Third Party Risk Management: Warum Fragebögen keine Sicherheit bieten

Das strukturelle Problem mit Fragebögen

Third Party Risk Management (TPRM) ist in vielen Unternehmen etabliert. Das typische Vorgehen: Neue Lieferanten erhalten einen umfangreichen Sicherheitsfragebogen, müssen Zertifizierungen nachweisen, und das Ergebnis wird in einer Risikomatrix dokumentiert. Bestandslieferanten werden jährlich oder bei Vertragsänderungen überprüft.

Das klingt gut. Das Problem ist strukturell: Ein Fragebogen misst keine Sicherheit, er misst Compliance-Bereitschaft. Ein Lieferant, der alle richtigen Antworten kennt (und in der TPRM-Branche gibt es professionelle Berater, die genau das optimieren), kann jeden Fragebogen bestehen, unabhängig von seinem tatsächlichen Sicherheitsniveau.

Hinzu kommt: Fragebögen sind Momentaufnahmen. Zwischen Ausfüllung und nächster Überprüfung können Monate oder Jahre vergehen. In dieser Zeit können sich Sicherheitsniveau und Bedrohungsexposition eines Lieferanten fundamental verändern – durch neue Softwareversionen, Personalwechsel, veränderte IT-Infrastruktur oder – im schlimmsten Fall – bereits stattgefundene Kompromittierungen.

Was technische Validierung leisten kann

Im Gegensatz zur dokumentarischen Überprüfung erfasst technische Validierung den tatsächlichen Sicherheitszustand eines Lieferanten – soweit er von außen messbar ist. Das umfasst:

Attack Surface Assessment: Welche Assets sind im Internet exponiert? Auf welchem Patch-Level befinden sich erreichbare Systeme? Welche Konfigurationsschwächen sind erkennbar?

Threat Intelligence Matching: Tauchen IPs oder Domains des Lieferanten in bekannten Threat-Intelligence-Quellen auf? Gibt es Indikatoren für aktive Schadsoftware-Infektionen?

Credential Exposure: Wurden Zugangsdaten von Mitarbeitern des Lieferanten in bekannten Datenpannen oder auf Darknet-Märkten exponiert?

Sicherheitskonfiguration: Werden E-Mail-Sicherheitsstandards (SPF, DKIM, DMARC) korrekt implementiert? Werden HTTPS-Zertifikate ordnungsgemäß verwaltet?

Diese Daten lassen sich automatisiert und kontinuierlich erheben – kein Fragebogen, kein Warten auf Antworten, kein Vertrauen in Selbstauskünfte.

Ein pragmatischer Ansatz für TPRM

Ein technisch fundiertes TPRM muss nicht das Fragebogenmodell vollständig ersetzen – es ergänzt es. Eine sinnvolle Kombination:

1. Onboarding: Fragebogen für Kontext und Selbstauskunft + technische Validierung für die tatsächliche Lage

2. Kontinuierliches Monitoring: Automatisiertes Tracking der kritischen Lieferanten auf technische Veränderungen, neue Bedrohungsindikatoren, Credential-Leaks

3. Eskalation: Klarer Prozess für den Fall, dass ein Lieferant als kompromittiert oder hochriskant eingestuft wird

Für NIS2 und DORA ist dieser Ansatz nicht nur sinnvoll, sondern regulatorisch erwartet.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Beratung.