DORA verlangt Transparenz über IKT-Drittanbieter. Die größten Lücken liegen nicht beim direkten Anbieter, sondern in den Subdienstleisterketten dahinter.
Mar 26, 2026
Recht
Das Risiko hinter dem Anbieter
Die europäische Regulierung zur digitalen operationalen Resilienz verlangt von den Finanzinstituten Transparenz über ihre Anbieter von Informations- und Kommunikationstechnologie. Die Institute müssen wissen, von welchen Drittanbietern sie abhängen, und sie müssen die damit verbundenen Risiken steuern. Bei dieser Aufgabe richten viele Institute ihren Blick zunächst auf die direkten Anbieter, mit denen sie Verträge haben. Doch genau hier liegt ein gefährlicher blinder Fleck.
Denn das eigentliche Risiko liegt oft nicht beim direkten Anbieter, sondern in den Subdienstleisterketten dahinter. Der direkte Anbieter stützt sich seinerseits auf weitere Dienstleister, diese wiederum auf andere, und so entsteht eine Kette von Abhängigkeiten, die sich über mehrere Stufen erstreckt. Ein Ausfall oder ein Problem irgendwo in dieser Kette kann auf das Institut durchschlagen, auch wenn das Institut den betreffenden Subdienstleister gar nicht kennt. Die größten Lücken in der Resilienz liegen genau hier, in den verborgenen Tiefen der Lieferkette.
Warum die Subdienstleister übersehen werden
Die Subdienstleister werden aus einem einfachen Grund übersehen: Das Institut hat keinen direkten Vertrag mit ihnen und oft keine direkte Kenntnis von ihnen. Es kennt seinen direkten Anbieter, aber was dieser im Hintergrund nutzt, bleibt häufig im Dunkeln. Diese mangelnde Sichtbarkeit ist der Kern des Problems: Man kann ein Risiko nicht steuern, das man nicht sieht, und die Subdienstleisterketten sind für viele Institute weitgehend unsichtbar.
Hinzu kommt, dass die Ketten lang und verzweigt sein können. Ein Anbieter stützt sich auf einen Rechenzentrumsbetreiber, dieser auf einen Stromversorger und einen Netzbetreiber, der Anbieter zudem auf Softwarekomponenten von Dritten, und jede dieser Abhängigkeiten kann eigene Subdienstleister haben. Diese Verzweigung macht es schwer, die gesamte Kette zu überblicken, und sie schafft Konzentrationen, die nicht sofort erkennbar sind, etwa wenn mehrere scheinbar unabhängige Anbieter im Hintergrund denselben Subdienstleister nutzen.
Die versteckte Konzentration
Eine besonders gefährliche Erscheinung ist die versteckte Konzentration. Ein Institut mag glauben, seine Risiken zu streuen, weil es mit mehreren verschiedenen Anbietern arbeitet. Doch wenn diese Anbieter im Hintergrund alle auf denselben großen Subdienstleister setzen, etwa denselben Anbieter von Cloud-Infrastruktur, dann ist die scheinbare Streuung eine Illusion. Ein Ausfall dieses einen Subdienstleisters würde alle vermeintlich unabhängigen Anbieter zugleich treffen.
Diese versteckte Konzentration ist ein erhebliches Resilienzrisiko, das sich nur erkennen lässt, wenn man die Subdienstleisterketten durchleuchtet. Ein Institut, das nur seine direkten Anbieter betrachtet, sieht die Streuung und übersieht die Konzentration dahinter. Erst der Blick in die Tiefe der Kette deckt auf, dass die scheinbar unabhängigen Wege im Hintergrund zusammenlaufen. Genau diese Aufdeckung verlangt die Regulierung, und genau hier liegt die eigentliche Arbeit.
Transparenz über die Kette schaffen
Um das Risiko zu steuern, muss das Institut Transparenz über die gesamte Kette schaffen, nicht nur über die erste Stufe. Das verlangt, von den direkten Anbietern Auskunft über ihre wesentlichen Subdienstleister zu fordern und diese Auskunft systematisch zu erfassen. Es verlangt, die Ketten so weit zu verfolgen, wie es für die Beurteilung der Risiken nötig ist, und besonders die kritischen Abhängigkeiten zu identifizieren, deren Ausfall das Institut empfindlich treffen würde.
