Das Klumpenrisiko, das kein Lieferanten-Audit sieht
Zehn Ihrer Lieferanten haben das Audit bestanden. Jeder für sich sauber. Und doch liegen alle zehn still, sobald ein einziger Hyperscaler ausfällt, auf dem sie unbemerkt gemeinsam laufen. Das ist Klumpenrisiko. Keine Prüfung je einzelnem Lieferanten macht es sichtbar.
Das Wichtigste in Kürze
- Das Einzel-Audit sieht das Muster nicht. Third-Party-Management bewertet jeden Lieferanten für sich. Konzentrationsrisiko entsteht erst über das ganze Portfolio, dort wo viele Wege zum selben Anbieter führen.
- Die vierte Partei fehlt im Vertrag. Der Anbieter Ihres Anbieters, dessen Rechenzentrum, dessen Netzdienstleister verlängern die Kette um Glieder, die niemand unterschrieben hat.
- DORA macht es vor. Der Finanzsektor muss seine Abhängigkeit von wenigen, nicht ersetzbaren Anbietern bewerten und die volle Kette der Subdienstleister führen. Das Muster gilt weit über die Finanzbranche hinaus.
- Das Board steuert, nicht die Checkliste. Konzentration muss auf Portfolio-Ebene sichtbar sein: Substituierbarkeit, Exit-Fähigkeit, Mehr-Anbieter-Strategie, Stresstest für den Ausfall eines Knotens.
Verwandt: Fünf Kennzahlen, die der Aufsichtsrat wirklich versteht · Der AI Act ist in Wahrheit ein Security-Gesetz
Warum Einzel-Audits das Klumpenrisiko übersehen
Third-Party-Risikomanagement bewertet jeden Lieferanten isoliert: Zertifikate, Fragebögen, ein Score. Am Ende steht eine Ampel. Im Idealfall ist jede grün. Das Risiko sitzt aber nicht im einzelnen Lieferanten. Es sitzt in der Summe. Wenn zwanzig grün bewertete Lieferanten alle beim selben Cloud-Anbieter, demselben Identitätsdienst oder derselben Region liegen, nimmt ein Ausfall dort alle zwanzig gleichzeitig mit. Die Einzelbewertung kann das strukturell nicht zeigen.
Die Aufsicht hat genau diese Lücke erkannt. Für DORA verlangt sie die Konzentrationsbewertung auf Portfolio-Ebene. Einzelne Vendor-Scores akzeptiert sie ausdrücklich nicht. Die Haltung für 2026 ist durchsetzungsorientiert, nicht mehr beratend.
Die jüngere Vergangenheit liefert das Muster ganz ohne erhobenen Zeigefinger. Große Cloud- und CDN-Ausfälle haben mehrfach gezeigt, wie der Ausfall eines einzigen Anbieters Hunderte scheinbar unabhängige Dienste zur selben Minute aus dem Netz nimmt, von der Bezahl-App bis zur Behörden-Website. Keiner dieser Dienste hatte einen schlechten Lieferanten. Sie hatten denselben.
Definition · Vierte-Partei-Risiko
Das Risiko aus den Subdienstleistern des eigenen Lieferanten. Der Cloud-Anbieter des Dienstleisters, dessen Rechenzentrum, dessen Netzbetreiber bilden eine Kette, die im eigenen Vertrag oft nicht auftaucht, im Ausfall aber voll durchschlägt.
bündeln die Hälfte der kritischen Outsourcing-Ausgaben bedeutender EU-Banken (EZB 2024)
kritische IT-Dienstleister benannten die EU-Aufsichtsbehörden im November 2025
DORA regelt ausdrücklich die Kette der Subunternehmer
Die vierte Partei: das Glied, das im Vertrag fehlt
Der direkte Lieferant ist die dritte Partei. Sein Cloud-Anbieter, sein Rechenzentrum, sein Netzdienstleister sind die vierte, fünfte, sechste. Diese Kette steht selten im Vertrag und noch seltener im Risikoregister. DORA adressiert genau diese verdeckte Tiefe: Für kritische Funktionen braucht der Anbieter die schriftliche Zustimmung des Kunden, bevor er wesentliche Teile weiterreicht. Änderungen im Subunternehmer-Stack muss er mit Vorlauf melden.
Für die Praxis heißt das nur eines: Die Prüfung darf beim Vertragspartner nicht enden. Wer die vierte Partei nicht kennt, kennt sein echtes Ausfallrisiko nicht. Der freundlich klingende Satz „Wir nutzen einen führenden Cloud-Anbieter“ ist im Zweifel die Beschreibung eines geteilten Single Point of Failure.
der gesamten Outsourcing-Budgets bedeutender EU-Banken fließen an nur zehn Anbieter
Quelle: EZB-Analyse 2024
Was DORA dem Rest der Wirtschaft vormacht
DORA, der Digital Operational Resilience Act, gilt für den Finanzsektor. Der größte Regelblock der Verordnung betrifft das Management von IT-Drittparteien. Zwei Pflichten daraus sind für jede Branche lehrreich. Erstens die ausdrückliche Bewertung, ob ein Unternehmen gefährlich von wenigen oder nicht ersetzbaren Anbietern abhängt. Zweitens ein Register aller Vertragsverhältnisse mit IT-Dienstleistern, inklusive der vollständigen Kette der Unterauftragnehmer. Auf dieser Grundlage benennen die europäischen Aufsichtsbehörden kritische Anbieter und stellen sie unter direkte Aufsicht.
Das Register ist dabei mehr als Bürokratie. Es ist das einzige Instrument, das Konzentration überhaupt berechenbar macht. Erst wenn alle Verträge, Funktionen und Subdienstleister an einer Stelle zusammenlaufen, lässt sich die Frage beantworten, wie viele kritische Prozesse in Wahrheit an einem einzigen Anbieter hängen. Ohne dieses Bild bleibt jede Aussage über Konzentration eine Vermutung.
Der Finanzsektor ist hier Vorreiter, kein Sonderfall. Cloud-Konzentration, ein dominanter Identitätsdienst, eine überlastete Region: dasselbe Muster trifft Industrie, Handel und die öffentliche Verwaltung. DORA liefert vor allem eine Blaupause dafür, wie man Konzentration überhaupt sichtbar macht, bevor sie zum Ausfall wird.
Was ein Board jetzt steuern muss
Konzentrationsrisiko ist eine Leitungsaufgabe, kein Detail der Beschaffung. Vier Hebel gehören auf die Vorstandsagenda. Keiner davon lässt sich an eine Lieferantenliste delegieren.
- Konzentration kartieren. Über das ganze Portfolio sichtbar machen, wo viele Lieferanten am selben Anbieter, derselben Region oder demselben Dienst hängen.
- Substituierbarkeit prüfen. Für jede kritische Funktion beantworten, wie schnell ein Ersatzanbieter übernehmen könnte.
- Exit vorbereiten. Verträge und Architektur so bauen, dass ein Anbieterwechsel möglich bleibt, bevor er nötig wird.
- Mehr-Anbieter-Strategie. Kritische Funktionen bewusst auf mehrere Anbieter verteilen, statt auf eine Effizienz-Monokultur zu setzen.
- Ausfall durchspielen. Der Stresstest fragt nicht, ob ein Lieferant ausfällt. Er fragt, was passiert, wenn ein Konzentrationsknoten ausfällt.
Ein grünes Portfolio ist nicht dasselbe wie ein widerstandsfähiges.
Das Klumpenrisiko verschwindet nicht, weil jede einzelne Ampel grün leuchtet. Es wird erst sichtbar, wenn jemand die Frage stellt, die kein Lieferanten-Audit stellt: Was von dem, was wir eingekauft haben, hängt in Wahrheit am selben Faden?
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was ist Konzentrationsrisiko in der Lieferkette?
Die gefährliche Abhängigkeit von wenigen oder nicht ersetzbaren Anbietern. Sie entsteht nicht bei einem einzelnen Lieferanten, sondern über das ganze Portfolio, wenn viele Lieferanten auf demselben Anbieter, derselben Region oder demselben Dienst aufsetzen.
Wie unterscheidet sich das vom klassischen Lieferanten-Audit?
Das Audit bewertet jeden Lieferanten einzeln. Konzentrationsrisiko zeigt sich erst in der Summe. Deshalb verlangt die Aufsicht unter DORA die Bewertung auf Portfolio-Ebene und akzeptiert einzelne Vendor-Scores ausdrücklich nicht.
Was bedeutet Vierte-Partei-Risiko?
Das Risiko aus den Subdienstleistern des eigenen Lieferanten. Wenn der Dienstleister selbst auf einem Hyperscaler, einem Rechenzentrum oder einem Netzbetreiber aufsetzt, verlängert sich die Kette um Glieder, die im eigenen Vertrag meist nicht stehen.
Gilt DORA auch außerhalb des Finanzsektors?
Rechtlich verpflichtet DORA den Finanzsektor. Das Prinzip, Konzentration auf Portfolio-Ebene zu bewerten und die Subunternehmer-Kette zu führen, ist aber auf Industrie, Handel und Verwaltung übertragbar. DORA liefert die Blaupause, nicht die Grenze.
Was ist der erste Schritt für ein Board?
Eine Konzentrationskarte über das ganze Lieferantenportfolio. Sie zeigt, wo viele Wege zum selben Anbieter führen. Erst danach lassen sich Substituierbarkeit, Exit und Mehr-Anbieter-Strategie sinnvoll steuern.
Lesetipps der Redaktion
LesetippLieferkettenrisiko ist ein Programm, keine Audit-ListeLesetippWas ist DORA? Definition, Pflichten und FristenLesetippDer schwächste Zulieferer öffnet die kritische Anlage
Mehr aus dem MBF Media Netzwerk
Digital ChiefsGeopolitik trifft die Datacenter-Roadmap: Was CIOs jetzt absichernMyBusinessFutureEU AI Act: Was der Mittelstand kennzeichnen musscloudmagazinXFS4IoT trifft Cloud: Der Geldautomat wird Plattform
Bildquelle: KI-generiert (Juli 2026)





