Zurück zu Insights
Compliance & Governance

Third-Party Risk Management (TPRM): Praxisleitfaden für Supply-Chain-Security 2025

Don Amel, B.Sc., Compliance Lead
January 16, 2025
16 min read
Third-Party Risk ManagementVendor RiskLieferkettensicherheitNIS2GDPRISO 27001

📄 Download Full Article

Get this 16 min read article as a markdown file for offline reading

Download

Third-Party Risk Management (TPRM): Praxisleitfaden für Supply-Chain-Security 2025

Letztes Update: 16. Januar 2025 | Autor: Don Amel

Executive Summary

Third-Party Risk ist heute eine Kernanforderung der Sicherheit. NIS2 fordert explizit Lieferkettensicherheit, GDPR verlangt Processor-Überwachung, und ISO 27001 (A.5, A.8, A.15 in Annex A) erwartet Lieferantenkontrollen und Monitoring. Dieser Leitfaden liefert einen praxisnahen, wiederholbaren Ansatz für Vendor Risk Management – abgestimmt auf EU-Regulatorik und reale Ressourcenlimits.

Key takeaways:

  • Vendoren zuerst inventarisieren und klassifizieren – dann bewerten.
  • Kritische Services priorisieren (Cloud, MSP/MSSP, Payroll, CRM, Core SaaS).
  • Evidence-basierte Assessments reduzieren Audit-Risiken.
  • Verträge und kontinuierliches Monitoring sind genauso wichtig wie Fragebögen.

Inhaltsverzeichnis

  1. Was ist TPRM und warum es wichtig ist
  2. Vendor Inventory aufbauen
  3. Risk Tiering Modell (Kritikalität)
  4. Due Diligence und Evidence Collection
  5. Vertragliche Controls und SLAs
  6. Continuous Monitoring und Reassessment
  7. Incident Response mit Vendoren
  8. Metrics und Governance
  9. 90-Tage-Implementierungsplan
  10. Typische Fallstricke

1. Was ist TPRM und warum es wichtig ist

Third-Party Risk Management (TPRM) ist der strukturierte Prozess, Risiken durch Lieferanten, Dienstleister und Partner zu identifizieren, zu bewerten und zu mitigieren. Ziel ist nicht, Third Parties zu vermeiden, sondern Risiken messbar und steuerbar zu machen.

Regulatorischer Druck steigt:

  • NIS2 fordert Supply-Chain-Security-Kontrollen und dokumentiertes Risk Management.
  • GDPR verlangt Due Diligence und laufende Aufsicht über Processor/Subprocessor.
  • ISO 27001 erwartet formale Supplier-Governance und Monitoring.

Wenn ein kritischer Anbieter ausfällt, bleibt Ihre Organisation verantwortlich. Erfolgreiche TPRM-Programme fokussieren sich auf High-Impact-Vendoren und schaffen eine saubere Audit-Trail.

2. Vendor Inventory aufbauen

Sie können nicht bewerten, was Sie nicht sehen. Starten Sie mit einem vollständigen Vendor Inventory inklusive Ownership und Business-Kontext.

Minimum-Felder:

  • Vendor-Name und juristische Einheit
  • Service und Business Owner
  • Datentypen (PII, Finanzdaten, Gesundheitsdaten, IP)
  • Zugriffslevel (none, read, write, admin)
  • Integrationsart (API, SSO, VPN, on-prem)
  • Hosting-Modell (SaaS, PaaS, IaaS, on-prem)
  • Vertragsverlängerung und Kündigungsfristen

Praxis-Tipp: Procurement, Finance und IT Asset Data synchronisieren. Shadow IT birgt oft das höchste unbewertete Risiko.

3. Risk Tiering Modell (Kritikalität)

Ein einfaches Tiering-Modell reicht meist aus. Vier Stufen sind praxisbewährt.

Beispiel-Kriterien:

  • Critical: Betrieb stoppt innerhalb 24 Stunden, wenn Vendor ausfällt.
  • High: Sensible Datenexposition oder großer Umsatzimpact.
  • Medium: Begrenzte Datenexposition oder moderater Impact.
  • Low: Minimaler Datenzugriff und geringe Abhängigkeit.

Scoring-Dimensionen:

  • Daten-Sensitivität
  • Privilegierter Zugriff
  • Integrations-Tiefe
  • Substituierbarkeit und Time-to-Replace
  • Regulatorischer Impact (NIS2/GDPR)

Beispiel-Scoring (0-3):

Data sensitivity:     0 public | 1 internal | 2 confidential | 3 regulated
Access level:         0 none   | 1 read     | 2 write        | 3 admin
Operational impact:   0 low    | 1 medium   | 2 high         | 3 critical
Substitutability:     0 easy   | 1 moderate | 2 hard         | 3 very hard

Total score:
0-3   = Low
4-6   = Medium
7-9   = High
10-12 = Critical

4. Due Diligence und Evidence Collection

Fragebögen allein reichen nicht. Für High-Risk-Vendoren ist Evidence Pflicht.

Minimum-Evidence für Critical/High:

  • ISO 27001 Zertifikat oder SOC 2 Type II Report
  • Penetration-Test Summary (letzte 12-18 Monate)
  • Data Processing Addendum + Subprocessor Liste
  • Incident-Response-Plan + Notification Timeline
  • Encryption und Key Management Details
  • Business Continuity & Disaster Recovery Überblick

Verification-Taktiken:

  • Zertifikate gegen Akkreditierungsstellen prüfen.
  • Redacted Audit Reports anfordern (nicht nur Marketing-PDFs).
  • Control Mapping zu NIS2/GDPR/ISO verlangen.

5. Vertragliche Controls und SLAs

Verträge sind durchsetzbare Security-Controls. Standardisieren Sie ein Security Addendum mit nicht verhandelbaren Klauseln.

Pflicht-Klauseln:

  • Incident Notification Timelines (24/72h für NIS2)
  • Audit-Recht (oder Third-Party Audit Acceptance)
  • Data Residency und Transfer-Regeln
  • Subprocessor Approval & Change Notification
  • Mindest-Security-Baseline (MFA, Logging, Encryption)
  • Kündigung + Datenlöschung (Timelines)

SLA-Fokus: Uptime, RTO/RPO und Eskalationspflichten bei Security Incidents.

6. Continuous Monitoring und Reassessment

Vendor Risk ist nicht statisch. Reassessments sollten sich an der Kritikalität orientieren.

Empfohlene Kadenz:

  • Critical: quartalsweise (oder bei Major Changes)
  • High: halbjährlich
  • Medium: jährlich
  • Low: alle 2 Jahre

Signals to track:

  • Security Advisories oder Breach Notifications
  • Zertifikatsabläufe
  • Produktänderungen oder M&A
  • Änderungen bei Subprocessorn

7. Incident Response mit Vendoren

Ihr IR-Plan muss Third-Party-Koordination enthalten. Wenn ein Vendor betroffen ist, brauchen Sie klare Kommunikationswege und Verantwortlichkeiten.

Minimum-Anforderungen:

  • Benannte Security Contacts und Eskalationspfade
  • Gemeinsames IR-Playbook
  • Log Retention und Evidence Preservation
  • Klare Timelines für regulatorische Meldungen

Für kritische Vendoren: jährliche Tabletop-Übungen.

8. Metrics und Governance

Fokus auf wenige KPIs, die für Leadership und Audits geeignet sind.

Empfohlene KPIs:

  • % der Vendoren mit Tiering
  • % der Critical Vendoren mit Evidence Review
  • Ø Zeit bis zur Remediation von Findings
  • Anzahl Vendoren mit Vertragsverstoß

Governance-Modell:

  • Security besitzt das Risk Framework
  • Procurement erzwingt Vertragskontrollen
  • Business Owner genehmigen Onboarding und Exceptions

9. 90-Tage-Implementierungsplan

Tage 1-30: Foundation

  • Vendor Inventory erstellen
  • Tiering-Kriterien definieren
  • Top 20 Critical Vendoren identifizieren

Tage 31-60: Assessment

  • Critical/High Assessments durchführen
  • Evidence sammeln und Zertifikate validieren
  • Risk Acceptances dokumentieren

Tage 61-90: Control

  • Verträge mit Security Addendum aktualisieren
  • Reassessment-Kadenz etablieren
  • Governance Reporting starten

10. Typische Fallstricke

  • Fragebögen als Evidence behandeln
  • Procurement und Security nicht verknüpfen
  • Low-Risk-Vendoren überbewerten, Critical ignorieren
  • Subprocessor-Transparenz fehlt
  • Keine klaren Remediation-Timelines

Final Checklist (Quick Reference)

  • Vendor Inventory ist vollständig und besitzt Owner
  • Tiering-Kriterien sind dokumentiert und freigegeben
  • Critical Vendoren haben Evidence-basierte Assessments
  • Verträge enthalten Security Addendum + SLAs
  • Reassessment-Kadenz ist definiert
  • Vendor Incident Response ist getestet

Wenn Sie Unterstützung beim Aufbau oder der Beschleunigung Ihres TPRM-Programms brauchen, helfen wir gern bei der Ausrichtung auf NIS2, GDPR und ISO 27001.

Related Articles

Related Services

Need Expert Cybersecurity Consulting?

Our team of certified security professionals can help implement the strategies discussed in this article.

Schedule a Consultation

Related Articles

Sicherheitsarchitektur

Zero-Trust-Architektur: Vollstaendiger Implementierungsleitfaden fuer Enterprise-Organisationen 2025

18 min readDr. Sep Siebrands, Partner & Marketing Director
Compliance & Governance

DSGVO-Compliance 2025: Vollständige Implementierungs-Checkliste für EU-Organisationen

22 min readDon Amel, B.Sc., Security Trainee