{"id":38663,"date":"2026-02-09T07:00:00","date_gmt":"2026-02-09T06:00:00","guid":{"rendered":"https:\/\/blog.frankfurt-school.de\/?p=38663"},"modified":"2026-03-25T10:10:03","modified_gmt":"2026-03-25T09:10:03","slug":"ikt-risiken-durch-drittparteien-ideen-zur-risikoidentifikation-und-minderung","status":"publish","type":"post","link":"https:\/\/blog.frankfurt-school.de\/de\/ikt-risiken-durch-drittparteien-ideen-zur-risikoidentifikation-und-minderung\/","title":{"rendered":"IKT-Risiken durch Drittparteien \u2013 Ideen zur Risikoidentifikation und -minderung"},"content":{"rendered":"

In den letzten Jahren haben viele Ausf\u00e4lle der Energie- und unmittelbar daran anschlie\u00dfend der Informations- und Kommunikationsinfrastruktur stattgefunden. In deren Folge wurde die Gesch\u00e4ftst\u00e4tigkeit von Finanz- und sonstigen Unternehmen, aber auch der \u00f6ffentlichen Verwaltung und von Privatpersonen teilweise erheblich beeintr\u00e4chtigt.<\/p>\n

Auch in Zukunft ist mit Ausf\u00e4llen der Energie- und Telekommunikationsinfrastruktur sowie von IT-Diensten und Rechenzentrumsleistungen zu rechnen, die unmittelbar auch Finanzunternehmen betreffen werden. Ursachen sind insbesondere die immer weiter ansteigende Abh\u00e4ngigkeit von Drittparteien, potenziell stark eskalierende (geo)politische Bedrohungen (z.B. Sabotage von Stromleitungen in Berlin Anfang Januar 2026) sowie zunehmende Naturrisiken.<\/p>\n

Aus diesen Gr\u00fcnden bedarf es zwingend eines besseren Krisenmanagements und wirksamerer Schutzma\u00dfnahmen bei kritischen Abh\u00e4ngigkeiten, vor allem in Bezug auf Energie und Telekommunikation sowie Cloud-Diensten, die als Basis-Drittdienstleistungen f\u00fcr Finanzunternehmen anzusehen sind. Der Digital Operational Resilience Act (DORA) war bisher zu sehr auf die regelbasierte Erf\u00fcllung formeller Compliance- und Governance-Vorgaben durch die diesem Regelwerk unterliegenden Finanzunternehmen ausgerichtet, ohne oftmals einen substanziellen Mehrwert gegen\u00fcber den bisherigen einschl\u00e4gigen aufsichtlichen Anforderungen zu erbringen.<\/p>\n

DORA als wichtiger, aber unzureichender Schritt zur St\u00e4rkung der operativen Resilienz<\/h2>\n

Dennoch hat DORA in den Bereichen Notfall- und Drittparteienrisikomanagement auch einige Fortschritte gebracht, unter anderem beim Risikomanagement der Informations- und Telekommunikationstechnologie (IKT). Zu nennen ist die Einf\u00fchrung erweiterter Krisenszenarien sowie die Anforderung, dass die Finanzunternehmen Informationsregister zu f\u00fchren haben, in denen die bezogenen IKT-Drittdienstleistungen vollst\u00e4ndig erfasst werden sollen. In diesem Jahr werden die Finanzunternehmen mit der Aktualisierung ihrer Informationsregister und der \u00dcberpr\u00fcfung der Einstufung von IKT-Dienstleistungen zur Unterst\u00fctzung kritischer \/ wichtiger Funktionen sowie erweiterten Notfalltests und nicht zuletzt der weiteren \u00dcberarbeitung der vertraglichen Vereinbarungen mit Drittdienstleistern und der regelm\u00e4\u00dfigen \u00dcberpr\u00fcfung der Dienstleister-Leistungsqualit\u00e4t weitere Verbesserungen der IT-Sicherheit als Teil der DORA-Umsetzung erzielen. Wirtschaftspr\u00fcfer und Aufsicht k\u00f6nnen hierzu mit ihren Pr\u00fcfungsaktivit\u00e4ten beitragen.<\/p>\n

