Was ist eine Drittanbieter-Risikobewertung?

Eine Drittanbieter-Risikobewertung ist ein strukturierter Prozess zur Beurteilung von Informationssicherheit, Compliance, finanzieller Stabilität und Betriebsresilienz von Lieferanten — vor der Aufnahme der Zusammenarbeit und in regelmäßigen Abständen während der Geschäftsbeziehung. Sie umfasst fragebogenbasierte Selbstauskunft, Dokumentenprüfung (Zertifikate, Auditberichte, Penetrationstestergebnisse) und Risikobewertung, die in einer formalen Entscheidung mündet: Genehmigung, bedingte Genehmigung oder Ablehnung.

Wie lange dauert eine Drittanbieter-Risikobewertung?

Die Dauer hängt vom Lieferantentier ab. Eine vollständige Tier-1-Bewertung (kritische Lieferanten) dauert typischerweise 2–4 Wochen: 1 Woche für die Fragebogenbearbeitung, 1–2 Wochen für Dokumentenprüfung und Rückfragen, 1 Woche für Scoring und Freigabe. Eine Tier-2-Standardbewertung dauert 1–2 Wochen. Eine Tier-3-Leichtbewertung kann in 1–3 Tagen abgeschlossen werden. Automatisierungstools reduzieren diese Zeiträume um 60–80 %.

Was muss eine Lieferantenrisikobewertung abdecken?

Eine vollständige Bewertung sollte folgende Bereiche umfassen: (1) Informationssicherheitskontrollen — Zugriffsverwaltung, Verschlüsselung, Patch-Management, Incident Response; (2) Compliance und Zertifizierungen — ISO 27001, SOC 2 Typ II, DSGVO, NIS2/DORA-Status; (3) Datenverarbeitung — Datenspeicherort, Unterauftragsverarbeiter, Aufbewahrung und Löschung; (4) Business Continuity — Notfallwiederherstellung, RPO/RTO, SLA-Garantien; (5) Finanzielle Stabilität — Versicherung, Unternehmensviabilität, Schlüsselpersonenrisiken; (6) Unterauftragsverarbeiterrisiko — wie der Lieferant seine eigene Lieferkette steuert.

Ist die Drittanbieter-Risikobewertung gesetzlich vorgeschrieben?

Ja, für viele Organisationen. NIS2 Art. 21 Abs. 2 lit. d fordert Risikomanagementmaßnahmen für die Sicherheit der Lieferkette einschließlich der Bewertung von Drittbeziehungen. DORA Art. 28–30 verpflichten Finanzunternehmen zur Durchführung von Risikobewertungen vor der Aufnahme von IKT-Dienstleistungen. ISO 27001:2022 Anhang A Kontrollen 5.19–5.21 verlangen ein Lieferantensicherheitsmanagement. Art. 28 DSGVO schreibt eine Lieferantenbewertung bei der Verarbeitung personenbezogener Daten vor.

Wie wird das Lieferantenrisiko bewertet?

Die Risikobewertung nutzt eine Zwei-Achsen-Matrix: Inherentes Risiko (basierend auf Datensensitivität, Datenvolumen, Systemzugangsebene und Servicekritikalität) und Kontrolleffektivität (basierend auf Zertifikaten, geprüften Auditberichten und unabhängiger Verifizierung). Inherentes Risiko × Kontrollschwäche = Restrisiko. Das Restrisiko bestimmt die Freigabeentscheidung: Niedrig = automatische Genehmigung, Mittel = bedingte Genehmigung, Hoch = Führungsgenehmigung erforderlich, Kritisch = Ablehnung oder Sanierungsplan.

Drittanbieter-Risikobewertung: Praxisleitfaden + kostenlose Vorlage (2026)

2026-03-23

By Orbiq Team

Drittanbieter-Risikobewertung: Praxisleitfaden + kostenlose Vorlage (2026)

So führen Sie eine Drittanbieter-Risikobewertung durch: Schritt für Schritt. Mit Bewertungsvorlage, NIS2- und DORA-Anforderungen sowie Scoring-Framework.

lieferantenrisiko

drittparteien-risiko

risikobewertung

nis2

dora

iso-27001

Drittanbieter-Risikobewertung: Praxisleitfaden + kostenlose Vorlage (2026)

Eine Drittanbieter-Risikobewertung ist der strukturierte Prozess, der bestimmt, ob einem Lieferanten die eigenen Daten, Systeme oder Dienste anvertraut werden können — und welche Kontrollen vor Vertragsunterzeichnung zu prüfen sind. Dieser Leitfaden erklärt, wie Sie eine Bewertung von Anfang bis Ende durchführen, was Sie in jeder Phase prüfen müssen und wie Sie Risiken konsistent über Ihr gesamtes Lieferantenportfolio hinweg bewerten.

