen glauben, Risiken zu steuern, obwohl die Daten das Gegenteil belegen. Die Frage ist nicht, ob Ihre Lieferanten kompromittiert werden – sondern ob Sie es rechtzeitig erfahren und vorbereitet sind, zu reagieren.

5 wichtige Erkenntnisse

1. Unternehmen verzeichnen durchschnittlich 12 Drittparteien-Vorfälle pro Jahr

Laut dem ProcessUnity-Report 2026, der fast 1.500 Risikomanager befragte, werden Ihre Lieferanten im Schnitt einmal pro Monat kompromittiert. Trotz dieser alarmierenden Häufigkeit glauben 53 % der Unternehmen weiterhin an die Wirksamkeit ihres Third-Party-Risk-Managements – eine gefährliche Lücke zwischen Wahrnehmung und Realität.

2. Die meisten Lieferantenbewertungen sind zu langsam und zu oberflächlich

Sechs von zehn Unternehmen benötigen vier Monate oder länger für eine einzelne Lieferantenbewertung, und im Schnitt werden nur 36 % aller Drittparteien geprüft. Das bedeutet: Fast zwei Drittel Ihrer Lieferantenbeziehungen laufen ohne formale Sicherheitsüberwachung, während sich Bedrohungen täglich weiterentwickeln.

3. E-Mail-Kompromittierung verursacht mehr Schadensfälle als Ransomware

Business E-Mail Compromise und Betrug bei Geldtransfers machen 60 % aller Cyber-Versicherungsansprüche aus und übertreffen damit den Anteil von Ransomware (20 %) deutlich. Angreifer, die in E-Mail-Systeme von Lieferanten eindringen, können sich als vertrauenswürdige Kontakte ausgeben, Zugangsdaten abgreifen und betrügerische Überweisungen initiieren – E-Mail-Sicherheit ist daher genauso kritisch wie jede Lieferantenbefragung.

4. Risiken durch Viertparteien bleiben ein massives Blindfeld

Weniger als die Hälfte der Unternehmen prüft die Lieferanten ihrer Lieferanten, und nur 23 % weiten diese Prüfungen über die wichtigsten Anbieter hinaus aus. Wenn Vorfälle wie der Snowflake-Breach sich durch vernetzte Lieferketten ziehen, erkennen Unternehmen ohne Sicht auf Viertparteien ihre Gefährdung oft zu spät.

5. Manuelle Prozesse halten mit modernen Bedrohungen nicht Schritt

Fast zwei Drittel der Unternehmen verlassen sich weiterhin auf Tabellenkalkulationen für Lieferantenbewertungen, während 27 % der Lieferanten nie auf Bewertungsanfragen reagieren. Der Einsatz von KI nimmt zu – 44 % der Unternehmen nutzen oder planen KI-gestützte Bewertungen –, aber Governance-Richtlinien hinken der Einführung gefährlich hinterher.

Die wahren Kosten des Vertrauens in Ihre Lieferanten

Drittparteien-Vorfälle sind nicht nur ein Sicherheitsproblem. Sie sind auch ein finanzieller Schlag ins Kontor.

Laut dem Coalition 2025 Cyber Claims Report kostet ein durchschnittlicher Drittparteien-Vorfall Unternehmen rund 42.000 US-Dollar für die Behebung. Das klingt zunächst handhabbar, bis man bedenkt, dass laut denselben Daten 52 % der sonstigen Erstparteien-Schäden auf Vorfälle mit Lieferanten zurückzuführen sind. Berücksichtigt man Folgekosten wie Anwaltsgebühren, forensische Untersuchungen, Benachrichtigungspflichten, Kundenabwanderung und regulatorische Prüfungen, steigen die tatsächlichen Kosten dramatisch an.

Breitere Untersuchungen zu Datenschutzverletzungen zeichnen ein noch düstereres Bild. Kompromittierungen durch Drittparteien und Lieferketten sind inzwischen der zweithäufigste Angriffsvektor – und gehören zu den teuersten. Wenn ein Vorfall von einem Drittpartei-System ausgeht, liegen die durchschnittlichen Behebungskosten inzwischen bei 4,8 Millionen US-Dollar. Zudem dauert die Erkennung solcher Vorfälle im Schnitt 26 Tage länger als bei internen Angriffen, was Angreifern mehr Zeit für Schäden verschafft.

