Die Digitalisierung der Finanzwelt hat in den letzten Jahren einen klaren Trend hervorgebracht: Immer mehr Leistungen werden an externe Partner ausgelagert. Cloud-Computing, spezialisierte IT-Dienstleister, externe Rechenzentren, Software-as-a-Service-Lösungen oder Managed Security Services – kaum ein Finanzunternehmen betreibt heute noch seine gesamte IT selbst. Diese Entwicklung hat enorme Vorteile: schnellere Innovation, flexiblere Skalierung, Zugang zu Spezialwissen und oft auch Kostenvorteile. Doch sie hat eine Schattenseite, die spätestens mit dem Inkrafttreten von DORA in den Mittelpunkt rückt: Die Abhängigkeit von Drittanbietern kann zur Achillesferse werden, wenn Risiken nicht konsequent gemanagt werden. DORA macht deshalb das Management von IKT-Drittparteien zu einer eigenen Säule der digitalen Resilienz – mit klaren Vorgaben, die deutlich über das hinausgehen, was bisher viele Unternehmen praktiziert haben.
Der Kern der DORA-Vorgaben ist einfach: Unternehmen bleiben auch dann vollständig verantwortlich, wenn sie kritische Funktionen an externe Partner auslagern. Es gibt kein „Das macht unser Dienstleister, darum kümmern wir uns nicht“ mehr. Vielmehr muss jedes Unternehmen sicherstellen, dass auch ausgelagerte Services den gleichen Resilienz- und Sicherheitsstandards entsprechen wie interne Leistungen. Das bedeutet, dass die Auswahl, Überwachung und vertragliche Absicherung von Drittanbietern einen zentralen Platz im Risikomanagement bekommt. Schon vor Vertragsabschluss muss geprüft werden, ob ein Anbieter die technischen, organisatorischen und finanziellen Voraussetzungen erfüllt, um die ausgelagerten Leistungen sicher und stabil zu erbringen. Diese Prüfung ist keine reine Formalität, sondern muss dokumentiert, nachvollziehbar und auf die kritischen Funktionen des Unternehmens zugeschnitten sein.
Ein wichtiger Schritt ist die Risikobewertung vor der Auswahl. Hierbei wird analysiert, welche Rolle der Anbieter im Gesamtsystem spielt, welche Systeme oder Daten er verarbeitet, wie stark das Unternehmen von ihm abhängig ist und welche Folgen ein Ausfall hätte. Für besonders kritische Services – etwa Kernbankensysteme, Zahlungsverkehrsplattformen oder Identitätsprüfungen – gelten besonders strenge Maßstäbe. Wenn ein Anbieter zentrale Prozesse betreibt, muss geprüft werden, ob er ausreichende Sicherheitsmaßnahmen, Notfallpläne, Redundanzen und Wiederanlaufstrategien implementiert hat. DORA erwartet, dass diese Prüfungen nicht nur einmalig erfolgen, sondern in regelmäßigen Abständen wiederholt werden.
Die vertragliche Gestaltung ist ein weiterer Schwerpunkt. DORA schreibt vor, dass Auslagerungsverträge klare Regelungen zu Sicherheitsanforderungen, Verfügbarkeitszielen, Meldepflichten bei Vorfällen, Revisionsrechten und Exit-Strategien enthalten müssen. Gerade die Exit-Strategien sind oft ein Schwachpunkt in der Praxis. Viele Unternehmen schließen zwar langfristige Verträge, haben aber keine konkreten Pläne, wie sie im Falle einer Beendigung oder Insolvenz des Anbieters den Betrieb aufrechterhalten können. DORA verlangt, dass solche Pläne vorhanden, realistisch und getestet sind. Das kann bedeuten, dass ein Wechsel zu einem anderen Anbieter innerhalb einer festgelegten Frist möglich sein muss – inklusive der gesicherten Migration aller Daten und Konfigurationen.
Die Überwachung von Drittanbietern endet nicht mit der Vertragsunterzeichnung. Im Gegenteil: DORA fordert ein kontinuierliches Monitoring, bei dem die Leistung und Sicherheit des Anbieters regelmäßig überprüft werden. Das kann durch technische Schnittstellen geschehen, die Performance-Daten liefern, durch regelmäßige Audits, Zertifikatsprüfungen oder durch Berichte, die der Anbieter liefern muss. Wichtig ist, dass das Monitoring nicht nur formale Kennzahlen erfasst, sondern auch qualitative Bewertungen ermöglicht. Wenn ein Anbieter wiederholt kleinere Ausfälle hat oder Sicherheitslücken nur zögerlich schließt, ist das ein Warnsignal – auch wenn formell alle SLAs eingehalten werden.
Besonders interessant ist, dass DORA für bestimmte kritische Drittanbieter eine direkte Aufsicht durch europäische Behörden vorsieht. Das betrifft vor allem große Cloud-Anbieter, deren Ausfall massive Auswirkungen auf den Finanzsektor hätte. Diese Anbieter müssen sich künftig speziellen Prüfungen unterziehen und Maßnahmen zur Erhöhung ihrer Resilienz umsetzen. Für die Unternehmen selbst bleibt jedoch die Pflicht, die eigene Abhängigkeit von solchen Anbietern zu kennen, zu bewerten und durch geeignete Maßnahmen zu steuern – etwa durch Multi-Cloud-Strategien oder den Einsatz alternativer Dienstleister für besonders kritische Funktionen.
In der Praxis zeigt sich, dass Third-Party-Risikomanagement unter DORA ein Zusammenspiel aus Einkauf, IT, Compliance, Risikomanagement und Fachbereichen erfordert. Der Einkauf allein kann die Sicherheitsanforderungen nicht bewerten, die IT allein kennt nicht alle vertraglichen Risiken, und Compliance allein hat nicht den vollständigen Überblick über technische Abhängigkeiten. Erfolgreiche Unternehmen setzen deshalb auf interdisziplinäre Teams, die Auswahl, Vertragsgestaltung, Monitoring und Notfallplanung gemeinsam verantworten. Dieses Team sollte über klare Entscheidungsbefugnisse verfügen, um im Zweifel schnell auf Veränderungen reagieren zu können – etwa, wenn ein Anbieter Sicherheitsvorfälle nicht transparent meldet oder regulatorische Vorgaben nicht erfüllt.
Am Ende geht es nicht darum, Auslagerungen zu verhindern. DORA will Innovation und Effizienzgewinne nicht ausbremsen, sondern sicherstellen, dass sie nicht zur Schwachstelle werden. Wer seine Lieferanten unter der Lupe hat, Risiken realistisch einschätzt, klare Verträge schließt, laufend überwacht und Exit-Strategien parat hat, kann die Vorteile von Drittanbietern nutzen, ohne die eigene Resilienz zu gefährden. In einer vernetzten Finanzwelt ist das nicht nur eine regulatorische Pflicht, sondern eine Überlebensstrategie – denn die Kette ist immer nur so stark wie ihr schwächstes Glied.