Das Framework richtet sich nach ISO 27001:2022 (Anhang A 5.19–5.21), NIS2 Art. 21 Abs. 2 lit. d und DORA Art. 28–30.

Warum Drittanbieter-Risikobewertungen wichtig sind

Ihre Sicherheitslage ist nur so stark wie Ihr schwächster Lieferant. Laut dem Verizon Data Breach Investigations Report 2024 waren 15 % aller Datenschutzverletzungen auf Dritte zurückzuführen — und Drittpartei-Vorfälle wachsen schneller als direkte Angriffe. Die Regulatoren haben reagiert.

Das Kernproblem: Die meisten Organisationen führen Lieferantenbewertungen weiterhin als einmaligen Onboarding-Prozess durch, legen die Ergebnisse ab und greifen nie wieder darauf zurück. Ein Lieferant, der eine Bewertung aus dem Jahr 2022 bestanden hat, kann 2026 ganz anders dastehen — mit neuen Unterauftragsverarbeitern, anderen Eigentümern oder Infrastruktur mit bekannten Schwachstellen.

Eine effektive Drittanbieter-Risikobewertung ist:

Verhältnismäßig — kritische Lieferanten erhalten vollständige Bewertungen; Lieferanten mit geringem Risiko bekommen leichte Checklisten
Evidenzbasiert — Zertifikate und Auditberichte, nicht nur Fragebogenantworten
Kontinuierlich — laufende Überwachung, keine einmaligen Momentaufnahmen
Dokumentiert — Prüfer und Regulatoren erwarten schriftliche Nachweise

Schritt 1: Lieferanten klassifizieren

Bevor Sie eine Vorlage anwenden, bestimmen Sie, wie tiefgehend eine Bewertung gerechtfertigt ist. Denselben 80-Fragen-Fragebogen für den Kaffeemaschinenwartungslieferanten und den Cloud-Infrastrukturanbieter zu verwenden, verschwendet auf beiden Seiten Zeit.

Inherente Risikofaktoren

Bewerten Sie jeden Faktor auf einer Skala von 1–4 (Niedrig / Mittel / Hoch / Kritisch):

Faktor	Niedrig (1)	Mittel (2)	Hoch (3)	Kritisch (4)
Datensensitivität	Nur öffentliche Daten	Interne Daten	Vertrauliche/personenbezogene Daten	Besondere Kategorien / regulierte Daten
Datenvolumen	Keines	Begrenzt	Moderat	Großmaßstäblich
Systemzugang	Kein Zugang	Nur-Lese-Zugang	Schreibzugang	Admin-/privilegierter Zugang
Servicekritikalität	Nice-to-have	Operative Unterstützung	Geschäftswichtig	Unternehmenskritisch

Tier-Zuweisung nach Gesamtpunktzahl:

4–7: Tier 3 — Leichtbewertung (20–30 Punkte Checkliste)
8–11: Tier 2 — Standardbewertung (40–60 Fragen + Dokumentenprüfung)
12–16: Tier 1 — Vollbewertung (80+ Fragen + Dokumentenprüfung + Vor-Ort-Besuch oder Drittprüfung)

Schritt 2: Bewertungsfragebogen versenden

Der Fragebogen erfasst die Selbstauskunft des Lieferanten zu seinen Kontrollen. Er ist ein Eingabefaktor der Bewertung — nicht die Bewertung selbst.

Kerndomänen des Fragebogens

Domäne 1: Informationssicherheitskontrollen

Haben Sie eine dokumentierte Informationssicherheitsrichtlinie, die in den letzten 12 Monaten überprüft wurde?
Welche Zugriffskontrollmechanismen bestehen für Systeme, die unsere Daten verarbeiten?
Beschreiben Sie Ihre Verschlüsselungsstandards für ruhende und übertragene Daten.
Wie werden privilegierte Konten verwaltet und überwacht?
Was ist Ihr Patch-Management-Zyklus für kritische Schwachstellen?
Beschreiben Sie Ihre Fähigkeiten zur Erkennung und Reaktion auf Sicherheitsvorfälle.
Führen Sie Penetrationstests durch? Wie häufig und durch wen?

Domäne 2: Compliance und Zertifizierungen

Welche Zertifizierungen halten Sie aktuell? (ISO 27001, SOC 2 Typ II, ISO 27701, PCI-DSS usw.)
Stellen Sie das aktuellste Zertifikat mit Gültigkeitsdatum bereit.
Unterliegen Sie NIS2- oder DORA-Anforderungen? Wie ist Ihr Compliance-Status?
Wann war Ihr letztes externes Audit? Stellen Sie eine Zusammenfassung oder einen Geschäftsführungsbericht bereit.

