(openPR) DORA-konformes Management des IKT-Drittparteien-Risikos zur Vermeidung gefährlicher Abhängigkeiten
Banken sind heute stärker von externen Technologieanbietern abhängig als je zuvor. Cloud-Plattformen, Softwareanbieter, Rechenzentren oder spezialisierte IT-Dienstleister bilden das digitale Rückgrat vieler Geschäftsprozesse. Genau diese Abhängigkeit entwickelt sich zunehmend zu einem kritischen Risikofaktor. Aufsicht und Prüfer richten ihren Blick daher verstärkt auf das Management von IKT-Drittparteien – und stellen fest, dass viele Institute ihre Dienstleisterbeziehungen noch immer unterschätzen.
Ein zentrales Problem beginnt bereits vor Vertragsabschluss. Die Auswahl von Dienstleistern erfolgt häufig primär nach Kosten- oder Effizienzkriterien, während eine risikoorientierte Vorabprüfung nur oberflächlich durchgeführt wird. Dadurch werden Schwachstellen in Sicherheitsarchitektur, Governance-Strukturen oder Lieferketten zu spät erkannt. Besonders problematisch wird dies, wenn kritische oder wichtige Funktionen betroffen sind und die Abhängigkeit von einzelnen Anbietern sehr hoch ist.
Hinzu kommt die zunehmende Komplexität von Dienstleisterketten. Viele Anbieter greifen selbst auf Sub-Dienstleister zurück, häufig über mehrere Ebenen hinweg. Ohne vollständige Transparenz über diese Lieferketten entstehen sogenannte „Single Points of Failure“. Fällt ein zentraler Anbieter aus oder kommt es zu Sicherheitsvorfällen, können ganze Prozessketten betroffen sein – mit unmittelbaren Auswirkungen auf den Geschäftsbetrieb.
Auch die laufende Überwachung von Drittparteien stellt viele Institute vor Schwierigkeiten. Verträge enthalten zwar Regelungen zu Sicherheitsanforderungen oder Service Levels, doch die tatsächliche Kontrolle bleibt oft lückenhaft. Prüfberichte werden nicht systematisch ausgewertet, Risikoindikatoren fehlen oder Vorfälle werden zu spät erkannt. Gleichzeitig erwartet die Aufsicht, dass Institute jederzeit nachweisen können, wie sie Dienstleister überwachen, Risiken bewerten und im Ernstfall reagieren.
Besonders sensibel ist die Frage der Ausstiegsfähigkeit. Viele Banken verfügen zwar über Exit-Klauseln in Verträgen, haben jedoch keine realistisch umsetzbaren Strategien für einen Dienstleisterwechsel entwickelt. Ohne getestete Exit- oder Migrationskonzepte entsteht eine strukturelle Abhängigkeit, die im Krisenfall kaum beherrschbar ist.
Das Online-Seminar „Management des IKT-Drittparteienrisikos – Von der Dienstleister-Auswahl zur DORA-konformen TPRM-Resilienz“ am 6. Mai 2026 setzt genau an diesen Herausforderungen an. Florian Kertscher, Senior Expert IT-Compliance bei der FinPlanet GmbH, zeigt anhand praktischer Erfahrungen aus der Umsetzung regulatorischer Anforderungen, wie ein wirksames Third Party Risk Management aufgebaut werden kann.
Im Mittelpunkt stehen risikoorientierte Vorabprüfungen vor Vertragsabschluss, wirksame Steuerungsmechanismen für Dienstleisterketten sowie die Nutzung von Informationsregistern als Steuerungsinstrument. Darüber hinaus wird erläutert, wie Institute Konzentrationsrisiken erkennen, Vorfallprozesse mit Dienstleistern verzahnen und realistische Exit-Strategien entwickeln können.
Die zentrale Erkenntnis: Nicht Cyberangriffe allein gefährden Banken – sondern die Abhängigkeit von wenigen Technologieanbietern. Dieses Seminar zeigt, wie Institute ihre Drittparteienrisiken systematisch beherrschen und ihre digitale Resilienz nachhaltig stärken.
Weitere Informationen und Anmeldung unter:
https://www.akademie-heidelberg.de/seminar/management-des-ikt-drittparteienrisikos