Der Change-Healthcare-Breach 2024 ist ein warnendes Beispiel. Ein Phishing-gestützter Ransomware-Angriff führte zum größten Healthcare-Datenvorfall aller Zeiten, betraf 190 Millionen Menschen und legte Krankenhausnetzwerke landesweit lahm. UnitedHealth gab über 2 Milliarden US-Dollar für die Reaktion aus und erstattete Anbietern mehr als 4,7 Milliarden US-Dollar. Wenn der Betrieb im Gesundheitswesen stockt, sind die Folgen weit gravierender als reine Finanzkennzahlen – es geht um Menschenleben.

Holen Sie sich die Kontrolle über Ihre Daten zurück mit Vendor Risk Management

Jetzt lesen

Warum traditionelles Vendor Risk Management scheitert

Der ProcessUnity-Report zeigt schonungslos, wie Unternehmen aktuell Lieferantenüberwachung betreiben. Im Schnitt prüfen Unternehmen nur 36 % ihrer Drittparteien. Das bedeutet: Fast zwei Drittel Ihrer Lieferantenbeziehungen laufen praktisch im Sicherheitsblindflug.

Selbst wenn Bewertungen stattfinden, dauern sie viel zu lange. Sechs von zehn Unternehmen berichten, dass ihre Lieferantenbewertungen vier Monate oder länger in Anspruch nehmen. Mehr als ein Viertel gibt an, dass Bewertungen über 160 Stunden Arbeitszeit kosten. Währenddessen entwickeln sich Bedrohungen täglich weiter. Ein viermonatiger Bewertungszeitraum bedeutet, dass Sie die Sicherheitslage eines Lieferanten auf Basis von Bedingungen beurteilen, die sich bis zum Abschluss der Bewertung grundlegend geändert haben können.

Die Abhängigkeit von manuellen Prozessen verschärft das Problem. Fast zwei Drittel der Unternehmen nutzen weiterhin Tabellenkalkulationen für ihre Bewertungen. Für Budgetplanung oder Projektmanagement mögen sie ausreichen – für das Echtzeit-Management der Sicherheitslage von Dutzenden oder Hunderten Lieferanten sind sie völlig ungeeignet.

Auch die Reaktionsgeschwindigkeit der Lieferanten ist eine Herausforderung. Laut Umfrage berichten 61 % der Unternehmen, dass Lieferanten vier Monate oder länger für die Beantwortung von Bewertungsfragebögen benötigen. Noch problematischer: Im Schnitt reagieren 27 % der Lieferanten überhaupt nicht. Risiken, die Sie nicht messen können, können Sie nicht steuern – und Sie können nur messen, was Lieferanten bereit sind offenzulegen.

Auch bei der Behebung von Schwachstellen sieht es düster aus. Nur 16 % der Befragten gaben an, dass die Behebung zu 90–100 % abgeschlossen ist, bevor ein neuer Lieferant eingebunden wird. Fast jeder Fünfte berichtete, dass vor der Inbetriebnahme eines Lieferanten üblicherweise keine Behebungsmaßnahmen abgeschlossen sind. Unternehmen kennen die Risiken, dokumentieren sie – und nehmen den Lieferanten trotzdem auf, weil geschäftliche Zeitpläne keinen Aufschub dulden.

Das Viertparteien-Problem, über das niemand spricht

Ihre Lieferanten haben ebenfalls Lieferanten. Diese Subunternehmer und Dienstleister – sogenannte Viertparteien – haben oft Zugriff auf dieselben sensiblen Daten und Systeme wie Ihre direkten Lieferanten. Dennoch führen weniger als die Hälfte der Unternehmen überhaupt Viertparteienbewertungen durch. Nur 23 % weiten diese Prüfungen über die wichtigsten Anbieter hinaus aus.

Diese Lücke führt zu einem sogenannten Konzentrationsproblem: Wenn ein großer Lieferant einen Vorfall erleidet, zieht der Schaden sich durch die gesamte Lieferkette – bis zu jedem Unternehmen, das auf ihn oder dessen Kunden angewiesen ist. Der Snowflake-Zugangsdaten-Breach 2024 zeigte, wie ein einzelner Vorfall sich auf ein ganzes Ökosystem auswirken kann, etwa bei Advance Auto Parts mit mehr als 2,3 Millionen Betroffenen.

Auch die Vorfälle bei Change Healthcare und CDK Global verdeutlichen diese Risikoaggregation. Ein einziger Ausfallpunkt in der Lieferkette kann zu weitreichenden Betriebsunterbrechungen in einer gesamten Branche führen.