Domäne 3: Datenverarbeitung und Datenschutz

In welchen Ländern werden unsere Daten gespeichert und verarbeitet?
Stellen Sie eine vollständige Liste der Unterauftragsverarbeiter bereit, die auf unsere Daten zugreifen.
Welche Datenaufbewahrungs- und Löschverfahren haben Sie?
Beschreiben Sie Ihren Prozess und Zeitplan zur Meldung von Datenschutzverletzungen.
Führen Sie DPIAs für risikobehaftete Verarbeitungsaktivitäten durch?

Domäne 4: Business Continuity

Was ist Ihr Recovery Time Objective (RTO) bei einem vollständigen Serviceausfall?
Was ist Ihr Recovery Point Objective (RPO)?
Wann war Ihr letzter BCP/DR-Test? Stellen Sie eine Ergebniszusammenfassung bereit.
Haben Sie geografische Redundanz für Systeme, die unsere Daten verarbeiten?

Domäne 5: Finanzielle und operative Stabilität

Stellen Sie Ihre aktuellsten geprüften Jahresabschlüsse oder gleichwertigen Nachweise bereit.
Haben Sie eine Cyber-Haftpflichtversicherung? Wie hoch ist die Deckungssumme?
Beschreiben Sie Schlüsselpersonenabhängigkeiten in Ihrer Sicherheitsfunktion.

Domäne 6: Unterauftragsverarbeiter und Lieferkettenrisiko

Listen Sie alle Unterauftragsverarbeiter auf, die Zugang zu unseren Daten oder Systemen haben.
Beschreiben Sie, wie Sie Ihre eigenen Unterauftragsverarbeiter bewerten und überwachen.
Haben Sie eine Prüfungsrechtsklausel in Unterauftragsverarbeiter-Vereinbarungen?

Schritt 3: Nachweisdokumente prüfen

Fragebogenantworten erfordern Verifikation. Ein Lieferant, der ISO 27001-Zertifizierung behauptet, ohne das Zertifikat vorzulegen, bietet keine Grundlage für eine Risikoentscheidung. Fordern Sie diese Dokumente an:

Behauptung	Erforderlicher Nachweis
ISO 27001 zertifiziert	Aktuelles Zertifikat von akkreditierter Stelle (Ablauf + Umfang prüfen)
SOC 2 Typ II	Vollständiger SOC 2-Bericht (nicht nur das Zusammenfassungsschreiben)
Penetrationstest durchgeführt	Executive Summary eines unabhängigen Testers + Remediation-Protokoll
DSGVO-konform	AVV-Vorlage, Unterauftragsverarbeiterliste, Datentransfer-Mechanismus
BCP/DR getestet	Testbericht mit Datum, Szenario und Ergebnissen
Finanziell stabil	Jahresbericht oder geprüfter Abschluss (aktuell)

Warnzeichen bei der Dokumentenprüfung:

ISO 27001-Zertifikatsumfang schließt Systeme aus, die Ihre Daten verarbeiten werden
SOC 2-Bericht ist Typ I (nicht Typ II) — prüft nur Design, nicht operative Wirksamkeit
Penetrationstest wurde vor mehr als 18 Monaten ohne Nachverfolgung durchgeführt
Zertifikat stammt von einer unbekannten oder nicht akkreditierten Stelle
Unterauftragsverarbeiterliste ist unvollständig oder nicht verfügbar („vertraulich")

Schritt 4: Risiko bewerten

Kombinieren Sie das inherente Risiko (Schritt 1) mit der Kontrolleffektivität zur Berechnung des Restrisikos.

Bewertung der Kontrolleffektivität

Nach Prüfung von Fragebogenantworten und Dokumenten bewerten Sie die Kontrollen des Lieferanten:

Stark — zertifiziert, kürzlich geprüft, Nachweise stimmen mit Behauptungen überein, keine wesentlichen Feststellungen
Angemessen — zertifiziert oder geprüft, kleinere Lücken identifiziert, Sanierungsplan vorhanden
Schwach — nur selbstberichtet, Lücken identifiziert, keine Nachweise der Behebung
Unzureichend — keine Zertifizierungen, kein Auditbericht verfügbar, erhebliche Lücken