Diese Transparenz zu schaffen ist mühsam, weil sie die Mitwirkung der Anbieter verlangt und weil die Ketten komplex sind. Doch sie ist die Voraussetzung für die Steuerung der Risiken. Ein Institut, das die Transparenz schafft, kann die kritischen Abhängigkeiten und die versteckten Konzentrationen erkennen und ihnen begegnen. Ein Institut, das sich auf die erste Stufe beschränkt, bleibt blind für die Risiken, die in der Tiefe der Kette lauern, und erfüllt zudem die Anforderungen der Regulierung nicht.
Vom Wissen zur Steuerung
Transparenz allein genügt nicht, sie muss in Steuerung münden. Wenn das Institut die kritischen Abhängigkeiten und die versteckten Konzentrationen kennt, muss es entscheiden, wie es mit ihnen umgeht. Bei einer gefährlichen Konzentration kann es versuchen, die Abhängigkeit zu verringern, indem es auf Alternativen ausweicht. Bei einer kritischen Abhängigkeit, die sich nicht vermeiden lässt, muss es Vorkehrungen für den Ausfall treffen, etwa Notfallpläne und Ausweichmöglichkeiten.
Diese Steuerung ist der eigentliche Zweck der Transparenz. Es geht nicht darum, die Ketten zu kennen, um des Wissens willen, sondern um die Risiken zu beherrschen, die in ihnen stecken. Ein Institut, das die Risiken kennt und steuert, ist resilient gegen die Ausfälle, die in der Lieferkette entstehen können. Ein Institut, das die Risiken nicht einmal kennt, ist ihnen ausgeliefert, und genau das will die Regulierung verhindern.
Die kritischen Funktionen identifizieren
Nicht jede Abhängigkeit in der Lieferkette ist gleich kritisch, und ein Institut kann nicht jede Stufe jeder Kette mit derselben Tiefe durchleuchten. Der Schlüssel liegt deshalb darin, die kritischen Funktionen zu identifizieren, also die Dienste, deren Ausfall das Institut empfindlich oder existenziell treffen würde. Für diese kritischen Funktionen lohnt sich die tiefe Durchleuchtung der Lieferkette, während bei unkritischen Diensten ein gröberer Blick genügt.
Diese Fokussierung auf die kritischen Funktionen macht die Aufgabe handhabbar. Statt jede Kette bis ins letzte Glied zu verfolgen, konzentriert das Institut seine Anstrengungen dort, wo das Risiko am größten ist. Es identifiziert die Dienste, von denen sein Geschäft abhängt, und verfolgt deren Ketten in der Tiefe, die das Risiko rechtfertigt. So entsteht eine risikoorientierte Transparenz, die die wesentlichen Risiken erfasst, ohne sich in der unübersehbaren Vielzahl aller Abhängigkeiten zu verlieren.
Die Verträge als Hebel
Ein wichtiger Hebel zur Schaffung von Transparenz sind die Verträge mit den direkten Anbietern. In diesen Verträgen kann das Institut festlegen, dass der Anbieter Auskunft über seine wesentlichen Subdienstleister gibt, dass er Änderungen meldet und dass er bestimmte Anforderungen an die Resilienz auch an seine Subdienstleister weitergibt. So nutzt das Institut seine Vertragsbeziehung zum direkten Anbieter, um Transparenz und Anforderungen in die Tiefe der Kette zu tragen.
Diese vertragliche Gestaltung ist anspruchsvoll, weil sie die Verhandlungsmacht des Instituts gegenüber dem Anbieter voraussetzt und weil die Anbieter nicht immer bereit sind, tiefe Einblicke in ihre Lieferketten zu gewähren. Doch die Regulierung stärkt die Position des Instituts, weil sie die Transparenz verlangt, und ein Institut, das die vertraglichen Anforderungen konsequent stellt, kann die nötige Auskunft durchsetzen. Die Verträge sind damit ein zentrales Instrument, um die Transparenz über die Lieferkette zu sichern.
Die Bündelung der Marktmacht
Ein einzelnes Institut hat gegenüber einem großen Anbieter oft begrenzte Verhandlungsmacht. Hier kann die Bündelung helfen: Wenn viele Institute dieselben Anforderungen stellen, etwa über Verbände oder gemeinsame Standards, wächst der Druck auf die Anbieter, die geforderte Transparenz zu liefern. Die Bündelung der Marktmacht verschiebt das Kräfteverhältnis und macht es den Anbietern schwerer, sich der Transparenz zu entziehen.
