Als über den EU AI Act gesprochen wird, landen die Gespräche oft sehr schnell bei Governance-Strukturen, Risikoklassen, Registern und internen Prüfprozessen. Das ist wichtig – aber es blendet eine Realität aus, die in vielen Unternehmen darüber entscheidet, ob AI-Compliance überhaupt kontrollierbar wird: Der größte Teil der KI, die heute genutzt wird, wird nicht „gebaut“, sondern eingekauft. Und genau deshalb ist Einkauf und Vendor Management die unterschätzte Frontlinie.

Das klingt zunächst nach Zuständigkeitsdebatte, ist aber in Wahrheit eine Steuerungsfrage. Denn wenn KI-Funktionen in Standardsoftware, Cloud-Services, Plattformen oder Dienstleisterleistungen stecken, dann entstehen Pflichten und Risiken dort, wo Sie als Kunde Einfluss nehmen können: in Beschaffung, Vertragsgestaltung, laufender Steuerung und Exit-/Fallback-Logik. Wenn diese Hebel nicht sauber gesetzt sind, kann die beste interne Governance im Alltag kaum greifen. Dann haben Sie vielleicht ein KI-Register – aber die wesentlichen Informationen fehlen. Oder Sie haben eine Klassifizierung – aber kein vertragliches Fundament, um Nachweise einzufordern. Oder Sie haben Regeln – aber keine Routine, um Änderungen des Anbieters rechtzeitig zu erkennen.

Wenn in der Praxis über DORA gesprochen wird, geht es oft zuerst um interne Themen: Prozesse, Rollen, Tests, Meldungen, Nachweise. Das ist nachvollziehbar, weil man dort „direkt“ gestalten kann. Der größte Hebel für die operative Stabilität liegt aber in vielen Unternehmen an einer anderen Stelle: bei externen Dienstleistern. Nicht, weil Dienstleister per se schlecht wären – im Gegenteil. Sondern weil moderne IT-Landschaften ohne Provider, SaaS, Plattformen, Rechenzentren, Integrationspartner und spezialisierte Services kaum noch sinnvoll betrieben werden können. Genau dadurch entsteht jedoch ein Risiko, das in Audits und im Ernstfall besonders sichtbar wird: Ihr Dienstleister kann Ihr größtes Ausfallrisiko sein – und zwar selbst dann, wenn Ihre interne Organisation sauber aufgestellt ist.

Third-Party Risk klingt als Begriff schnell nach „Vendor Management“. In der Realität ist es viel konkreter: Es geht um Abhängigkeiten, um Reaktionsfähigkeit, um Eskalationswege, um das Zusammenspiel im Incident – und um die Frage, ob Sie als Kunde die Steuerung wirklich in der Hand haben. DORA verschärft diese Perspektive, weil es nicht reicht, einen Vertrag zu haben oder einmal im Jahr eine Bewertung auszufüllen. DORA zielt auf laufende Beherrschung: wiederholbar, nachvollziehbar und im Betrieb sichtbar.

Vertrauen ist die Währung des modernen Wirtschaftssystems. Ohne Vertrauen, dass Lieferanten liefern, Dienstleister leisten, Plattformen stabil bleiben und Updates sicher sind, stünde jede Organisation still. Doch genau an diesem Punkt entsteht ein Paradox: Je mehr wir auslagern, standardisieren und „as-a-Service“ konsumieren, desto öfter liegt der kritischste Teil unserer Wertschöpfung außerhalb unserer direkten Kontrolle. Lieferketten – ob physisch, digital oder organisatorisch – werden damit zur Achillesferse. Wer sie nur verwaltet, statt sie aktiv zu führen und zu prüfen, sammelt Risiken an genau den Stellen, die Angreifer lieben: dort, wo viele Pfade zusammenlaufen, Privilegien sich bündeln, Transparenz abnimmt und Verantwortung verschwimmt.

Dieser Beitrag blickt hinter die Buzzwords, ordnet typische Schwachstellen, zeigt konkrete Angriffswege – und vor allem: er macht greifbar, wie „Vertrauen, aber prüfen“ als Führungsprinzip funktioniert. Nicht als lähmendes Misstrauen, sondern als strukturierte, messbare Praxis, die Resilienz schafft.