Was kann nun getan werden zur ganzheitlichen St\u00e4rkung der digitalen Resilienz?<\/h2>\n

Ein wichtiger, erg\u00e4nzender Schritt w\u00e4re eine bessere staatliche Koordinierung von Schwachstellenanalysen und Notfall\u00fcbungen, ausgehend von den auf EU-Ebene im Zuge von DORA identifizierten kritischen IKT-Drittdienstleistern. Die Liste dieser Dienstleister<\/a> ist zwar zun\u00e4chst recht kurz, zeigt aber die Bedeutung der allgemeinen Telekommunikationsinfrastruktur, der gro\u00dfen Rechenzentrumsprovider sowie Cloud-Anbietern.<\/p>\n

Im Rahmen der NIS-2-Umsetzungsma\u00dfnahmen (auf Basis des im Dezember 2025 im Bundesgesetzblatt ver\u00f6ffentlichten NIS-2-Umsetzungsgesetz (NIS2UmsuCG)) und dem vom Bundestag am 29.01.2026beschlossenen KRITIS-Dachgesetz m\u00fcssten nun einschl\u00e4gige Unternehmen der Energie- und Wasserwirtschaft, Telekommunikation sowie IT-Branche ebenso identifiziert und in das europ\u00e4ische und nationale Risikomanagement und die Notfall\u00fcbungsst\u00e4tigkeit eingebunden werden.<\/p>\n

Generell w\u00e4re es sehr begr\u00fc\u00dfenswert, wenn nicht nur eine Liste der wichtigsten KRITIS-Betreiber in Deutschland erstellt w\u00fcrde, sondern diese KRITIS-Betreiber auch zur Durchf\u00fchrung von umfassenden Notfall\u00fcbungen f\u00fcr die physische Infrastruktur verpflichtet werden. Zudem sollten besonders wichtige KRITIS-Betreiber auch \u00e4hnlich zum Threat-Led Penetration Testing gem\u00e4\u00df DORA wesentliche Schwachstellen mit Hilfe eines extern beauftragten Dienstleisters ermitteln. Ein solcher besonders zertifizierter Penetration-Test-Dienstleister w\u00fcrde neben der Analyse von Schwachstellen der IKT-Infrastruktur im engeren Sinne dann zudem auch streng vertraulich an den KRITIS-Betreiber berichten, welche konkrete M\u00f6glichkeiten zur Sabotage der gesamten physischen Infrastruktur inkl. Stromleitungen bestehen und damit die Grundlage f\u00fcr konkrete Risikominderungsma\u00dfnahmen schaffen.<\/p>\n

Ausbau staatlicher und kommunaler Notfall\u00fcbungen sowie operativer F\u00e4higkeiten<\/h2>\n

Sinnvoll w\u00e4re auch der weitere Ausbau von Warn- und Notfall\u00fcbungen in Kommunen und Landkreisen mit Beteiligung des Bundesamtes f\u00fcr Bev\u00f6lkerungsschutz und Katastrophenhilfe (BBK) und lokalen Unternehmen. Auch der praxisorientierte Ausbau des Technischen Hilfswerkes zur Notfallbew\u00e4ltigung sollte angedacht werden. Hierzu hat die AG KRITIS bereits ein Konzept<\/a> f\u00fcr ein \u201eCyber-Hilfswerk\u201c ausgearbeitet. Als schnelle L\u00f6sung w\u00e4re eine umfangreichere Zusammenarbeit von THW mit BSI-Krisenteams unter Einbeziehung der Bundeswehr in Bezug auf Notfall\u00fcbungen zur Abwehr hybrider Angriffe w\u00fcnschenswert. Notwendig erscheint die Durchf\u00fchrung von weiteren \u00dcbungen mit dem Szenario \u201eCyberangriff\u201c auf regionaler Ebene in Deutschland mit Simulation von erfolgreichen Angriffen auf die IKT der \u00f6ffentlichen Verwaltung (siehe auch L\u00dcKEX 2023<\/a> ) in Kombination mit physischen Sabotageattacken auf die Stromversorgung und Telekommunikations\u00fcbertragungsinfrastruktur. Solche Cyber- und Infrastrukturnotfall\u00fcbungen sollten auch interessierte Unternehmen einbinden und k\u00f6nnten deren eigene Notfall\u00fcbungen erg\u00e4nzen.<\/p>\n

