Geopolitische Umbrüche: Drittparteienrisikomanagement im aktuellen Umfeld

Geopolitische Umbrüche: Drittparteienrisikomanagement im aktuellen Umfeld

So mindern Finanzunternehmen Abhängigkeiten von Providern und bleiben handlungsfähig.

veröffentlicht am 23.05.2025 | Lesezeit: ca. 6 Minuten
Daniel Wagenknecht
Daniel Wagenknecht
Olaf Rösener
Olaf Rösener
Anne Bunkenburg
Anne Bunkenburg

Keyfacts:

  • Aktuelle geopolitische Entwicklungen stellen das IKT-Risikomanagement von Finanzunternehmen auf die Probe.
  • Im Zuge von DORA gehört gerade mit Blick auf Konzentrationsrisiken das Steuern von Drittparteienrisiken auf die Agenda.
  • Zu den zentralen Handlungsfeldern gehören neben der Datenanalyse die richtigen Exit-Strategien, eine stimmige Governance und passende Tool-Lösungen.

Wer in den vergangenen Wochen die Nachrichten verfolgt hat, wurde Zeuge von zahlreichen Entwicklungen politischer und wirtschaftlicher Spannungen: Mit Handelszöllen und Sanktionen gegen verschiedene Länder hat die Trump-Regierung in den Vereinigten Staaten Verantwortliche in Regierungen und Unternehmen herausgefordert und die Aktienmärkte verunsichert.

Die Kriege in der Ukraine und im Nahen Osten und der neu entflammte Konflikt zwischen Indien und Pakistan stellen die weltweiten Handels- und Finanzverflechtungen ebenfalls auf eine Bewährungsprobe. Das hat auch Folgen für Finanzunternehmen.

Denn geopolitische Umbrüche sind zentrale Risikotreiber für das Kredit- und Liquiditätsrisiko von Finanzinstituten. Auch mit Blick auf das nicht finanzielle Risikomanagement (Non-financial Risk) müssen Finanzinstitute geopolitische Risiken und ihre Auswirkungen frühzeitig identifizieren, bewerten und steuern. Vor allem im Zuge des Drittparteienrisikomanagements (Third Party Risk Management, TPRM) ist das, verstärkt durch den Digital Operational Resilience Act (DORA), von Belang.

Das Management von Drittparteienrisiken: Große Abhängigkeiten von IKT-Providern

Drittparteienrisikomanagement oder auch TPRM: Damit ist gemeint, dass Banken und andere Finanzunternehmen durch DORA verpflichtet sind, Risiken zu steuern, die sich daraus ergeben, dass sie ihre Leistungen häufig in großem Maße mit Unterstützung von externen und internen Dienstleistern erbringen. Viele Dienstleister sind technologische Service-Provider, was Risiken aus Informations- und Kommunikationstechnologien (IKT) mit sich bringt.

Dass diese IKT-Risiken nicht zu unterschätzen sind, verdeutlicht auch die Auswertung der Auslagerungsdatenbank der BaFin. Denn mehr als die Hälfte der anzeigepflichtigen Unternehmen, die von der BaFin beaufsichtigt werden, können oder könnten ihre ausgelagerten IT-Dienstleistungen nicht (wieder) selbst erbringen. Ein Großteil diese Auslagerungen kann außerdem entweder gar nicht oder nur schwer auf einen anderen IT-Dienstleister übertragen werden.

Banken & Co. sind in der heutigen digitalen Welt also durchaus abhängig von den Leistungen und vom verlässlichen Funktionieren einzelner Technologieanbieter. Ergänzend kommt hinzu, dass der Markt für IT-Auslagerungen hauptsächlich von wenigen Anbietern dominiert wird, deren Sitz oder der ihrer Muttergesellschaft in einem Nicht-EU-Land liegt: Stichwort Hyperscaler aus den USA, was immer wieder Herausforderungen für einen sicheren Datenaustausch mit sich bringt.

Compliance und Reputation: Risikobewertungen und Exit-Strategien aktualisieren

Die aktuellen geopolitischen Entwicklungen bedeuten somit, dass die Institute prüfen sollten, ob anlassbezogene Aktualisierungen der Risikobewertung notwendig werden – auch bei den Dienstleistern, die Neuerungen von gesetzlichen oder aufsichtsrechtlichen Vorgaben fristgerecht umsetzen sollten.