Diese Bündelung ist gerade für kleinere Institute wichtig, die allein wenig ausrichten können. Indem sie sich mit anderen zusammentun und gemeinsame Anforderungen stellen, gewinnen sie eine Verhandlungsmacht, die sie einzeln nicht hätten. Die Schaffung gemeinsamer Standards für die Transparenz über Subdienstleisterketten ist deshalb ein sinnvoller Weg, der allen Instituten zugutekommt und der die Anbieter dazu bewegt, die geforderte Transparenz als Normalität zu akzeptieren.
Die Resilienz testen
Transparenz und Steuerung müssen sich im Ernstfall bewähren, und ob sie das tun, lässt sich nur durch Tests herausfinden. Ein Institut sollte deshalb durchspielen, was geschieht, wenn ein kritischer Subdienstleister ausfällt: Greifen die Notfallpläne, funktionieren die Ausweichmöglichkeiten, hält die Resilienz dem Ausfall stand? Solche Tests decken Schwächen auf, die in der Theorie verborgen bleiben, und sie schaffen die Gewissheit, dass die Vorkehrungen im Ernstfall tragen.
Diese Tests sind unbequem, weil sie Aufwand verlangen und weil sie Schwächen offenlegen können, die man lieber nicht sehen würde. Doch genau das ist ihr Wert: Es ist besser, die Schwächen im Test zu finden als im echten Ausfall. Ein Institut, das seine Resilienz regelmäßig testet, kann die gefundenen Schwächen beheben, bevor sie im Ernstfall zum Problem werden. Die Tests sind damit ein wesentlicher Bestandteil der Resilienz, denn eine ungetestete Resilienz ist nur eine Hoffnung, keine Gewissheit.
Die Dokumentation der Kette
Die Transparenz über die Subdienstleisterketten muss dokumentiert sein, damit sie der Aufsicht gegenüber belegt werden kann und damit das Institut selbst den Überblick behält. Diese Dokumentation umfasst die wesentlichen Anbieter, ihre kritischen Subdienstleister, die identifizierten Konzentrationen und die getroffenen Vorkehrungen. Sie ist die Grundlage, auf der das Institut seine Lieferkettenrisiken steuert und ihre Steuerung nachweist.
Diese Dokumentation aktuell zu halten ist Teil der laufenden Aufgabe. Eine veraltete Dokumentation, die nicht mehr der Wirklichkeit entspricht, ist schlimmer als nützlich, weil sie eine Transparenz vortäuscht, die nicht mehr besteht. Das Institut muss deshalb Prozesse haben, die die Dokumentation aktuell halten, wenn sich die Ketten ändern. Nur eine aktuelle Dokumentation gibt das verlässliche Bild, das die Steuerung der Risiken verlangt.
Die Ausstiegsfähigkeit
Ein wichtiger Aspekt der Resilienz ist die Ausstiegsfähigkeit, also die Möglichkeit, sich von einem Anbieter zu lösen, wenn es nötig wird. Ein Institut, das von einem Anbieter abhängt, ohne aussteigen zu können, ist verwundbar, denn es ist dem Anbieter ausgeliefert, wenn dieser ausfällt, die Bedingungen verschlechtert oder selbst in Schwierigkeiten gerät. Die Fähigkeit, im Ernstfall den Anbieter zu wechseln, ist deshalb ein wesentlicher Bestandteil der Resilienz.
Diese Ausstiegsfähigkeit muss vorbereitet sein, bevor sie gebraucht wird. Ein Institut, das erst im Ernstfall nach einer Ausweichmöglichkeit sucht, findet sie oft nicht schnell genug. Es muss deshalb vorab klären, wie es einen kritischen Anbieter ersetzen könnte, welche Alternativen es gibt und wie der Wechsel ablaufen würde. Diese Vorbereitung ist gerade bei tief in die Lieferkette eingebetteten Subdienstleistern schwierig, aber sie ist notwendig, denn ohne Ausstiegsfähigkeit ist die Abhängigkeit ein unbeherrschtes Risiko.
Die Verbindung zur Geschäftsfortführung
Die Steuerung der Lieferkettenrisiken hängt eng mit der Geschäftsfortführungsplanung zusammen. Denn die Frage, was geschieht, wenn ein kritischer Subdienstleister ausfällt, ist letztlich eine Frage der Geschäftsfortführung: Wie hält das Institut seinen Betrieb aufrecht, wenn ein Glied der Lieferkette versagt? Die Vorkehrungen für den Ausfall von Subdienstleistern müssen deshalb in die Geschäftsfortführungsplanung eingebettet sein, damit sie im Ernstfall greifen.
Diese Verbindung sorgt dafür, dass die Lieferkettenrisiken nicht abstrakt bleiben, sondern in konkrete Vorkehrungen münden. Die Geschäftsfortführungsplanung übersetzt das Wissen über die kritischen Abhängigkeiten in Handlungspläne für den Ernstfall. Ein Institut, das beides verbindet, ist auf die Ausfälle vorbereitet, die in der Lieferkette entstehen können, und kann seinen Betrieb auch dann aufrechterhalten, wenn ein Glied der Kette versagt. Genau diese Vorbereitung ist der Zweck der ganzen Anstrengung.
Die Verhältnismäßigkeit kleinerer Institute
Für kleinere Institute stellt sich die Frage der Verhältnismäßigkeit besonders dringend. Sie haben nicht die Ressourcen großer Häuser, um jede Lieferkette in der Tiefe zu durchleuchten, und sie sind zugleich oft stärker von wenigen großen Anbietern abhängig. Die Regulierung trägt der Verhältnismäßigkeit Rechnung, aber das entbindet die kleineren Institute nicht von der Aufgabe, die wesentlichen Risiken zu erkennen und zu steuern.
Für sie ist die Fokussierung auf die kritischen Funktionen und die Bündelung der Marktmacht besonders wichtig. Sie können nicht alles leisten, aber sie müssen die wesentlichen Risiken im Blick haben, und sie können durch gemeinsame Standards und gemeinsames Vorgehen eine Wirkung erzielen, die ihnen allein verwehrt bliebe. Wir helfen auch kleineren Instituten, die Transparenz über ihre Lieferketten verhältnismäßig und wirksam zu gestalten, sodass sie die wesentlichen Risiken beherrschen, ohne sich zu überfordern.
Am Ende geht es um eine einfache Einsicht: Die Resilienz eines Instituts ist nur so stark wie das schwächste Glied seiner Lieferkette, und dieses Glied liegt oft tief verborgen, jenseits des direkten Anbieters. Wer seine Resilienz ernst nimmt, muss deshalb in die Tiefe schauen, dorthin, wo die eigentlichen Risiken liegen, statt sich mit dem Blick auf die erste Stufe zufriedenzugeben.
Diese Einsicht verlangt eine Abkehr von der bequemen Beschränkung auf den direkten Vertragspartner und eine Hinwendung zu der mühsamen, aber notwendigen Arbeit, die gesamte Kette der Abhängigkeiten zu durchdringen und zu beherrschen, denn nur so entsteht die Resilienz, die die Regulierung verlangt und die das Geschäft im Ernstfall schützt.
Die laufende Aufgabe
Die Lieferketten der Informationstechnologie sind nicht statisch. Anbieter wechseln ihre Subdienstleister, neue Abhängigkeiten entstehen, alte fallen weg. Die Transparenz über die Ketten ist deshalb keine einmalige Erhebung, sondern eine laufende Aufgabe. Ein Institut, das die Ketten einmal durchleuchtet und dann das Wissen veralten lässt, verliert die Transparenz wieder, und mit ihr die Fähigkeit, die Risiken zu steuern.
Die Regulierung verlangt entsprechend eine fortlaufende Steuerung, nicht eine einmalige Bestandsaufnahme. Das Institut muss die Ketten im Blick behalten, Änderungen erfassen und seine Risikobeurteilung aktuell halten. Diese laufende Aufgabe verlangt Prozesse und Werkzeuge, die die Transparenz dauerhaft sichern. Wir helfen Ihnen, die Transparenz über Ihre Subdienstleisterketten zu schaffen und sie als laufende Aufgabe zu verankern, sodass Sie die Risiken beherrschen, die in der Tiefe Ihrer Lieferkette lauern. Strategie und Umsetzung aus einer Hand. Beginnen Sie mit einem Workshop.
Ob Sie ein konkretes Projekt haben oder erst erkunden möchten, was möglich ist – sprechen Sie mit uns.
