Der nächste große Datendiebstahl bei einem Unternehmen passiert wahrscheinlich nicht durch einen direkten Angriff auf die eigene Infrastruktur. Viel wahrscheinlicher ist es, dass er durch eine SaaS-Lösung schleicht, die das Finanzteam letzten Monat testweise angemeldet hat, oder über einen Subunternehmer, von dem die interne IT-Abteilung noch nie etwas gehört hat. Die klassische Netzwerkperimeter hat sich aufgelöst – und mit ihr die Illusion, man habe die volle Kontrolle über die eigenen Daten.
Eine aktuelle Analyse von Cynomi (Securing the Modern Perimeter: The Rise of Third-Party Risk Management) bringt eine unbequeme Wahrheit auf den Punkt: Third-Party Risk Management (TPRM) ist längst keine reine Compliance-Formalität mehr, sondern eine zentrale sicherheitstechnische Herausforderung. Für Managed Service Provider (MSP) und Managed Security Service Provider (MSSP) ist dies nicht nur eine Warnung, sondern eine massive Wachstumschance.
Die Auflösung der Grenzen und das Shadow-SaaS-Problem
Jahrzehntelang drehte sich die Cybersicherheitsstrategie um eine klar definierte Perimeter: Firewalls, Endpunkt-Kontrollen und Identity-Management-Systeme schützten das, was innerhalb der eigenen Mauern lag. Diese Mauern sind heute porös. Unternehmensdaten liegen auf Servern Dritter, fließen durch Vendor-APIs und werden von Dienstleistern verarbeitet, die nicht einmal auf der eigenen Radar-Liste stehen.
Dieses Phänomen – oft als „Shadow SaaS“ oder „Shadow IT“ bezeichnet – ist der blinde Fleck moderner IT. Die Zahlen sprechen Bände: Laut dem Verizon Data Breach Investigations Report 2025 sind Drittparteien an 30 Prozent aller Sicherheitsverletzungen beteiligt. Der IBM Cost of a Data Breach Report 2025 beziffert die durchschnittlichen Behebungskosten eines Drittanbieter-Lecks auf 4,91 Millionen US-Dollar. Wer immer noch glaubt, ein Vorfall im System eines Zulieferers sei ein „Edge Case“, ignoriert die Realität moderner, hochgradig vernetzter Geschäftsprozesse.
Vom Jahres-Fragebogen zur kontinuierlichen Governance
Die traditionelle Herangehensweise an Vendor-Risiken ist bekannt: Einmal im Jahr wird ein Excel-Fragebogen verschickt, irgendwann kommt er zurück, wird abgeheftet und als „compliant“ deklariert. Dieses Vorgehen war schon immer unzureichend, heute ist es brandgefährlich.
Neue regulatorische Frameworks wie NIS2, DORA oder CMMC heben die Messlatte deutlich an. Gefordert ist eine nachweisbare, kontinuierliche Überwachung der Drittanbieter-Kontrollen – ein Stichtags-Snapshot von vor zwölf Monaten reicht vor dem Gesetzgeber nicht mehr aus. Cyber-Versicherungen prüfen die Supply-Chain-Hygiene mittlerweile penibel, bevor sie Policen ausstellen. Und vor allem: Vorstandsmitglieder, die miterleben mussten, wie Konkurrenten nach einem Vendor-Breach in die Schlagzeilen gerieten, haben verstanden, dass die Ausrede „Das war nicht unser System“ rechtlich und reputationsmäßig keine Entschuldigung darstellt.
Der Markt reagiert entsprechend: Die globalen Ausgaben für TPRM sollen von 8,3 Milliarden US-Dollar im Jahr 2024 auf voraussichtlich 18,7 Milliarden bis 2030 ansteigen. Vendor-Overship wird zunehmend als Governance-Funktion auf Augenhöhe mit Incident Response oder Identity Management verstanden.
Das Skalierungs-Dilemma der Dienstleister
Die meisten MSPs und MSSPs erkennen die Chance, am TPRM-Markt zu partizipieren. Das Problem liegt in der operativen Umsetzung. Traditionelle Vendor-Reviews basieren auf fragmentierten Workflows und manueller Analyse. Assessments müssen erstellt, versendet, getrackt und interpretiert werden. Die Risiken müssen dann noch gegen die spezifischen Compliance-Anforderungen des jeweiligen Kunden abgewogen werden. Diese Arbeit landet oft bei Senior Consultants – sie ist teuer und schwer zu delegieren.
Multipliziert man diesen Aufwand über ein ganzes Kundenportfolio mit unterschiedlichen Vendor-Ökosystemen, Compliance-Bedarfen und Risikotoleranzen, wird das Modell unrentabel. Aus diesem Grund wird TPRM von vielen Dienstleistern als einmaliges Projekt statt als wiederkehrender Managed Service angeboten. Genau hier liegt jedoch der strategische Fehler – und zugleich die größte Chance.
Vom Kostenfaktor zum Profit-Center
Third-Party Risk ist ein Gesprächseinstieg, der nie an Substanz verliert. Jeder neue Vendor, den ein Kunde onboardet, ist ein potenzielles Risiko. Jede regulatorische Aktualisierung ist ein Grund, das Vendor-Programm neu zu bewerten. Jede Schlagzeile über einen Supply-Chain-Hack untermauert die Dringlichkeit. Wer TPRM als strukturierten, technologiegestützten Managed Service anbietet, rückt von der reinen Fehlerbehebung in eine strategische Beratungsrolle auf.
Dienstleister, die diesen Wandel vollziehen, eröffnen sich neue Türen: breitere Security-Advisory-Dienste, höhere Retainer-Werte, stärkere Kundenbindungen durch echten Business-Impact und eine klare Differenzierung im überfüllten MSP-Markt. Glaubwürdige Third-Party-Risk-Governance ist ein starkes Signal für die eigene Reife als Dienstleister.
Fazit und journalistische Einordnung
Die Erkenntnis, dass Drittanbieter-Risiken die größte Lücke in der Security-Posture sind, ist nicht gänzlich neu – aber die Dringlichkeit hat einen Höhepunkt erreicht. Das Verschwinden der klassischen Netzwerkgrenzen durch SaaS, API-Ökosysteme und Cloud-Infrastrukturen hat das Problem akzentuiert. Die eigentliche Erkenntnis des Cynomi-Berichts ist weniger die Existenz des Problems, sondern die Transformation der Lösung: TPRM muss die Skalierbarkeits-Hürde nehmen.
Es reicht nicht, das Problem teuren Senior-Beratern zu überlassen. Die Zukunft gehört standardisierten, automatisierten und kontinuierlichen TPRM-Praktiken, die als hochmargige Managed Services ausgerollt werden. Unternehmen, die diese Exposition managen, haben einen klaren Resilienz-Vorteil. Und Dienstleister, die hier die Infrastruktur einmal aufbauen, können sie über ihr gesamtes Portfolio hinweg rentabilisieren. Die Investition in TPRM zahlt sich also doppelt aus: als Schutzschild für den Kunden und als Wachstumsmotor für den Anbieter.
Quelle: The Hacker News
