· Rexoma Team · IT-Sicherheit  · 5 min read

Dienstleister-Sicherheit prüfen: Third-Party-Risk-Management für KMU

Datenpannen entstehen immer häufiger nicht im eigenen Haus, sondern bei externen Dienstleistern. So prüfen KMU die IT-Sicherheit ihrer Anbieter systematisch.

Datenpannen entstehen immer häufiger nicht im eigenen Haus, sondern bei externen Dienstleistern. So prüfen KMU die IT-Sicherheit ihrer Anbieter systematisch.

Immer wieder tauchen Meldungen über Datenpannen auf, bei denen nicht das betroffene Unternehmen selbst gehackt wurde, sondern ein externer Dienstleister. Payroll-Anbieter, Cloud-Dienste, Marketing-Agenturen, IT-Dienstleister – wer Zugriff auf Kundendaten oder Systeme eines Unternehmens hat, wird zum Sicherheitsrisiko für dieses Unternehmen. Für KMU in Dresden und Sachsen ist das kein abstraktes Problem: Wer Lohnbuchhaltung, Newsletter-Versand oder Website-Hosting outsourct, überträgt einen Teil der eigenen IT-Sicherheit an Dritte – ob man will oder nicht.

Warum Dienstleister-Sicherheit für KMU heute Thema Nummer eins ist

Kaum ein KMU betreibt heute noch alle IT-Systeme vollständig selbst. Buchhaltungssoftware läuft in der Cloud, die Website wird von einer Agentur gepflegt, der Kundensupport nutzt ein SaaS-Tool, die Personalabteilung arbeitet mit einem externen Payroll-Dienstleister. Jede dieser Verbindungen ist ein potenzieller Angriffsweg. Wird der Dienstleister kompromittiert, sind die Daten seiner Kunden mitbetroffen – unabhängig davon, wie gut die eigene Firewall oder das eigene Patch-Management aufgestellt sind.

Das Problem: Viele KMU wissen gar nicht genau, welche Dienstleister überhaupt Zugriff auf welche Daten haben, und noch weniger prüfen regelmäßig, wie diese Dienstleister ihre eigene IT-Sicherheit handhaben. Genau hier setzt Third-Party-Risk-Management an – ein Prozess, der für Konzerne längst Standard ist und zunehmend auch für ostdeutsche KMU relevant wird, gerade im Kontext von NIS2 und verschärften Sorgfaltspflichten in Lieferketten.

Was ist Third-Party-Risk-Management?

Third-Party-Risk-Management (Drittanbieter-Risikomanagement) bezeichnet den systematischen Prozess, mit dem ein Unternehmen die IT-Sicherheits- und Datenschutzrisiken bewertet, die von externen Dienstleistern, Lieferanten und Partnern ausgehen. Ziel ist es, vor Vertragsabschluss und danach fortlaufend einschätzen zu können, wie sicher ein Dienstleister mit den ihm anvertrauten Daten und Systemzugängen umgeht.

Auftragsverarbeitung nach DSGVO Art. 28

Sobald ein Dienstleister personenbezogene Daten im Auftrag eines Unternehmens verarbeitet – etwa ein Hosting-Anbieter, ein E-Mail-Marketing-Tool oder ein externes Rechenzentrum –, greift Art. 28 DSGVO. Das verantwortliche Unternehmen bleibt gegenüber Aufsichtsbehörden und Betroffenen in der Pflicht, auch wenn die eigentliche Datenpanne beim Auftragsverarbeiter passiert. Ein Auftragsverarbeitungsvertrag (AVV) ist rechtlich zwingend, reicht als reines Formularpapier aber nicht aus, wenn er nie mit der tatsächlichen Sicherheitslage des Dienstleisters abgeglichen wird.

Die größten Risiken durch Dienstleister

  • Fehlende Transparenz: Viele KMU führen keine vollständige Liste, welche Dienstleister Zugriff auf welche Systeme oder Daten haben.
  • Veraltete Prüfungen: Ein Dienstleister wird einmal bei Vertragsabschluss bewertet, danach nie wieder – obwohl sich Sicherheitslage und Subunternehmer ändern können.
  • Unterschätzte Subdienstleister: Der eigentliche Dienstleister lagert Teile der Verarbeitung an weitere Subunternehmer aus, die dem Auftraggeber oft unbekannt sind.
  • Zu weitreichende Zugriffsrechte: Externe Dienstleister erhalten häufig mehr Systemzugriff, als für ihre Aufgabe nötig wäre – ein klassischer Verstoß gegen das Least-Privilege-Prinzip.
  • Fehlende Meldewege: Im Ernstfall ist unklar, wie und wie schnell ein Dienstleister eine Sicherheitsverletzung an den Auftraggeber melden muss.