Die finanziellen Mittel f\u00fcr eine solche staatliche Initiative zu Erh\u00f6hung der Resilienz kritischer Infrastrukturen, insbesondere auch in den Bereichen Energie und Telekommunikation st\u00fcnden in Deutschland \u00fcber die Sonderverm\u00f6gen nach der Reform zur Schuldenbremse zur Verf\u00fcgung.<\/p>\n

In der EU k\u00f6nnten im neuen mehrj\u00e4hrigen Finanzrahmen ebenfalls umfangreiche Finanzmittel bereitgestellt werden, so dass dann ab dem Jahr 2028 vielf\u00e4ltige Ma\u00dfnahmen zur Erh\u00f6hung der Redundanz der technischen Infrastruktur und Reduktion der Abh\u00e4ngigkeit von nicht-europ\u00e4ischen IKT-Infrastrukturanbietern umgesetzt werden k\u00f6nnten. Dabei sollte fr\u00fchzeitig auch \u00fcber die Verkn\u00fcpfung mit regulatorischen Vorgaben im Bereich KI sowie der F\u00f6rderung von KI-Anbietern in der EU das Schaffen neuer Abh\u00e4ngigkeiten von einschl\u00e4gigen au\u00dfereurop\u00e4ischen Drittdienstleistern vermieden werden.<\/p>\n

\"\"<\/p>\n

Die Frankfurt School bietet zum Thema IT-Sicherheit im Finanzdienstleistungssektor Schulungen als Teil des Zertifikatsstudiengangs Risikomanager Non-Financial-Risks<\/a> an. Dies erfolgt Zusammenarbeit mit der Deutschen Gesellschaft f\u00fcr Operational Risk Management<\/a>. Au\u00dferdem bieten wir den Zertifikatsstudiengang IT Regulatory Assurance Manager<\/a> in Zusammenarbeit mit der ISACA\u00ae<\/sup><\/a> sowie Tagesseminare zu DORA<\/a> und NIS2<\/a> an.<\/p>\n

 <\/p>\n

Co-Autor<\/strong><\/h3>\n

\"\"<\/p>\n

 <\/p>\n

Dr. Jens Gampe (Bundeswehr, Lehrbeauftragter an der Universit\u00e4t Leipzig, ehemals in der BaFin t\u00e4tig im Aufgabengebiet IT-Aufsicht)<\/p>","protected":false},"excerpt":{"rendered":"

In den letzten Jahren haben viele Ausf\u00e4lle der Energie- und unmittelbar daran anschlie\u00dfend der Informations- und Kommunikationsinfrastruktur stattgefunden. In deren Folge wurde die Gesch\u00e4ftst\u00e4tigkeit von Finanz- und sonstigen Unternehmen, aber auch der \u00f6ffentlichen Verwaltung und von Privatpersonen teilweise erheblich beeintr\u00e4chtigt. Auch in Zukunft ist mit Ausf\u00e4llen der Energie- und Telekommunikationsinfrastruktur sowie von IT-Diensten und Rechenzentrumsleistungen […]<\/p>\n","protected":false},"author":1445,"featured_media":38780,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[51],"tags":[2512,1790,2349],"class_list":["post-38663","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-executive-education","tag-dora","tag-resilienz","tag-risikomanagement"],"acf":[],"_links":{"self":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/38663","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/users\/1445"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/comments?post=38663"}],"version-history":[{"count":15,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/38663\/revisions"}],"predecessor-version":[{"id":38872,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/posts\/38663\/revisions\/38872"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media\/38780"}],"wp:attachment":[{"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/media?parent=38663"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/categories?post=38663"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.frankfurt-school.de\/de\/wp-json\/wp\/v2\/tags?post=38663"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}