2026 wird Third Party Security für viele Unternehmen zum entscheidenden Risikofaktor. Die Wertschöpfungsketten sind digitaler, die Integrationen enger, die Zugriffe schneller eingerichtet als je zuvor. Gleichzeitig fehlt in vielen Organisationen die belastbare Transparenz: Welche Lieferanten, Partner und Dienstleister haben Zugriff auf welche Systeme, Daten und Admin-Funktionen, und wie resilient sind diese Partner im Ernstfall wirklich? Und: Welche Dienstleister (inkl. Outsourcer, Cloud-Provider und Subunternehmer) verarbeiten oder hosten Daten bereits heute, auch ohne direkten «Login-Zugriff» auf interne Systeme – und welche Abhängigkeiten entstehen daraus? Diese Lücke ist längst mehr als ein Security-Thema. Sie ist ein operatives und strategisches Risiko für Geschäftsleitung und IT-Führung.
In den letzten Jahren hat sich das Angriffsbild klar verschoben. Angreifer suchen nicht zwingend den direkten Weg über die perimeternahe Infrastruktur, sondern den pragmatischen Weg über die Lieferkette: über externe Support-Zugänge, gemeinsame Cloud-Integrationen, APIs, Fernwartung oder privilegierte Konten. Gleichzeitig werden Dienstleister selbst kompromittiert (z.B. Managed Services, SaaS-/Cloud-Anbieter oder Subunternehmer) – und damit indirekt auch die Kunden, deren Daten, Prozesse oder Identitäten dort liegen. Das Problem daran ist nicht, dass Unternehmen Partner einsetzen. Das Problem ist, dass Zugriffe historisch gewachsen sind, selten konsequent dokumentiert werden und sich Verantwortlichkeiten oft über mehrere Abteilungen verteilen. Genau dort entstehen Einfallstore, die lange unsichtbar bleiben.
Ein bekanntes Beispiel dafür ist der NotPetya-Vorfall, bei dem Maersk über eine kompromittierte Software-Lieferkette (trojanisiertes Update eines externen Softwareanbieters) betroffen war. Der Fall zeigt eindrücklich, was Entscheider heute besonders trifft: Nicht nur der Sicherheitsvorfall an sich, sondern der abrupte Stillstand von Betrieb, Logistik und Kommunikation, verbunden mit enormem Aufwand für Wiederherstellung und Business Continuity.
Für CISOs und CIOs ist die Erkenntnis nicht neu, dass Third Parties relevant sind. Neu ist weniger «ISO 27001:2022», sondern die Verbindlichkeit und Konkretheit, mit der Third-Party- und Supply-Chain-Security in Regulatorik und Aufsicht adressiert wird – und damit in Ausschreibungen, Kundenanforderungen und Management-Reviews rutscht. Konkret zeigen das u.a.:
- NIS2 (EU) Art. 21(2)(d): explizite Forderung nach «supply chain security» in Bezug auf direkte Lieferanten/Service Provider
- DORA (EU) 2022/2554: Kapitel V (Art. 28 ff.) zur Steuerung von ICT-Third-Party-Risiken im Finanzsektor
- ISO/IEC 27001:2022 Anhang A – Controls 5.19 bis 5.21 (Lieferantenbeziehungen, Anforderungen in Lieferantenvereinbarungen, Umgang mit Lieferkette)
Das ist der Punkt, an dem Third Party Security vom «Best Practice»-Thema zur klaren Erwartungshaltung wird – je nach Branche sogar mit Aufsichtsdruck.
In der Praxis scheitert es häufig nicht am Willen, sondern an der fehlenden Struktur und Nachvollziehbarkeit. Viele Unternehmen können nicht sauber beantworten, welche externen Parteien kritische Berechtigungen besitzen, wo sensible Datenflüsse tatsächlich stattfinden, welche Mindestanforderungen vertraglich und technisch gelten, und wie Ausnahmen sowie Risikoakzeptanzen dokumentiert sind. Spätestens wenn ein Kunde, ein Revisor diese Fragen stellt, wird klar, dass ein ad hoc gepflegtes Lieferantenmanagement nicht mehr ausreicht. Nach einem Incident kommen typischerweise genau diese Fragen auf den Tisch: Wer hatte Zugriff? Wer hatte die Daten? Welche Subunternehmer waren involviert? Welche Nachweise haben wir – und wie schnell sind sie verfügbar?
Ein professionelles Third-Party-Programm schafft genau diese Klarheit, ohne in Bürokratie zu enden. Es sorgt dafür, dass Kritikalität und Zugriffssituation nachvollziehbar sind, Anforderungen konsistent gelten, Risiken priorisiert werden können und die Organisation gegenüber Management, Kunden und (wo relevant) Auditoren/Aufsicht belastbar argumentiert. Der Effekt ist nicht nur weniger Risiko, sondern vor allem bessere Steuerbarkeit: Entscheidungen werden einfacher, weil sie auf Transparenz basieren und nicht auf Annahmen.
Wir von der CSP unterstützen Unternehmen dabei, Third Party Security so aufzustellen, dass sie im Alltag tragfähig ist und nicht nur «prüfungsgetrieben» funktioniert, sondern operativ echten Mehrwert liefert (z.B. für Outsourcing-Entscheide, Beschaffung, Supplier-Onboarding, Incident-Readiness und Kundenfragebögen). Der Fokus liegt dabei nicht auf theoretischen Forderungskatalogen, sondern auf pragmatischer Wirksamkeit, klarer Dokumentation und einer Umsetzung, die zur Grösse und Risikolage des Unternehmens passt. Das Ziel ist, das Management von Lieferantenrisiken als verlässlichen Bestandteil der Sicherheits- und Governance-Landschaft zu etablieren, damit Third Parties nicht länger eine blinde Stelle in der Cyber-Resilienz bleiben.
Wenn Sie 2026 mit einer belastbaren Grundlage in die nächste Kundenprüfung, Ausschreibung, Outsourcing-Entscheidung oder interne Risiko-Review gehen möchten (und – je nach Branche – auch im Audit-/Aufsichtskontext), lohnt sich ein strukturierter Blick auf die eigene Third-Party-Landschaft. Ein kurzer, fokussierter Austausch reicht oft aus, um die wesentlichen Risikotreiber zu identifizieren und einzuordnen, wo sich mit vertretbarem Aufwand die grösste Wirkung erzielen lässt. CSP begleitet Sie dabei von der ersten Standortbestimmung bis zur nachhaltigen Verankerung im Betrieb, mit dem Anspruch, dass die Ergebnisse für Entscheider verständlich, für die IT umsetzbar und im Bedarfsfall nachvollziehbar sind.
Möchten Sie einen strukturierte Blick auf Ihre Third-Party-Landschaft in Auftrag geben oder haben Sie weitere Fragen zum Thema? Dann nehmen Sie mit Meti Rudaj Kontakt auf.