Restrisiko-Matrix

Inherentes Risiko	Starke Kontrollen	Angemessene Kontrollen	Schwache Kontrollen	Unzureichende Kontrollen
Niedrig	Niedrig	Niedrig	Mittel	Mittel
Mittel	Niedrig	Mittel	Mittel	Hoch
Hoch	Mittel	Hoch	Hoch	Kritisch
Kritisch	Hoch	Hoch	Kritisch	Kritisch

Entscheidung nach Restrisiko

Restrisiko	Entscheidung	Anforderungen
Niedrig	Automatische Genehmigung	Standardvertrag + AVV
Mittel	Bedingte Genehmigung	Zusätzliche Vertragsklauseln, Sanierungszeitplan
Hoch	Führungsgenehmigung erforderlich	Risikoakzeptanz + verstärkte Überwachung
Kritisch	Ablehnung oder Eskalation	Lieferant muss sanieren oder Alternative finden

Schritt 5: Bewertung dokumentieren

Jede Bewertung muss einen schriftlichen Nachweis hinterlassen. Regulatoren unter NIS2 und DORA verlangen von Organisationen den Nachweis ihres Lieferkettenrisikomanagements — das bedeutet Dokumentation, nicht nur gute Absichten.

Die Bewertungsakte muss enthalten:

Name, Klassifizierung und Leistungsumfang des Lieferanten
Bewertungsdatum und Bewerter
Verwendete Fragebogenversion
Geprüfte Nachweisdokumente (mit Daten)
Risikobewertungen: inherentes Risiko, Kontrolleffektivität, Restrisiko
Freigabeentscheidung und Name des Genehmigers
Auflagen, Sanierungsanforderungen oder Risikoakzeptanzen
Datum der nächsten geplanten Überprüfung

Bewertungen sollten in einem zentralen System gespeichert werden, auf das Compliance- und Rechtsteam zugreifen können — nicht in einzelnen E-Mail-Threads oder Tabellenkalkulationen.

NIS2 und DORA: Anforderungen an Drittanbieter-Bewertungen

NIS2 (Art. 21 Abs. 2 lit. d)

NIS2-betroffene Organisationen müssen Risikomanagementmaßnahmen zur Lieferkettensicherheit implementieren:

Vorvertragliche Bewertung — dokumentiert vor dem Onboarding kritischer Lieferanten
Vertragliche Sicherheitsanforderungen — Mindestsicherheitsstandards müssen in Verträgen verankert sein
Laufende Überwachung — nicht nur punktuell; kontinuierliche Überwachung kritischer Lieferanten
Vorfallbenachrichtigung — Lieferanten müssen relevante Sicherheitsvorfälle melden

Die zuständigen NIS2-Behörden erwarten, dass Organisationen ein dokumentiertes Lieferanteninventar mit Risikoklassifizierungen führen.

DORA (Art. 28–30)

Finanzunternehmen unter DORA unterliegen strengeren Anforderungen für IKT-Drittparteienrisiken:

Vorvertragliche Risikobewertung für alle IKT-Anbieter erforderlich
Konzentrationsrisikobewertung — bewerten, ob eine Überabhängigkeit von einem einzigen Anbieter besteht
Ausstiegsstrategie — dokumentieren, wie die Beziehung beendet werden kann, wenn der Lieferant ausfällt
Prüfungsrecht — Verträge müssen Prüfungsrechte für das Unternehmen und die Regulatoren enthalten
Kritische IKT-Anbieter — verschärfte Sorgfaltspflicht und EBA/ESA-Meldepflichten

BSI C5 und die BaFin-Anforderungen an Auslagerungsmanagement ergänzen diese EU-Rahmenwerke für deutsche Unternehmen.

Laufende Überwachung nach der Bewertung

Die Genehmigung ist nicht das Ende des Prozesses — sie ist der Anfang. Das Lieferantenrisiko verändert sich kontinuierlich.

Überwachungsaktivitäten nach Lieferantentier:

Aktivität	Tier 1 (Kritisch)	Tier 2 (Standard)	Tier 3 (Geringes Risiko)
Neubewertung	Jährlich	18–24 Monate	3 Jahre oder Vertragsverlängerung
Zertifikatsüberwachung	Kontinuierlich	Bei Verlängerung	Bei Verlängerung
Sicherheitsnachrichtenüberwachung	Kontinuierlich	Vierteljährlich	Bei Bedarf
Vorfallbenachrichtigung	Jeder Vorfall	Wesentliche Vorfälle	Nur kritische Vorfälle
Unterauftragsverarbeiter-Änderungsprüfung	Alle Änderungen	Wesentliche Änderungen	Nicht erforderlich

Auslöser, die unabhängig vom Zeitplan eine sofortige Neubewertung erfordern:

Lieferant meldet einen Sicherheitsvorfall, der Ihre Daten betrifft
Lieferant wird von einem neuen Eigentümer übernommen
Wesentliche Änderung der im Umfang enthaltenen Dienste oder Infrastruktur
Lieferant verliert eine wichtige Zertifizierung
Medienberichte über Datenschutzverletzung, finanzielle Schwierigkeiten oder Regulierungsmaßnahmen

Häufige Fehler vermeiden

Fragebogen als Bewertung behandeln. Ein Fragebogen erfasst, was der Lieferant behauptet. Ohne Dokumentenprüfung und unabhängige Verifikation gibt es keine Grundlage für eine Risikoentscheidung.