E-Mail: Die Eingangstür, durch die Angreifer immer wieder gehen

Während Drittparteien-Risiken die Schlagzeilen bestimmen, zeigt der Coalition-Report, dass der häufigste Angriffsweg ins Unternehmen unverändert bleibt: E-Mail.

Business E-Mail Compromise und Betrug bei Geldtransfers machen 60 % aller Cyber-Versicherungsansprüche aus. Ransomware, trotz ihres dramatischen Rufs, steht nur für etwa 20 % der Ansprüche – wobei diese Vorfälle im Einzelfall deutlich höhere Kosten verursachen.

Die Schnittstelle zwischen E-Mail-Kompromittierung und Drittparteien-Risiko schafft eine besonders gefährliche Angriffsfläche. Angreifer, die Zugriff auf E-Mail-Systeme von Lieferanten erlangen, können sich als vertrauenswürdige Kontakte ausgeben, betrügerische Überweisungen initiieren und Zugangsdaten stehlen, die tieferen Zugriff auf Ihre Umgebung ermöglichen. Ein Vorfall bei Coinbase 2025 zeigte dieses Risiko: Böswillige Insider bei einem Drittanbieter-Supportdienstleister exfiltrierten Nutzerdaten und versuchten eine Erpressung von 20 Millionen US-Dollar.

Die praktische Konsequenz: Ihre E-Mail-Sicherheitskontrollen und Prozesse zur Zahlungsprüfung verdienen mindestens so viel Aufmerksamkeit wie Ihre Lieferantenfragebögen. Das ausgefeilteste Third-Party-Risk-Framework hilft nicht, wenn ein Angreifer durch Ihr Postfach spaziert, weil jemand auf einen scheinbar legitimen Link klickt.

Deshalb setzen Unternehmen, die mit sensiblen Daten arbeiten, zunehmend auf E-Mail-Schutzplattformen mit Ende-zu-Ende-Verschlüsselung, fortschrittlicher Bedrohungserkennung und umfassendem Audit-Trail. Wenn E-Mail sowohl Ihr wichtigster Kommunikationskanal als auch Ihre größte Schwachstelle ist, müssen Sie sie als kritische Infrastruktur behandeln – nicht als Commodity-Service.

Ransomware: Noch immer der Schwergewichtschampion beim finanziellen Schaden

Trotz sinkender Schadenssummen bleibt Ransomware der Kostentreiber bei Cyber-Versicherungsansprüchen. Die weltweite durchschnittliche Schadenshöhe lag 2024 bei rund 292.000 US-Dollar, und die Bedrohung entwickelt sich weiter.

Ein Fallbeispiel aus dem Coalition-Report beschreibt ein typisches Szenario: Angreifer verschaffen sich Zugang über Remote-Desktop-Software oder andere Fernzugriffstools, bewegen sich seitlich durchs Netzwerk, zerstören Onsite-Backups, um Wiederherstellung zu verhindern, und setzen dann Ransomware ein – mit der Drohung, Daten offenzulegen, falls keine Zahlung erfolgt.

Die gezielte Sabotage von Backups verdient besondere Aufmerksamkeit. Viele Unternehmen glauben, ihre Backup-Strategie schütze sie vor Ransomware, doch versierte Angreifer nehmen Backups gezielt ins Visier. Liegen Backups im selben Netzwerk wie die Produktivsysteme und sind mit denselben Zugangsdaten erreichbar, bieten sie nur trügerische Sicherheit.

Fernzugriffstools stellen eine weitere kritische Schwachstelle dar. Die Verbreitung von Remote Work hat die Angriffsfläche für Cyberkriminelle massiv vergrößert. Jeder VPN-Konzentrator, Remote-Desktop-Service und Cloud-Zugang ist ein potenzieller Einstiegspunkt, den Angreifer aktiv ausnutzen.

Branche und Unternehmensgröße: Risiko ist nicht gleich verteilt

Die Coalition-Daten zeigen deutliche Unterschiede im Risikoprofil je nach Branche und Unternehmensgröße.

Unternehmen aus dem Bereich Konsumgüter verzeichnen die höchste Anspruchshäufigkeit (2,60 %), während Energieunternehmen die höchste durchschnittliche Schadenshöhe (rund 292.000 US-Dollar pro Vorfall) erleben. Kleine und mittlere Unternehmen mit weniger als 25 Millionen US-Dollar Umsatz machen 64 % aller Ansprüche aus, obwohl ihre Häufigkeit geringer ist. Das deutet darauf hin, dass kleinere Unternehmen oft die Ressourcen und das Know-how zur Prävention fehlen, auch wenn sie seltener Ziel sind.

Am anderen Ende des Spektrums stehen Unternehmen mit über 100 Millionen US-Dollar Umsatz: Sie verzeichnen fast 6 % Anspruchshäufigkeit – verfügen aber auch über die Mittel, um robustere Abwehrmaßnahmen zu treffen. Die durchschnittliche Schadenshöhe liegt hier bei rund 228.000 US-Dollar pro Vorfall.

Diese Unterschiede sind entscheidend für die Allokation von Ressourcen im Risikomanagement. Ein kleiner Fertigungsbetrieb steht vor anderen Bedrohungen als ein großer Finanzdienstleister – und die Investitionen in Schutzmaßnahmen sollten diese Unterschiede widerspiegeln.

Die KI-Transformation: Chance und Risiko treffen aufeinander

Künstliche Intelligenz verändert das Third-Party-Risk-Management – mit Chancen und Risiken.

Auf der positiven Seite beschleunigt sich der KI-Einsatz für Risikobewertungen. Laut ProcessUnity-Umfrage haben 25 % der Unternehmen KI teilweise für Third-Party-Risk-Assessments eingeführt, 19 % berichten von vollständiger Einführung, 37 % planen KI-Einsatz in Zukunft. Von den KI-Nutzern sagen 53 %, dass sie Mitarbeiter für höherwertige Aufgaben freisetzt, 48 % sehen Echtzeit-Intelligenz, 42 % berichten von besseren Management-Ergebnissen.

KI-Tools können Bewertungszyklen beschleunigen, Risiken in Echtzeit erkennen und Unternehmen helfen, ihre Überwachung zu skalieren, ohne proportional mehr Personal einzusetzen. Für Unternehmen, die in Tabellen und Fragebögen untergehen, ist das eine echte Chance zur Transformation.

Doch KI bringt auch neue Risiken. Rund jeder sechste Vorfall 2025 war KI-gestützt: Angreifer nutzten KI, um überzeugendere Phishing-Mails zu erstellen, Schwachstellen automatisiert zu scannen und ihre Angriffe zu beschleunigen. Schatten-KI – also von Mitarbeitern ohne Sicherheitsaufsicht genutzte KI-Tools – ist ein signifikanter Kostentreiber und erhöht die Breach-Kosten im Schnitt um 670.000 US-Dollar.

Die Governance-Lücke ist erheblich. Viele Unternehmen setzen KI schneller ein, als sie Richtlinien zur Steuerung entwickeln. Regelmäßige Audits für nicht genehmigte KI-Tools sind eher die Ausnahme als die Regel.

Das Point-Solution-Problem: Warum fragmentierte Sicherheit Risiken schafft

Ein Muster zeigt sich immer wieder in der Analyse von Datenschutzvorfällen: Unternehmen mit fragmentierten Sicherheitsarchitekturen – ein Tool für E-Mail, ein anderes für Filesharing, separate Systeme für Formulare und Datenerfassung – tun sich schwer, konsistenten Schutz und Transparenz zu gewährleisten.

Jede Einzellösung bringt ihr eigenes Sicherheitsmodell, eigene Zugriffskontrollen, eigene Audit-Logs und eigene Schwachstellen mit. Wenn diese Systeme nicht effektiv miteinander kommunizieren, entstehen Lücken. Ein Angreifer, der ein System kompromittiert, kann oft auf andere übergreifen, weil die fragmentierte Architektur keine einheitliche Kontrolle und Transparenz bietet.

Die Coalition-Daten zum Konzentrationsrisiko bei Lieferanten unterstreichen das: Wenn 52 % der sonstigen Erstparteien-Schäden auf Drittparteien-Vorfälle zurückgehen, steigt das Risiko mit jeder zusätzlichen Lieferantenbeziehung – auch bei Sicherheitsanbietern. Jeder weitere Anbieter in Ihrem Security-Stack vergrößert die Angriffsfläche.

Deshalb wächst das Interesse an einheitlichen Plattformen, die die Kommunikation sensibler Inhalte unter einer einzigen Sicherheitsarchitektur bündeln. Statt separate Tools für sichere E-Mail, Filesharing, Managed File Transfer und Web-Formulare zu betreiben, können Unternehmen durch integrierte Lösungen mit konsistenten Sicherheitskontrollen, zentralem Policy-Management und umfassenden Audit-Funktionen Komplexität und Risiko reduzieren.

Web-Formulare: Der übersehene Angriffsvektor

Auch wenn E-Mail die Statistik dominiert, stellen Web-Formulare eine zunehmend ausgenutzte Schwachstelle dar. Jedes Formular, das sensible Daten erfasst – Patientenaufnahme, Finanzanträge, Mitarbeiter-Onboarding, Kundenservice-Anfragen – ist ein potenzieller Einstiegspunkt für Angreifer und ein Compliance-Risiko für Unternehmen.

Traditionelle Web-Formular-Plattformen setzen auf Komfort statt Sicherheit. Sie basieren auf Multi-Tenant-Architekturen, bei denen ein einziger Vorfall Daten von Tausenden Unternehmen gleichzeitig offenlegen kann. Sie speichern Eingaben in unverschlüsselten Datenbanken. Sie bieten nicht die Audit-Trails, die Aufsichtsbehörden zunehmend fordern.

Für Unternehmen, die sensible Daten über sichere Web-Formulare erfassen, sollten die Sicherheitsanforderungen Verschlüsselung im ruhenden Zustand und während der Übertragung, granulare Zugriffskontrollen, umfassende Audit-Logs und Integration mit bestehenden Identity-Management-Systemen umfassen. Formulare, die Gesundheitsdaten erfassen, benötigen HIPAA-konforme Infrastruktur. Formulare mit Finanzdaten erfordern SOX-gerechte Kontrollen. Standard-Formular-Builder erfüllen diese Anforderungen selten von Haus aus.

Compliance: Der Kostenmultiplikator, den niemand einplant

Vorfallmanagement bleibt nicht in der IT-Abteilung. Es wird zum Compliance-Fall mit eigenen Prozessen und Kostenstellen.

Coalition führt die steigenden Kosten bei Business E-Mail Compromise auch auf den wachsenden Aufwand für Rechtsberatung, Incident Response, Datenanalyse und Benachrichtigungspflichten zurück. Kommt es zu einem Vorfall, schaltet sich die Rechtsabteilung ein. Aufsichtsbehörden können sich melden. Betroffene müssen benachrichtigt werden. Beweise müssen gesichert werden. All das bindet Ressourcen und erhöht die Kosten weit über den eigentlichen Vorfall hinaus.

Die Compliance-Dimension macht aus einem begrenzten Sicherheitsvorfall schnell eine unternehmensweite Krise. Healthcare-Unternehmen müssen HIPAA-Benachrichtigungspflichten erfüllen und mit Strafen rechnen. Finanzinstitute müssen SOX-Anforderungen beachten. Jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, steht vor den strengen DSGVO-Meldepflichten und hohen Bußgeldern.

Wer Compliance erst im Ernstfall angeht, braucht länger für die Erholung und zahlt mehr. Die Infrastruktur für Incident Response – wissen, welche Kanzlei zu kontaktieren ist, Benachrichtigungsvorlagen bereithalten, regulatorische Anforderungen kennen – sollte vorab stehen, nicht erst in der Krise.

Automatisierte Compliance-Berichte und umfassende Audit-Trails erfüllen nicht nur regulatorische Anforderungen, sondern beschleunigen auch die Incident Response, indem sie sofortige Transparenz darüber bieten, welche Daten betroffen waren, wer darauf zugegriffen hat und wann. Das kann den Unterschied zwischen einem begrenzten Vorfall und einer regulatorischen Katastrophe ausmachen.

Datensouveränität: Die neue Compliance-Grenze

Im Zuge der Auseinandersetzung mit Drittparteien-Risiken wird Datensouveränität zu einem entscheidenden Faktor, den viele Programme übersehen. Inzwischen gibt es in über 100 Ländern Gesetze mit spezifischen Vorgaben, wo sensible Daten gespeichert und verarbeitet werden dürfen.

Wenn Ihre Lieferanten Ihre Daten speichern oder verarbeiten, werden deren Entscheidungen zur Datenresidenz zu Ihrem Compliance-Problem. Ein Anbieter, der europäische Kundendaten über US-Server leitet, setzt Ihr Unternehmen potenziell DSGVO-Risiken aus – unabhängig von Ihrer eigenen Infrastruktur. Ein Healthcare-Anbieter, der Patientendaten in einer Jurisdiktion ohne ausreichenden Datenschutz speichert, schafft HIPAA-Haftungsrisiken für Ihr Unternehmen.

Das betrifft auch den staatlichen Datenzugriff. Gesetze wie der US Cloud Act können Anbieter zur Herausgabe von Daten zwingen, die im Ausland gespeichert sind – und damit Konflikte zwischen gesetzlichen Pflichten und vertraglichen Zusagen verursachen. Unternehmen mit strikten Anforderungen an Datensouveränität verlangen zunehmend architektonische Garantien – nicht nur vertragliche Zusagen –, dass ihre Daten in bestimmten Regionen bleiben und dem Zugriff ausländischer Behörden entzogen sind.

Wie Sie ein Third-Party-Risk-Programm aufbauen, das wirklich funktioniert

Die Daten zeigen mehrere praxisnahe Verbesserungen, mit denen Unternehmen ihre Lieferantenrisiken besser steuern können.

Erstens: Automatisierung ist kein Luxus mehr. Manuelle, tabellenbasierte Prozesse kommen mit der Menge und Geschwindigkeit moderner Lieferantenbeziehungen nicht mehr mit. Unternehmen sollten in Plattformen investieren, die Bewertungen skalieren, Behebungsfortschritte verfolgen und kontinuierliches Monitoring ermöglichen. Ziel ist nicht, menschliches Urteilsvermögen zu ersetzen, sondern es auf die wichtigen Entscheidungen zu konzentrieren – statt auf Dateneingabe und Dokumentenjagd.

Zweitens: Priorisierung ist wichtiger als Vollständigkeit. Sie können und sollten nicht jeden Lieferanten mit derselben Gründlichkeit prüfen. Implementieren Sie ein Tiersystem, das die intensivste Prüfung auf Lieferanten mit Zugang zu sensiblen Daten, kritischen Systemen oder wesentlichen Abhängigkeiten konzentriert. Geringeres Risiko kann mit leichteren Prüfungen und Monitoring abgedeckt werden.

Drittens: Weiten Sie die Sicht auf Viertparteien aus. Die Beziehungen Ihrer wichtigsten Lieferanten verdienen Aufmerksamkeit, insbesondere wenn Subunternehmer sensible Daten verarbeiten oder Ihre Abläufe beeinflussen. Vertragliche Anforderungen an Offenlegung und Mitwirkung bei Viertparteienbewertungen sollten Standard werden.

Viertens: Konsolidieren Sie, wo möglich. Jeder zusätzliche Anbieter in Ihrem Ökosystem bedeutet zusätzliches Risiko. Prüfen Sie vor der Einführung einer weiteren Einzellösung, ob bestehende Plattformen den Bedarf abdecken. Einheitliche Architekturen mit konsistenten Sicherheitskontrollen reduzieren Komplexität und Angriffsfläche.

Fünftens: Messen Sie, was zählt. Nur 49 % der Unternehmen im ProcessUnity-Report messen formal die Wirksamkeit ihrer Lieferantenbewertungen. Ohne Kennzahlen wie Bewertungsdauer, Abschlussraten bei Behebungen, Abdeckung der Lieferantenbasis und Wiederholungsbefunde steuern Sie im Blindflug. Legen Sie Baselines fest, verfolgen Sie Trends und nutzen Sie Daten zur Verbesserung.

Sechstens: Vernachlässigen Sie nicht die Grundlagen. Auch wenn ausgefeilte Frameworks Aufmerksamkeit erhalten, sind die Basics entscheidend: E-Mail-Sicherheit, Zahlungsprüfprozesse, Härtung von Fernzugriffen und Backup-Resilienz verhindern mehr Schäden als jeder Fragebogen. Behandeln Sie diese als Kernkontrollen, nicht als Hygiene-Maßnahmen, die man voraussetzen kann.

Das Paradox der Lieferantenbeziehung

Moderne Unternehmen können ohne Lieferanten nicht arbeiten. Die Spezialisierung und Skalierbarkeit, die Drittparteien bieten, sind entscheidend für den Wettbewerb. Doch genau diese Beziehungen schaffen Risiken, die Unternehmen oft nicht wirksam steuern.

Der Weg nach vorn ist nicht, Lieferantenbeziehungen zu minimieren – das ist weder praktikabel noch wünschenswert. Unternehmen müssen das Lieferantenrisiko vielmehr von einer periodischen Pflichtübung zu einer kontinuierlichen Disziplin machen, die in die Geschäftsprozesse integriert ist.