Schritt-für-Schritt: Dienstleister-Sicherheit prüfen

Schritt 1: Dienstleister-Inventar erstellen

Zuerst braucht es Überblick: Welche externen Anbieter haben Zugriff auf Unternehmensdaten, Netzwerke oder Kundendaten? Dazu gehören IT-Dienstleister, Cloud-Anbieter, Steuerberater, Marketing-Agenturen, Zahlungsdienstleister und Hosting-Provider. Ein einfaches, aber vollständiges Verzeichnis ist die Basis für alles Weitere.

Schritt 2: Risiko klassifizieren

Nicht jeder Dienstleister birgt das gleiche Risiko. Ein Anbieter mit Zugriff auf die komplette Kundendatenbank ist kritischer einzustufen als ein Lieferant, der nur Rechnungen erhält. Eine einfache Einteilung in „kritisch”, „mittel” und „gering” hilft, Prüfaufwand sinnvoll zu verteilen.

Schritt 3: Sicherheitsnachweise einfordern

Bei kritischen Dienstleistern lohnt sich der Blick auf konkrete Nachweise: Gibt es ein ISO-27001-Zertifikat? Werden regelmäßig Penetrationstests durchgeführt? Existiert ein dokumentiertes Patch-Management? Ein kurzer Sicherheitsfragebogen, den neue Dienstleister vor Vertragsabschluss beantworten müssen, spart später viel Ärger.

Schritt 4: Verträge und AVV prüfen

Der Auftragsverarbeitungsvertrag sollte klare Regelungen zu Subunternehmern, Meldefristen bei Sicherheitsvorfällen und Kontrollrechten enthalten. Pauschale Standardverträge ohne Bezug zur tatsächlichen Datenverarbeitung sind ein Warnsignal.

Schritt 5: Regelmäßig nachprüfen

Third-Party-Risk-Management ist kein einmaliges Projekt. Kritische Dienstleister sollten mindestens jährlich neu bewertet werden – etwa im Rahmen eines IT-Sicherheitsaudits, das auch die eigene Infrastruktur mit einschließt.

Praxisbeispiel für KMU in Dresden und Sachsen

Ein mittelständisches Unternehmen aus Dresden mit 40 Mitarbeitenden nutzt typischerweise fünf bis fünfzehn externe IT-Dienstleister – von der Cloud-Buchhaltung bis zum externen E-Mail-Marketing. Wird auch nur einer davon kompromittiert, können Kundendaten, Zugangsdaten oder interne Dokumente betroffen sein, selbst wenn die eigene Firewall und der eigene Server sauber gehärtet sind. Für ostdeutsche KMU, die häufig mit regionalen wie überregionalen Dienstleistern zusammenarbeiten, lohnt sich deshalb ein strukturierter Prozess, der Third-Party-Risiken genauso ernst nimmt wie die eigene IT-Sicherheit.

Rexoma unterstützt KMU in Dresden

Sie möchten wissen, wie sicher Ihre Dienstleister mit Ihren Daten umgehen, oder brauchen Unterstützung beim Aufbau eines Third-Party-Risk-Management-Prozesses? Rexoma berät KMU in Dresden und Sachsen bei IT-Sicherheitsaudits, DSGVO-konformer Auftragsverarbeitung und dem Aufbau tragfähiger Prozesse für die Prüfung externer Dienstleister – praxisnah und auf die Größe Ihres Unternehmens zugeschnitten.

FAQ

Muss jeder Dienstleister einen Auftragsverarbeitungsvertrag (AVV) unterschreiben? Ein AVV ist immer dann erforderlich, wenn der Dienstleister personenbezogene Daten im Auftrag des Unternehmens verarbeitet, etwa bei Hosting, Cloud-Diensten oder E-Mail-Marketing. Bei reinen Sachleistungen ohne Datenzugriff ist kein AVV notwendig.

Wie oft sollte man die Sicherheit von Dienstleistern prüfen? Kritische Dienstleister mit weitreichendem Datenzugriff sollten mindestens jährlich neu bewertet werden. Bei geringem Risiko reicht häufig eine Prüfung alle zwei bis drei Jahre.

Was tun, wenn ein Dienstleister keine Sicherheitsnachweise vorlegen kann? Das ist ein deutliches Warnsignal. In diesem Fall sollte das Unternehmen abwägen, ob die Zusammenarbeit fortgesetzt wird, den Zugriff des Dienstleisters einschränken oder alternative Anbieter mit belegbarer Sicherheitspraxis in Betracht ziehen.

Gilt Third-Party-Risk-Management auch für kleine Unternehmen? Ja. Die DSGVO macht keinen Unterschied nach Unternehmensgröße. Gerade kleinere Unternehmen mit begrenzten internen Ressourcen sind stark von der Sicherheit ihrer externen Dienstleister abhängig.

Deckt eine Cyber-Versicherung Schäden durch Dienstleister-Datenpannen ab? Das hängt von der jeweiligen Police ab. Viele Policen setzen voraus, dass ein Mindestmaß an Sorgfalt bei der Auswahl und Überwachung von Dienstleistern nachgewiesen werden kann – ein weiterer Grund, Third-Party-Risk-Management nicht zu vernachlässigen.

Back to Blog

Related Posts

View All Posts »