Ein Tier für alle Lieferanten anwenden. Zu ausführliche Bewertungen für Lieferanten mit niedrigem Risiko verschwenden Zeit und reduzieren die Lieferantenkooperation. Zu oberflächliche Bewertungen für kritische Lieferanten schaffen blinde Flecken.

Unterauftragsverarbeiter-Prüfung überspringen. Ihr Risiko endet nicht beim direkten Lieferanten. Wenn dieser Unterauftragsverarbeiter mit schwächeren Kontrollen einsetzt, wird das zu Ihrem Risiko.

Genehmigung ohne Auflagen. Lieferanten mit mittlerem und hohem Restrisiko können genehmigt werden — aber nur mit dokumentierten Auflagen: Sanierungszeitplänen, erweiterten Vertragsklauseln oder zusätzlicher Überwachung.

Kein Auslöser für Neubewertung. Zeitplanbasierte Neubewertungen allein verpassen die gefährlichsten Momente: nach Übernahmen, nach Vorfällen und nach Umfangsänderungen.

Checkliste für die Drittanbieter-Risikobewertung

Verwenden Sie diese zusammenfassende Checkliste als Bewertungsprotokoll. Den vollständigen 80-Fragen-Fragebogen nach Domänen finden Sie in der Lieferantenrisikobewertungsvorlage.

Vor der Bewertung

Lieferant klassifiziert (Tier 1 / 2 / 3)
Inherentes Risiko bewertet (Datensensitivität, Volumen, Zugang, Kritikalität)
Bewertungstier mit Risikoeigner bestätigt

Fragebogen und Dokumentenprüfung

Fragebogen versendet und zurückgekommen
ISO 27001 / SOC 2-Zertifikat geprüft (Umfang und Ablauf verifiziert)
Penetrationstestbericht geprüft (Datum + Behebungsstatus)
Unterauftragsverarbeiterliste erhalten
AVV geprüft (Datenspeicherort, Aufbewahrung, Löschung)
BCP/DR-Testbericht geprüft
Nachweise zur finanziellen Stabilität erhalten

Bewertung und Entscheidung

Kontrolleffektivität bewertet (Stark / Angemessen / Schwach / Unzureichend)
Restrisiko berechnet
Freigabeentscheidung dokumentiert
Auflagen oder Sanierungsanforderungen erfasst
Risikoakzeptanz unterzeichnet (bei hohem Restrisiko)
Bewertungsakte im Lieferantenregister gespeichert

Nach der Genehmigung

AVV und Sicherheitsvertragsklauseln unterzeichnet
Überwachungshäufigkeit festgelegt
Datum der nächsten Neubewertung im Kalender eingetragen
Vorfallbenachrichtigungsprozess mit Lieferanten bestätigt

Wie Orbiq Lieferantenrisikobewertungen automatisiert

Diesen Prozess manuell über Dutzende oder Hunderte von Lieferanten durchzuführen, schafft Engpässe. Sicherheitsteams verbringen Wochen damit, Fragebogenantworten zu verfolgen, Dokumentenversionen in E-Mails zu verwalten und Risikobewertungen in Tabellenkalkulationen zu erstellen.

Die Vendor Assurance Platform von Orbiq automatisiert den gesamten Workflow:

Automatisierter Fragebogenversand — Bewertungspakete in Minuten an Lieferanten senden
KI-gestützte Antwortanalyse — Lücken und Inkonsistenzen ohne manuelle Prüfung markieren
Zertifikatsüberwachung — Benachrichtigung, wenn Lieferantenzertifikate ablaufen
Zentrales Risikoregister — alle Bewertungen, Scores und Entscheidungen an einem Ort
Auditfertige Dokumentation — NIS2- und DORA-konforme Aufzeichnungen werden automatisch erstellt

Für Organisationen mit mehr als 20 Lieferanten reduziert Automatisierung die Bewertungszykluszeit um 60–80 % und eliminiert das Compliance-Risiko papierbasierter Prozesse.

Weiterführende Links: