Das dritte Glied in der Kette: Das Risiko Ihrer Dienstleister

Im zweiten Teil unserer Serie haben wir gesehen, dass der ‚Feind im eigenen Keller‘ lauert: Veraltete Legacy-Systeme werden zur Compliance-Falle, wenn die Governance fehlt.

Doch die eigene IT ‚sauber‘ zu bekommen, ist nur die halbe Miete. Denn heute erbringt kaum ein Unternehmen seine Wertschöpfung allein. DORA macht unmissverständlich klar: Sie können Aufgaben an Dritte auslagern, aber niemals die Verantwortung.

Lesen Sie in Teil 3, warum Ihre Dienstleister oft das schwächste Glied in Ihrer Sicherheitskette sind – und warum Sie vertraglich oft schlechter dastehen, als Sie denken.

DORA Drittparteienrisiko – warum Outsourcing die Verantwortung nicht auslagert

Auslagerungen sind effizient, Cloud-Dienste machen flexibel und spezialisierte Software-Anbieter sichern Innovation. Doch aus Sicht der Aufsicht ist diese Vernetzung vor allem eines: Ein gigantisches, oft unübersichtliches Risikofeld.

Mit dem Digital Operational Resilience Act (DORA) verschiebt sich der Fokus der Prüfung massiv. Während früher (unter MaRisk AT 9) vor allem die wesentlichen Auslagerungen im Fokus standen, zieht DORA das Netz viel weiter. Es geht nun um das Management sämtlicher IKT-Drittparteienrisiken.

Das Credo der Aufsicht für 2026 ist unmissverständlich: Sie können Aufgaben delegieren, aber niemals die Verantwortung. Wenn Ihr Dienstleister patzt, haften Sie, und zwar so, als wäre der Fehler in Ihrer eigenen IT passiert.

Von „ausgelagert“ zu „haftet trotzdem“: Was Verantwortung unter DORA wirklich bedeutet

Genau an dieser Stelle setzt DORA einen klaren Kontrapunkt zur gängigen Praxis: Ein Vertrag verlagert Leistungen – aber keine Verantwortung. Auch wenn Betrieb, Entwicklung oder Security-Services bei einem Provider liegen, bleibt die Kontroll- und Steuerungspflicht bei Ihnen. Für die Aufsicht zählt am Ende nicht, wer den Fehler gemacht hat, sondern ob Ihr Institut die Risiken beherrscht hat.

Was das in der Praxis heißt: Ein Dienstleister-Vorfall wird regulatorisch wie ein eigener Vorfall behandelt – inklusive der Erwartungen an Nachweisbarkeit, Steuerungsfähigkeit und Reaktionsfähigkeit. Wenn ein Provider nicht patcht, ein Subunternehmer ausfällt oder eine Cloud-Fehlkonfiguration zu Datenabfluss führt, ist das kein „Problem des Lieferanten“, sondern ein Organisations- und Governance-Thema Ihres Hauses.

Damit wird Drittparteien-Management zu einer Kernfunktion der operativen Resilienz – mit drei unmittelbaren Konsequenzen:

  1. Sie müssen Kontrolle ausüben können – nicht nur Leistung „bestellen“: Verträge und SLAs sind nur dann belastbar, wenn sie Ihnen echte Steuerungshebel geben (z. B. Zugriff auf relevante Informationen, klare Eskalationsmechanismen, definierte Mitwirkung bei Vorfällen).
  2. Sie müssen Transparenz über die Leistungserbringung haben: Wer erbringt die Leistung tatsächlich; der Anbieter selbst oder weitere Subunternehmer? Welche kritischen Abhängigkeiten entstehen dadurch? Ohne belastbare Transparenz können Sie Verantwortung nicht wahrnehmen.
  3. Sie müssen im Ernstfall handlungsfähig bleiben: DORA denkt Verantwortung bis zum Krisenmoment. Wenn Sie nicht kurzfristig entscheiden, priorisieren, kommunizieren und umsteuern können, hilft Ihnen der „beste Vertrag“ nicht; dann fehlt die operative Steuerbarkeit.

Kurz: Unter DORA reicht es nicht, dass ein Dienstleister „liefert“. Entscheidend ist, ob Ihr Institut die Leistung aktiv steuert, Risiken laufend überwacht und im Störfall nachweisbar die Zügel in der Hand behält.

Der Vendor-Lock-in-Test: Wie abhängig sind wir wirklich?

Auslagerung schafft Geschwindigkeit, aber sie schafft auch Bindung. Und genau hier wird DORA unbequem: Nicht die Nutzung von Cloud, SaaS oder spezialisierten Providern ist das Problem, sondern die Frage, ob Ihr Institut im Zweifel handlungsfähig bleibt. Der „Vendor-Lock-in-Test“ ist deshalb ein realistischer Blick auf die eigene Abhängigkeit: Können Sie den Dienstleister wechseln oder die Leistung anderweitig sicherstellen, ohne dass der Geschäftsbetrieb ins Stolpern gerät?

In der Praxis entsteht Lock-in selten durch einen einzelnen Vertragspunkt, sondern durch ein Bündel aus technischen, organisatorischen und wirtschaftlichen Faktoren. Technisch sind es oft proprietäre Plattform-Services, individuelle Konfigurationen, nicht standardisierte Schnittstellen oder fehlende Portabilität von Daten und Identitäten. Organisatorisch verschärfen fehlende Dokumentation, Wissenskonzentration beim Provider und unklare Verantwortlichkeiten die Lage. Und wirtschaftlich machen lange Laufzeiten, hohe Wechselkosten oder komplexe Subdienstleister-Ketten den Ausstieg faktisch unattraktiv, selbst wenn er theoretisch möglich wäre.

DORA zwingt Institute, diese Realität offen zu adressieren. Denn ein Lock-in ist nicht nur ein Einkaufs- oder Architekturthema, sondern ein Resilienz- und Governance-Risiko. Wenn ein Provider ausfällt, kompromittiert wird oder regulatorisch „schwierig“ wird, müssen Sie nachweisen können, wie Sie die kritische Funktion stabil weiterbetreiben. Das bedeutet nicht zwingend, dass Sie jederzeit per Knopfdruck migrieren können. Aber Sie müssen belegen, dass Sie Abhängigkeiten kennen, Alternativen bewertet haben und Übergangsszenarien geplant sind. Mit klaren Triggern, Verantwortlichkeiten und Mindestanforderungen an Kontinuität.

Ein pragmatischer Vendor-Lock-in-Test für Ihre Exit-Strategie lässt sich entlang weniger Leitfragen strukturieren:

  • Portabilität: Können Daten, Logs, Konfigurationen und Schlüsselmaterial in einem nutzbaren Format exportiert werden, inklusive Vollständigkeit und Zeitnähe?
  • Identitäten & Zugriffe: Sind IAM/Rollenmodelle, Berechtigungen und Admin-Zugänge so gestaltet, dass ein Wechsel nicht zur Neu-Erfindung der Sicherheitsarchitektur führt?
  • Schnittstellen & Abhängigkeiten: Welche Anwendungen, Prozesse und Subdienstleister hängen an der Leistung und was bricht zuerst, wenn der Dienst „wackelt“?
  • Betriebsfähigkeit im Übergang: Gibt es ein realistisch beschreibbares Übergangsmodell (Parallelbetrieb, Notbetrieb, Ersatzprovider, temporäre Inhouse-Übernahme)?
  • Wechselkosten & Zeit: Wie lange würde eine Migration dauern und welche Ressourcen (Fachlichkeit, Budget, Architekturkapazität) wären tatsächlich verfügbar?

Unser Ansatz: Vom „Verwalten“ zum „Steuern“

Wir sehen das Drittparteien-Management nicht als reine Admin-Aufgabe. Wir nutzen die DORA-Anforderungen, um Ihre Lieferkette resilienter und Ihre Verhandlungsposition stärker zu machen.

  • Prüfungssichere Klassifizierung: Wir helfen Ihnen, den Dschungel Ihrer Dienstleister zu lichten und exakt zu bestimmen, wer „kritisch“ im Sinne der DORA ist. Das spart Aufwand, da Sie nicht jeden Toner-Lieferanten mit der vollen Compliance-Härte treffen müssen.
  • Gap-Analyse der Verträge: Wir prüfen Ihre Bestandskontrakte auf die fehlenden DORA-Pflichtklauseln (z.B. Audit-Rechte, Mitwirkungspflichten bei TLPT).
  • Pragmatische Exit-Pläne: Wir schreiben keine Romane, sondern definieren machbare Szenarien. Wir unterscheiden zwischen dem, was technisch möglich und dem, was regulatorisch notwendig ist.

Im nächsten Teil der fünfteiligen Serie:

Selbst mit den besten Dienstleistern und Systemen wird es irgendwann knallen. Die Frage ist nicht ob, sondern wann. Lesen Sie im nächsten Artikel, warum die neuen Meldepflichten jeden Notfall zum Wettlauf gegen die Uhr machen: „Krisenmanagement 2.0: Wenn der Ernstfall zum Alltag wird“.

Ancarix Consulting
Responsible by Design

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektreferenzen
ancarix ancarix