Erfolgreiche Unternehmen behandeln Vendor Risk Management als strategische Fähigkeit, nicht als Compliance-Bürde. Sie investieren in Tools, Prozesse und Kompetenzen, um Transparenz über das gesamte Lieferantennetzwerk zu behalten. Sie bauen Beziehungen zu Lieferanten auf, die Sicherheitskooperation einschließen – nicht nur Service Level Agreements. Und sie messen ihre Performance kontinuierlich und verbessern sich datenbasiert statt aus Annahmen heraus.

Die Zahlen sind eindeutig: Ihre Lieferanten werden kompromittiert – vermutlich häufiger, als Sie denken. Die Frage ist, ob Sie vorbereitet sind, wenn es einen Ihrer Anbieter trifft.

Was das für Ihr Unternehmen bedeutet

Wenn diese Statistiken in Ihrem Unternehmen unbequeme Diskussionen auslösen, ist das vermutlich ein gutes Zeichen. Hier sollten Sie zuerst ansetzen:

Überprüfen Sie Ihre Abdeckung bei Lieferantenbewertungen. Welcher Prozentsatz Ihrer Lieferanten durchläuft eine formale Risikobewertung? Liegen Sie bei oder unter dem Durchschnitt von 36 %, bestehen erhebliche Blindstellen.

Analysieren Sie Ihre Bewertungsdauer. Viermonatige Bewertungszyklen halten mit der Bedrohungsdynamik nicht Schritt. Identifizieren Sie Engpässe und prüfen Sie, ob Technologie den Prozess beschleunigen kann, ohne die Qualität zu beeinträchtigen.

Auditieren Sie Ihre Sicht auf Viertparteien. Wissen Sie, auf wen Ihre wichtigsten Lieferanten für ihre eigenen Abläufe angewiesen sind? Falls nicht, fehlt Ihnen eine wesentliche Dimension Ihrer Risikolandschaft.

Bewerten Sie die Fragmentierung Ihrer Plattformen. Zählen Sie die Anzahl separater Systeme, die sensible Daten in Ihrem Unternehmen verarbeiten. Jedes ist eine potenzielle Schwachstelle und eine Governance-Herausforderung. Prüfen Sie, ob Konsolidierung Risiko und Komplexität reduzieren kann.

Testen Sie Ihre Backup-Wiederherstellung. Gehen Sie davon aus, dass Angreifer Ihre Backups ins Visier nehmen. Können Sie den Betrieb wiederherstellen, wenn Ihre primären Backups kompromittiert sind? Wann haben Sie das zuletzt überprüft?

Bewerten Sie Ihre E-Mail-Sicherheit und Zahlungsprozesse. Da E-Mail-basierte Angriffe die meisten Schadensfälle verursachen, verdienen diese Kontrollen besondere Aufmerksamkeit.

Prüfen Sie Ihre Compliance-Bereitschaft. Wenn – nicht falls – ein Vorfall eintritt: Haben Sie die Audit-Trails, Benachrichtigungsprozesse und Dokumentation, um innerhalb der regulatorischen Fristen zu reagieren?

Die gute Nachricht: Unternehmen, die diese Schritte gehen, sind besser aufgestellt als die meisten Wettbewerber. Die schlechte Nachricht: „Besser als der Durchschnitt“ bedeutet immer noch erhebliche Risiken durch Vorfälle mit Lieferanten. Wahre Resilienz erfordert kontinuierliche Aufmerksamkeit und laufende Verbesserung – keine Einmalprojekte.

Ihre Lieferanten sind Teil Ihres Sicherheitsperimeters, ob Sie es anerkennen oder nicht. Die Unternehmen, die erfolgreich bleiben, steuern diese Realität proaktiv – statt die Konsequenzen schmerzhaft zu lernen.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Das bedeutet, dass das durchschnittliche Unternehmen etwa einmal pro Monat einen sicherheitsrelevanten Vorfall durch einen Lieferanten erlitten hat – nicht durch eigene Systeme, sondern durch die Anbieter, Auftragnehmer und Dienstleister, denen es Zugriff auf Daten und Abläufe gewährt. Besonders alarmierend ist die damit verbundene Vertrauenslücke: 53 % der Unternehmen halten ihr Third-Party-Risk-Management trotz monatlicher Vorfälle für effektiv. Diese Diskrepanz legt nahe, dass die meisten Programme eher Aktivitäten messen – abgeschlossene Bewertungen, versendete Fragebögen – als tatsächliche Sicherheitsresultate.