Es beginnt oft mit einem Formular: zweihundert Fragen, die jeder Lieferant ausfüllen soll; Häkchen bei „ja/nein“, Freitextfelder für „bitte beschreiben“, angeheftet ein PDF mit Zertifikaten. Man schickt es an zehn, fünfzig, hundert Drittparteien – und spürt Erleichterung, wenn die Antwort im Posteingang landet. Doch die Erleichterung ist trügerisch. Spätestens beim ersten Lieferkettenvorfall zeigt sich: Fragebögen sind keine Feuerlöschanlage. Third-Party Risk Management (TPRM), das vor allem aus Kontrolle, Formalitäten und verspäteter Dokumentation besteht, liefert die Illusion von Sicherheit – aber nicht die Fähigkeit, Risiken zu verhindern, zu erkennen und gemeinsam zu bewältigen.

2026 markiert in vielen Häusern einen Wendepunkt. Die Schlagzahl von NIS2-Pflichten, DORA-Anforderungen, Branchennormen, Audit-Nachweisen, SBOM-Erwartungen und KI-Integrationen hat TPRM aus der Compliance-Ecke geholt und in die operative Führung geschoben. Aus „kontrollieren“ wird „kooperieren“. Aus „prüfen“ wird „prüfen und beweisen“. Aus „Dienstleister“ wird „Mitgestalter“. Diese Verlagerung ist kein weicher Kulturwunsch, sondern harte Ökonomie: Nur wer Lieferanten zur Partnerschaft befähigt, erhält die Geschwindigkeit, Transparenz und Resilienz, die moderne Geschäftsmodelle benötigen.

Am Tag, an dem DORA anwendbar wurde, endete kein Projekt – es begann ein Dauerzustand. Kaum irgendwo wird das deutlicher als bei der Resilienz von Drittparteien. Die Jahre zuvor hatten viele Häuser in Fragebögen, Vertragsanhängen und Zertifikaten einen hinreichenden Nachweis gesehen, dass ihre Auslagerungen „unter Kontrolle“ seien. Heute weiß jeder, der operative Verantwortung trägt: Kontrolle beginnt nicht im PDF, sondern im Betrieb. Sie beginnt dort, wo Informationsflüsse, Schnittstellen, Protokolle, Wiederanläufe, Meldungen und Entscheidungen sich tatsächlich bewegen. Und sie endet nicht mehr an der Unternehmensgrenze. „Third Party Resilience“ ist zur Kernkompetenz geworden – fachlich, technisch, organisatorisch, juristisch. Der Satz „Nach DORA ist vor der Prüfung“ bringt es auf den Punkt: Wer jetzt nicht in einen belastbaren Betriebsmodus wechselt, wird die nächste Aufsichtsrunde nicht nur als Formalie, sondern als Stresstest erleben.

Von der Auslagerung zur Abhängigkeit: Warum die Messlatte gestiegen ist

Die Modernisierung der Finanz-IT hat drei Bewegungen zusammengeführt: Cloudifizierung kritischer Kernprozesse, Spezialisierung entlang der Wertschöpfungskette und ein exponentielles Wachstum an Software-as-a-Service in Fachbereichen. Was als Effizienz- und Innovationsmotor begann, hat die Systemkopplung dramatisch erhöht. Eine Authentifizierungsstörung in einem globalen IAM-Dienst, eine Aktualisierung im Zahlungs-Gateway, eine veränderte Drosselungslogik in einer API-Plattform – schon kleine Ereignisse strahlen heute weit in Geschäftsprozesse hinein. DORA hat diese Realität nicht geschaffen, aber sie hat sie regulatorisch sichtbar gemacht: Verantwortlichkeit bleibt im Institut, auch wenn Leistung extern erbracht wird. Das ist keine Drohung, es ist eine Einladung zur Professionalität. Wer die Kaskaden versteht, steuert; wer sie ignoriert, hofft.