MSP-Anbieterrisikomanagement: Wie ISO 27001 A.5.19 versteckte Lieferantenrisiken aufdeckt

Warum MSP-Beziehungen versteckte Risiken bergen

Managed Service Provider (MSPs) werden oft zum größten und am wenigsten sichtbaren Teil Ihrer Angriffsfläche, wenn Ihr Unternehmen auf ausgelagerte IT- und Cloud-Dienste angewiesen ist. Für Kickstarter-Gründer, CISOs, Datenschutzbeauftragte und IT-Experten bedeutet dies, dass die Abhängigkeit von MSPs ein zentrales Geschäftsrisiko darstellt und nicht nur ein Nebenaspekt bei der Beschaffung ist. Jede Schwachstelle in der IT-Umgebung eines MSPs kann schnell zu Ihrem Problem werden.

Managed Service Provider (MSPs) erweitern Ihre Angriffsfläche und Ihre Verantwortlichkeit weit über Ihr eigenes Netzwerk, Ihre Tools und Ihr Personal hinaus. Wird ein MSP kompromittiert, sind oft mehrere Dienste, Umgebungen und Kunden gleichzeitig betroffen. Für ein Kickstarter-Team, das die ISO-27001-Zertifizierung anstrebt, einen CISO, der dem Vorstand Rechenschaft ablegen muss, oder einen Rechtsverantwortlichen, der sich um regulatorische Vorgaben sorgt, bedeutet dies, dass das Risiko für MSPs nicht auf informellen Verträgen und Annahmen beruhen darf.

Die Mehrheit der Organisationen, die an der ISMS.online-Umfrage „State of Information Security 2025“ teilnahmen, berichteten, im vergangenen Jahr von mindestens einem Sicherheitsvorfall im Zusammenhang mit Drittanbietern oder Lieferanten betroffen gewesen zu sein.

Diese Informationen sind allgemeiner Natur und stellen keine Rechts- oder Regulierungsberatung dar; Sie sollten Ihre konkreten Verpflichtungen stets mit qualifizierten Beratern abklären.

Viele Teams spüren diese Risiken bereits. Sie sind auf Fernwartungstools, Cloud-Hosting, Backup-Plattformen, Sicherheitsüberwachung und spezialisierte Beratungsunternehmen angewiesen, um den Betrieb aufrechtzuerhalten. Einige dieser Partner haben privilegierten Zugriff auf die Produktionsumgebung. Andere verwalten sensible Daten oder unterstützen kritische Dienste. Dennoch wird Sicherheit in Verträgen oft kaum erwähnt, es gibt keine einheitliche Übersicht darüber, wer worauf Zugriff hat, und Berichte an den Vorstand konzentrieren sich häufig auf interne Kontrollen, während externe vernachlässigt werden.

Die risikoreichsten Lieferanten sind oft diejenigen, von denen jeder annimmt, dass sie bereits abgesichert sind.

Wie Managed Service Provider Ihre Angriffsfläche erweitern

Ihr MSP-Ökosystem verfügt in der Regel über mehr Zugriffspunkte, Berechtigungen und Integrationen als jedes einzelne interne System. Ein Angreifer, der einen MSP kompromittiert, kann sich dadurch in mehreren Netzwerken, Diensten und bei mehreren Kunden Zugriff verschaffen. Aus diesem Grund betrachten viele Finanzaufsichtsbehörden und Versicherer ausgelagerte IT-Dienstleistungen mittlerweile als potenzielles systemisches Risiko und nicht mehr nur als rein technisches Problem, wie die Outsourcing-Leitlinien von Zentralbanken und Aufsichtsbehörden zeigen. Für Sicherheits- und Betriebsteams ist daher Transparenz und Kontrolle über den MSP-Zugriff unerlässlich.

Ein einzelner Managed Service Provider (MSP) kann Ihre Fernzugriffstools betreiben, Endpoint-Agenten verwalten, Administratorrechte für Cloud-Abonnements halten und Änderungsprozesse in Ihrem Namen durchführen. Kleinere „Schatten-MSPs“ können sich über Kreditkarten-SaaS, lokalen IT-Support oder Nischen-Monitoring-Tools, die direkt von einer Geschäftseinheit erworben werden, einschleichen. Jeder dieser Anbieter stellt einen zusätzlichen authentifizierten Zugang zu Ihrer IT-Infrastruktur, weitere Kopien sensibler Daten und zusätzliche Serviceabhängigkeiten dar, die Sie nicht ohne Weiteres kontrollieren können.

Ohne eine explizite Bestandsaufnahme der Managed Service Provider (MSPs), ihrer Zugriffsrechte und Abhängigkeiten unterschätzt Ihr Risikoregister die tatsächliche Angriffsfläche. Die Kompromittierung einer RMM-Plattform ist beispielsweise nicht nur ein Vorfall bei einem einzelnen Anbieter; sie kann als Ausgangspunkt für Ransomware-Angriffe auf Dutzende von Servern und Standorten dienen.

Schatten-MSPs und nicht verwaltete Abhängigkeiten

Schatten-MSPs sind Anbieter, die sich wie Managed Service Provider verhalten, aber nicht als solche behandelt werden. Sie haben oft Zugriff auf Daten oder Kontrolle, agieren aber außerhalb formaler Prozesse und Aufsicht.

Beispiele hierfür sind ein Marketingteam, das eine Webagentur mit der Verwaltung des Produktions-DNS beauftragt, ein Werk, das einen Wartungsdienstleister mit VPN-Zugang einsetzt, oder die Finanzabteilung, die eine vermeintlich einfache SaaS-Integration zur Speicherung von Kundendaten implementiert. Diese Partner umgehen häufig formale Beschaffungsprozesse, werden möglicherweise nie von Sicherheits- oder Datenschutzteams geprüft und verfügen dennoch über Zugangsdaten, Zugriffspfade oder sensible Daten, die für Ihre Compliance-Strategie relevant sind.

Eine kurze Überprüfung von Einkaufsbelegen, Identitätsdatenbanken und Firewall-Regeln deckt oft mehr „Dienstleister mit Zugriff“ auf als erwartet. Solange diese nicht einbezogen sind, kann A.5.19 nicht als vollständig implementiert gelten, da Ihre Organisation noch nicht alle relevanten Lieferantenbeziehungen identifiziert hat. Für Praktiker und Kickstarter-Projekte ist diese frühe Analyse oft der erste sichtbare Schritt hin zu einer ausgereiften MSP-Strategie.

Konzentration und systemisches Risiko

Kritische Dienste konzentrieren sich häufig auf wenige große Anbieter. Diese Konzentration kann einen einzelnen Ausfall zu einem systemischen Ereignis für Ihr Unternehmen führen.

Wenn ein zentraler Managed Service Provider (MSP) mehrere Dienste bereitstellt, diverse Workloads hostet und Identitäts- oder Konnektivitätsmanagement übernimmt, kann ein Ausfall oder eine Insolvenz gleichzeitig interne Abläufe, kundenorientierte Services und Ihre Wiederherstellungsfähigkeit beeinträchtigen. Aufsichtsräte, Regulierungsbehörden und Versicherer sind zunehmend besorgt über diese Situation, in der alles auf einem einzigen Anbieter basiert, und erwarten von Ihnen, dass Sie Ihre potenziellen Schwachstellen genau kennen.

Für Sie bedeutet A.5.19, dass es nicht nur um ordentliche Lieferantendateien geht, sondern auch darum, systemische Risiken in den Beziehungen zu erkennen und zu planen, wie diese unter Stressbedingungen gehandhabt werden. Dazu gehört, zu wissen, was zu tun ist, wenn ein wichtiger Managed Service Provider (MSP) tagelang nicht verfügbar ist oder dessen Umgebung als Einfallstor in Ihre eigene genutzt wird, und sicherzustellen, dass die Führungsebene diese Szenarien neben anderen Resilienzthemen betrachtet.

Risiken für die Führungsebene sichtbar machen

Führungsteams reagieren selten auf bloße Listen von Tools; sie reagieren auf klare Erläuterungen der geschäftlichen Auswirkungen. Wenn Sie die Risiken von Managed Service Providern (MSPs) in konkrete Szenarien übersetzen, die Kundenbeeinträchtigungen, regulatorische Risiken oder Umsatzeinbußen beschreiben, wird es für CISOs, Rechtsverantwortliche und Anwender deutlich einfacher, Zeit, Budget und Aufmerksamkeit zu sichern.

Beschreibt man ein MSP-Risiko rein technisch (sie verwalten das RMM und haben Domänenadministratorrechte), bleibt das Gespräch innerhalb der IT-Abteilung. Formuliert man es jedoch anders:

Wenn dieser Anbieter 48 Stunden lang nicht erreichbar ist, können wir diese Kundensegmente nicht bedienen.
Wenn ihre Update-Pipeline kompromittiert ist, können Angreifer Code in die Produktionsumgebung einschleusen.

Dann gehört das Risiko durch Dritte auf dieselbe Agenda wie operative Resilienz, Umsatz und Reputation. Aufsichtsleitlinien in vielen Sektoren, darunter Banken und Finanzdienstleistungen, betonen mittlerweile diese Art der Bewertung der Geschäftsauswirkungen kritischer IKT-Anbieter, wie sie sich auch in den Outsourcing- und IKT-Risikoleitlinien europäischer Aufsichtsbehörden widerspiegelt. Diesen Mentalitätswandel sollten Sie einführen, bevor Sie die Anforderungen der ISO 27001 und die entsprechenden Rahmenwerke implementieren, darunter Plattformen wie ISMS.online, die das Lieferantenrisiko übersichtlicher und zentraler darstellen und steuern.

Kontakt

Was ISO 27001:2022 A.5.19 wirklich von MSP-intensiven Organisationen verlangt

ISO 27001:2022 A.5.19 fordert, dass die Informationssicherheit in Lieferantenbeziehungen durch einen strukturierten, risikobasierten Lebenszyklus und nicht durch einmalige Genehmigungen gesteuert wird. Für Unternehmen mit vielen Managed Service Providern (MSPs) bedeutet dies, Anbieter nach Risiko zu klassifizieren, klare Sicherheitsanforderungen zu definieren, diese in Verträge zu integrieren und die Leistung kontinuierlich zu überwachen. Für Startups und Praktiker ist dies eine erste praktikable Struktur; für CISOs und Rechtsverantwortliche bildet sie die Grundlage für die Kommunikation mit Vorstand und Aufsichtsbehörden.

In der ISMS.online-Umfrage 2025 gaben rund vier von zehn Organisationen an, dass das Management von Drittparteirisiken und die Überwachung der Lieferantenkonformität zu ihren größten Herausforderungen im Bereich der Informationssicherheit gehören.

In vielen Organisationen ist A.5.19 in der Anwendbarkeitserklärung als „anwendbar“ aufgeführt. Fordern Prüfer jedoch Nachweise an, beschränkt sich die vorgelegte Dokumentation oft auf eine kurze Lieferantenrichtlinie und eine Liste mit Lieferantennamen. Bei vielen Audits konzentrieren sich die Prüfer mehr auf die praktische Anwendung der Kontrollmaßnahme als auf den genauen Wortlaut der Richtlinie. Sie erwarten einen nachvollziehbaren Prozess vom Risikomanagement über die Anforderungen bis hin zu Verträgen, Überwachung und Beendigung der Nutzung, insbesondere wenn Managed Service Provider (MSPs) sensible oder besonders privilegierte Daten verwalten.

