Warum Zahlungsdienstleister und Wettanbieter Ihre eigentliche Angriffsfläche darstellen
Zahlungsdienstleister und Wettanbieter stellen Ihre eigentliche Angriffsfläche dar, da sie zwischen Ihren Spielern und den Geldern, Daten und Ergebnissen stehen, die Sie schützen sollen. Oftmals liegen die größten Sicherheitsrisiken bei diesen Zahlungs- und Wettanbietern, nicht nur in Ihrem eigenen Code. Wenn diese Dienste ausfallen, gehackt werden oder sich unvorhersehbar verhalten, sehen Kunden und Aufsichtsbehörden weiterhin Ihr Logo, nicht das Ihres Anbieters. Daher müssen Ihre Governance- und technischen Kontrollen wichtige Partner so behandeln, als wären sie Teil Ihrer eigenen IT-Umgebung.
Warum Zahlungsdienstleister und Wettanbieter innerhalb Ihrer Sicherheitsgrenzen liegen
Zahlungsdienstleister und Wettanbieter fallen in Ihren Sicherheitsbereich, da ihre Systeme die Spielerfahrung, die Geldflüsse und die Integrität des Spiels direkt beeinflussen, selbst wenn sie auf fremder Infrastruktur laufen. Werden diese Dienste beeinträchtigt oder sind sie instabil, hat dies Auswirkungen auf Ihre Kunden, die Aufsichtsbehörden und Ihre Lizenz. Daher müssen Sie diese Systeme genauso streng überwachen wie Ihre eigenen.
In den meisten Spielestudios und iGaming-Anbietern hängen die Spielerlebnisse von einer Kette externer Dienstleister ab. Zahlungsdienstleister wickeln Ein- und Auszahlungen ab. Quoten- und Datenanbieter bestimmen Preisgestaltung, Abrechnung und Integrität. KYC- und AML-Tools überprüfen Kunden. Hosting- und Content-Delivery-Netzwerke gewährleisten die Erreichbarkeit aller Systeme. Fällt einer dieser Dienste aus, sehen die Kunden Ihre Marke und nicht das Logo eines vorgelagerten Anbieters.
Sie sollten daher wichtige Lieferanten als Erweiterung Ihrer eigenen IT-Umgebung betrachten, selbst wenn diese in separaten Netzwerken und unterschiedlichen Rechtsordnungen angesiedelt sind. Angreifer und Regulierungsbehörden gehen bereits so vor. Die Kompromittierung von Lieferketten ist attraktiv, da ein erfolgreicher Angriff gleichzeitig Dutzende von Betreibern kompromittieren kann. Ein einzelner Angriff auf einen Zahlungsdienstleister kann Zahlungstoken, Kontokennungen und Verhaltensdaten über mehrere Marken hinweg offenlegen, während manipulierte Quoten die Preise verfälschen, die Abrechnung beeinträchtigen und verdächtige Muster verschleiern können, bis es zu spät ist.
Die klare Transparenz darüber, wer Ihre Systeme tatsächlich betreibt, verwandelt vage Drittparteirisiken in konkrete, behebbare Gefährdungen.
Es ist auch ungewöhnlich, dass Sie es mit einem einzigen, klar abgegrenzten Anbieter zu tun haben. Zahlungsdienstleister (PSPs) greifen auf eigene Prozessoren, Betrugserkennungssysteme und Infrastrukturanbieter zurück. Wettanbieter beziehen Daten von Ligen, Scouts und vorgelagerten Datenquellen und verteilen sie anschließend über Aggregatoren. Jedes Glied in dieser Kette erhöht die Angriffsfläche. Wenn Sie nur den Namen in Ihrem Vertrag berücksichtigen, übersehen Sie einen Großteil der tatsächlichen Abhängigkeiten, die für Angreifer und Regulierungsbehörden relevant sind.
Ein praktischer erster Schritt ist die Erstellung eines zentralen Lieferantenverzeichnisses für alle Daten, die Spielerdaten, Geldflüsse oder die Integrität des Spiels betreffen. Dies bedeutet in der Regel, folgende Daten an einem zentralen Ort zu erfassen:
- Jeder Zahlungsdienstleister, Wettanbieter oder Datenanbieter, jedes KYC/AML-Tool, jede Hosting-Plattform und jede wichtige SaaS-Lösung, die kritische Daten oder Prozesse berührt.
- Was die einzelnen Systeme leisten, mit welchen Systemen sie verbunden sind und welche Produkte oder Märkte von ihnen abhängen.
- Wer ist dafür verantwortlich, dass diese Ansicht korrekt ist und regelmäßig überprüft wird?
Zusammengenommen ergeben diese Details ein realistisches Bild Ihrer tatsächlichen Angriffsfläche. Viele Betreiber speichern dieses Register in einer ISMS-Plattform wie ISMS.online, um Aufzeichnungen, Risiken und Kontrollen miteinander zu verknüpfen, anstatt sie in statischen Tabellenkalkulationen zu verlieren.
Abschließend sei darauf hingewiesen, dass es sich hier nicht nur um eine Übung in Sachen Sicherheitsarchitektur handelt. Teams für Betrugsbekämpfung, Spielintegrität und Geldwäschebekämpfung verstehen die Fehlerquellen von Lieferanten oft besser als jeder andere. Ihre frühzeitige Einbindung hilft Ihnen, Risiken im Hinblick auf Streitigkeiten, Untersuchungen und Lizenzbedingungen zu bewerten, nicht nur auf technische Schwachstellen. Diese gemeinsame Sichtweise ist genau das, was Sie benötigen, wenn Sie die ISO 27001-Kontrolle A.5.19 ernsthaft und strukturiert implementieren.
Wie Angreifer Schwächen von PSP und Quotenanbietern ausnutzen
Angreifer nutzen Schwachstellen von PSPs und Quotenanbietern aus, indem sie das Vertrauen und die Automatisierung, die Sie in deren Integrationen gesetzt haben, missbrauchen – nicht nur durch den Diebstahl von Rohdaten. Sie suchen nach schwachen Endpunkten, mangelhafter Authentifizierung und unzureichend überwachten Änderungen, die es ihnen ermöglichen, das Verhalten zu manipulieren oder Werte abzuzweigen, ohne Ihre üblichen Alarmschwellenwerte zu überschreiten.
Gängige Vorgehensweisen umfassen die Manipulation von Callback-URLs oder API-Zugangsdaten, um Zahlungsbestätigungen zu fälschen, die Ausnutzung schwacher Authentifizierungsmechanismen auf Managementportalen oder den Missbrauch von Testumgebungen, die zwar nur unzureichend geschützt, aber dennoch mit Produktionsabläufen verbunden sind. Auf der anderen Seite konzentrieren sich Angreifer auf die Manipulation von Preisen, Verzögerungen und Fehlerbehandlungslogik, da sie wissen, dass automatisierte Handelssysteme unter Zeitdruck unkontrolliert reagieren können.
Sie reduzieren diese Angriffswege, indem Sie Lieferanten-Governance mit technischen Sicherheitsvorkehrungen kombinieren. Das bedeutet, zu prüfen, auf welche Endpunkte Lieferanten zugreifen dürfen, das Prinzip der minimalen Berechtigungen anzuwenden, Integrationen zu protokollieren und zu überwachen sowie auf Änderungsbenachrichtigungen zu bestehen, wenn Zahlungsdienstleister oder Wettanbieter ihre Systeme ändern. A.5.19 bietet Ihnen den Rahmen für diese Governance; Ihre Sicherheitsarchitektur setzt sie in Code und Konfiguration um. Sie sollten diese Maßnahmen stets an Ihren spezifischen regulatorischen, vertraglichen und technischen Kontext anpassen und bei Bedarf fachkundigen Rat einholen.
KontaktWas ISO 27001 A.5.19 tatsächlich von Ihnen erwartet
ISO 27001 A.5.19 verlangt von Ihnen, die Lieferantensicherheit als kontinuierlichen, risikobasierten Lebenszyklus zu managen – von der Auswahl und dem Onboarding über den täglichen Betrieb bis hin zu Änderungen und dem Ausscheiden aus der Zusammenarbeit. Es genügt nicht, einen einzigen Fragebogen zu versenden; Sie benötigen einen fortlaufenden Prozess, den Sie Auditoren, Glücksspielaufsichtsbehörden und Zahlungsdienstleistern jederzeit erläutern und nachweisen können.
In der Praxis bedeutet dies, Zahlungsdienstleister, Wettanbieter und andere wichtige Lieferanten als Teil Ihres eigenen Informationssicherheitsprogramms zu behandeln. Entscheidungen bezüglich dieser Lieferanten sollten dokumentiert, risikobasiert und wiederholbar sein und nicht einfach in einzelnen E-Mail-Postfächern gespeichert werden. Auditoren suchen zunehmend nach Nachweisen dafür, dass Sie bewusste Abwägungen getroffen haben, anstatt jedem Lieferanten mit einem Zertifikat blind zu vertrauen.
Der Lebenszyklus gemäß ISO 27001 A.5.19 sieht vor, dass Sie Folgendes ausführen:
Der in ISO 27001 A.5.19 beschriebene Lebenszyklus beginnt mit der Identifizierung der relevanten Lieferanten und endet mit der sicheren Beendigung der Zusammenarbeit. In jeder Phase werden risikobasierte Prüfungen durchgeführt. Auditoren achten typischerweise auf klare Verantwortlichkeiten, einheitliche Kriterien und den Nachweis, dass der Prozess tatsächlich eingehalten wird, insbesondere bei wichtigen Geschäftsbeziehungen wie z. B. mit Zahlungsdienstleistern und Wettanbietern.
Da die offiziellen Texte der Normen ISO/IEC 27001:2022 und ISO/IEC 27002:2022 kostenpflichtig sind, sollten Sie die Normen für den genauen Wortlaut stets direkt konsultieren. In einfacher Sprache fordert Anhang A, Kontrollpunkt A.5.19 („Informationssicherheit in Lieferantenbeziehungen“), Sie auf, einen Prozess zur Steuerung der Informationssicherheitsrisiken zu definieren und anzuwenden, die bei der Nutzung von Produkten und Dienstleistungen von Lieferanten entstehen. Dieser Prozess muss die Auswahl, die Integration, den Betrieb, Änderungen und die Beendigung von Lieferantenbeziehungen umfassen und nicht nur den Vertriebszyklus.
Für ein Spielestudio oder einen iGaming-Anbieter ergeben sich daraus fünf konkrete Verantwortlichkeiten:
- Führen Sie eine übersichtliche Liste der in den Geltungsbereich fallenden Lieferanten. Erfassen Sie Zahlungsdienstleister, Wettanbieter, Datenpartner, KYC-Tools, Hosting-Plattformen und andere Anbieter, die Ihre Dienstleistungen beeinträchtigen könnten.
- Lieferantenrisiken strukturiert und dokumentiert klassifizieren. Trennen Sie wirklich kritische Zulieferer von weniger wichtigen Tools und behandeln Sie sie unterschiedlich.
- Führen Sie vor und während der Geschäftsbeziehung eine angemessene Sorgfaltsprüfung durch. Den Umfang der Überprüfung sollte dem Risiko angepasst werden, anstatt einen standardisierten Fragebogen anzuwenden.
- Informationssicherheitsanforderungen in Verträge einbetten: Sicherheitsverpflichtungen sollten in Verträgen und Service-Level-Agreements verankert werden, nicht nur in E-Mails oder Präsentationen.
- Lieferanten und deren Veränderungen im Laufe der Zeit beobachten. Gehen Sie davon aus, dass sich Risiken ändern, und verfolgen Sie Leistung, Vorfälle und Serviceänderungen, um schnell reagieren zu können.
Dies sind die Elemente, die Prüfer und Aufsichtsbehörden in Ihrem Umfeld erwarten. Wenn Sie aufzeigen können, wie Lieferanten diesen Lebenszyklus durchlaufen, wer für welchen Schritt verantwortlich ist und welche Nachweise dabei erbracht werden, sind Sie der Anforderung A.5.19 bereits ein großes Stück näher gekommen.
Wie Artikel A.5.19 mit den Artikeln A.5.20 bis A.5.22 und dem Datenschutzrecht zusammenhängt
A.5.19 steht in engem Zusammenhang mit A.5.20–A.5.22 und dem Datenschutzrecht, da sie gemeinsam beschreiben, wie Sie das Verhalten von Lieferanten vom Vertragsabschluss bis zum laufenden Betrieb kontrollieren müssen. Sie definieren die Governance-, Vertrags- und technischen Anforderungen, die Aufsichtsbehörden und Prüfer heranziehen, um die Glaubwürdigkeit Ihres Drittparteien-Risikomanagements zu beurteilen.
A.5.19 ist nicht die einzige lieferantenbezogene Kontrolle in ISO 27001. Sie steht neben drei eng verwandten Kontrollen, die insbesondere für Zahlungsdienstleister und Wettanbieter von Bedeutung sind:
- A.5.20 – Berücksichtigung der Informationssicherheit in Lieferantenverträgen: konzentriert sich darauf, was in Ihren Verträgen, Service-Level-Agreements und Sicherheitsplänen stehen muss.
- A.5.21 – Management der Informationssicherheit in der IKT-Lieferkette: Der Fokus liegt auf technischen und entwicklungsbezogenen Beziehungen wie Cloud-Infrastruktur, Remote-Gaming-Servern und zentralen SaaS-Plattformen.
- A.5.22 – Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen: beschreibt, wie Sie die Aufsicht behalten, während sich Dienstleistungen und Risiken weiterentwickeln.
Zusammen bilden sie einen kohärenten Rahmen: A.5.19 definiert die allgemeine Steuerung und den Prozess; A.5.20 macht ihn vertraglich; A.5.21 wendet ihn speziell auf die IKT-Lieferkette an; und A.5.22 stellt sicher, dass alles auf dem neuesten Stand bleibt.
Sie müssen außerdem A.5.19 mit Datenschutzkonzepten in Einklang bringen. Gemäß Gesetzen wie der DSGVO können Sie als Verantwortlicher agieren. Zahlungsdienstleister, Wettanbieter und Analysedienstleister können Auftragsverarbeiter, gemeinsam Verantwortliche oder separate Verantwortliche sein. ISO 27001 ändert nichts an diesen Rollen. Vielmehr bietet Ihnen A.5.19 eine strukturierte Vorgehensweise, um sicherzustellen, dass geeignete technische und organisatorische Maßnahmen bei der Auswahl, Vertragsgestaltung und Überwachung dieser Parteien berücksichtigt werden, sodass Ihre rechtliche Position durch die operative Realität gestützt wird.
Viele Teams tappen in die Falle, zu denken: „Unser Zahlungsdienstleister ist zertifiziert, also ist alles abgedeckt.“ Eine Zertifizierung oder Bescheinigung kann zwar ein nützlicher Nachweis sein, aber A.5.19 bezieht sich auf Ihre eigene Governance: Ihre Risikoentscheidungen, Ihre Aufzeichnungen und Ihr Monitoring. Wenn Sie nicht nachweisen können, warum Sie einen Zahlungsdienstleister als akzeptabel eingestuft haben, welche Bedingungen Sie festgelegt haben und wie Sie diese Einschätzung überprüft haben, haben Sie die Kontrolle nicht wirklich umgesetzt. Im regulierten Glücksspielbereich ist dies doppelt relevant, da Glücksspielaufsichtsbehörden Lizenzinhaber zunehmend für das Verhalten ihrer Anbieter verantwortlich machen, selbst wenn diese Anbieter auch anderweitig reguliert sind.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Übersetzung von A.5.19 in die Wertschöpfungskette der Glücksspielbranche
A.5.19 wird besonders dann praktisch, wenn Sie die darin enthaltenen Anbieterformulierungen auf Ihre tatsächlichen Spielprozesse, Märkte und regulatorischen Verpflichtungen anwenden. Wenn Ihre Kollegen genau sehen können, welche Zahlungsdienstleister, Wettanbieter und Plattformen jeden einzelnen Spielerschritt unterstützen, sind sie viel eher bereit, Sie bei der Risikobewertung und -kontrolle zu unterstützen.
Anstatt mit einer allgemeinen Liste von Kontrollmaßnahmen zu beginnen, erzielen Sie größere Fortschritte, wenn Sie sich auf das konzentrieren, was Spieler sehen und Regulierungsbehörden prüfen. Das bedeutet, die wichtigsten Abläufe in Ihren Spielen und Wettprodukten zu identifizieren, die Anbieter, die jeden Schritt ermöglichen, und die konkreten Schäden, die entstehen würden, wenn einer dieser Anbieter ausfällt oder kompromittiert wird.
Abbildung von A.5.19 auf Ihr Gaming-Lieferanten-Ökosystem
Die Anwendung von A.5.19 auf Ihr Ökosystem von Spieleanbietern bedeutet, von den Spielerpfaden und den dazugehörigen Diensten auszugehen, anstatt von einer abstrakten Kontrollliste. Prüfer reagieren am besten, wenn Sie genau aufzeigen können, welche Anbieter in jeder Phase involviert sind und welche Folgen ein Ausfall eines Anbieters hätte.
Beginnen Sie mit Ihrem eigenen Ökosystem anstatt mit einer Vorlage. Bei einem typischen Betreiber oder Content-Anbieter gehören zu den relevanten Anbietern häufig:
- Zahlungsdienstleister und Zahlungsgateways für Kartenzahlungen, Wallets, Open Banking und alternative Zahlungsmethoden.
- Quoten- und Sportdatenanbieter, deren Datenfeeds die Märkte und die Abrechnung steuern.
- KYC- und AML-Anbieter, die Identitätsprüfung, Sanktionsprüfung und Transaktionsüberwachung anbieten.
- Cloud- und Hosting-Anbieter, Content-Delivery-Netzwerke und Managed-Service-Partner.
- Remote-Gaming-Server, Plattformanbieter und Backoffice-Tools.
- CRM-, Marketing-Automatisierungs- und Kommunikationstools, die Spielerdaten verarbeiten.
- Affiliate-Partner und Performance-Marketing-Partner, die Tracking- oder Zielgruppendaten erhalten.
- Ausgelagerte Kundendienst-, Betrugsbekämpfungs- oder technische Supportteams.
Zusammen bilden diese Lieferanten den Kern Ihres relevanten Ökosystems für A.5.19.
Sobald Sie diesen Katalog erstellt haben, ordnen Sie ihn den wichtigsten Abläufen und Prozessen zu. Eine hilfreiche Methode ist die Darstellung des gesamten Wettzyklus: Registrierung, Einzahlung, Spiel- oder Wettauswahl, Änderungen während des Spiels, Abrechnung, Auszahlung und Kontoschließung. Fragen Sie bei jedem Schritt, welche Anbieter beteiligt sind, welche Daten wohin übertragen werden und welche Folgen ein Ausfall für Spieler und regulatorische Verpflichtungen hätte.
Visuell: vollständiger Lebenszyklus der Wette, der die Kontaktpunkte der Lieferanten in jedem Schritt aufzeigt.
Dieses Vorgehen lässt sich auf weitere Prozesse wie Inhaltsaktualisierungen, Risiko- und Handelsabwicklung oder die Reaktion auf schwerwiegende Vorfälle übertragen. Diese Übung verdeutlicht allen Beteiligten, dass Zahlungsdienstleister und Quotenanbieter keine abstrakten Systeme sind; sie sind vielmehr integraler Bestandteil der Spielererlebnisse und der von den Aufsichtsbehörden erwarteten Kontrollmechanismen.
Nutzen Sie Reisepläne und Regulierungsbehörden, um Ihre Lieferantenbemühungen zu fokussieren
Die Nutzung von Prozessabläufen und regulatorischen Vorgaben zur Fokussierung Ihrer Lieferantenbemühungen bedeutet, jeden Anbieter anhand der von ihm unterstützten Prozesse und der für sein Verhalten zuständigen Behörden zu kategorisieren. Dies hilft Ihnen, Sorgfaltsprüfungen und Überwachung dort zu priorisieren, wo Fehler die größten kommerziellen, regulatorischen oder kundenbezogenen Auswirkungen hätten.
Neben den Reiseabläufen sollten Sie auch Ihr regulatorisches Umfeld betrachten. Ermitteln Sie für jeden Lieferantentyp, welche externen Stellen am wichtigsten sind:
- Glücksspielaufsichtsbehörden, die sich auf Fairness, Spielerschutz, Bekämpfung von Geldwäsche und Systemintegrität konzentrieren.
- Finanzaufsichtsbehörden und Zahlungssysteme, die sich auf Zahlungssicherheit, Betrugsbekämpfung und Sanktionen konzentrieren.
- Datenschutzbehörden, denen die rechtmäßige Verarbeitung, die Sicherheit personenbezogener Daten und grenzüberschreitende Datenübermittlungen am Herzen liegen.
Die Kennzeichnung von Lieferanten in Ihrem Register mit ihren wichtigsten regulatorischen Kontaktpunkten hilft Ihnen, die Sorgfaltspflichten und die Beweiserhebung auf die relevanten Bereiche zu konzentrieren. Beispielsweise kann ein Zahlungsdienstleister, der in einem Hochrisikomarkt eingesetzt wird, umfassendere Geldwäsche- und Sanktionsprüfungen erfordern als ein KYC-Anbieter, der lediglich zur Altersverifizierung in einer einzigen Jurisdiktion genutzt wird.
Sie sollten sich auch mit Konzentrationsrisiken auseinandersetzen. Manche Anbieter sind deutlich schwieriger zu ersetzen als andere. Ein spezialisiertes Analysetool lässt sich oft ohne größere Auswirkungen austauschen. Die Migration eines Zahlungsdienstleisters, der die Hälfte Ihrer Einzahlungen verarbeitet, oder eines Quotenanbieters, der Ihre beliebtesten Ligen unterstützt, kann Monate dauern. Ihre Dokumentation gemäß Abschnitt A.5.19 sollte diese Gegebenheiten widerspiegeln. Stark abhängige Geschäftsbeziehungen gehören ganz oben auf Ihre Risikoliste und erfordern strengste Kontrollen und häufigste Überprüfungen.
Indem Sie die Kontrolle auf einer konkreten Wertschöpfungskettenabbildung und einem regulatorischen Fokus verankern, schaffen Sie die Grundlage für die nächsten Schritte: die Durchführung einer tiefgreifenden Risikoanalyse für PSPs und Quotenanbieter, die Entwicklung eines zweckmäßigen Klassifizierungssystems und den Aufbau verhältnismäßiger Sorgfaltspflichten und Verträge darauf aufbauend.
Risikoanalyse im Detail: PSPs vs. Wettanbieter
Eine detaillierte Risikoanalyse von Zahlungsdienstleistern (PSPs) und Wettanbietern zeigt, dass beide Gruppen aus unterschiedlichen Gründen von entscheidender Bedeutung sind: PSPs konzentrieren das Zahlungs- und Betrugsrisiko, während Wettanbieter für Fairness, Abrechnung und Integrität der Wetten sorgen. PSPs agieren an der Schnittstelle von Glücksspiel, Zahlungsverkehr und Finanzregulierung, Wettanbieter hingegen an der Schnittstelle von Sport, Handelsplattformen und Fairnessverpflichtungen. Die einfache Erläuterung dieser Unterschiede hilft Führungskräften zu verstehen, warum für jede Gruppe leicht unterschiedliche Kontrollstrategien angewendet werden und A.5.19 an diese Gegebenheiten angepasst werden sollte, anstatt einen einheitlichen Ansatz zu verfolgen.
Das besondere Risikoprofil von PSPs
Das besondere Risikoprofil von Zahlungsdienstleistern (PSPs) ergibt sich aus ihrer Position an der Schnittstelle von Glücksspiel, Zahlungsverkehr und Finanzregulierung. Ausfälle oder Sicherheitslücken werden hier schnell für Spieler, Banken und Aufsichtsbehörden sichtbar. Wenn Zahlungsprozesse über PSPs ausfallen, können Ihre Betrugs-, Geldwäsche- und Verhaltenskontrollen sowohl unbemerkt im Hintergrund als auch deutlich sichtbar für den Kunden versagen.
Zahlungsdienstleister verarbeiten häufig sensible Finanz- und Verhaltensdaten, selbst wenn Sie die meisten Karteninhaberdaten an sie auslagern. Sie teilen weiterhin Tokens, Kennungen und Protokolle, die missbraucht werden können. Eine kompromittierte Integration eines Zahlungsdienstleisters kann zur Kontoübernahme, zu betrügerischen Abhebungen, zum Missbrauch gespeicherter Zahlungsinstrumente oder zu Credential-Stuffing-Versuchen gegen Ihre eigenen Anmeldeprozesse führen.
Neben der Vertraulichkeit unterliegen Zahlungsdienstleister (PSPs) hohen Sicherheitsstandards und strengen Kundenauthentifizierungsregeln zur Betrugsbekämpfung. Zudem können nationale Beschränkungen für die Abwicklung bestimmter Glücksspieltransaktionen gelten. Sollte ein PSP Ihren Datenverkehr falsch einstufen, legitime Kunden blockieren oder verbotene Transaktionen zulassen, tragen Sie gegenüber Aufsichtsbehörden und anderen Organisationen eine Mitschuld.
Operativ gesehen hat ein Ausfall des Zahlungsdienstleisters (PSP) unmittelbare und sichtbare Auswirkungen. Wenn Ein- oder Auszahlungen fehlschlagen, schnellen Beschwerden, Rückbuchungen und Kritik in den sozialen Medien schnell in die Höhe. Wiederholte Instabilität des PSP kann zudem Ihre Betrugs-, Geldwäsche- und Verhaltensmodelle verfälschen, wenn Ereignisse verspätet oder gar nicht eintreffen. Bei vielen Anbietern gehören PSP-bedingte Vorfälle zu den ersten, von denen die Aufsichtsbehörden direkt von den Nutzern erfahren.
Das besondere Risikoprofil von Quoten- und Sportdatenanbietern
Das besondere Risikoprofil von Quoten- und Sportdatenanbietern liegt in ihrem Einfluss auf Fairness, Integrität und die Wahrnehmung gleicher Wettbewerbsbedingungen. Wenn ihre Datenquellen verzögert, fehlerhaft oder manipuliert werden, können Märkte falsch bewertet, Wetten falsch abgerechnet und Anzeichen verdächtiger Aktivitäten übersehen werden, deren Erkennung von Glücksspielaufsichtsbehörden und Sportverbänden erwartet wird.
Quoten- und Sportdatenanbieter beeinflussen in erster Linie Integrität und Fairness, die finanziellen Auswirkungen können jedoch ebenso erheblich sein. Ihre Aufgabe ist es, zeitnahe, genaue und manipulationssichere Informationen über Ereignisse, Quoten und Ergebnisse bereitzustellen. Bei verzögerten Datenfeeds können Live-Wetten unerwartet geschlossen werden oder veraltete Quoten beibehalten. Werden die Feeds manipuliert – etwa durch Kompromittierung, Insiderbetrug oder Spielmanipulation –, können unfaire Quoten angeboten, Wetten falsch abgerechnet oder verdächtige Wettmuster übersehen werden, deren Erkennung von Aufsichtsbehörden und Sportintegritätsteams erwartet wird.
Da Quotenfeeds häufig automatische Handelsentscheidungen steuern, können sich Fehler innerhalb von Sekunden summieren und Tausende von Wetten betreffen. Regulierungsbehörden erwarten zunehmend, dass Sie nachweisen, wie Sie die Integrität der Feeds sicherstellen, wie schnell Sie Anomalien erkennen und welche Maßnahmen Sie bei auftretenden Problemen ergreifen. Dies erfordert die Kombination aus Lieferantenüberwachung, internem Monitoring und klaren Notfallplänen.
Ein einfacher Vergleich kann Ihnen helfen, diese Unterschiede den Beteiligten zu erklären:
| Abmessungen | Zahlungsdienstleister (Zahlungen) | Wettanbieter (Preise/Daten) |
|---|---|---|
| Primäre Auswirkung | Cashflow, Betrug, Rückbuchungen | Fairness, Abrechnungsgenauigkeit, Integrität der Wetten |
| Datensensibilität | Finanzkennzeichen, Transaktionshistorien | Veranstaltungsdaten, Preise, Ergebnisse, mögliche Spielertrends |
| Wichtige Regulierungsbehörden | Finanzaufsichtsbehörden, Zahlungssysteme, Geldwäschebekämpfungsstellen | Glücksspielaufsichtsbehörden, Sportintegritätsgremien |
| Typischer Ausfallmodus | Autorisierungsabbrüche, Ausfälle, falsch klassifizierter Datenverkehr | Verzögerungen, veraltete Daten, falsche oder manipulierte Preise |
| Hauptsteuerungsfokus | Zahlungssicherheit, AML-Abdeckung, Resilienz, Berichterstattung | Datenintegrität, Anomalieerkennung, Notfall-Feeds |
Diese Tabelle ist nicht vollständig, aber sie verankert eine umfassendere Risikodiskussion in konkreten Dimensionen, die jeder anerkennt.
Sie sollten auch die Wechselwirkungen dieser Risiken untersuchen. Wenn beispielsweise ein Zahlungsdienstleister und ein Wettanbieter während eines Großereignisses beide Probleme haben, könnten gleichzeitig Zahlungsstreitigkeiten und Beschwerden über Wetten auftreten. In solchen kombinierten Szenarien wird Ihre Notfall- und Resilienzplanung auf die Probe gestellt. Die Dokumentation dieser Wechselwirkungen in Ihren Risikobewertungen erleichtert es, strengere Kontrollen für bestimmte Lieferanten zu begründen und Ihre Entscheidungen gegenüber Wirtschaftsprüfern und Aufsichtsbehörden zu erläutern.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Entwicklung einer Lieferantenrisikoklassifizierung für PSPs und Oddsfeeds
Die Entwicklung einer Lieferantenrisikoklassifizierung für PSPs und Quotenfeeds bedeutet, eine unübersichtliche Datenbasis in ein einfaches, allgemein anwendbares Stufenmodell zu überführen. Ziel ist nicht eine perfekte Bewertung, sondern konsistente und transparente Entscheidungen, die Sie gegenüber Prüfern, Aufsichtsbehörden und internen Stakeholdern im Falle von Vorfällen oder Änderungen nachvollziehbar begründen können.
Ein gutes Klassifizierungsmodell ordnet die komplexe Lieferantenlandschaft klaren, wiederholbaren Stufen zu, die auch für Nicht-Fachleute verständlich sind. Ziel ist keine mathematisch perfekte Bewertung. Vielmehr geht es darum, das potenzielle Schadenspotenzial eines Lieferanten mit dem Aufwand für die Risikokontrolle in Einklang zu bringen – und zwar so, dass Ihre Teams die Ergebnisse den Aufsichtsbehörden verständlich erklären können.
Auswahl praktischer Risikokriterien für PSPs und Odds-Feeds
Die Wahl praxisorientierter Risikokriterien für Zahlungsdienstleister und Quotenfeeds bedeutet, einige wenige geschäftsrelevante Kennzahlen auszuwählen und diese konsequent anzuwenden, anstatt einem komplexen Bewertungssystem zu folgen. Wenn Sicherheits-, Risiko-, Produkt- und Vertriebsteams Lieferanten nach denselben Kriterien einstufen, erkennen die Aufsichtsbehörden einen ausgereiften und gut geregelten Ansatz.
Für die meisten Spielestudios und iGaming-Anbieter haben sich vier Stufen bewährt: kritisch, hoch, mittel und niedrig. Anstatt vage Bezeichnungen wie „strategischer Lieferant“ oder „hohe Ausgaben“ zu verwenden, sollten Sie die Stufen anhand konkreter, für Ihr Unternehmen relevanter Kriterien definieren, wie zum Beispiel:
- Transaktionsvolumen und -wert: Wie viel Geld fließt direkt oder indirekt über diesen Lieferanten?
- Auswirkungen auf die Lizenz: Könnte ein Versagen oder Verstoß hier das Interesse der Aufsichtsbehörde wecken oder die Lizenzbedingungen gefährden?
- Datensensibilität: Welche Arten von persönlichen, finanziellen oder Verhaltensdaten verarbeitet bzw. sieht der Anbieter ein?
- Technische Kopplung: Wie eng ist der Lieferant in Ihre Kernsysteme integriert und wie schwierig ist es, ihn zu ersetzen?
- Verfügbarkeitsabhängigkeit: Was passiert mit den Spielern und anderen Steuerelementen, wenn dieser Anbieter ausfällt oder unzuverlässig ist?
Zahlungsdienstleister und Wettanbieter erzielen in der Regel auf mehreren dieser Achsen hohe Werte, sodass viele von ihnen berechtigterweise in die kritische Kategorie fallen. Das ist kein Fehler, sondern entspricht der Realität. Wichtig ist, die praktische Bedeutung jeder Kategorie schriftlich festzuhalten, damit Teams aus den Bereichen Sicherheit, Risikomanagement, Beschaffung und Produktentwicklung einheitliche Entscheidungen treffen können.
Um subjektive Beurteilungen zu vermeiden, sollten Sie Ihre Klassifizierungslogik in einfache Fragen oder Bewertungsmatrizen fassen. Verschiedene Teams sollten dieselben Kriterien auf einen Lieferanten anwenden und in den meisten Fällen dieselbe Kategorie erreichen. Falls dies nicht der Fall ist, betrachten Sie es als Hinweis darauf, dass Ihre Kriterien verfeinert werden müssen, und nicht als Streitpunkt aufgrund von Persönlichkeiten oder Budgets.
Klare Risikostufen wandeln hitzige Auseinandersetzungen über einzelne Lieferanten in strukturierte Gespräche über vereinbarte Regeln um.
Umwandlung von Risikostufen in konkrete Behandlungspläne
Die Umwandlung von Risikostufen in konkrete Behandlungspläne bedeutet, jede Klassifizierung mit einem definierten Mindestsatz an Prüfungen, Vertragsbedingungen und Überwachungsmaßnahmen zu verknüpfen. Dadurch erhalten Ihre Teams einen Leitfaden für die Zusammenarbeit mit Zahlungsdienstleistern und Wettanbietern, anstatt bei jedem neuen Geschäft oder Vorfall den Ansatz neu entwickeln zu müssen.
Sobald Sie sich auf Stufen geeinigt haben, verknüpfen Sie jede Stufe mit einem Basisbehandlungsplan. Beispielsweise könnten Sie festlegen, dass kritische Lieferanten Folgendes erfüllen müssen:
- Führen Sie eine erweiterte Sorgfaltsprüfung durch, die über einfache Fragebögen hinausgeht und Sicherheits- und Resilienzbewertungen umfasst.
- Erhalten Sie Einblick auf Führungsebene in Onboarding-Prozesse, Vertragsverlängerungen und alle wichtigen Änderungen.
- Akzeptieren Sie strengere Vertragsbedingungen in Bezug auf Sicherheit, Kontinuität, Prüfungsrechte und Reaktion auf Sicherheitsvorfälle.
- Eine häufigere Überwachung mit regelmäßigen Berichten und Überprüfungsgesprächen ist erforderlich.
Lieferanten mit hohem Risiko erhalten möglicherweise eine etwas weniger strenge Version dieser Basisanforderungen. Lieferanten mit mittlerem Risiko müssen sich einer grundlegenden Sorgfaltsprüfung und Standardvertragsklauseln unterziehen. Lieferanten mit niedrigem Risiko benötigen unter Umständen nur einfache Prüfungen, um sicherzustellen, dass sie nicht unerwartet sensible Daten oder kritische Prozesse verarbeiten.
Um dieses Modell relevant zu halten, sollte es als dynamisches Instrument betrachtet werden. Neue Produkte, neue regulatorische Anforderungen und sich ändernde Bedrohungsmuster können die Einstufung der Lieferanten verändern. Benennen Sie einen Verantwortlichen – häufig den CISO oder den Risikomanager – und planen Sie regelmäßige Überprüfungen der Klassifizierung mit den zuständigen Ansprechpartnern aus Technik, Business und Compliance. Passen Sie Kriterien, Stufen und Baselines nach Bedarf an und stellen Sie sicher, dass Änderungen überall dort abgebildet werden, wo Sie Lieferantendatensätze speichern, beispielsweise in einer ISMS-Plattform wie ISMS.online.
Damit ist A.5.19 keine abstrakte Erwartung mehr, das „Lieferantenrisiko zu managen“, sondern ein praktischer Motor, der bestimmt, wen man prüft, wie gründlich man dabei vorgeht und wie oft man frühere Entscheidungen überprüft.
Sorgfältige Prüfung, Einarbeitung und Vertragsgestaltung, die wirklich Bestand haben
Sorgfältige Prüfung, Onboarding und Vertragsgestaltung halten nur dann stand, wenn sie Ihre Risikostufen widerspiegeln und Nachweise liefern, die Sie für Audits, Aufsichtsbehörden und interne Prüfungen wiederverwenden können. Für Zahlungsdienstleister und Wettanbieter bedeutet dies, gezielte Fragen zu stellen, Antworten strukturiert zu erfassen und Vereinbarungen in rechtsverbindliche Verpflichtungen statt vager Versprechen umzuwandeln.
Die Risikoklassifizierung zeigt Ihnen, worauf Sie sich konzentrieren müssen. Sorgfaltsprüfung und Verträge dienen dazu, diese Fokussierung in konkrete Erwartungen umzusetzen, die auch Anfragen von Aufsichtsbehörden, Beschwerden von Spielern und schwierigen Vorfällen standhalten. Standardisierte Fragebögen und vage Formulierungen in Verträgen sind selten ausreichend, wenn es um finanzielle Verluste oder die Frage der Fairness geht.
Ein Due-Diligence-Paket erstellen, das tatsächlich genutzt wird
Ein effektives Due-Diligence-Paket erfordert kurze, standardisierte Fragenkataloge, abgestimmt auf verschiedene Risikostufen, die in den Beschaffungsprozess integriert werden, anstatt ad-hoc-Tabellen zu versenden. Wenn ausgelastete Produkt- oder Vertriebsteams die Due Diligence als Teil des normalen Geschäftsablaufs betrachten, ist die Wahrscheinlichkeit deutlich höher, dass sie ordnungsgemäß durchgeführt wird.
Für jeden Zahlungsdienstleister und Wettanbieter sollten Sie ein standardisiertes Due-Diligence-Paket erstellen, das stets dieselben Kernfragen beantwortet. Ziel ist es, einheitlich und verhältnismäßig vorzugehen und die Anbieter nicht mit Papierkram zu überfordern. Typische Bestandteile sind:
- Unternehmensdetails und Eigentumsverhältnisse, damit Sie verstehen, wer letztendlich die Kontrolle über den Lieferanten hat.
- Genehmigungen und Lizenzen der Aufsichtsbehörden für relevante Finanz- und Glücksspielaktivitäten.
- Eine Zusammenfassung der Governance, Richtlinien und wichtigsten Kontrollmechanismen für Informationssicherheit.
- Nachweis sicherer Entwicklungs- und Änderungsmanagementpraktiken für relevante Systeme.
- Fähigkeiten zur Geschäftskontinuität und Notfallwiederherstellung, einschließlich der erwarteten Wiederherstellungszeiten.
- Eine Übersicht über die wichtigsten Vorfälle und wie ähnliche Ereignisse gehandhabt wurden.
Bei kritischen Lieferanten können Sie detailliertere technische Prüfungen, Architekturskizzen, Zusammenfassungen von Penetrationstests oder das Recht auf Gespräche mit wichtigen Sicherheitsbeauftragten einbeziehen. Für Lieferanten mit mittlerem und niedrigem Risiko genügen unter Umständen ein kürzerer Fragebogen und öffentliche Stellungnahmen. Entscheidend ist, dass der Umfang der Prüfungen dem Risikograd entspricht und die Ergebnisse so gespeichert werden, dass sie für Prüfer und Aufsichtsbehörden einsehbar sind.
Ein pragmatischer Ansatz hierfür ist die Integration von Due-Diligence-Prüfungen in die Prozesse der Beschaffung und des Lieferantenmanagements. Werden Sicherheitsfragen und die Erfassung von Nachweisen in einem separaten, manuellen Prozess durchgeführt, werden sie unter Zeitdruck vernachlässigt. Sind sie hingegen Teil der standardmäßigen Genehmigungsprozesse Ihres ISMS oder Lieferantenmanagement-Tools, werden sie zur Routine statt zur Ausnahme.
Schritt 1 – Legen Sie die Mindestanzahl an Fragen pro Risikostufe fest.
Definieren Sie die wesentlichen Themen, die Sie von kritischen, Hochrisiko-, Mittelrisiko- und Niedrigrisiko-Lieferanten stets verlangen.
Schritt 2 – Wiederverwendbare Vorlagen und Besitzerrollen erstellen
Erstellen Sie einfache Vorlagen für jede Ebene und weisen Sie klare Verantwortliche für das Versenden, Nachfassen und Überprüfen der E-Mails zu.
Schritt 3 – Integrieren Sie diese Vorlagen in die Beschaffungs- und Onboarding-Prozesse.
Verknüpfen Sie Vorlagen mit bestehenden Einkaufs- und Vertragsabwicklungsschritten, sodass diese automatisch ausgelöst werden.
Schritt 4 – Ergebnisse speichern und mit Lieferantendatensätzen und Risikobewertungen verknüpfen
Bewahren Sie alle abgeschlossenen Pakete, die mit Lieferantenprofilen, Risikobewertungen und Verträgen verknüpft sind, an einem zentralen Ort auf.
Diese einfachen Schritte wandeln die Sorgfaltsprüfung von einer Ad-hoc-Anfrage in eine wiederholbare, überprüfbare Aktivität um, die von Glücksspielaufsichtsbehörden und Wirtschaftsprüfern als robust anerkannt wird.
Durchsetzbare Sicherheits- und Kontinuitätsklauseln in Verträge aufnehmen
Die Integration rechtsverbindlicher Sicherheits- und Kontinuitätsklauseln in Verträge erfordert die Zusammenarbeit mit der Rechtsabteilung, um klare, wiederverwendbare Sicherheitspläne zu erstellen, die auf Ihre Risikostufen abgestimmt sind. Aufsichtsbehörden und Wirtschaftsprüfer legen weniger Wert auf elegante Formulierungen, sondern vielmehr darauf, ob die Klauseln so präzise sind, dass sie im Falle von Vorfällen oder Streitigkeiten geprüft und angewendet werden können.
ISO 27001 A.5.20 verlangt, dass Informationssicherheitsanforderungen klar und durchsetzbar in Lieferantenverträge aufgenommen werden. Dies bedeutet in der Regel die Zusammenarbeit mit der Rechtsabteilung zur Entwicklung von Sicherheitsplänen oder -zusätzen, die Sie Rahmenverträgen und Datenverarbeitungsvereinbarungen beifügen können.
Für PSPs und Wettanbieter sollten diese Zeitpläne in angemessenem Detail Folgendes abdecken:
- Welche Normen, Gesetze und internen Richtlinien der Lieferant einhalten muss.
- Minimale technische und organisatorische Kontrollmaßnahmen, wie Verschlüsselung, Zugriffskontrolle, Protokollierung, Überwachung und Umgebungstrennung.
- Zeitvorgaben und Formate für die Meldung von Vorfällen, die Ihre Spieler oder Ihren Spielbetrieb betreffen.
- Recht auf Einholung unabhängiger Bestätigungen, Anforderung von Klarstellungen oder Durchführung von Prüfungen im Rahmen des Zumutbaren.
- Regeln für die Beauftragung und den Wechsel von Unterauftragnehmern sowie die Verpflichtung, Sie auf dem Laufenden zu halten.
- Verpflichtungen zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung nach Katastrophen, einschließlich der Wiederherstellungsziele.
- Klare Verfahren für eine sichere Kündigung, einschließlich Datenrückgabe oder -löschung und Unterstützung beim Übergang.
Um die Verhandlungen überschaubar zu halten, legen viele Organisationen intern je nach Risikostufe unterschiedliche Vertragsstufen fest. Kritische Lieferanten müssen bestimmte Sicherheits- und Kontinuitätsverpflichtungen akzeptieren, während Lieferanten mit mittlerem Risiko eine vereinfachte Version angeboten werden kann. Die frühzeitige Einigung dieser Stufen zwischen Vertrieb, Recht und Sicherheit verhindert, dass jede Vertragsverhandlung zu neuen Auseinandersetzungen über die grundlegenden Erwartungen führt.
Sie sollten auch an das Ende der Geschäftsbeziehung denken. Der Ausstieg aus einem Zahlungsdienstleister oder Wettanbieter unter Druck – etwa nach einem Vorfall, einer Streitigkeit oder einem regulatorischen Problem – verläuft selten reibungslos. Durch die Aufnahme expliziter Kündigungs- und Übergangsklauseln in die Verträge und das Üben ihrer Bedeutung in realistischen Szenarien lässt sich verhindern, dass eine schwierige Situation zu einer ausgewachsenen Sicherheits- oder Compliance-Krise eskaliert.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Leben mit dem Risiko: Überwachung, Vorfälle und Veränderungen
Der Umgang mit Lieferantenrisiken gemäß A.5.19 bedeutet, nachzuweisen, dass die Aufsicht auch lange nach Vertragsabschluss fortgeführt wird – durch regelmäßiges Monitoring, klare Notfallpläne und strukturiertes Änderungsmanagement. Glücksspielaufsichtsbehörden und -prüfer beurteilen Ihre Reife oft weniger anhand von Richtlinien, sondern vielmehr anhand Ihres Verhaltens, wenn Zahlungsdienstleister und Wettanbieter Fehler machen oder ihre Strategie ändern.
Sobald ein Zahlungsdienstleister oder Wettanbieter live ist, liegt die wahre Bewährungsprobe für Ihre A.5.19-Implementierung darin, wie Sie die Beziehung im Laufe der Zeit gestalten. Monitoring, Vorfallmanagement und Änderungsmanagement sind die Punkte, an denen Theorie entweder in die tägliche Praxis umgesetzt wird oder stillschweigend scheitert, insbesondere unter dem Druck von Großveranstaltungen im Sport oder saisonalen Spitzenzeiten.
Wie eine verhältnismäßige, fortlaufende Lieferantenüberwachung aussieht
Eine verhältnismäßige und kontinuierliche Lieferantenüberwachung kombiniert planmäßige Prüfungen mit ereignisgesteuerten Überprüfungen, sodass kritische Zahlungsdienstleister und Risikomanager mehr Aufmerksamkeit erhalten als weniger wirksame Tools. Prüfer erwarten in der Regel einen Überprüfungskalender, klar definierte Verantwortliche und eine Dokumentation Ihrer Maßnahmen bei Änderungen der Leistung, von Vorfällen oder des Leistungsumfangs.
Die Überwachung sollte Routineprüfungen mit ereignisgesteuerten Reaktionen kombinieren. Für jede Risikostufe sollte definiert werden, was „laufende Überwachung“ konkret bedeutet. Für kritische und Hochrisikolieferanten könnte dies Folgendes umfassen:
- Regelmäßige Leistungs- und Verfügbarkeitsberichte, insbesondere im Vorfeld von Großveranstaltungen.
- Regelmäßige Sicherheitsmitteilungen oder aktualisierte Prüfberichte.
- Aktualisierung der Due-Diligence-Fragebögen in vereinbarten Abständen.
- Regelmäßige Besprechungen zur Überprüfung von Vorfällen, Änderungen und anstehenden Plänen.
Für Lieferanten mit mittlerem und niedrigem Risiko können weniger aufwändige Maßnahmen ausreichen, wie beispielsweise jährliche Kontrollen oder einfache Bestätigungen, dass sich nichts Wesentliches geändert hat. Wichtig ist, dass Umfang und Häufigkeit der Überwachung dem Risiko angemessen sind, klar dokumentiert werden und nachweisbar durchgeführt werden.
Eine integrierte ISMS-Plattform wie ISMS.online unterstützt Sie dabei, diese Aktivitäten konsistent zu gestalten, indem sie Lieferantendatensätze, Risiken, Maßnahmen und Prüfaufgaben verknüpft. Anstatt in Postfächern nach alten Leistungsberichten zu suchen, erhält Ihr Team eine zentrale Zeitleiste der Überwachungsaktivitäten für jeden Zahlungsdienstleister oder Risikomanager.
Auf Zwischenfälle und Lieferantenwechsel ohne Chaos reagieren
Um bei Vorfällen und Lieferantenwechseln reibungslos reagieren zu können, ist es unerlässlich, im Voraus Vorgehensweisen festzulegen und Lieferantenbenachrichtigungen in die eigenen Prozesse zu integrieren. Wenn Zahlungsdienstleister oder Wettanbieter Probleme haben, prüfen die Aufsichtsbehörden, ob bereits feststand, wer die Leitung übernimmt, wer sie informiert und wie die Spieler während der Problemlösung geschützt werden.
Der Umgang mit Sicherheitsvorfällen verdient besondere Aufmerksamkeit. Wenn ein Zahlungsdienstleister oder Wettanbieter einen Sicherheitsvorfall erlebt, erfahren Sie möglicherweise gleichzeitig mit anderen Kunden davon – oder erst später. Um Verwirrung und gegenseitige Schuldzuweisungen im entscheidenden Moment zu vermeiden, sollten Sie im Vorfeld Notfallpläne mit wichtigen Lieferanten vereinbaren.
Diese Spielregeln sollten Folgendes klarstellen:
- Welche Ereignisse müssen Ihnen gemeldet werden und innerhalb welcher Fristen?
- Kontaktpunkte auf beiden Seiten, einschließlich Ausweichpositionen.
- Wie Sie Protokolle und forensische Informationen im Rahmen der rechtlichen und vertraglichen Bestimmungen weitergeben werden.
- Wer ist für die Kommunikation mit Regulierungsbehörden, Zahlungssystemen, Partnern und Spielern verantwortlich?
- Wie Sie die Wiederherstellungsmaßnahmen und die Nachbesprechungen nach dem Vorfall koordinieren werden.
Visuell: einfaches Swimlane-Diagramm, das Lieferantenvorfälle mit Ihren Rollen in den Bereichen Sicherheit, Compliance, Produkt und Kundensupport verknüpft.
Planspiele anhand realistischer Szenarien – etwa ein kompromittierter Tokenisierungsdienst eines Zahlungsdienstleisters oder ein manipulierter Quotenfeed während eines wichtigen Spiels – können Schwachstellen aufdecken, bevor es zu echten Krisen kommt. Sie helfen Führungskräften außerdem, ihre Rolle zu verstehen und sich auf externe Prüfungen vorzubereiten.
Änderungsmanagement ist die andere Hälfte des „Lebens mit dem Risiko“. Lieferanten stehen selten still: Sie erweitern ihr Serviceangebot, eröffnen neue Rechenzentren, integrieren neue Subprozessoren, fusionieren mit anderen Unternehmen oder passen ihre Geschäftsmodelle an. Viele dieser Änderungen beeinflussen Ihr Risikoprofil. Ein ausgereifter A.5.19-Prozess stellt sicher, dass wesentliche Lieferantenänderungen eine Neubewertung auslösen und nicht nur ein Ticket für die technische Integration.
Dies lässt sich erreichen, indem Sie Lieferanten verpflichten, Sie über wesentliche Änderungen zu informieren, diese Benachrichtigungen in Ihre eigenen Änderungs- und Risikobewertungsprozesse integrieren und gegebenenfalls Klassifizierungen, Sorgfaltsprüfungsunterlagen und Verträge aktualisieren. Die Einbeziehung von Stakeholdern aus den Bereichen Sicherheit, Compliance, Produktentwicklung und Vertrieb in diese Entscheidungen verringert das Risiko, dass jemand eine Änderung akzeptiert, die andere infrage gestellt hätten.
Viele Organisationen bündeln alle Elemente und schaffen so ein einheitliches „Lieferanten-Governance“-Betriebsmodell, das die Abschnitte A.5.19, A.5.20, A.5.21 und A.5.22 miteinander verbindet. In der Praxis bedeutet das oft Folgendes:
- Ein zentrales Register mit Lieferanten, Risikoklassifizierungen, wichtigen Ansprechpartnern und regulatorischen Kennzeichnungen.
- Verknüpfte Datensätze für Risikobewertungen, Ergebnisse von Due-Diligence-Prüfungen, Verträge, Vorfälle und Überprüfungen.
- Arbeitsabläufe, die das Onboarding, die Überwachung, die Änderungsabwicklung und die Kündigung steuern.
- Dashboards, die der Führungsebene einen strukturierten Überblick über Lieferantenrisiken und -überwachung bieten.
Die konsequente Umsetzung dieses Modells ist aufwendig, wenn man sich auf E-Mails und einzelne Dokumente verlässt. Eine ISMS-Plattform wie ISMS.online bietet Ihnen die nötige Struktur, die erforderlichen Hinweise und die Verknüpfung von Nachweisen, um die Lieferantensteuerung nachhaltig statt aufwendig zu gestalten.
Buchen Sie noch heute eine Demo mit ISMS.online
ISMS.online unterstützt Sie dabei, ISO 27001 A.5.19 in eine überschaubare, alltägliche Disziplin zu verwandeln. Mit einer zentralen Plattform können Sie die Lieferantensicherheit für Zahlungsdienstleister, Wettanbieter und andere risikoreiche Partner kontrollieren, nachweisen und verbessern. So wird A.5.19 von einer jährlichen Herausforderung zu einem festen Bestandteil Ihrer Spiel- und Wettprodukte. Wenn die Lieferanten-Governance in einer strukturierten Umgebung organisiert ist und alle Teams die gleichen Informationen haben und die gleichen Arbeitsabläufe befolgen, reduzieren Sie den Prüfungsstress, stärken das Vertrauen von Aufsichtsbehörden und internen Stakeholdern und ermöglichen es Ihren Mitarbeitern, sich auf die Entwicklung herausragender Kundenerlebnisse zu konzentrieren – und gleichzeitig die Kontrolle nachzuweisen.
Wie ISMS.online A.5.19 von der Theorie in die tägliche Praxis umsetzt
ISMS.online macht A.5.19 von einer reinen Papierfrage zu einer täglichen Praxis, indem es Ihre Lieferanten, Risiken, Verträge, Kontrollen und Maßnahmen in einem einzigen ISMS verknüpft. Anstatt E-Mail-Verläufe und Laufwerke zu durchsuchen, erhalten Sie eine zusammenhängende Historie von Entscheidungen, Prüfungen und Vorfällen, die für Prüfer und Aufsichtsbehörden leicht nachvollziehbar ist.
Eine dedizierte ISMS-Plattform ist eine der effektivsten Methoden, um Ihren Lieferantensicherheitslebenszyklus aufrechtzuerhalten, ohne Ihre Mitarbeiter zu überlasten. ISMS.online basiert auf ISO 27001 und verwandten Standards und kennt daher bereits die Zusammenhänge zwischen A.5.19, A.5.20, A.5.21 und A.5.22. Anstatt Sie zu zwingen, eine Vielzahl von Tabellenkalkulationen und freigegebenen Ordnern zusammenzustellen, bietet es eine zentrale Umgebung, in der:
- Lieferantendatensätze, Risikoklassifizierungen, Verträge und Nachweise befinden sich alle an einem Ort und sind mit Ihrem übergeordneten ISMS verknüpft.
- Workflows leiten Teams durch die Phasen Onboarding, Bewertung, Genehmigung, Überwachung, Änderung und Beendigung.
- Die mit den Anhängen A.5.19–A.5.22 abgestimmten Kontrollen und Richtlinien können übernommen, angepasst und zugewiesen werden, ohne dass man bei null anfangen muss.
- Maßnahmen, Entscheidungen und Ausnahmen werden mit klarer Verantwortlichkeit und Historie für Prüfungs- und behördliche Überprüfungszwecke erfasst.
Für Spielestudios und iGaming-Anbieter vereinfacht dies die Behandlung von Zahlungsdienstleistern, Wettanbietern und anderen risikoreichen Lieferanten als gleichwertige Partner im Rahmen des Sicherheits- und Compliance-Programms erheblich. Alle Beteiligten aus den Bereichen Sicherheit, Compliance, Recht, Produktentwicklung und Vertrieb erhalten so einen einheitlichen Überblick und verstehen ihre jeweiligen Rollen.
Ein praktischer Weg, den Nutzen zu ermitteln, ist der Einstieg mit ein oder zwei realen Geschäftsbeziehungen – beispielsweise einem zentralen Zahlungsdienstleister und einem großen Wettanbieter. Laden Sie deren Daten, Verträge, Risikobewertungen und bekannte Vorfälle in ISMS.online hoch und ordnen Sie sie den von der Plattform bereitgestellten Workflows zu. So erkennen Sie schnell, wo bereits stichhaltige Beweise vorliegen, wo Prozesse informell sind und wo Lücken bestehen. Erste Erfolge wie schnellere Lizenzanfragen, zügigere Due-Diligence-Prüfungen und weniger wiederholte Auditfragen stärken die interne Akzeptanz.
Die Entscheidung, ob jetzt der richtige Zeitpunkt zum Investieren ist
Ob jetzt der richtige Zeitpunkt für die Investition in eine ISMS-Plattform ist, hängt letztendlich davon ab, wie aufwendig es ist, alles mit Ihren aktuellen Tools abzustimmen. Wenn die Lieferantenverwaltung bereits Tabellenkalkulationen, manuelle Nachverfolgungssysteme und E-Mail-Postfächer überlastet, amortisiert sich eine strukturierte Umgebung in der Regel durch weniger Stress, klarere Nachweise und reibungslosere Audits.
Wenn Sie Ihren Ansatz noch testen, können Sie zunächst diese Ideen mit Ihren bestehenden Tools umsetzen: Erstellen Sie ein Lieferantenregister, definieren Sie Risikostufen, standardisieren Sie die Sorgfaltsprüfung und optimieren Sie Verträge. Mit zunehmender Reife dieser Praktiken werden Sie wahrscheinlich feststellen, dass die Abstimmung über alle Teams und Rechtsordnungen hinweg die eigentliche Herausforderung darstellt. An diesem Punkt ist eine ISMS-Plattform kein nettes Extra mehr, sondern der logische nächste Schritt.
Wenn Sie bereit sind, können Sie mit ISMS.online eine Demo buchen und sich ansehen, wie Ihre Arbeitswelt mit einer strukturierten Infrastruktur für das Lieferantenmanagement aussehen würde. Bringen Sie Ihre eigenen Beispiele von Zahlungsdienstleistern und Wettanbietern mit, prüfen Sie, wie die Arbeitsabläufe auf Ihre Bedürfnisse zugeschnitten sind, und entscheiden Sie, ob die Plattform zu Ihrer Unternehmensgröße, Ihren Märkten und den regulatorischen Anforderungen passt.
Entscheiden Sie sich für ISMS.online, wenn Sie möchten, dass sich ISO 27001 A.5.19 wie ein selbstverständlicher Bestandteil Ihres Prozesses zum Aufbau und Betrieb sicherer, vertrauenswürdiger Spiele anfühlt – und nicht wie eine angespannte Hektik vor jedem Audit oder Besuch der Aufsichtsbehörde.
Diese Informationen dienen lediglich der allgemeinen Orientierung und stellen keine Rechts- oder Regulierungsberatung dar. Sie sollten sich stets von qualifizierten Fachleuten beraten lassen, die Ihre spezifischen regulatorischen und vertraglichen Verpflichtungen kennen.
KontaktHäufig gestellte Fragen (FAQ)
Wie sollte ISO 27001 A.5.19 Ihre Vorgehensweise im Umgang mit Zahlungsdienstleistern und Wettanbietern verändern?
ISO 27001 A.5.19 sollte Sie dazu anhalten, Zahlungsdienstleister und Wettanbieter als Erweiterungen Ihres eigenen ISMS und LizenzrisikoEs handelt sich nicht um entfernte Integrationen, die man nur während des Onboardings betrachtet. Wenn deren Ausfall finanzielle Auswirkungen, Märkte, Spielerdaten oder Regulierungsbehörden haben kann, sind sie fest in Ihre Kontrollumgebung eingebunden.
Welchen Lebenszyklus erwartet A.5.19 tatsächlich im iGaming-Kontext?
Ein praktikabler Lebenszyklus für A.5.19 im Bereich Glücksspiel und Wetten umfasst üblicherweise fünf miteinander verbundene Phasen:
Geltungsbereich und Registrierung
Sie pflegen eine Einzel-, Eigentumsregister von Dritten, die Einfluss nehmen können:
- Spielerdaten (Identität, KYC/AML-Ergebnisse, Verhaltensdaten, Kontoverlauf)
- Zahlungsabläufe (Einzahlungen, Auszahlungen, Rückbuchungen, Guthaben in der Wallet, Bonusguthaben)
- Integrität von Wetten und Spielen (Quoten, Abrechnungslogik, Risikomodelle, Marktverfügbarkeit)
Dieses Register wird aktualisiert, wenn:
- Es wird ein neuer PSP, Quotenfeed oder Handelspartner vorgeschlagen.
- Ein bestehender Lieferant ändert seinen Umfang, sein geografisches Gebiet oder seine Produktpalette
- Eine Beziehung wird herabgestuft, ersetzt oder beendet.
Risikoklassifizierung und -einstufung
Sie bewerben sich einfache, veröffentlichte Kriterien-Zum Beispiel:
- Umsatz- und Transaktionsabhängigkeit
- Auswirkungen auf Lizenzverpflichtungen, Systeme und Kartenmarken
- Sensibilität für persönliche und finanzielle Daten
- technische Kopplung und einfache Austauschbarkeit
- Exposition während Spitzenzeiten (große Sportereignisse, Jackpots, Werbeaktionen)
Diese Antworten versetzen die Lieferanten in folgende Situationen: kritisch / hoch / mittel / niedrig Stufen, die sichtbar vorantreiben:
- Sorgfaltsprüfungstiefe
- Vertragsstärke
- Überwachung von Kadenz und Eskalation
Angemessene Sorgfaltsprüfung und Einarbeitung
Höhere Stufen erhalten:
- strukturierte Fragebögen und Nachweisanforderungen
- Architektur- und Datenflussanalysen
- Qualitätssicherungsdokumente (z. B. ISO 27001, PCI DSS, SOC 2, sofern relevant)
- explizite Freigabe vor dem ersten Produktionsverkehr
Die unteren Stufen folgen einem helleren Muster, sodass Sie Ertrinken Sie nicht in Kontrollen mit geringen Auswirkungen.
Benannte Eigentümer und laufende Überprüfungen
Sie weisen Eigentümer eindeutig für:
- die Genauigkeit des Registers und der Risikobewertungen gewährleisten
- Aktualisierung der Sorgfaltsprüfungsunterlagen und Kontrollen bei Änderungen der Dienstleistungen
- Durchführung regelmäßiger Überprüfungen und Freigabe verbleibender Risiken
Diese Überprüfungen sind zeitlich begrenzt und evidenzbasiert, nicht nach dem Motto „Wir haben es uns angesehen und es schien in Ordnung zu sein“.
Ausstieg und Lernen
Du planst wie Sie gehen werden Bevor Sie live gehen:
- Datenrückgabe oder bestätigte Löschung
- Schlüssel- und Anmeldeinformationswiderruf
- Außer Betrieb genommene Endpunkte oder Regeln
- Änderungen der Risikohaltung und der Annahmen zur Resilienz
Jeder Ausstieg bringt neue Erkenntnisse darüber ein, was man beim nächsten Mal anders machen würde, sodass sich Stärken und Schwächen im Laufe der Zeit verstärken.
Wenn Sie diesen Lebenszyklus in ISMS.online zentralisieren – Lieferantenregister, Risikologik, Due-Diligence-Ergebnisse, Verträge, Überwachungsnotizen und Ausgänge –, können Sie den Prüfern zeigen, dass A.5.19 kein Grundsatzabsatz ist, sondern die Art und Weise, wie Sie PSPs und Wettanbieter jeden Tag behandeln.
Welche Anbieter fallen tatsächlich unter A.5.19 in einem ISMS für iGaming oder Wetten?
A.5.19 deckt ab jede externe Partei, deren Versagen oder Gefährdung die Vertraulichkeit, Integrität, Verfügbarkeit, Einhaltung der Vorschriften oder das Vertrauen der Spieler wesentlich beeinträchtigen könnte.Im Glücksspiel- und Wettbereich geht das schnell über die traditionellen „IT-Anbieter“ hinaus.
Wie kann man systematisch entscheiden, wer in den Geltungsbereich gehört?
Ein praktischer Weg, um blinde Flecken zu vermeiden, besteht darin, die realen Erfahrungen Ihrer Spieler und Teams nachzuvollziehen und anschließend die Lieferanten darüber zu schichten.
Kartieren Sie die realen Reisen
Zwei Titel abdecken:
- Spieler- und Transaktionsablauf:
Registrierung → Verifizierung → Einzahlung → Spielablauf oder Wettplatzierung → Aktualisierungen während des Spiels → Abrechnung → Auszahlung → Streitbeilegung → Kontoschließung.
- Interner Betriebsablauf:
Risiko- und Handelsentscheidungen, Quoten- und Inhaltsaktualisierungen, Marketingkampagnen, Betrugs- und Geldwäschebekämpfung, Vorfallmanagement, Lizenzberichterstattung und Audits.
Bei jedem Schritt auflisten jede dritte Partei, die Daten, Entscheidungen oder Gelder berührt., Zum Beispiel:
- Zahlungsdienstleister und Gateways
- Sportdaten- und Quotenanbieter
- Managed Trading Desks und Risikoberater
- KYC/AML/Betrugsplattformen
- Hosting-, CDN-, DDoS- und Protokollierungsanbieter
- ausgelagerte Entwicklungs- oder Betriebsteams mit Produktionszugriff
Stellen Sie jedem Lieferanten drei grundlegende Fragen.
Für jeden Namen auf dieser Karte:
- Wenn dieser Lieferant ausfällt oder kompromittiert wird, Was erlebt der Spieler zuerst?
(gesperrte Einzahlungen, fehlende Märkte, falsche Quoten, verzögerte Abrechnungen, eingefrorene Auszahlungen)
- Welche Regulierungsbehörden oder Institutionen würden Antworten fordern? Und welche Verpflichtungen würden Ihnen sofort Schwierigkeiten bereiten, zu erfüllen?
(Lizenzbedingungen, AML-Meldepflichten, PSD2/SCA, DSGVO, Kartensystemregeln)
- Wie schwierig ist es, sie zu ersetzen? Aus technischer, kommerzieller und lizenzrechtlicher Sicht?
Wenn eine Antwort auf blockierte Gelder, falsche Wetten oder Ergebnisse, versäumte Meldungen, sichtbare Probleme mit der Spielintegrität oder einen offensichtlichen Vertrauensverlust hinweist, fällt dieser Anbieter in Ihren Anwendungsbereich gemäß A.5.19.
Die Erfassung dieser Entscheidungen in einem ISMS.online-Arbeitsbereich hilft Ihnen dabei:
- Vermeiden Sie die übermäßige Kontrolle von SaaS-Tools mit geringem Einfluss, die niemals Spielerdaten oder Geld einsehen.
- Vergessen Sie nicht die Abhängigkeiten außerhalb der IT – wie Beratungsfirmen oder ausgelagerte Handelsteams –, die von den Aufsichtsbehörden immer noch als Teil Ihres Kontrollumfelds angesehen werden.
Im Laufe der Zeit wird diese Karte zu einer wichtigen Grundlage für Wirtschaftsprüfer: „Hier erfahren Sie genau, auf wen wir uns verlassen, warum diese Personen wichtig sind und wie A.5.19 unsere Vorgehensweise in Bezug auf sie beeinflusst.“
Wie können Sie PSPs und Odds-Anbieter nach ihrem Risiko einstufen, damit Ihre Kontrollmaßnahmen verhältnismäßig bleiben?
Die Risikoklassifizierung ist nützlich, wenn Jeder, der am Onboarding beteiligt ist, kann es schnell anwenden und die gleiche Stufe erreichen.und wenn diese Ebenen unterschiedliche Aktionen auslösen. Überentwickelte Modelle werden unter Zeitdruck fast immer ignoriert.
Wie sieht ein einfaches, aber effektives Klassifizierungsmodell aus?
Beginnen Sie mit einem kurzen Satz konkreter Fragen, die während des Onboardings in normaler Sprache beantwortet werden können:
1. Geschäfts- und Umsatzabhängigkeit
- Welcher Anteil der Einlagen, Abhebungen, des Handelsvolumens oder der aktiven Märkte hängt von diesem Anbieter ab?
- Würde ein Versagen an dieser Stelle wichtige Einnahmequellen oder Vorzeigeveranstaltungen unmittelbar blockieren oder beeinträchtigen?
2. Auswirkungen auf Regulierung und Lizenzierung
- Würde ein schwerwiegender Vorfall mit hoher Wahrscheinlichkeit eine Überprüfung durch Ihre Glücksspielaufsichtsbehörde, Kartenorganisationen, Geldwäschebekämpfungsbehörde oder Datenschutzbehörde auslösen?
- Ist dieser Lieferant in Märkten oder Rechtssystemen tätig, die Ihr regulatorisches Risiko erhöhen?
3. Datensensibilität und Rolle
- Verarbeitet der Lieferant Ausweisdokumente, Zahlungsdaten, KYC-Ergebnisse, Verhaltensdaten, Geräte-Fingerprints oder Handelsalgorithmen?
- Fungieren sie als Datenverarbeiter, gemeinsam Verantwortlicher oder unabhängiger Verantwortlicher für diese Informationen?
4. Technische Kopplung und Resilienz
- Stellt dieser Lieferant faktisch eine zentrale Fehlerquelle für Zahlungen, Quoten, Abrechnung oder Berichterstattung dar?
- Haben Sie realistische Alternativen, Dual-Sourcing oder manuelle Ausweichmöglichkeiten?
5. Tempo und Transparenz ändern.
- Wie häufig ändern sie Schnittstellen, Dateiformate, Grenzwerte oder Logik auf eine Weise, die Ihre Kontrollen oder Berichte beeinträchtigt?
- Wie früh und wie eindeutig erfahren Sie von diesen Veränderungen?
Sie können die Antworten übersetzen in eine EtagentischZum Beispiel 1–4 Punktzahlen pro Frage, die zu „kritisch“, „hoch“, „mittel“ oder „niedrig“ zusammengefasst werden. Wichtig ist, was jede Stufe freischaltet:
- Kritisch: → den größten Teil Ihres Volumen- oder Lizenzrisikos: verstärkte Sorgfaltsprüfung, starke Klauseln, regelmäßige Überprüfungen, explizite Notfallpläne und Dual-Sourcing, wo dies realistisch ist.
- Hoch: → wichtig, aber nicht existenziell: gezielte Due-Diligence-Prüfungen, zielgerichtete Klauseln, jährliche formale Überprüfungen plus ereignisbasierte Kontrollen.
- Mittel/Niedrig: → sinnvolle Kontrollen und einfachere Bedingungen, die ihre bescheidene Auswirkung widerspiegeln.
Durch die Einbettung dieser Logik in die Lieferantendatensätze in ISMS.online wird die Klassifizierung umgewandelt in ein normaler Arbeitsschritt anstatt einer separaten Tabelle. So können Sie den Prüfern nicht nur zeigen, dass Sie die Lieferanten bewertet haben, sondern auch, dass Die Risikostufe bestimmt maßgeblich, wie Sie Zahlungsdienstleister und Wettanbieter auswählen, Verträge abschließen und deren Leistung überwachen.
Wie sollten eine gründliche Due-Diligence-Prüfung und ein Onboarding-Prozess für risikoreichere Zahlungsdienstleister und Wettanbieter aussehen?
Für kritische und risikoreiche Lieferanten sieht A.5.19 einen sorgfältigen Prüfungsansatz vor, der wiederholbar, evidenzbasiert und auf Ihre Risikostufen abgestimmt, kein maßgeschneiderter Fragebogen, der von dem Team erfunden wurde, das in der jeweiligen Woche am lautesten geschrien hatte.
Welche Prüfungen sollten für Lieferanten mit höherem Risiko standardisiert werden?
Bei den Top-Tiers konzentrieren sich die meisten Anbieter auf ein Kernpaket mit fünf Schwerpunkten.
Unternehmensprofil und regulatorische Ausrichtung
- Eigentum und Kontrolle (einschließlich wirtschaftlich Berechtigter und wichtiger Jurisdiktionen)
- Historie in regulierten Sektoren, einschließlich relevanter Durchsetzungsmaßnahmen, die Sie überprüfen können
- Lizenzen, auf die sie für ihren Betrieb angewiesen sind (Zahlungsverkehr, Datenverarbeitung, Glücksspiel, Finanzdienstleistungen).
Sicherheitsgovernance und ISMS-Reifegrad
- Benannte Sicherheits- und Kontinuitätsrollen mit Kontaktwegen, die Sie unter Druck nutzen können.
- Nachweise dafür, dass sie Risiken, Vorfälle und Veränderungen systematisch und nicht ad hoc managen.
- anerkannte Rahmenwerke oder Zertifizierungen, sofern sie zum Service passen – zum Beispiel:
- ISO 27001 für umfassendere Informationssicherheitskontrollen
- PCI DSS für Kartenverarbeitungsdienstleister
- SOC-2-Berichte für Dienstleistungsorganisationen mit breitem Zugriff
Technische Architektur und Integration
- übersichtliche Datenflussdiagramme oder Beschreibungen, die die Erfassung, Verarbeitung, Speicherung und Übertragung abdecken.
- Authentifizierungsmuster, Zugriffstrennung, Verschlüsselungsverfahren, Protokollierung und Überwachung
- Entwicklungs- und Implementierungsprozess, insbesondere im Hinblick auf Änderungen, die sich auf Quoten, Abrechnung oder Berichterstattung auswirken.
Kontinuität und Leistungsfähigkeit unter Belastung
- Dokumentierte Erholungszeit und Toleranz gegenüber Datenverlusten im Vergleich zu Ihrem eigenen Appetit
- Vorgehensweise bei Großveranstaltungen und Kampagnen – wie sie geplant, getestet und erweitert werden
- Nachweise über kürzlich durchgeführte Ausfall- oder Kontinuitätstests und deren Ergebnisse
Unabhängige Prüfung und Übereinstimmung mit Ihren Verpflichtungen
- relevante externe Berichte oder Bescheinigungen, auf Umfang und Aktualität geprüft
- Klarheit darüber, wie ihre Kontrollmechanismen Ihnen helfen, Ihre Lizenzbedingungen, Geldwäschebekämpfungspflichten, DSGVO-Vorgaben und andere lokale Verpflichtungen zu erfüllen.
Der Anbieter, der den Großteil Ihres Kartenvolumens oder Ihren primären Sportdatenfeed abwickelt, wird hier natürlich mehr Detailtiefe rechtfertigen als ein Anreicherungsdienst mit geringem Volumen.
Wenn diese Prüfungen, Ergebnisse, Dokumente und Genehmigungen in einem einzigen ISMS.online-Datensatz zusammengefasst sind, können Sie:
- Diese Arbeit kann für ISO 27001-Audits, Lizenzverlängerungen und Sicherheitsfragebögen wiederverwendet werden.
- eine gerade Linie von „als kritisch identifiziert“ zu „Sorgfaltspflichten erfüllt und Maßnahmen ergriffen“ darstellen
- Vermeiden Sie hektische Situationen in letzter Minute, wenn Aufsichtsbehörden oder Partner fragen: „Was genau haben Sie überprüft, bevor Sie mit diesem Zahlungsdienstleister oder Wettanbieter live gegangen sind?“
Wie lassen sich Erwartungen an die Kontrollmechanismen von PSP und Quotenanbietern in Verträge umwandeln, die Sie tatsächlich schützen?
Die Vertragssprache verschafft Ihnen Verhandlungsmacht, wenn Es wandelt Ihr Risikomodell in konkrete, messbare Verpflichtungen um.Allgemeine Floskeln über „bewährte Vorgehensweisen“ helfen selten, wenn Gelder feststecken oder die Wahrscheinlichkeiten bei einem Großereignis falsch eingeschätzt wurden.
Wie erstellt man Klauselsätze, die das Lieferantenrisiko erfassen und gleichzeitig wartungsfreundlich sind?
Ein praktisches Vorgehen besteht darin, Folgendes beizubehalten wiederverwendbare Klauselbibliotheken, die auf Ihre Risikostufen abgestimmt sindSo können die Rechts- und Vertriebsteams schnell agieren, ohne alles von Grund auf neu erfinden zu müssen.
Für kritische PSPs und WettanbieterVerträge umfassen üblicherweise Folgendes:
Benannte Standards und Kontrollbaselines
Sie benennen explizit die Rahmenbedingungen oder Verpflichtungen, die am wichtigsten sind, zum Beispiel:
- PCI DSS für Kartenverarbeitungsdienstleister
- ISO 27001-konforme Kontrollen für Datenverarbeiter
- einschlägige lokale technische Standards von Glücksspielbehörden oder -organisationen
Technische und organisatorische Maßnahmen
Sie formulieren Erwartungen konkret, zum Beispiel:
- Verschlüsselungsanforderungen (während der Übertragung und im Ruhezustand)
- Multifaktorieller und rollenbasierter Zugang
- Patching und Schwachstellenmanagement-Windows
- Änderungskontrolldisziplin für Änderungen, die Märkte, Quoten, Abrechnung oder Berichterstattung betreffen.
- Mindestprotokollierungs- und Überwachungsabdeckung für Ihre Transaktionen und Daten
Meldung von Vorfällen und Zusammenarbeit
Sie definieren:
- Was gilt als meldepflichtiger Vorfall?
- Zeitrahmen für die erste Benachrichtigung und laufende Aktualisierungen
- Die von Ihnen erwarteten Beweise und Unterstützung für Untersuchungen und behördliche Angelegenheiten
Unterauftragnehmer und kritische Unterauftragnehmer
Sie benötigen:
- Genehmigung oder Benachrichtigung von Materialunterverarbeitern
- Mindestkontrollen, die sie erfüllen müssen
- Transparenz zumindest in der Kette, die Ihre Spieler oder Gelder betrifft.
Kontinuität und Ausgang
Sie haben Folgendes festgelegt:
- Wiederherstellungsziele, die Ihren Veranstaltungskalender und Ihre Risikobereitschaft widerspiegeln
- Erwartungen an die Kontinuitätsprüfung und die Weitergabe der Ergebnisse
- konkrete Zeitpläne und Formate für die Datenrückgabe oder -löschung
- praktische Unterstützung bei der Migration zu einem anderen Anbieter, insbesondere im Hinblick auf Daten, Schlüssel und Schnittstellen
Für Lieferanten mit hohem und mittlerem RisikoMan vereinfacht üblicherweise den Umfang und den Beweis, verwendet aber dieselben Themen wieder. Werkzeuge mit geringem RisikoSie konzentrieren sich auf Vertraulichkeit und unkomplizierte Verpflichtungen im Umgang mit Daten.
Die Speicherung von Standardklauseln, vereinbarten Abweichungen und unterzeichneten Verträgen zusammen mit den Lieferantendatensätzen in ISMS.online bietet Auditoren eine übersichtliche Darstellung: „Hier ist, was wir im Rahmen der Due-Diligence-Prüfung herausgefunden haben, und hier ist genau, wie sich das auf den Vertrag ausgewirkt hat, auf den wir uns in der Produktion stützen.“
Welche fortlaufende Überwachung und welches Vorgehen bei Zwischenfällen impliziert A.5.19, sobald PSPs und Quotenanbieter live sind?
A.5.19 endet nicht mit der Vertragsunterzeichnung. Sobald die Lieferanten aktiv sind, erwartet ISO 27001 von Ihnen den Nachweis der Einhaltung der Vorschriften. aktive AufsichtDies gilt insbesondere für Spielergelder, die Integrität des Spiels und Meldepflichten gegenüber Aufsichtsbehörden. Das steht in engem Zusammenhang mit Abschnitt A.5.22 und Ihren Maßnahmen zur Vorfallsbewältigung und Kontinuitätssicherung.
Wie können Sie die Überwachung und das Vorfallmanagement so strukturieren, dass Sie sie im Rahmen einer Prüfung erklären können?
Für Ihre wichtigsten PSPs und Quotenanbieter ist es hilfreich, drei Bereiche explizit und wiederholbar zu gestalten.
Überwachungsfrequenz und Aktualisierung der Qualitätssicherung
Sie definieren:
- welche Service-KPIs Sie verfolgen (z. B. Autorisierungsraten, Latenz, Aktualität der Datenfeeds, Abrechnungsgenauigkeit)
- wie oft Sie die Leistung formell überprüfen
- Wie häufig aktualisieren Sie Ihre Prüfungsunterlagen – aktualisierte Zertifikate, Prüfberichte, Lageberichte, Vorfallstatistiken?
Diese Überprüfungen werden mit Datum, Entscheidung und Folgemaßnahmen protokolliert und nicht nur informell besprochen.
Auslöser für eine eingehendere Überprüfung oder Neubewertung
Sie vereinbaren im Voraus, welche Ereignisse eine erneute Überprüfung der Risiken und Kontrollmaßnahmen auslösen sollen, zum Beispiel:
- Störungen oder Ausfälle während der Haupthandelszeit oder bei wichtigen Veranstaltungen
- neue Gebiete, Lizenzen oder Produkte, die Ihre regulatorische Lage verändern
- wesentliche Änderungen an Architektur, Hosting-Regionen, Verschlüsselungsstrategie oder Datenverarbeitungsstandorten
- Fusionen oder Übernahmen, die die Eigentums- und Kontrollverhältnisse verändern
Wenn diese Auslöser eintreten, können Sie aufzeigen, was Sie unternommen haben: zusätzliche Prüfungen, verschärfte Klauseln, überarbeitete Stufen oder alternative Routen.
Einsatzpläne und gemeinsame Reaktion
Sie behalten bei Handlungsanweisungen, die davon ausgehen, dass Lieferanten Teil Ihres Reaktionsteams sind, nicht unbeteiligte Umstehende:
- gemeinsames Verständnis darüber, was einen meldepflichtigen Vorfall darstellt
- vereinbarte Kontaktpunkte und Eskalationswege auf beiden Seiten
- Erwartungen hinsichtlich Datenerfassung, Ursachenanalyse, vorläufiger Eindämmung und langfristiger Lösungen
- abgestimmte Botschaften und Zeitpläne für die Kommunikation mit Aufsichtsbehörden, Systemen, Banken und gegebenenfalls Akteuren
Gelegentliche Simulationen am Tisch – zum Beispiel ein Ausfall der primären PSP an einem Turnierwochenende oder fehlerhafte Quoten auf mehreren Märkten – sind ein effektiver Weg, um zu beweisen, dass diese Pläne mehr als nur Worte sind.
Wenn Sie Risikobewertungen, Überwachungsnotizen, Aktualisierungen der Qualitätssicherung, Vorfälle, Maßnahmen und Neubewertungen für jeden Lieferanten in ISMS.online zusammenfassen, können Sie gezielte Fragen beantworten wie: „Zeigen Sie uns, wie Sie diesen PSP oder Quotenanbieter gemäß A.5.19 von Anfang bis Ende verwalten.“ ohne die Geschichte aus verstreuten E-Mails und Dateien rekonstruieren zu müssen. Diese Transparenz gibt Aufsichtsbehörden und Wirtschaftsprüfern die Gewissheit, dass das Lieferantenrisiko integraler Bestandteil Ihrer Geschäftsprozesse ist und nicht erst im Nachhinein berücksichtigt wird.