Drei strukturelle Schwächen untergraben die meisten Programme. Erstens ist die Abdeckung viel zu gering – im Schnitt werden nur 36 % der Lieferanten formal bewertet, fast zwei Drittel laufen ohne jegliche Sicherheitsüberwachung. Zweitens sind die Bewertungen viel zu langsam – sechs von zehn Unternehmen benötigen vier Monate oder länger für eine einzelne Prüfung, sodass sich die Sicherheitslage eines Lieferanten bis zum Abschluss dramatisch ändern kann. Drittens stützen sich die Prozesse zu stark auf manuelle Arbeit – fast zwei Drittel der Unternehmen nutzen weiterhin Tabellenkalkulationen für das Third-Party-Risk-Management, und 27 % der Lieferanten reagieren überhaupt nicht auf Bewertungsanfragen, sodass Entscheidungen auf unvollständigen Daten basieren.

Viertparteien-Risiko bezeichnet die Sicherheitsgefährdung durch die Lieferanten Ihrer Lieferanten – also Subunternehmer und Dienstleister, auf die Ihre direkten Anbieter angewiesen sind. Diese Viertparteien haben oft Zugriff auf dieselben sensiblen Daten und kritischen Systeme wie Ihre direkten Lieferanten, aber die meisten Unternehmen haben kaum oder gar keine Sicht darauf. Weniger als die Hälfte führen überhaupt Viertparteienbewertungen durch, nur 23 % prüfen über die wichtigsten Anbieter hinaus. Der Snowflake-Breach 2024 zeigte die Gefahr: Ein einzelner Zugangsdatenverlust führte zu Vorfällen bei Dutzenden Großunternehmen, darunter Advance Auto Parts mit über 2,3 Millionen Betroffenen. Ohne Sicht auf Viertparteien können Unternehmen ihre tatsächliche Lieferkettengefährdung nicht einschätzen.

Nach Anzahl machen Business E-Mail Compromise und Betrug bei Geldtransfers 60 % aller Cyber-Versicherungsansprüche aus – dreimal so viel wie Ransomware. Die Drittparteien-Dimension verschärft das Risiko: Kompromittieren Angreifer das E-Mail-System eines Lieferanten, können sie sich als vertraute Kontakte ausgeben und betrügerische Anfragen besonders glaubwürdig gestalten. Der Coinbase-Vorfall 2025 zeigte das direkt: Böswillige Insider bei einem Drittanbieter-Supportdienstleister exfiltrierten Nutzerdaten und versuchten eine Erpressung über 20 Millionen US-Dollar – durch einen vertrauensbasierten Zugang. Standard-E-Mail-Sicherheitskontrollen und Zahlungsprüfprozesse verdienen daher genauso viel Aufmerksamkeit wie Lieferantenfragebögen.

Beginnen Sie mit der Abdeckung, nicht mit der Komplexität. Implementieren Sie ein Lieferanten-Tiering, das die gründlichste Prüfung auf Anbieter mit Zugang zu sensiblen Daten, kritischen Systemen oder wesentlichen Abhängigkeiten konzentriert – selbst ein gestuftes Vorgehen für die höchsten Risiken ist wirksamer als ein oberflächliches Programm für alle. Automatisieren Sie zweitens die zeitaufwändige Administration: Versand von Bewertungen, Nachverfolgung von Antworten und Behebungsmaßnahmen binden Ressourcen, die besser für Analyse und Entscheidungen genutzt werden. Drittens: Schließen Sie das Blindfeld bei Viertparteien für Ihre wichtigsten Lieferanten, bevor Sie die Überwachung ausweiten. Und vergessen Sie nicht die Grundlagen – E-Mail-Sicherheit, Zahlungsprüfungen, Backup-Resilienz und Härtung von Fernzugriffen verhindern mehr Schäden als jeder Fragebogen und schützen vor den E-Mail-basierten Angriffen, die die meisten Vorfälle verursachen.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie Sie klassifizierte Daten sichern, sobald DSPM sie kennzeichnet
  • Blogbeitrag Vertrauen in generative KI aufbauen mit einem Zero-Trust-Ansatz
  • Video Der definitive Leitfaden zur sicheren Speicherung sensibler Daten für IT-Führungskräfte

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks