Wenn in der Praxis über DORA gesprochen wird, geht es oft zuerst um interne Themen: Prozesse, Rollen, Tests, Meldungen, Nachweise. Das ist nachvollziehbar, weil man dort „direkt“ gestalten kann. Der größte Hebel für die operative Stabilität liegt aber in vielen Unternehmen an einer anderen Stelle: bei externen Dienstleistern. Nicht, weil Dienstleister per se schlecht wären – im Gegenteil. Sondern weil moderne IT-Landschaften ohne Provider, SaaS, Plattformen, Rechenzentren, Integrationspartner und spezialisierte Services kaum noch sinnvoll betrieben werden können. Genau dadurch entsteht jedoch ein Risiko, das in Audits und im Ernstfall besonders sichtbar wird: Ihr Dienstleister kann Ihr größtes Ausfallrisiko sein – und zwar selbst dann, wenn Ihre interne Organisation sauber aufgestellt ist.

Third-Party Risk klingt als Begriff schnell nach „Vendor Management“. In der Realität ist es viel konkreter: Es geht um Abhängigkeiten, um Reaktionsfähigkeit, um Eskalationswege, um das Zusammenspiel im Incident – und um die Frage, ob Sie als Kunde die Steuerung wirklich in der Hand haben. DORA verschärft diese Perspektive, weil es nicht reicht, einen Vertrag zu haben oder einmal im Jahr eine Bewertung auszufüllen. DORA zielt auf laufende Beherrschung: wiederholbar, nachvollziehbar und im Betrieb sichtbar.

Am Tag, an dem DORA anwendbar wurde, endete kein Projekt – es begann ein Dauerzustand. Kaum irgendwo wird das deutlicher als bei der Resilienz von Drittparteien. Die Jahre zuvor hatten viele Häuser in Fragebögen, Vertragsanhängen und Zertifikaten einen hinreichenden Nachweis gesehen, dass ihre Auslagerungen „unter Kontrolle“ seien. Heute weiß jeder, der operative Verantwortung trägt: Kontrolle beginnt nicht im PDF, sondern im Betrieb. Sie beginnt dort, wo Informationsflüsse, Schnittstellen, Protokolle, Wiederanläufe, Meldungen und Entscheidungen sich tatsächlich bewegen. Und sie endet nicht mehr an der Unternehmensgrenze. „Third Party Resilience“ ist zur Kernkompetenz geworden – fachlich, technisch, organisatorisch, juristisch. Der Satz „Nach DORA ist vor der Prüfung“ bringt es auf den Punkt: Wer jetzt nicht in einen belastbaren Betriebsmodus wechselt, wird die nächste Aufsichtsrunde nicht nur als Formalie, sondern als Stresstest erleben.

Von der Auslagerung zur Abhängigkeit: Warum die Messlatte gestiegen ist

Die Modernisierung der Finanz-IT hat drei Bewegungen zusammengeführt: Cloudifizierung kritischer Kernprozesse, Spezialisierung entlang der Wertschöpfungskette und ein exponentielles Wachstum an Software-as-a-Service in Fachbereichen. Was als Effizienz- und Innovationsmotor begann, hat die Systemkopplung dramatisch erhöht. Eine Authentifizierungsstörung in einem globalen IAM-Dienst, eine Aktualisierung im Zahlungs-Gateway, eine veränderte Drosselungslogik in einer API-Plattform – schon kleine Ereignisse strahlen heute weit in Geschäftsprozesse hinein. DORA hat diese Realität nicht geschaffen, aber sie hat sie regulatorisch sichtbar gemacht: Verantwortlichkeit bleibt im Institut, auch wenn Leistung extern erbracht wird. Das ist keine Drohung, es ist eine Einladung zur Professionalität. Wer die Kaskaden versteht, steuert; wer sie ignoriert, hofft.

Es knirscht selten laut, wenn es passiert. Kein großer Knall, keine rot blinkenden Warnlampen. Stattdessen: eine kleine Konfigurationsänderung bei einem Dienstleister, ein unscheinbares Update, eine freundliche E-Mail eines „Partners“, ein Browser-Plugin aus einem Hersteller-Marketplace. Wochenlang wirkt alles normal, die Dashboards bleiben grün. Und doch hat sich die Risikolage grundlegend verschoben – nur eben nicht dort, wo das eigene SOC hinschaut. Die Schwachstelle liegt außerhalb des Perimeters, außer Reichweite der üblichen Telemetrie und häufig auch jenseits der eigenen Zuständigkeiten. Genau dort, wo moderne Wertschöpfung in der Praxis stattfindet: bei Third Parties.

Dass Drittparteien zur Achillesferse werden, ist keine überraschende Schlagzeile – aber die Mechanik dahinter wird in vielen Unternehmen unterschätzt. Third Parties stehen mitten in unseren Prozessen, tragen weitreichende Berechtigungen, hosten Daten, signieren Updates, verwalten Identitäten, triagieren Tickets, betreiben Infrastruktur und liefern das, was Kundinnen und Kunden direkt erleben: Verfügbarkeit, Geschwindigkeit, Qualität. In dieser Rolle sind sie nicht „außen“, sondern innen – oft mit mehr Rechten, mehr Einblick und mehr Steuerungsmacht als das, was wir im eigenen Haus für selbstverständlich halten.