Die zugehörigen Leitlinien in ISO 27002 – insbesondere die lieferantenbezogenen Kontrollen – verdeutlichen, dass Sie die Sensibilität und Klassifizierung der von jedem Lieferanten verarbeiteten Informationen, die Kritikalität der Dienstleistung für den Betrieb und die Kunden, den gewährten Zugriffsumfang (einschließlich privilegiertem oder Fernzugriff) sowie das rechtliche und regulatorische Umfeld der Dienstleistung gemäß den veröffentlichten Kommentaren der ISO zu Informationssicherheitskontrollen berücksichtigen sollten. Aus dieser Analyse sollen Sie verhältnismäßige Kontrollen ableiten und aufzeigen, wie diese in reale Prozesse und nicht nur in Dokumente integriert werden.

Für vielbeschäftigte Kickstarter-Initiatoren, Praktiker und CISOs ist der schnellste Weg, mit A.5.19 Fortschritte zu erzielen, die Kontrolltexte in wenige praxisnahe Fragen zu übersetzen. Wenn Sie dieselben Fragen für jeden MSP konsistent beantworten und die entsprechenden Stellen aufzeigen können, entsprechen Sie bereits weitgehend den Erwartungen von Auditoren, Kunden und Aufsichtsbehörden.

Für jeden MSP sollten Sie folgende Fragen beantworten und belegen können:

Wie riskant die Beziehung ist und warum.
Welche Anforderungen an die Informationssicherheit stellen Sie an den Anbieter?
Wo diese Anforderungen dokumentiert sind (Verträge, Richtlinien, SLAs).
Wie man im Laufe der Zeit überprüft, ob diese Anforderungen weiterhin erfüllt werden.
Was passiert, wenn sich der Service ändert oder eingestellt wird?

Wenn Sie all diese Fragen durchgängig beantworten können, erfüllen Sie bereits den Großteil der Anforderungen von A.5.19. Falls nicht, wird deutlich, wo Prozess und Dokumentation optimiert werden müssen und wo eine strukturiertere ISMS-Plattform Ihnen helfen könnte, Antworten spezifischen Kontrollen zuzuordnen.

Ihre Konformität im Vergleich zu den Zertifikaten Ihrer Lieferanten

Der ISO 27001- oder SOC 2-Bericht eines Managed Service Providers (MSP) liefert zwar nützliche Informationen, ersetzt aber nicht Ihre Compliance-Anforderungen. Sie müssen weiterhin selbst entscheiden, wie relevant der Geltungsbereich des Berichts ist, in welchen Bereichen Sie sich auf die von ihm bereitgestellten Kontrollen verlassen und welche Risiken weiterhin in Ihrer Verantwortung liegen. Prüfer fragen zunehmend nach der Begründung Ihrer Schlussfolgerungen und nicht nur nach dem Vorhandensein eines Zertifikats. Branchenaufsichtsbehörden verlangen diese Begründung mittlerweile routinemäßig in kritischen Outsourcing-Prüfungen und orientieren sich damit an den Erwartungen internationaler Leitlinien für das Outsourcing von Bank- und Wertpapierdienstleistungen.

Die Steuerung setzt voraus, dass Sie Folgendes verstehen:

Welche der Kontrollmaßnahmen des Managed Service Providers sind für Ihre Risiken relevant?
Welche ergänzenden Maßnahmen Sie als deren Kunde ergreifen müssen.
Wo es Lücken zwischen ihren Bestätigungen und Ihren Anforderungen gibt.

Die alleinige Verwendung von Lieferantenzertifikaten als Sorgfaltsmaßnahme birgt Risiken, insbesondere wenn Umfang, Standorte oder Unterauftragnehmer nicht Ihren Anforderungen entsprechen. Prüfer fragen häufig: „Wie haben Sie entschieden, dass dieser Managed Service Provider (MSP) Ihre Anforderungen erfüllt?“ Die Antwort sollte mehr beinhalten als nur die Aussage „Er hat ein Zertifikat ausgestellt“ und so dokumentiert sein, dass Sie sie auch Monate oder Jahre später noch erklären können.

Eigentumsverhältnisse, Rollen und das ISMS

A.5.19 funktioniert nur, wenn die Verantwortlichkeiten klar zugewiesen sind. Wenn jeder davon ausgeht, dass das „Lieferantenrisiko“ woanders liegt, werden wichtige Prüfungen und Entscheidungen versäumt, und es wird schwierig sein, im Falle einer Untersuchung eines Vorfalls zu rekonstruieren, wer was vereinbart hat.

In der Praxis kann die Sicherheitsabteilung für die Lieferantenrisikobewertung zuständig sein, GRC für die Richtlinien und deren Zuordnung zu Rahmenwerken, der Einkauf für die Vertragsgestaltung und -verhandlungen und der operative Bereich für die täglichen Leistungsbeurteilungen. Diese Verantwortlichkeiten müssen in Ihrer ISMS-Dokumentation – Richtlinien, Verfahren, RACI-Matrizen und Managementbewertungen – abgebildet werden. Für CISOs und Rechtsverantwortliche ist diese Klarheit der Schlüssel, um das Lieferantenrisikomanagement von einer informellen Vorgehensweise in eine nachvollziehbare Governance-Struktur zu verwandeln.

Ohne diese Klarheit geraten die Lieferantenkontrollen ins Wanken. Jeder geht davon aus, dass jemand anderes die Arbeit erledigt, und es wird schwierig, Prüfern oder Aufsichtsbehörden die Verantwortlichkeiten nachzuweisen. Eine aktive ISMS-Plattform kann hier Abhilfe schaffen, indem sie Rollen, Genehmigungen und Prüfzyklen zentral verwaltet, anstatt sie auf verstreute Dokumente zu verteilen.

Einbettung von A.5.19 in Risiko und Politik

Lieferantenbeziehungen sollten in denselben Risikoprozessen wie interne Systeme berücksichtigt werden und nicht separat behandelt werden. Wenn Lieferanten Teil Ihrer allgemeinen Risikobetrachtung sind, lassen sich Entscheidungen leichter begründen und Risiken gegenüber Dritten besser mit Geschäftsergebnissen verknüpfen.

Das bedeutet in der Regel:

MSP-Dienste erscheinen im Informationsbestandsverzeichnis.
Bei Risikobewertungen werden Bedrohungen und Szenarien im Zusammenhang mit dem Ursprung des Lieferanten berücksichtigt.
Die Behandlungspläne beziehen sich sowohl auf interne als auch auf Lieferantenkontrollen.

Richtlinienmäßig können Sie Erwartungen in einer separaten Lieferantenrichtlinie festhalten oder in Ihre allgemeine Informationssicherheitsrichtlinie integrieren. In jedem Fall sollten MSP-spezifische Themen – wie privilegierter Zugriff, Protokollierung, Incident-Support und Unterauftragnehmer – explizit formuliert sein, damit sie in Vorlagen, Verträgen und Überwachungssystemen Berücksichtigung finden. Aufsichtsbehörden erwarten zunehmend diese Abstimmung zwischen Richtlinien, Risikomanagement und Lieferantendokumentation.

Erklärung zur Anwendbarkeit als Geschossrückgrat

Die Anwendbarkeitserklärung erläutert, warum A.5.19 in Ihren Anwendungsbereich fällt und wie Sie die Anforderungen erfüllen. Ein klarer und prägnanter Eintrag bildet das Rückgrat Ihrer Darstellung für Prüfer, Kunden und Aufsichtsbehörden, die sich schnell einen Überblick über Ihre MSP-Strategie verschaffen möchten.

Ein aussagekräftiger SoA-Eintrag für diese Steuerung umfasst typischerweise:

Eine kurze Begründung, wie zum Beispiel „erhebliche Abhängigkeit von Managed Service Providern und ICT-Anbietern“.
Die wichtigsten angewandten Prozesse (Lieferantenrisikobewertung, Sorgfaltsprüfung, Vertragsstandards, Überwachung, Ausstiegsprozesse).
Verweise auf unterstützende Dokumente (Richtlinien, Verfahren, Vorlagen, Register).

Wenn die Leistungsbeschreibung so explizit ist, wird es deutlich einfacher, Prüfern, Kunden und Aufsichtsbehörden die Geschichte Ihres Managed Service Providers (MSP) zu erläutern, ohne nach Ad-hoc-Erklärungen suchen oder vergessene Entscheidungen wiederentdecken zu müssen. Für Kickstarter-Initiatoren und Praktiker dient dieser Eintrag in der Leistungsbeschreibung zudem als praktische Checkliste für alle notwendigen und aktuell zu haltenden Informationen.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Entwicklung eines umfassenden Rahmenwerks zur Lieferantenrisikobewertung für Managed Service Provider (MSP).

Eine praktikable Implementierung von A.5.19 lässt sich am einfachsten aufrechterhalten, wenn sie als Lebenszyklus-Framework von der Projektanalyse bis zum Exit betrachtet wird. Für CISOs, Datenschutzbeauftragte und Anwender bedeutet dies, klare Phasen, Verantwortliche und Dokumente zu definieren, um sowohl das MSP-Risiko zu managen als auch den Ansatz gegenüber Auditoren, Vorstandsmitgliedern und Aufsichtsbehörden konsistent zu erläutern.

Ein Lebenszyklusansatz ist besonders effektiv, da er die tatsächliche Zusammenarbeit mit Managed Service Providern (MSPs) widerspiegelt: Jemand erkennt einen Bedarf, Anbieter werden gesucht, einer ausgewählt, Zugriff wird gewährt, die Services entwickeln sich weiter und schließlich ändert oder endet die Beziehung. Für Kickstarter-Projekte bietet diese Struktur eine einfache Vorlage; für CISOs und Datenschutzbeauftragte wird sie zu einer wiederholbaren Methode, um die Einhaltung der Vorschriften in einer komplexen MSP-Landschaft nachzuweisen. Plattformen wie ISMS.online unterstützen Sie dabei, jede Phase zu erfassen, sodass Sie Ihre Arbeitsweise dokumentieren, anstatt einen separaten Compliance-Prozess zu erstellen.

Viele Organisationen greifen direkt auf Vertragsvorlagen oder Fragebögen zurück und tun sich dann schwer damit, deren Bedeutung für das Gesamtbild aufzuzeigen. Die Entwicklung des Rahmens zwingt dazu, zunächst die Fragen nach dem Ausgangspunkt, den Beteiligten und dem Erfolg zu klären, bevor Dokumente und Tools verfeinert werden. Sie bildet zudem eine natürliche Brücke zu den detaillierten Vorgehensweisen, die in späteren Abschnitten beschrieben werden.

Kartierung des Lebenszyklus und seiner Belege

Bevor Sie etwas Neues entwickeln, ist es hilfreich, die bisherigen Abläufe bei der Zusammenarbeit mit einem Managed Service Provider (MSP) zu dokumentieren. Für Anwender und Projektleiter zeigt die Dokumentation des Prozesses vom Erstkontakt bis zum Projektabschluss, welche Teile von A.5.19 bereits abgedeckt sind und wo die Vorgehensweise informell oder nicht dokumentiert ist.

Definieren Sie für jede Phase sowohl die Aktivität als auch die Nachweise, die Sie aufbewahren möchten:

Scouting: – Grundlegende Eignungs-, Kritikalitäts- und Risikovorprüfung. Nachweis: anfängliche Lieferantendokumentation und kurze Risikonotizen.
Sorgfaltspflicht: – Umfassendere Bewertung von Sicherheit, Datenschutz, Resilienz und finanzieller Stabilität. Nachweise: ausgefüllte Fragebögen, geprüfte Berichte und Risikobewertungen.
Vertrag: – Sicherheitsklauseln, SLAs, Rollen und Ausstiegsbedingungen vereinbart. Nachweis: unterzeichnete Verträge mit Sicherheitsplänen.
Onboarding: – Zugriffe, Integrationen und Prozesse sind sicher eingerichtet. Nachweis: Änderungsprotokolle, Zugriffsüberprüfungen und Testergebnisse.
Betrieb und Veränderung: – Überwachung der Servicebereitstellung, der Leistung und von Vorfällen. Nachweise: Berichte, Besprechungsprotokolle und Problemprotokolle.
Exit: – Daten zurückgegeben oder gelöscht, Zugriffsrechte entzogen, Erkenntnisse gewonnen. Nachweise: Checklisten für den Austritt, Bestätigungen und Nachbesprechungen.

Sobald diese Übersicht existiert, wird deutlich, wo die Anforderungen gemäß A.5.19 bereits erfüllt sind und wo sie noch fehlen. Sie erleichtert es außerdem, den Gutachtern zu erläutern, wie sich das Lieferantenmanagement in der Praxis auf Ihr Kontrollkonzept übertragen lässt, und ermöglicht Ihnen eine angemessene Einstufung Ihres Aufwands.

Risikoklassifizierung von Managed Service Providern, damit der Aufwand verhältnismäßig ist

Man kann nicht jeden Lieferanten als kritisch einstufen, und die Norm erwartet dies auch nicht. Ein einfaches Stufenmodell gibt den Prüfern die Gewissheit, dass der Aufwand angemessen ist, und hilft den Anwendern, ihre begrenzte Zeit auf das Wesentliche zu konzentrieren.

Typische Risikofaktoren sind:

Geschäftskritische Bedeutung der Dienste.
Sensibilität und Umfang der verarbeiteten Informationen.
Zugriffsebene, einschließlich privilegierter, Fern- oder Vor-Ort-Zugriff.
Regulatorische und vertragliche Auswirkungen bei Ausfall des Managed Service Providers.
Substitutionsschwierigkeit und Wechselkosten.

Lieferanten der höchsten Risikostufe haben möglicherweise Anspruch auf Transparenz gegenüber dem Vorstand, umfassende Due-Diligence-Prüfungen, jährliche Überprüfungen und detaillierte Ausstiegspläne. Lieferanten niedrigerer Stufen benötigen unter Umständen lediglich eine Checkliste und einfache vertragliche Absicherungen. Risikostufen steuern den Arbeitsaufwand und erleichtern die Erklärung, warum manche Geschäftsbeziehungen einer strengeren Prüfung unterzogen werden als andere. Dies ist besonders wichtig, wenn A.5.19 später mit NIS 2 und DORA in Einklang gebracht wird.

Exit-Planung während des Onboardings

Die Ausstiegsplanung wird oft vernachlässigt, bis eine Beziehung scheitert. Wenn man sie von Anfang an einbezieht, mindert man den Schock, falls ein potenzieller Partner scheitert, sich zurückzieht oder die Erwartungen nicht mehr erfüllt.

Ein resilienterer Ansatz integriert den Ausstieg bereits in den Onboarding-Prozess: Es wird festgehalten, wer den Service übernehmen würde, falls der Managed Service Provider (MSP) ausfällt; klare Zusagen für Datenexport, -löschung und Übergangsunterstützung werden eingeholt; Abhängigkeiten von proprietären Tools, Formaten und Fachkräften werden erfasst. Regulierungsbehörden und Aufsichtsstellen fordern zunehmend, dass größere Outsourcing-Vereinbarungen diese Art von Ausstiegsklarheit von Anfang an beinhalten sollten. Dazu gehören auch Leitlinien für den Finanzsektor zur operativen Resilienz und zum Outsourcing von Zentralbanken und Aufsichtsbehörden wie beispielsweise die Veröffentlichungen der Bank of England zu Outsourcing und Drittparteienrisiken.

Diese Planung bedeutet nicht, dass Sie mit einem Scheitern rechnen; sie berücksichtigt vielmehr, dass sich die Lieferantenlandschaft verändert. Gemäß A.5.19 ist die Aufrechterhaltung von Kontrolle und Kontinuität beim Ausscheiden eines Managed Service Providers (MSP) genauso wichtig wie dessen sorgfältige Auswahl zu Beginn und fließt somit nahtlos in die später definierten Vertrags- und SLA-Details ein.

Einbeziehung der richtigen technischen Stakeholder

Die Auswahl eines Managed Service Providers (MSP) sollte nicht rein auf dem Papier erfolgen. Technische Teams können oft Risiken in den Bereichen Identität, Protokollierung und Integration erkennen, die Verträge allein verschleiern, und ihr Input kann verhindern, dass wohlformulierte Vereinbarungen Schwächen in der Praxis verbergen.

Architektur- und Sicherheitsentwicklungsteams unterstützen Sie bei der Bewertung von Identitäts- und Zugriffsmustern (z. B. wo Single Sign-On oder Notfallkonten verwendet werden), der Beurteilung der Protokollierungs- und Überwachungsabdeckung (einschließlich der Sichtbarkeit von MSP-Aktionen in Ihrem SIEM) und der Identifizierung von Integrationsrisiken (z. B. Skripte, APIs oder Agenten, die missbraucht werden könnten). Für Anwender wird die Integration dieser Prüfungen in den Lebenszyklus dazu geführt, dass die Sicherheit von Anbietern als integraler Bestandteil der normalen Designarbeit und nicht als nachträglicher Gedanke wahrgenommen wird.

Diese Erkenntnisse helfen Ihnen, bessere Anforderungen zu formulieren, ein optimiertes Onboarding zu gestalten und aussagekräftigere Überwachungskennzahlen festzulegen. Sie liefern außerdem detailliertere Erklärungen für Auditoren, die die technischen Aspekte Ihrer Lieferantenrisikoentscheidungen verstehen möchten, und bereiten so die Grundlage für die in späteren Abschnitten behandelten Themen der operativen Überwachung.

Das Framework am Leben erhalten, während sich die MSPs verändern

Lieferantenbeziehungen sind nicht statisch. Ein Managed Service Provider (MSP), der bei der Beauftragung ein geringes Risiko darstellte, kann mit zunehmender Nutzung oder sich ändernden regulatorischen Rahmenbedingungen, insbesondere in Sektoren unter NIS 2 oder DORA, von entscheidender Bedeutung werden.

Dienstleistungen ändern sich, Übernahmen erfolgen, Hosting-Umzüge werden durchgeführt und neue Funktionen werden hinzugefügt. Ein effektives Rahmenwerk beinhaltet Auslöser für eine Neubewertung, wie z. B. signifikante Änderungen im Leistungsumfang oder in der Architektur, neue Regionen, Rechenzentren oder Unterauftragnehmer, schwerwiegende Vorfälle oder wiederholte SLA-Verletzungen sowie Eigentümerwechsel oder Anzeichen finanzieller Schwierigkeiten.

Wenn diese Auslöser aktiviert werden, überprüfen Sie Risikobewertungen, Anforderungen und Verträge erneut. Diese Reaktionsfähigkeit zeigt, dass Sie Lieferantenbeziehungen tatsächlich pflegen und nicht nur archivieren. Sie führt ganz natürlich zu den Vertrags- und Überwachungspraktiken, die Sie im Zusammenhang mit A.5.19, NIS 2, DORA und SOC 2 benötigen.

Vertragsgestaltung und SLAs mit MSPs gemäß A.5.19

Verträge und SLAs sind der Ort, an dem Ihre Entscheidungen gemäß A.5.19 rechtsverbindlich und für Prüfer, Kunden und Aufsichtsbehörden nachvollziehbar werden. Für CISOs, Rechtsverantwortliche und Anwender bedeutet dies, klare Sicherheits- und Resilienzvorgaben in schriftliche Vereinbarungen aufzunehmen und nachweisen zu können, wie diese mit Ihrer Risikobereitschaft und Ihren regulatorischen Pflichten übereinstimmen.

Für Managed Service Provider (MSP)-Beziehungen bedeutet dies, konkrete Sicherheitserwartungen, Annahmen zur Ausfallsicherheit und Datenschutzverpflichtungen zu dokumentieren und die Klauseln so realistisch zu gestalten, dass sie von den Anbietern unterzeichnet werden und sich ohne ständige Ausnahmen umsetzen lassen. Für Rechtsverantwortliche und Datenschutzbeauftragte geht es hier darum, die Datenschutzpflichten nicht nur als theoretische Ziele, sondern auch als regulatorisch umsetzbar zu gestalten und die Übereinstimmung von ISO 27001, ISO 27701 und branchenspezifischen Vorschriften aufzuzeigen.

Die Kontrolle schreibt keinen genauen Wortlaut vor, doch die Vorgaben von Aufsichtsbehörden und Berufsverbänden nähern sich an. Sie erwarten, dass Verträge mit Anbietern kritischer Informations- und Kommunikationstechnologien (IKT) Themen wie Sicherheitsverantwortlichkeiten, Leistungsziele, Unterstützung bei Sicherheitsvorfällen, Prüfungsrechte, Datenverarbeitung und Kündigung abdecken, und überprüfen diese Klauseln zunehmend im Rahmen von Untersuchungen und thematischen Prüfungen.

Erstellung eines Sicherheitsplans, den Managed Service Provider akzeptieren und durchsetzen können.

Ein gesonderter Sicherheitsplan oder -anhang sorgt für klare und leicht einzuhaltende Verpflichtungen. Richtig umgesetzt, bringt er Ihr Bedürfnis nach Sicherheit mit den betrieblichen Gegebenheiten des Anbieters in Einklang, reduziert Reibungsverluste bei Verhandlungen und macht die Durchsetzung im Problemfall berechenbarer.

Für Managed Service Provider (MSPs) mit höherem Risiko umfasst ein Sicherheitsplan häufig Folgendes:

Mindestanforderungen an die Kontrolle, wie z. B. Multi-Faktor-Authentifizierung und zeitnahe Fehlerbehebung.
Anforderungen an Protokollierung, Überwachung und Aufbewahrung von Aktivitäten in Ihrer Umgebung.
Benachrichtigungsfristen und Eskalationswege für vermutete oder bestätigte Vorfälle.
Bedingungen für die Bereitstellung zusätzlicher Zusicherungen oder Prüfungen bei Risikoänderungen.
Regeln für Unterauftragnehmer, einschließlich Genehmigung, Offenlegung und Weitergabe von Pflichten.

Das Rechtsteam kann in Zusammenarbeit mit der Sicherheits- und Beschaffungsabteilung Standardformulierungen und einen Prozess für den Umgang mit Abweichungen festlegen. Wenn Ausnahmen unbedingt erforderlich sind, sollten sie explizit als risikoakzeptabel, nach Möglichkeit zeitlich befristet und dokumentiert werden, damit sie in Audits und Managementbewertungen erläutert werden können, anstatt erst im Falle eines Vorfalls wiederentdeckt zu werden.

Gestaltung sicherheitsrelevanter SLAs

Herkömmliche SLAs konzentrieren sich meist auf die Verfügbarkeit; Sicherheit und Ausfallsicherheit erfordern jedoch mehr. Wenn Sie definieren, was „gut“ in Bezug auf Erkennung, Reaktion und Wiederherstellung bedeutet, können Sie Managed Service Provider (MSPs) auf eine Weise zur Rechenschaft ziehen, die für Ihr Unternehmen und die Aufsichtsbehörden tatsächlich relevant ist.

Für Managed Service Provider (MSPs) sollten Sie Folgendes definieren:

Erkennungs- und Alarmierungsmetriken: – zum Beispiel die maximale Zeit, die benötigt wird, um ein Sicherheitsereignis zu erkennen, das Ihre Umgebung betrifft.
Reaktions- und Kommunikationskennzahlen: – Zeit, um Vorfälle zu untersuchen, einzudämmen und Sie darüber zu informieren.
Wiederherstellungsmetriken: – Wiederherstellungszeit- und Wiederherstellungspunktziele, bei denen der MSP Infrastruktur oder Backup bereitstellt.
Evidenzmetriken: – Rhythmus und Format der Sicherheits- und Leistungsberichterstattung.

Diese Kennzahlen sollten mit Ihren internen Notfall- und Geschäftskontinuitätsplänen übereinstimmen. Ein Managed Service Provider (MSP), der beispielsweise eine Wiederherstellung eines kritischen Systems innerhalb von vier Stunden zusichert, muss Ihre eigenen Wiederherstellungsziele und Ihre Kundenversprechen erfüllen. Für CISOs und IT-Experten ist diese Übereinstimmung oft der entscheidende Faktor, der die Führungsebene davon überzeugt, dass das MSP-Risiko tatsächlich unter Kontrolle ist.

Umgang mit Datenschutz- und Privatsphäreverpflichtungen

Wenn Managed Service Provider (MSPs) als Auftragsverarbeiter oder Unterauftragsverarbeiter für personenbezogene oder regulierte Daten fungieren, sind die vertraglichen Details von Bedeutung. Aufsichtsbehörden prüfen bei der Untersuchung von Verstößen oder Beschwerden regelmäßig, wie diese Beziehungen definiert und überwacht werden, und viele branchenspezifische Leitlinien enthalten mittlerweile konkrete Beispiele für Outsourcing.

Sie benötigen in der Regel Klarheit über die Kategorien der verarbeiteten personenbezogenen Daten und die Zwecke der Verarbeitung, über Beschränkungen hinsichtlich des Speicherorts und der Weitergabe von Daten, über Sicherheitsmaßnahmen im Zusammenhang mit Vertraulichkeit, Integrität und Verfügbarkeit sowie darüber, wie der Managed Service Provider (MSP) Meldungen von Datenschutzverletzungen, Rechte betroffener Personen und die Interaktion mit Aufsichtsbehörden unterstützt. Die Einbindung von Datenschutz- und Sicherheitsteams bei der Ausarbeitung dieser Bestimmungen verringert das Risiko widersprüchlicher Verpflichtungen und erleichtert die spätere Reaktion auf Anfragen von Aufsichtsbehörden und Kunden.

In vielen Ermittlungen konzentrieren sich die Behörden ebenso sehr auf die Gestaltung dieser Geschäftsbeziehungen wie auf den konkreten technischen Fehler. Für Datenschutzbeauftragte und Rechtsexperten sind gut strukturierte MSP-Verträge daher ein wichtiger Bestandteil der Beweismittel, auf die man sich im Schadensfall stützen kann.

Realistische Gestaltung von Prüfungs- und Bestätigungsrechten

Verträge enthalten oft weitreichende Prüfrechte, die nie genutzt werden. Ein realistischer Ansatz schafft Erwartungen, die Sie und der Managed Service Provider (MSP) auch tatsächlich erfüllen können, was wiederum die Nachweise der Aufsicht glaubwürdiger und weniger konfrontativ macht.

Statt theoretischer Formulierungen sollte man vereinbaren, wie die Qualitätssicherung in der Praxis funktioniert. Dies kann regelmäßige unabhängige Berichte oder zusammenfassende Statusberichte, gemeinsame Tests oder Simulationen von Vorfallszenarien sowie begrenzte Vor-Ort- oder Fernbewertungen umfassen, sofern diese durch das Risiko gerechtfertigt sind. Viele Aufsichtsbehörden erkennen diesen mehrstufigen Ansatz zur Qualitätssicherung mittlerweile ausdrücklich an, sofern seine Anwendung nachvollziehbar ist.

Entscheidend ist, dass Mechanismen vorhanden sind, deren Anwendung beide Parteien auch tatsächlich erwarten. So lässt sich eine kontinuierliche Aufsicht nachweisen, ohne aufdringliche und unangekündigte Besuche durchführen zu müssen, und Prüfern und Aufsichtsbeamten kann ein lebendiges statt eines rein vertraglichen Qualitätssicherungsmodell präsentiert werden.

Gewährleistung einer robusten internen Genehmigung und Governance

Selbst die beste Vorlage nützt nichts, wenn sie ohne Überprüfung geändert werden kann. Die Governance von MSP-Verträgen ist Teil Ihrer A.5.19-Ebene: Sie zeigt, wer im Namen des Unternehmens Risiken übernehmen kann und wie diese Entscheidungen dokumentiert werden.

Bei MSP-Verträgen mit hohem Risiko sollten Sie auf dokumentierte Prüfungen durch die Rechts-, Sicherheits- und Einkaufsabteilung, klare Bedingungen für die Genehmigung durch die Geschäftsleitung und nachvollziehbare Begründungen für Abweichungen von den Standardklauseln bestehen. Für CISOs und Rechtsverantwortliche ist dieser Genehmigungsprozess oft die Grundlage für die nötige Sicherheit, um komplexe oder folgenreiche MSP-Vereinbarungen zu genehmigen.

Diese Genehmigungsprozesse werden Teil Ihres internen Kontrollsystems. Bei Audits gibt der Nachweis einer konsistenten Governance-Historie für MSP-Verträge den Prüfern die Gewissheit, dass A.5.19 fest verankert und nicht improvisiert ist und sich nahtlos in die anschließend implementierten operativen Überwachungspraktiken einfügt.

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo

Betriebliche Überwachung und kontinuierliche Qualitätssicherung für Managed Service Provider (MSPs)

Sobald Verträge unterzeichnet und Dienste live sind, verlagert A.5.19 den Fokus von „dem Schriftlichen“ auf „dem, was im Laufe der Zeit geschieht“. Für CISOs, IT-Experten und Datenschutzbeauftragte bedeutet dies, festzulegen, wie oft wichtige Managed Service Provider (MSPs) überprüft werden, welche Nachweise erwartet werden, wie Probleme und Entscheidungen protokolliert werden und wann Bedenken an die Geschäftsleitung weitergeleitet werden.

In vielen Organisationen führt dies zu unstrukturierten Prozessen. Berichte treffen per E-Mail ein, Probleme werden in Meetings besprochen, aber nie protokolliert, und niemand ist sich sicher, ob Zusagen noch angemessen sind. Die Überführung des MSP-Monitorings in einen definierten Workflow macht es steuerbar und nachvollziehbar und hilft Ihnen zu zeigen, dass Lieferantenrisiken in Governance- und Resilienzdiskussionen genauso ernst genommen werden wie interne Risiken.

Die Aufsichtsbehörden erwarten zunehmend eine kontinuierliche Überwachung kritischer ITK-Anbieter, nicht nur die Due-Diligence-Prüfung vor Vertragsabschluss, wie sie auch in den Outsourcing- und Drittparteienrisikorichtlinien globaler Wertpapieraufsichtsbehörden zum Ausdruck kommt. Das bedeutet, dass Ihr MSP-Monitoring risikobasiert und dokumentiert sein und Trends statt nur Momentaufnahmen aufzeigen muss.

Definition dessen, wie gute Aufsicht aussieht

Eine gute Aufsicht ist planvoll und nicht reaktiv. Sie erklärt, warum manche Managed Service Provider (MSPs) intensiv überwacht werden, während andere weniger streng kontrolliert werden, und zeigt, wie diese Entscheidungen die Auswirkungen auf das Geschäft und die Risikobereitschaft widerspiegeln. Wenn diese Logik nachvollziehbar ist, lässt sich der eigene Ansatz gegenüber Wirtschaftsprüfern, Aufsichtsräten und Regulierungsbehörden leichter verteidigen.

Beginnen Sie damit, klare Erwartungen für jede Risikostufe festzulegen. Beispielsweise könnte ein kritischer Managed Service Provider (MSP) vierteljährliche Überprüfungsgespräche, eine jährliche Prüfung unabhängiger Prüfberichte, regelmäßige KPI-Dashboards zu Vorfällen und SLA-Performance sowie die periodische Bestätigung wichtiger Ansprechpartner und Eskalationswege erfordern. Anbieter niedrigerer Stufen benötigen möglicherweise nur jährliche Überprüfungen oder ein Monitoring bei wesentlichen Änderungen.

Hier ist eine Möglichkeit, die Häufigkeit der Kontrollmaßnahmen zu strukturieren:

MSP-Tier	Beispielkriterien	Mindestprüfungshäufigkeit
Tier 1	Kritischer Dienst, hohe Datensensibilität	Vierteljährlich + auf Veränderung
Tier 2	Wichtiger Service, mittlere Datensensibilität	Zweimal im Jahr
Tier 3	Unterstützender Service, geringe Datensensibilität	Jährlich oder bei Änderung

Diese Art von Tabelle hilft den Beteiligten zu verstehen, warum manche Anbieter mehr Aufmerksamkeit erhalten als andere, und gibt den Gutachtern die Gewissheit, dass Ihr Ansatz risikobasiert und nicht willkürlich ist. Sie bietet den Anwendern außerdem eine praktische Checkliste für die Planung von Überprüfungszyklen und die Zeiteinteilung.

Mehr als Zertifikate und Noten

Externe Ratings, Zertifikate und Berichte sind Input, keine Schlussfolgerungen. Entscheidend ist, wie Sie diese interpretieren und wie Sie weiter vorgehen, insbesondere wenn sie Lücken oder Trends aufzeigen, die Ihrem Risikoprofil oder den regulatorischen Erwartungen widersprechen.

Für jeden Managed Service Provider (MSP) sollten Sie nachweisen können, wer die Nachweise wann geprüft hat, welche Bedenken oder Ausnahmen festgestellt wurden, welche Maßnahmen mit den Verantwortlichen vereinbart wurden und welche Fristen galten, und wie das Restrisiko nach der Prüfung bewertet wurde. Für CISOs und Risikoteams ist diese Dokumentation oft wichtiger als das Zertifikat selbst.

Diese Dokumentation beweist – mehr noch als das Zertifikat – gegenüber Prüfern und Kunden, dass Sie umsichtig handeln und Ihre Entscheidungen konsequent umsetzen. Im Laufe der Zeit erhalten Sie dadurch auch einen Überblick darüber, welche Beziehungen sich verbessern und welche sich verschlechtern. Zudem liefert sie konkrete Anhaltspunkte für Entscheidungen über Korrekturmaßnahmen, Neuverhandlungen oder den Ausstieg aus der Geschäftsbeziehung.

Integration der Aufsicht in die bestehende Governance

Die Überwachung funktioniert am besten, wenn sie in bereits bestehende Foren integriert wird. So konkurrieren Lieferantenprobleme mit anderen operativen Prioritäten um Aufmerksamkeit, anstatt in einem separaten Lieferanten-Silo isoliert zu bleiben.

Das könnte bedeuten, das MSP-Risiko als festen Tagesordnungspunkt in Service-Review-Meetings aufzunehmen, Lieferantenprobleme in Change Advisory Boards oder Operational Risk Committees einzubringen und sicherzustellen, dass schwerwiegende MSP-Vorfälle denselben Führungsgremien gemeldet werden wie interne. Für die Anwender vermeidet diese Integration das Gefühl zusätzlicher Meetings und integriert die Lieferantenüberwachung stattdessen in den normalen Arbeitsablauf.

Dadurch wird das Lieferantenrisiko zusammen mit anderen operationellen Risiken behandelt und nicht als separates Risiko, das ausschließlich von Einkauf oder Sicherheit abgedeckt wird. Dies verringert zudem das Risiko, dass ein in einem Teil des Unternehmens aufgetretenes Problem die Entscheidungsträger, die darauf reagieren könnten, nie erreicht. Außerdem entspricht es den Erwartungen von NIS 2 und DORA hinsichtlich der Transparenz von ITK-Drittanbieterrisiken auf Vorstandsebene.

Die Beziehung üben und testen

Echte Sicherheit entsteht durch die Beobachtung des Verhaltens von Managed Service Providern (MSPs) unter Druck. Gemeinsame Tests helfen Ihnen zu verstehen, ob vertragliche Erwartungen in entscheidenden Momenten auch tatsächlich umgesetzt werden, und decken oft Lücken auf, die bei einer schriftlichen Prüfung nicht erkennbar wären.

Gemeinsame Aktivitäten können Planspiele umfassen, die einen Vorfall simulieren, der beim Managed Service Provider (MSP) seinen Ursprung hat oder diesen betrifft, die gemeinsame Suche nach Bedrohungen mit Fokus auf gemeinsam genutzte Plattformen oder Integrationen sowie Wiederherstellungstests, an denen sowohl Ihre Teams als auch der Anbieter beteiligt sind. Für Anwender und Einsatzleiter liefern diese Übungen praktische Erkenntnisse über die Funktionsweise von Handlungsanweisungen und Kommunikationskanälen. Aus genau diesem Grund fördern Incident-Response-Communities wie FIRST gemeinsame Übungen und koordinierte Tests mit wichtigen Serviceanbietern.

Solche Übungen decken Lücken in Abläufen, der Kommunikation und den technischen Kontrollen auf, die durch Fragebögen nicht erkennbar sind. Sie stärken zudem das Vertrauen und die Vertrautheit zwischen den Teams, was die Bewältigung realer Vorfälle erleichtert. Aufsichtsbehörden empfehlen diese Art von kollaborativen Tests zunehmend für kritische Beziehungen zu Drittanbietern.

Verknüpfung von Monitoring mit Risikobereitschaft und Maßnahmen

Die Überwachung von Managed Service Providern (MSPs) muss mit Ihrer Risikobereitschaft verknüpft sein. Wenn Sie die Bedingungen definiert haben, unter denen eine Geschäftsbeziehung inakzeptabel wird, sollte ein klarer Weg von den Beobachtungen zu den Entscheidungen und Maßnahmen bestehen.

Wenn Sie beispielsweise entschieden haben, dass wiederholte Nichterfüllung von Sicherheits-SLAs oder wiederkehrende Vorfälle für eine Hochrisikostufe inakzeptabel sind, müssen die Überwachungsprozesse erkennen, wann diese Schwellenwerte erreicht werden, Probleme an das zuständige Gremium eskalieren und Entscheidungen wie Sanierungspläne, Vertragsneuverhandlungen oder Ausstiegsplanungen auslösen. Für CISOs bedeutet die Möglichkeit, diese Kette nachzuweisen, dass die Geschäftsleitung darauf vertrauen kann, dass die Risiken des Managed Service Providers nicht nur beobachtet, sondern aktiv gesteuert werden.

Die Erfassung dieser Entscheidungen in Ihrem ISMS- oder GRC-System und deren Verknüpfung mit konkreten Erkenntnissen macht den Arbeitsalltag zu einem klaren Beweis dafür, dass A.5.19 nicht nur dokumentiert, sondern auch gelebt wird. Sie bildet zudem eine natürliche Brücke zur im nächsten Abschnitt beschriebenen Angleichung mehrerer Rahmenwerke.

Angleichung der A.5.19 MSP-Kontrollen an NIS 2, DORA, SOC 2 und Branchenregeln

Viele Organisationen, die auf ISO 27001:2022 hinarbeiten, stellen fest, dass sie gleichzeitig auch NIS 2, DORA, SOC 2 und branchenspezifische Verpflichtungen berücksichtigen müssen. Für CISOs, Datenschutzbeauftragte und Rechtsverantwortliche ist die gute Nachricht, dass die Kernideen von A.5.19 – die Kenntnis der IKT-Lieferanten, die Bewertung ihrer Risiken, die Definition vertraglicher Schutzmaßnahmen und deren kontinuierliche Überwachung – in all diesen Rahmenwerken enthalten sind.

Fast alle Befragten der Studie „State of Information Security 2025“ gaben an, dass das Erreichen oder Aufrechterhalten von Sicherheitszertifizierungen wie ISO 27001 oder SOC 2 für ihr Unternehmen Priorität habe.

Anstatt separate Programme zu betreiben, können Sie ein einziges MSP-Steuerungsset entwerfen und es mehreren Anforderungen zuordnen. Das reduziert Doppelarbeit, sorgt für einheitliche Vorgehensweisen zwischen den Teams und erleichtert die Erläuterung Ihres Ansatzes gegenüber verschiedenen Zielgruppen. Außerdem verringert es das Risiko, dass sich die Frameworks voneinander entfernen und widersprüchliche Erwartungen entstehen – ein häufig in Aufsichtsrichtlinien angesprochenes Problem.

Erstellung einer einfachen MSP-Steuerungszuordnung

Eine einfache Vergleichstabelle hilft Vorständen, Aufsichtsbehörden und Wirtschaftsprüfern zu erkennen, dass ein einziger MSP-Lebenszyklus mehreren Compliance-Anforderungen zugrunde liegt, anstatt für jeden Standard neu erstellt zu werden. Sie verdeutlicht außerdem, wo branchenspezifische Anpassungen erforderlich sind und wo auf gemeinsame Kontrollen zurückgegriffen werden kann.

In der Umfrage 2025 erwarteten die Kunden im Allgemeinen, dass ihre Lieferanten sich an formalen Rahmenwerken wie ISO 27001, ISO 27701, DSGVO, Cyber Essentials, SOC 2 und aufkommenden KI-Standards orientieren, anstatt sich auf allgemeine Aussagen zu bewährten Verfahren zu verlassen.

Der erste Schritt besteht darin, Ihre eigenen „kanonischen“ MSP-Aktivitäten zu definieren:

Inventarisierung und Klassifizierung.
Risikobewertung und -einstufung.
Sorgfältige Prüfung und Auswahl.
Vertragsgestaltung und Service-Level-Agreements (SLAs).
Onboarding und technische Integration.
Überwachung und Überprüfung.
Veränderungsmanagement und Ausstieg.

Notieren Sie anschließend für jedes Framework, welche Anforderungen es stellt. Beispielsweise könnten Sie ISO 27001 A.5.19 für Lieferantensicherheit, NIS 2 für Lieferkettenrisiken, DORA für das Risikomanagement von IT-Drittanbietern und den Mindestvertragsinhalt sowie SOC 2 für Lieferanten- und Geschäftspartnerrisiken unter den Kriterien Sicherheit, Verfügbarkeit und Vertraulichkeit zusammenfassen. Mit dieser Übersicht können Sie intern wie extern aufzeigen, wie eine Aktivität mehrere Compliance-Anforderungen erfüllt und wo für bestimmte Aufsichtsbehörden zusätzlicher Handlungsbedarf besteht.

Abgrenzung zwischen Steuerelementen

ISO 27001:2022 fasst mehrere Kontrollmaßnahmen im Zusammenhang mit der Lieferkette zusammen. Bei unachtsamer Vorgehensweise kann es zu Doppelarbeit oder Lücken an den Rändern kommen, insbesondere wenn interne Teams die Geltungsbereiche unterschiedlich interpretieren.

Um Missverständnisse zu vermeiden, legen Sie klar fest, wo A.5.19 (Informationssicherheit in Lieferantenbeziehungen) endet und wo A.5.20–A.5.23 (Geschäftskontinuität und Incident-Management) ansetzen. Beispielsweise könnte Ihre Checkliste zur MSP-Due-Diligence unter A.5.19 fallen, während Tests zur Resilienz und Wiederherstellung unter die Kontrollen der Geschäftskontinuität fallen, obwohl sie sich auf Lieferanten beziehen.

Durch die explizite Festlegung dieser Abgrenzungen lassen sich Prozessverantwortliche leichter zuweisen und Doppelarbeit sowie die Vernachlässigung von Zuständigkeiten vermeiden. Zudem erleichtert sie Anwendern und Prüfern die Navigation durch Ihr Kontrollsystem, ohne Diskussionen darüber, welche Klausel „tatsächlich“ für eine bestimmte Aktivität zuständig ist, und schafft die Grundlage für eine kohärentere, rahmenübergreifende Berichterstattung.

Nutzung des ISMS als zentrale Plattform

Ein einheitlicher Ansatz funktioniert am besten, wenn alle Daten in einem zentralen System erfasst werden. So lassen sich separate Tabellen für jedes Framework und widersprüchliche Aussagen zwischen Sicherheits-, Datenschutz- und Rechtsteams vermeiden.

Das könnte ein zentrales Lieferantenregister mit Risikostufen und Zuordnungen zu Rahmenwerken, Kontrollaufzeichnungen mit Verweisen auf mehrere Normen und relevante Nachweisdatenbanken umfassen, in denen jedes Dokument mit den zugehörigen Kontrollen und Vorschriften verknüpft ist. Für Anwender vereinfacht dies die tägliche Arbeit; für CISOs und Rechtsverantwortliche bietet es eine klare Darstellung bei Nachfragen von Aufsichtsräten oder Regulierungsbehörden.

Eine ISMS-Plattform wie ISMS.online vereinfacht diese Art der übergreifenden Zuordnung, sodass neue Frameworks in bestehende Kontrollsysteme integriert werden können, ohne dass alles von Grund auf neu strukturiert werden muss. Für Kickstarter-Projekte bedeutet das: Sie können mit ISO 27001 beginnen und wissen, dass Sie mit demselben zugrunde liegenden MSP-Framework problemlos auf SOC 2, NIS 2 oder DORA ausweiten können.

Ausweitung auf sektorale und regionale Anforderungen

Branchenspezifische Vorschriften ergänzen häufig die allgemeinen Cybersicherheitsanforderungen um Details. Indem Sie die Kontrollen gemäß A.5.19 als wiederverwendbare Bausteine nutzen, können Sie Ihren MSP-Ansatz anpassen, ohne ihn bei jeder neuen Verordnung komplett neu erfinden zu müssen.

Eine deutliche Mehrheit der Organisationen in der ISMS.online-Umfrage 2025 gab an, dass die Geschwindigkeit und das Ausmaß der regulatorischen Änderungen die Einhaltung von Sicherheits- und Datenschutzbestimmungen immer schwieriger machen.

Beispielsweise liegt der Fokus im Gesundheitswesen auf Vereinbarungen mit Geschäftspartnern und Datenschutzmaßnahmen, im Zahlungsverkehr auf Karteninhaberdaten und Anforderungen an Dienstleister, und im Finanzdienstleistungssektor kommen Outsourcing, Ausfallsicherheit und die Anforderungen an den Prüfungszugriff hinzu. Die aufsichtsrechtlichen Leitlinien in diesen Sektoren verweisen häufig auf ähnliche Grundthemen: Sorgfaltspflicht, Vertragsklarheit und kontinuierliche Überwachung.

Indem Sie die Kontrollen gemäß A.5.19 als Bausteine nutzen, können Sie branchenspezifische Anpassungen – zusätzliche Klauseln, weitere Prüfungen, häufigere Überprüfungen – hinzufügen, ohne Ihr MSP-Framework jedes Mal neu gestalten zu müssen. So bleibt Ihr Ansatz stabil, während gleichzeitig differenzierte Unterschiede dort berücksichtigt werden, wo sie wichtig sind. Zudem wird die kognitive Belastung der Teams reduziert, die andernfalls separate Lieferantenprogramme verwalten müssten.

Koordinierung von Beweisanforderungen

Mehrere Stakeholder werden einen Nachweis darüber verlangen, dass Sie die Risiken im Managed Service Provider (MSP) beherrschen. Die Wiederverwendung derselben Nachweise über verschiedene Standards hinweg reduziert Kosten und Inkonsistenzen und erleichtert den Teams, die die Antworten zusammenstellen, die Arbeit.

Zu diesen Interessengruppen gehören externe Prüfer und Zertifizierungsstellen, nationale Regulierungs- und Aufsichtsbehörden sowie große Kunden, die eine Sorgfaltsprüfung durchführen. Jede dieser Gruppen kann unterschiedliche Perspektiven auf die gleiche grundlegende Geschichte der Managed Service Provider (MSP) benötigen.

Wenn Ihre Kontrolltabelle und Ihre Nachweise zentral verwaltet werden, können Sie Anfragen aus derselben Quelle beantworten, anstatt jedes Mal individuelle Unterlagen zu erstellen. Das reduziert den Aufwand und signalisiert den Prüfern Professionalität, da diese erkennen können, dass die Lieferantenüberwachung auf einem einheitlichen, kohärenten Rahmenwerk basiert und nicht für jede neue Frage individuell zusammengestellt wird.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Nachweis- und prüfungsbereite MSP-Aufsicht gemäß A.5.19

Letztendlich hängt die Einhaltung von A.5.19 davon ab, ob nachgewiesen werden kann, dass MSP-Risiken in der Praxis identifiziert, behandelt und überwacht werden. Für CISOs, Datenschutzbeauftragte und Anwender bedeutet dies, die richtigen Dokumente am richtigen Ort zu haben, sie mit den richtigen Kontrollen und Entscheidungen zu verknüpfen und sie gegenüber Prüfern, Aufsichtsbehörden und Kunden erläutern zu können.

Die Beweisführung muss nicht komplex, sondern schlüssig sein. Ziel ist es, einen klaren Zusammenhang zwischen politischer Absicht, Prozess und den tatsächlichen Ereignissen aufzuzeigen. Ist dieser Zusammenhang ersichtlich, werden Bewertungen, Verlängerungen und Gespräche mit Interessengruppen fundierter und weniger improvisiert geführt, und Sie sind besser gerüstet, Ihre Entscheidungen im Fehlerfall zu begründen.

Regulierungsbehörden und Zertifizierungsstellen erwarten zunehmend eine nachvollziehbare Darstellung kritischer Beziehungen zu Drittanbietern, wie sie sich in den ISO-konformen Zertifizierungs- und Auditvorbereitungsunterlagen internationaler Zertifizierungsorganisationen widerspiegelt. Diese Erwartung gilt unabhängig davon, ob Sie als Start-up Ihre erste Zertifizierung anstreben oder als erfahrener CISO mehrere sich überschneidende Rahmenwerke verwalten.

Definition eines Standard-MSP-Nachweispakets

Ein standardisiertes Nachweispaket beschleunigt und reduziert den Stress bei Prüfungen und Audits. Jeder weiß, welche Dokumente zusammenzustellen sind, und Lücken werden deutlich, lange bevor ein externer Gutachter Fragen stellt.

Für jeden MSP mit hohem Risiko sollten Sie ein konsistentes Beweispaket zusammenstellen, das den aktuellen Vertrag und Sicherheitsplan oder Anhang, die Risikobewertung und die Begründung für die Einstufung, die Ergebnisse der Due-Diligence-Prüfung und die Annahmeentscheidungen, Aufzeichnungen über Onboarding-Prüfungen und -Genehmigungen, aktuelle Überwachungsberichte und Besprechungsnotizen, gegebenenfalls Vorfallsberichte und Nachbesprechungen von Vorfällen sowie Ausstiegspläne oder -aufzeichnungen enthält, falls eine Kündigung erfolgt ist.

Bei einem Tier-1-Managed-Service-Provider (MSP), der Backup und Disaster Recovery anbietet, erwartet man beispielsweise die im Vertrag festgelegten Wiederherstellungsziele, einen aktuellen Testbericht, eine aktuelle Risikoanalyse, das Protokoll der letzten Serviceüberprüfung sowie eine Dokumentation darüber, wie aus etwaigen Vorfällen gelernt wurde. Sobald diese Vorlage vereinbart ist, werden Lücken in Ihrer bestehenden Dokumentation sichtbar und können planvoll geschlossen werden, anstatt erst kurz vor einem Audit hektisch nach Lösungen suchen zu müssen.

Verknüpfung von Artefakten mit Steuerelementen und Frameworks

Beweise sind umso aussagekräftiger, je klarer sie mit konkreten Verpflichtungen verknüpft sind. Diese Verknüpfung ermöglicht es, unter Druck nicht nur die Frage nach dem „Was“, sondern auch nach dem „Wie“ und „Warum“ zu beantworten.

In Ihrem ISMS- oder GRC-Tool können Sie jedes Dokument mit den unterstützten Kontrollcodes (z. B. A.5.19, A.5.20) kennzeichnen, es mit relevanten regulatorischen Bestimmungen wie den NIS-2-Maßnahmen für die Lieferkette verknüpfen und es dem Lieferantendatensatz sowie der Leistungsbeschreibung zuordnen. Für Rechts- und Datenschutzbeauftragte erleichtert diese Zuordnung zudem den Nachweis, dass Outsourcing Ihre gesetzlichen Verpflichtungen unterstützt und nicht untergräbt.

Auf diese Weise können Sie, wenn jemand fragt: „Wie erfüllen Sie A.5.19 für dieses MSP?“, den vollständigen Kontext aus einer einzigen Quelle abrufen, anstatt ihn manuell zusammenzutragen. Dies trägt außerdem dazu bei, dass Sie für mehrere sich überschneidende Erwartungen dieselben Nachweise verwenden und somit Doppelarbeit und Verwirrung zwischen verschiedenen Frameworks vermeiden.

Nachweis kontinuierlicher Verbesserung

Prüfer und Aufsichtsräte achten zunehmend auf Anzeichen dafür, dass Sie lernen und sich anpassen. Ein statischer Dokumentensatz signalisiert ihnen, dass Ihnen das Thema einst am Herzen lag; eine kontinuierliche Verbesserung beweist, dass Sie es immer noch tun.

Für die Aufsicht über Managed Service Provider (MSPs) kann dies Nachbesprechungen von Vorfällen umfassen, in denen dokumentiert wird, was gut und was schlecht lief, aktualisierte Risikobewertungen als Reaktion auf Ereignisse oder Serviceänderungen sowie Vertrags- oder Kontrolländerungen, die auf Grundlage der gewonnenen Erkenntnisse vorgenommen werden. Für Chief Information Security Officers (CISOs) ist dieser Verbesserungsprozess oft der entscheidende Faktor, der den Fokus von „Compliance“ auf „Resilienz“ verlagert.

Die Dokumentation dieser Schritte zeigt, dass Ihr Lieferantenmanagement-System dynamisch ist. Sie hilft auch, Entscheidungen wie die Verlängerung, Neuverhandlung oder Beendigung von Geschäftsbeziehungen zu begründen, da Sie auf konkrete Auslöser und Reaktionen verweisen können, anstatt sich auf institutionelles Gedächtnis oder individuelle Erinnerungen zu verlassen.

Speicherung der Entscheidungshistorie

Lieferantenentscheidungen erstrecken sich oft über mehrere Jahre und betreffen viele Personen. Wenn etwas schiefgeht, kann die Rekonstruktion der Entscheidungsgrundlagen für interne und externe Prüfungen von entscheidender Bedeutung sein, insbesondere für Datenschutz- und Rechtsbeauftragte, die möglicherweise direkt befragt werden.

Die Pflege versionskontrollierter Repositories für Risikobewertungen und Genehmigungsentscheidungen, Richtlinien- und Verfahrensversionen sowie Protokolle und Genehmigungen von Governance-Sitzungen ermöglicht es, die Gründe für die damals getroffenen Entscheidungen nachzuvollziehen. Dies kann von entscheidender Bedeutung sein, wenn ein Vorfall später untersucht wird oder Aufsichtsbehörden die bisherige Governance prüfen.

Es hilft neuen Führungskräften außerdem, die Entwicklung der MSP-Strategie zu verstehen, anstatt vergangene Beweggründe zu erraten. Für Kickstarter-Projekte erspart der frühzeitige Einstieg in diese Vorgehensweise den späteren Aufwand, die Historie aus verstreuten E-Mails und Entwürfen rekonstruieren zu müssen.

Eine klare Geschichte über ein Versäumnis erzählen

Neben detaillierten Dokumentationen ist eine prägnante Darstellung für die Führungsebene entscheidend. Eine klare MSP-Strategie trägt dazu bei, dass Vorstand, Aufsichtsbehörden und Kunden einheitliche Botschaften darüber erhalten, wie Sie das Lieferantenrisiko managen.

Eine gute Darstellung der Aufsichtsstrategie fasst Ihre Gesamtstrategie für Managed Service Provider (MSP) und Ihre Risikobereitschaft zusammen, beschreibt die praktische Umsetzung von A.5.19 und den zugehörigen Kontrollen, hebt aktuelle Prioritäten, Verbesserungen und Risiken hervor und zeigt, wie die Aufsicht in die umfassenderen Governance- und Resilienzmaßnahmen integriert ist. CISOs nutzen diese Darstellung häufig in ihren Berichten an den Vorstand und in externen Briefings.

Das Üben dieser Vorgehensweise vor Audits und Vorstandssitzungen trägt dazu bei, dass alle Beteiligten ihren Beitrag souverän erläutern können. Es erleichtert zudem die Abstimmung der Kommunikation zwischen den Teams für Sicherheit, Datenschutz, Recht und Betrieb und bereitet Sie optimal auf Gespräche darüber vor, wie Tools wie ISMS.online diese Aufsicht unterstützen und optimieren können.

Buchen Sie noch heute eine Demo mit ISMS.online

ISMS.online bietet Ihnen eine zentrale, strukturierte Umgebung, um die Überwachung von Managed Service Providern (MSPs) gemäß A.5.19 und den zugehörigen Anforderungen zu planen, durchzuführen und nachzuweisen. So verbringen Sie weniger Zeit mit der Dokumentensuche und können fundierte Entscheidungen zum Lieferantenrisiko treffen. Für Kickstarter-Initiativen, CISOs, Datenschutzbeauftragte und Anwender bedeutet dies, die MSP-Überwachung von unübersichtlichen Tabellen und E-Mail-Verläufen in eine kohärente und nachvollziehbare Dokumentation zu verwandeln.

Wie ISMS.online A.5.19 in der Praxis unterstützt

Wenn Sie MSP-Informationen an einem zentralen Ort zusammenführen, wird es deutlich einfacher zu erkennen, wer Ihre wichtigsten Anbieter sind, welche Kontrollen gelten und wo Lücken bestehen. ISMS.online unterstützt Sie bei der Pflege eines aktuellen Lieferantenregisters mit Risikostufen, Kontrollzuordnungen, Verträgen und Prüfprotokollen, sodass alle Teams aus den Bereichen Sicherheit, Einkauf, Recht, Betrieb und Risikomanagement auf dieselbe Datenbasis zugreifen können.

Statt vor jedem Audit mühsam Dokumente in verschiedenen Laufwerken und E-Mail-Postfächern zu suchen, können Sie mit einem Live-Register arbeiten, das Sorgfaltsprüfung, Vertragsgestaltung, Überwachung und Abschluss unterstützt. Verantwortlichkeiten sind klarer definiert, und nichts hängt vom Gedächtnis einer einzelnen Person ab. Da A.5.19 nahtlos mit anderen Lieferanten- und Resilienzkontrollen verknüpft ist, können Sie die Arbeit von Managed Service Providern (MSPs) auch NIS 2, DORA, SOC 2 und Branchenvorschriften zuordnen, ohne parallele Prozesse zu erstellen oder Nachweise doppelt zu erfassen. Dies stärkt Ihre Gesamtstrategie zur Stärkung der Resilienz.

Entscheidung, ob man ISMS.online weiter erkunden möchte

Der nächste Schritt muss kein großes Engagement erfordern. Ein kurzer, fokussierter Testlauf genügt in der Regel, um festzustellen, ob diese Arbeitsweise zu Ihrer Organisation und Ihrer MSP-Landschaft passt und wo sie den heutigen manuellen Aufwand und die Fragmentierung ersetzen könnte.

Sie können einen beispielhaften MSP-Lebenszyklus durchlaufen, einige Ihrer eigenen Lieferanten hinzufügen und sehen, wie bestehende Dokumente ISO 27001, NIS 2, DORA oder anderen relevanten Frameworks zugeordnet werden können. Anschließend lässt sich leichter entscheiden, wie eine schrittweise Einführung aussehen könnte: Welche risikoreichen Beziehungen sollten zuerst einbezogen werden, welche Kennzahlen sollten verfolgt werden und wie schnell können Sie von Ad-hoc-Praktiken zu einer kohärenten A.5.19-Architektur übergehen?

Wenn Sie für Sicherheit, Compliance, Betrieb, Datenschutz oder Beschaffung verantwortlich sind und wissen, dass das Risikomanagement von Managed Service Providern (MSPs) einen ganzheitlicheren Ansatz erfordert, kann Ihnen ein Gespräch mit dem Team von ISMS.online helfen, die verschiedenen Optionen zu erkunden. Sie behalten die Kontrolle über Ihr Programm; die Plattform bietet Ihnen lediglich eine praktische und nachweisbare Möglichkeit, es gemäß allen für Sie relevanten Standards, Vorschriften und Stakeholdern umzusetzen.

Kontakt

Häufig gestellte Fragen (FAQ)

Wie genau verändert Anhang A.5.19 der ISO 27001:2022 Ihre Vorgehensweise im Umgang mit Managed Service Providern (MSPs) und anderen Lieferanten?

Anhang A.5.19 sieht vor, dass Sie wichtige Lieferanten so behandeln, als ob sie sich innerhalb Ihrer eigenen ISMS-Grenzen befänden, mit risikobasierter Kontrolle und sichtbarer Aufsicht anstelle einer statischen Lieferantenliste.

Was bedeutet das in der Praxis, in Begriffen, die für eine Wirtschaftsprüfung geeignet sind?

Für jeden Materialdienstleister oder Lieferanten sollten Sie einem Prüfer eine einfache Geschichte erzählen können:

Warum sie wichtig sind: – Sie berühren die Produktion, sensible Daten, kritische Dienste, den Geltungsbereich Ihres ISMS oder Ihre Notfallpläne.
Wie riskant sie sind: – Sie verwenden ein wiederholbares Stufenverfahren (z. B. kritisch / wichtig / Standard) basierend auf Zugänglichkeit und Auswirkung.
Was Sie von ihnen verlangen: – konkrete Erwartungen an Sicherheit, Datenschutz, Ausfallsicherheit und Vorfallsmanagement, keine schwammige „Branchenstandard“-Sprache.
Wo diese Anforderungen zu finden sind: – Richtlinien, Vertragsklauseln, SLAs, Sicherheitspläne und Betriebshandbücher mit klarer Versionshistorie.
Wie Sie sie im Blick behalten: – ein festgelegter Rhythmus, bekannte Eingangsgrößen (Qualitätssicherungsberichte, Vorfälle, SLA-Daten, Tickets) und protokollierte Entscheidungen.
Wie Sie die Beziehung beenden oder verändern: – geplante Datenrückgabe/Löschung, Zugriffsentzug, Übergabe und gewonnene Erkenntnisse.

Kunden, Regulierungsbehörden und neuere Regelungen wie z. B. NIS 2 und DORA Erwarten Sie zunehmend eine Linie von Risikodenken → Anforderungen → Vereinbarungen → Überwachung → Ausstieguntermauert durch Beweise. Wenn Sie diese Aussage jedem wichtigen Anbieter ruhig und verständlich erklären können, beweist Anhang A.5.19 seine Wirksamkeit in der Praxis und nicht nur auf dem Papier.

Wie kann ein ISMS oder IMS dies teamübergreifend einheitlich gewährleisten?

Ein funktionierendes Informationssicherheits-Managementsystem (ISMS) – idealerweise innerhalb eines Integriertes Managementsystem (IMS) nach Annex L-Art – bietet Ihnen das Gerüst, um:

Führen Sie ein zentrales, risikogestaffeltes Lieferantenregister
Verknüpfen Sie jeden Managed Service Provider (MSP) mit Diensten, Anlagen, Risiken, Kontrollen, Verträgen und Vorfällen.
Beziehungen zu ISO 27001 Anhang A.5.19 und verwandten Kontrollen wie A.5.20–A.5.22 ordnen.
Lieferantenbewertungen sollten in die routinemäßige Unternehmensführung integriert und nicht nur ad-hoc-Notfallmaßnahmen durchgeführt werden.

ISMS.online basiert auf diesem Ansatz. Sie können Lieferanten einmalig registrieren, Nachweise für ISO 27001, SOC 2, NIS 2 und DORA wiederverwenden und nachweisen, dass Sie die Lieferantenüberwachung als solche durchführen. lebendes System Statt vor jedem Audit hektische Betriebsamkeit zu betreiben, erleichtert dies einem CISO oder Datenschutzbeauftragten die Aussage vor dem Vorstand erheblich: „Unsere ausgelagerten Dienstleistungen sind unter Kontrolle.“

Wie kann eine Organisation mit hohem MSP-Anteil versteckte Lieferantenrisiken aufdecken, bevor dies ein Auditor oder Angreifer tut?

Sie decken versteckte Lieferantenrisiken auf, indem Sie vergleichen, wer tatsächlich technischen und geschäftlichen Zugriff auf Ihre Infrastruktur hat, mit denjenigen, die in Ihrem offiziellen Lieferantenregister aufgeführt sind, und anschließend die Lücken schließen.

Wo treten die gravierendsten blinden Flecken üblicherweise auf?

In MSP-abhängigen Umgebungen treten drei Muster wiederholt auf:

Schatten-MSPs:

Lokale IT-Firmen, Nischen-SaaS-Produkte, Webagenturen, Integrationspartner und Freiberufler, die über Administratorkonten, VPN-Zugang oder Produktionsdaten verfügen, aber bisher nie als „relevante“ Lieferanten behandelt wurden.

Unbekannter Explosionsradius:

Keine schnelle Antwort auf folgende Frage: „Wenn dieser Managed Service Provider ausfallen oder kompromittiert werden würde, welche Dienste, Kunden oder Regionen wären betroffen und wie stark?“

Konzentrationsrisiko:

Mehrere kritische Dienste oder Großkunden sind von einem einzigen Managed Service Provider (MSP) oder einem engmaschigen Anbietercluster abhängig, sodass ein Ausfall zu einem Ereignis wird, das mehrere Dienste und Kunden betrifft.

Eine gezielte Durchsicht einiger weniger Datenquellen fördert diese schneller zutage, als die meisten Teams erwarten:

Alles exportieren externe Identitäten von IAM-, VPN-, Fernzugriffs- und Privileged-Access-Tools.
Vergleichen Firewall-Regeln, Endpoint-Agenten, Überwachungsintegrationen und Ticketwarteschlangen mit den Namen in Ihrem Lieferantenregister.
Fragen Sie die Finanzabteilung nach einem Ausgabenbericht der letzten 12 Monate für Anbieter, die als „IT / Cloud / Services“ gekennzeichnet sind, und gleichen Sie dies mit Ihrer ISMS-Ansicht ab.

Sobald du es weißt Wer gehört wirklich zu Ihrem Technologie-Stack, welche Bereiche berühren diese Komponenten und wie wichtig sind sie?, Sie können:

Bringen Sie die richtigen Anbieter formell ein Anhang A.5.19 Anwendungsbereich
Entscheiden Sie, wo Standard-Sicherheitsklauseln, Geheimhaltungsvereinbarungen und Resilienzklauseln obligatorisch sind.
Das Lieferantenrisiko sollte in die Diskussionen um Kontinuität und Risikomanagement einbezogen werden, anstatt es im Tagesgeschäft zu vernachlässigen.

Wie kann ISMS.online diese Kartierungsarbeit in etwas Nachhaltiges umwandeln?

Mit ISMS.online können Sie diese Erkenntnisse in einem zusammenfassen. Einzellieferantenregister wo Du kannst:

Weisen Sie jedem Managed Service Provider (MSP) eine Risikostufe zu und verknüpfen Sie ihn mit Assets, Services und Standorten.
Ordnen Sie Prüfberichte, Vorfälle, Tickets und Verbesserungsmaßnahmen dem richtigen Anbieter zu.
Visualisieren Sie Risikocluster, um die Frage „Welche Anbieter könnten diesen Service morgen übernehmen?“ beantworten zu können, ohne in Tabellenkalkulationen suchen zu müssen.

Für kleine oder stark ausgelastete Teams verwandelt diese zentrale Sichtweise eine einmalige Erkundungsübung in eine fortlaufende ArbeitsweiseSo bleiben Sie Prüfern und Angreifern immer einen Schritt voraus, anstatt auf sie zu reagieren.

Wie kann ein kleines Team Anhang A.5.19 in ein realistisches Lieferantenrisiko-Rahmenwerk umwandeln?

Ein kleines Team macht Anhang A.5.19 umsetzbar, indem es eine einfacher Lebenszyklus Es geht darum, wie Sie MSPs bereits auswählen, beauftragen, betreiben und beenden, und darum, den Aufwand dem Risiko anzupassen, anstatt jeden Anbieter gleich zu behandeln.

Wie sieht ein schlanker, auditierbarer Lieferantenlebenszyklus aus?

Ein sechsstufiges Modell reicht in der Regel aus, um die Prüfer zufriedenzustellen, ohne unnötige Bürokratie zu erzeugen:

Geltungsbereich:

Entscheiden Sie, ob ein Lieferant tatsächlich in Ihren ISMS-Bereich gehört und welchen Schaden sein Ausfall oder Verstoß verursachen könnte.

Sorgfaltspflicht:

Sammeln Sie Nachweise, die ihrem Leistungsniveau angemessen sind: einen kurzen Fragebogen und ein Zertifikat für Standardlieferanten; weitergehende Prüfungen, Referenzen und Architekturdetails für kritische MSPs.

Vertrag:

Legen Sie klare Erwartungen hinsichtlich Sicherheit, Datenschutz, Service-Level-Agreements (SLAs), Geschäftskontinuität und Ausstieg fest, die auf Ihre Risikobereitschaft und Ihre regulatorischen Verpflichtungen abgestimmt sind.

Onboarding:

Richten Sie Identitäten, Zugriffspfade, Protokollierung, Überwachung und Runbooks mit benannten Genehmigern und aufgezeichneten Schritten ein, damit Sie nachweisen können, wer was autorisiert hat.

Betrieb und Veränderung:

Führen Sie Überprüfungen in festgelegten Abständen durch, reagieren Sie auf Vorfälle und SLA-Daten, passen Sie Umfang oder Zugriffsrechte an, wenn sich die Dienste ändern, und aktualisieren Sie die Risikobewertungen über bestehende Governance-Foren.

Exit:

Planen Sie die Datenrückgabe oder die sichere Löschung, entfernen Sie den Zugriff vollständig, gewährleisten Sie den Wissenstransfer, sammeln Sie Erkenntnisse und schließen Sie die Beziehung in Ihren Aufzeichnungen ab.

Die Disziplin kommt von TieringNicht, indem man jedes SaaS-Abonnement wie einen strategischen Outsourcing-Vertrag behandelt. Ihre wichtigsten Managed Service Provider (MSPs) durchlaufen den gesamten Lebenszyklus mit umfassenderen Prüfungen; weniger wichtige Tools benötigen möglicherweise nur eine vereinfachte Version und regelmäßige Stichproben.

In einem integrierten Managementsystem können Sie:

Weisen Sie jeder Lebenszyklusphase Verantwortliche zu und bewahren Sie Genehmigungen, Nachweise und Entscheidungen zusammen auf.
Verknüpfen Sie die Schritte des Lebenszyklus direkt mit ISO 27001 Anhang A.5.19 und den zugehörigen Kontrollen (A.5.20 Lieferantenvereinbarungen, A.5.21 IKT-Lieferkette, A.5.22 Lieferantendienstleistungen).
Wiederverwendung von Lieferantenrisikoarbeiten SOC 2, NIS 2, DORA, ISO 27701, ISO 22301 und sektorale Rahmenwerke, anstatt für jeden Sektor neue Tabellenkalkulationen zu erstellen.

Mit ISMS.online können Sie diesen Lebenszyklus einmalig entwerfen, ihn auf jeden neuen Managed Service Provider (MSP) anwenden und Auditoren, Kunden und Ihrem Vorstand zeigen, dass Ihre Lieferantenkontrolle... konsistent und risikobasiertNicht improvisiert von dem Manager, der den letzten Vertrag unterzeichnet hat. Das ist besonders hilfreich, wenn man als Compliance-Initiator oder -Experte all das neben dem Hauptberuf erledigen muss.

Welche Vertrags- und SLA-Elemente sind für die MSP-Aufsicht gemäß Anhang A.5.19 am wichtigsten?

Die wichtigsten Vertrags- und SLA-Elemente sind diejenigen, die Ihre Erwartungen in … umsetzen. klare, durchsetzbare VerpflichtungenSo diskutiert man nicht mitten in einem Stromausfall über die Sicherheit.

Worauf sollten Sie in einem sicherheitsorientierten MSP-Vertrag bestehen?

Fünf Cluster haben den größten praktischen Stellenwert:

Sicherheits- und Zugriffsmanagement:

Minimale Kontrollmaßnahmen (z. B. Multi-Faktor-Authentifizierung, Standard-Patchfenster, sicherer Fernzugriff), klare Regeln für die Erteilung, Überprüfung und den Entzug von Berechtigungen sowie Zugriff auf Protokolle, wenn Untersuchungen erforderlich sind.

Meldung von Vorfällen und Zusammenarbeit:

Definierte Auslöser, Zeitpläne, Eskalationswege und Berichtsinhalte sowie die praktische Funktionsweise gemeinsamer Triage, Eindämmung, forensischer Untersuchungen und Wiederherstellung.

Datenschutz und Vertraulichkeit:

Rollen (Verantwortlicher/Auftragsverarbeiter), Datenkategorien, Verarbeitungszwecke, Speicherorte, Unterauftragsverarbeiter, grenzüberschreitende Übermittlungen und Unterstützung bei der Meldung von Datenschutzverletzungen und den Rechten betroffener Personen in verschiedenen Systemen wie beispielsweise Datenschutz und CCPA.

Prüfungs- und Kontrollrechte:

Welche Nachweisdokumente Sie erhalten (ISO 27001/27701-Zertifikate, SOC 2-Berichte, Zusammenfassungen von Penetrationstests), wie oft und unter welchen Bedingungen Sie eine detailliertere Bewertung oder einen Vor-Ort-/Fernbesuch anfordern können.

Ausstiegs- und Übergangsunterstützung:

Verpflichtungen zur Rückgabe oder sicheren Löschung von Daten, zur Übergabe von Dokumenten, zur Unterstützung beim Wechsel zu einem neuen Anbieter sowie zur Unterstützung von Kontinuitäts- und Wiederherstellungsplänen.

Diese zu standardisieren kurzer Sicherheits- und Resilienzplan Dadurch bleiben Recht, Sicherheit, Beschaffung und Datenschutz im Einklang. Ausnahmen können Sie dann über einen dokumentierten Risikoakzeptanzprozess handhaben, und Sie haben eine deutlich stärkere Argumentation, wenn Kunden oder Aufsichtsbehörden fragen, wie Anhang A.5.19 in Ihre Lieferantenverträge integriert ist.

Wie erleichtert ein IMS im Stil von Anhang L die Pflege dieser Klauseln?

Wenn Sie ein integriertes Managementsystem für Sicherheit, Datenschutz, Kontinuität und Qualität betreiben, können Sie Folgendes erreichen:

Die Vertragssprache angleichen ISO 27001 Anhang A, ISO 27701 , ISO 22301 und Sektorregeln wie NIS 2 und DORA
Verwenden Sie dieselben Klauselsätze für verschiedene Standards, anstatt mit separaten Vertragsvorlagen zu jonglieren, die sich im Laufe der Zeit verändern.
Weisen Sie nach, dass die Lieferantenkontrollen über alle Risiko-, Kontinuitäts- und Datenschutzprogramme hinweg einheitlich sind.

ISMS.online kann diese Standardzeitpläne als kontrollierte Dokumente speichern, sie direkt mit Lieferantendatensätzen verknüpfen und Genehmigungen sowie Versionsverlauf zentral verwalten. Wenn ein Auditor oder Kunde fragt, welche Klauseln für einen bestimmten Managed Service Provider (MSP) gelten, können Sie ihm diese schnell präsentieren, anstatt in freigegebenen Laufwerken und E-Mail-Verläufen suchen zu müssen.

Wie sollten Sie MSPs überwachen, damit Anhang A.5.19 tatsächlich umgesetzt wird und nicht nur schriftlich festgehalten ist?

Anhang A.5.19 wirkt dann lebendig, wenn Sie nachweisen können, dass die Leistung, das Risiko und die Zusicherungen des MSP in einem vorhersehbaren Rhythmus überprüft werden, mit klaren Entscheidungen und deren Umsetzung, und nicht nur vor der Zertifizierung erneut geprüft werden.

Wie sieht eine glaubwürdige, kontinuierliche Aufsicht für verschiedene Lieferantenebenen aus?

Für jede Risikostufe sollten drei Dinge gegeben sein:

Ein festgelegter Überprüfungsrhythmus:

Beispielsweise werden kritische Managed Service Provider (MSPs) mindestens vierteljährlich, wichtige Anbieter zweimal jährlich und Lieferanten mit geringeren Auswirkungen jährlich oder bei wesentlichen Änderungen überprüft.

Vereinbarte Eingaben:

Eine Mischung aus:

Externe Qualitätssicherung: ISO-Zertifikate, SOC-Berichte, Zusammenfassungen von Schwachstellen- oder Penetrationstests
Störungs- und Ausfallberichte, einschließlich Ursachenanalyse
SLA-/Verfügbarkeitsdaten, Änderungsfehlerraten, Backlog- und Tickettrends
Interne Signale wie wiederkehrende Probleme, Nutzerbeschwerden oder Beinaheunfälle

Dokumentierte Entscheidungen und Maßnahmen:

Aktualisierte Risikobewertungen, mit den Eigentümern vereinbarte Sanierungspläne und Fristen, Auslöser für Neuverhandlungen oder den Ausstieg bei Veränderungen der Haltung oder Leistung sowie Nachweise darüber, dass Maßnahmen abgeschlossen oder bewusst akzeptiert wurden.

Anstatt neue Ausschüsse zu gründen, erzielen die meisten Organisationen bessere Ergebnisse, indem sie Lieferantenbewertungen in bestehende Prozesse integrieren. bereits existierende Foren, Wie:

Servicebewertungen bei Managed Service Providern
Änderungsbeiräte
Risiko- und Compliance-Ausschüsse
Geschäftskontinuitäts- oder Resilienz-Meetings

Auf diese Weise werden Lieferantenprobleme zusammen mit anderen Risiken abgewogen, und dem Vorstand wird klar, wie Anhang A.5.19 in das umfassendere Resilienz- und Risikomanagement passt.

Wie kann ISMS.online Ihnen dabei helfen, nachzuweisen, dass die Aufsicht kontinuierlich erfolgt?

Auf ISMS.online können Sie:

Stelle den Überprüfungsintervalle für jede Risikostufe, Eigentümer zuweisen und jeden MSP den zuständigen Governance-Meetings zuordnen
Speichern Sie Prüfberichte, Protokolle, Vorfälle, Risikobewertungen und Maßnahmen in der Lieferantenakte.
Verfolgen Sie die Umsetzung von Sanierungs- und Verbesserungsmaßnahmen bis zum Abschluss und visualisieren Sie den Status in Dashboards, die von CISOs, DPOs, der internen Revision und Führungskräften genutzt werden.

Das Ergebnis ist ein nachvollziehbarer Prüfpfad Die Lieferantenüberwachung läuft das ganze Jahr über und wird nicht nur während der Zertifizierungssaison wiederbelebt. Dadurch wird das Gespräch wesentlich einfacher, wenn Kunden oder Aufsichtsbehörden fragen, wie Sie die ausgelagerten Dienstleistungen unter Kontrolle halten.

Wie kann ISMS.online Ihnen dabei helfen, Anhang A.5.19 für MSPs nachzuweisen und zu verwalten, ohne die Mitarbeiterzahl zu erhöhen?

ISMS.online unterstützt Sie bei der Umsetzung von Annex A.5.19 mit Ihrem bestehenden Team, indem es den Lieferantenlebenszyklus, das Risikomanagement, die Vertragsabwicklung und die Aufsicht in einer einzigen Umgebung zusammenführt und die Arbeit über verschiedene Rahmenwerke hinweg wiederverwendbar macht.

Was ändert sich, wenn die MSP-Aufsicht in einen einzigen ISMS.online-Arbeitsbereich verlagert wird?

Organisationen beobachten typischerweise drei praktische Veränderungen:

Bessere Sichtbarkeit der Belichtung:

Ihre wichtigsten Managed Service Provider (MSPs), deren Risikostufen, verbundene Assets und Services, Verträge, Zusicherungsdokumente, Vorfälle und Maßnahmen befinden sich alle in einem strukturiertes LieferantenregisterWenn ein CISO, Datenschutzbeauftragter oder Vorstandsmitglied fragt: „Wem gehört dieser Anbieter, wie riskant ist er und was unternehmen wir dagegen?“, können Sie innerhalb weniger Minuten antworten.

Einheitliche Arbeitsweisen in allen Teams:

Gemeinsame Arbeitsabläufe für die Bereiche Projektdefinition, Due Diligence, Vertragsgestaltung, Onboarding, Betrieb, Änderungsmanagement und Exit-Management bedeuten, dass alle Teams aus den Bereichen Sicherheit, Recht, Beschaffung, Betrieb und Datenschutz den folgenden Richtlinien folgen: gleiches DrehbuchDiese Beständigkeit ist genau das, worauf Wirtschaftsprüfer, Aufsichtsbehörden und Großkunden achten, wenn sie Ihre Kontrolle über ausgelagerte Dienstleistungen beurteilen.

Gelassenere Reaktionen auf Audits und Due-Diligence-Anfragen:

Da Dokumente, Entscheidungen und Zuordnungen zu Anhang A.5.19, A.5.20–A.5.22, NIS 2, DORA, SOC 2 und Branchenanforderungen bereits mit jedem Lieferanten verknüpft sind, können Sie Zertifizierungsaudits, Kundenfragebögen und Fragen des Vorstands schnell beantworten, ohne wochenlange manuelle Nachweissuche.

Wenn Sie sehen möchten, wie das in der Praxis funktionieren könnte, wäre ein risikoarmer nächster Schritt, zwei oder drei echte Managed Service Provider (MSPs) auszuwählen und sie durch einen Prozess zu führen. Beispiellebenszyklus in ISMS.online – von der Bedarfsanalyse und Due-Diligence-Prüfung bis hin zu laufenden Überprüfungen und einem Ausstiegsplan. Diese kurze Übung zeigt Ihnen, wo Sie manuelle Arbeit ersetzen, offensichtliche Lücken schließen und eine überzeugende, zusammenhängende Darstellung gemäß Anhang A.5.19 präsentieren können, die Ihrem gewünschten Image als Compliance-Initiator, leitender Sicherheitsbeauftragter, Datenschutzbeauftragter oder Experte für das Tagesgeschäft entspricht.

Wir sind führend auf unserem Gebiet

Regionalleiter – Winter 2026 (Großbritannien)

Regionalleiter – Winter 2026, Mittelstand EU

Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“
— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“
— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“
— Ben H.

A.5.19 Informationssicherheit in Lieferantenbeziehungen – MSP-Lieferantenrisikokontrolle