Eine Überprüfung kann insbesondere dann notwendig sein, wenn der Dienstleister anderen rechtlichen Rahmenbedingungen unterliegt als das Finanzinstitut selbst. Ergänzend dazu kann es aufgrund der geänderten geopolitischen Lage der Fall sein, dass die Einwertung des Konzentrations-, Rechts-, Länder-, IKT-, Weiterverlagerungs- und Ausfallrisikos (zum Beispiel durch Sanktionen) für einzelne Dienstleistungsbezüge neu zu bewerten ist und neue Mitigationsmaßnahmen erforderlich werden.

Das kann dazu führen, die eigenen Exit-Strategien neu zu fassen – sich also zu fragen, welche alternativen Dienstleister, die beispielsweise ihren Sitz in unterschiedlichen Ländern haben, notwendig werden.

Es kann auch sein, dass die Einwertung des Reputationsrisikos für die Zusammenarbeit mit bestimmten Dienstleistern neu gefasst werden muss, zum Beispiel aufgrund geänderter Vorgaben zum Umweltschutz oder durch die Neubewertung von Diversifikationsprogrammen. Nur ein genauer Blick auf solche Punkte stellt sicher, dass eine Zusammenarbeit mit Drittparteien weiter konform mit den Strategien und Werten des Finanzinstituts ist.

Es zeigt sich also, dass das aktuelle Umfeld die fortlaufende Bewertung der geopolitischen Lage erfordert und auch den Aufwand, Dienstleister und die mit ihnen einhergehenden Risiken zu steuern. Wie lassen sich solche IKT-Risiken mindern?

Bausteine für das Mindern von Risiken durch IKT-Dienstleister

Die DORA-Umsetzung liefert einen geeigneten Ansatzpunkt für das Management von geopolitischen Risiken im Kontext des Drittparteienrisikomanagements. Vor allem drei Punkte sind aus unserer Sicht hier wesentlich:

 1. Ermitteln von Konzentrationsrisiken: DORA fordert von Finanzunternehmen, mögliche Konzentrationsrisiken zu ermitteln – sie sollten auch unter geopolitischen Gesichtspunkten bewertet werden. Das Informationsregister kann dabei als zentrale Datenbank herangezogen werden.

DORA kann als Grundlage für eine effiziente Bewertung von Abhängigkeiten in Bezug auf IKT-Dienstleistungsarten dienen und transparent machen, wie stark kritische Funktionen von gewissen IKT-Dienstleistungen abhängen sowie Konzentrationsrisiken unter dem Aspekt von geopolitischen Risiken beleuchten.

 2. Nachschärfen von Exit-Konzepten: Die gestiegenen geopolitischen Risiken können dazu führen, dass Finanzunternehmen ihre Leistungen zum Beispiel gegenüber Kunden nicht mehr durchgängig erbringen könnten. Deshalb sollten Exit-Konzepte überprüft und nachgeschärft werden.

Im Zuge dessen sollten Verantwortliche die Definition von möglichen Exit-Triggern nachjustieren oder erweitern, aber auch mögliche Strategien zur Diversifizierung der Leistungsbezüge in Betracht ziehen. Es ist außerdem sinnvoll, nicht nur Alternativdienstleister aus einem Herkunftsland zu betrachten, sondern solche aus unterschiedlichen Ländern.

 3. Dienstleisterwahl aktiv steuern: Insbesondere für IKT-Dienstleister, die Teil von kritischen Funktionen im Unternehmen sind, gilt: Sie sollten fortlaufend überwacht werden. Das erfolgt insbesondere durch regelmäßige Berichte über die vereinbarten Leistungen. Auch weitere dafür relevante Informationen des Unternehmens sind auszuwerten.

Mit Blick auf geopolitische Risiken sollten Finanzunternehmen einschätzen und bewerten können, ob sich in naher Zukunft Änderungen in der Geschäftspolitik des IKT-Dienstleisters (der Drittpartei) ergeben könnten und ob es zu Anpassungen bei den bereitgestellten Dienstleistungen und Services kommen wird.

Verträge effizient und DORA-konform managen

Jetzt erfahren, wie ein durchdachtes Contract Lifecycle Management Banken und Versicherer bei der DORA-Umsetzung unterstützt.

Zum Artikel

So steuern Finanzunternehmen geopolitische Risiken durch Dienstleister vorausschauend

Vor allem vier Handlungsfelder sind aus unserer Sicht zentral, um Risiken, die im aktuell dynamischen geopolitischen Umfeld durch die Zusammenarbeit mit IKT-Dienstleistern entstehen, in Finanzunternehmen richtig zu steuern:

1. Analyse und Risikotransparenz durch gezielte Datenanalyse: Durch die strukturierte Analyse der relevanten Dienstleistungsbezüge und der Verträge lassen sich systematisch Abhängigkeiten erfassen und geopolitisch exponierte Dienstleister sowie mögliche Konzentrationsrisiken ermitteln.

2. (Weiter-)Entwicklung von Exit-Strategien: Basierend auf der individuellen Risikolage sollten die Exit-Strategien für Dienstleister validiert werden, um im Fall geopolitischer Eskalationen als Finanzinstitut handlungsfähig zu bleiben. Das umfasst die Evaluation von Alternativanbietern, die Analyse von geografischen Diversifikationsoptionen und die Integration dieser Strategien in bestehende Business-Continuity-Management– (BCM) und Notfallmanagementsysteme.

Sollte es die Risikosituation erforderlich machen, neue alternative Lösungen zu identifizieren, gilt es, einen effizienten und risikoorientierten Übergang auf Basis einer belastbaren Planung vorzubereiten.

3. Governance und Steuerung kritischer Dienstleistungen: Ein aktives Steuerungsmodell, unter anderem über Frühwarnindikatoren, Kontrollmechanismen, regelmäßige Leistungs- und Risiko-Reviews sowie erweiterte Berichtspflichten zur kontinuierlichen Überwachung der Risiken, ermöglicht es, frühzeitig dienstleisterspezifische geopolitische Risiken zu identifizieren. Mithilfe von Szenarioanalysen und Leistungskennziffern kann so eine vorausschauende Steuerung aufgesetzt werden und eine passende Berichterstattung etabliert werden.

4. Einführen geeigneter Tool-Lösungen: Eine Tool-Lösung für das Drittparteienrisikomanagement, die die gesamte Prozesskette abdeckt, liefert die Grundlage für ein effektives Drittparteienrisikomanagement. Das richtige Tool ermöglicht es, quasi in Echtzeit die von uns beschriebenen Ansätze und Informationen auf Institutsebene auswerten und konsolidieren zu können.

Geopolitische Umbrüche aus Sicht des Drittparteienrisikomanagements bewerten

Geopolitische Umbrüche erfordern ein gewisses Maß an Agilität, Transparenz und Resilienz von jeder Finanzorganisation. Dabei wird deutlich, dass die aktuellen geopolitischen Umbrüche auch aus Sicht des Drittparteienrisikomanagements bewertet werden müssen. Eine umfassende Analyse der betroffenen Sachverhalte und Dienstleister ist der Ausgangspunkt für das Identifizieren möglicher geopolitischen Risiken. Auf ihrer Basis lässt sich ableiten, welche notwendigen weiteren Maßnahmen zur Mitigation ergriffen werden müssen.

Die Umsetzung der DORA-Anforderungen im Drittparteienrisikomanagement bietet geeignete Lösungsansätze, um geopolitische Risiken aus Drittparteienrisikomanagementsicht bewerten und Handlungsoptionen abzuleiten zu können. Es bleibt abzuwarten, wie sich die geopolitische Lage weiterentwickelt und sich letztlich dadurch tatsächlich Veränderungen in der Risikolandkarte für Drittparteien ergeben, etwa durch Verträge mit neuen Dienstleistern und neue Fokusländer bei der Leistungserbringung.

Sourcing als Erfolgsfaktor für Banken und Versicherer

Sourcing neu gedacht – mehr Effizienz, mehr Handlungsspielraum.

Studie herunterladen

Das könnte Sie auch interessieren

DORA Cyber Schild mit Schloss
Regulatorik und Compliance

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

07.02.2025 | ca. 3 Minuten Lesezeit

Eine KPMG-Untersuchung zeigt, wo die Umsetzung in Finanzunternehmen noch Lücken hat.

Nadine Schmitz
Nadine Schmitz
Frank Püttgen
Frank Püttgen
Caroline Sieveritz
Caroline Sieveritz
Unterschätzte Gefahr: Non-Financial Risks in der Finanzbranche
Finance und Risk

Unterschätzte Gefahr: Non-Financial Risks in der Finanzbranche

Non-Financial Risks

23.05.2023 | ca. 2 Minuten Lesezeit

Unsere Benchmark-Studie zeigt die steigende Zahl und Bedeutung nicht-finanzieller Risiken.

Markus Quick
Markus Quick
Skyline Türme, Mit Sicherheit in die Cloud
Cloud und Cyber Security

EU-Initiative DORA: Mit Sicherheit in die Cloud

DORA: Mit Sicherheit in die Cloud

30.03.2022 | ca. 3 Minuten Lesezeit

Der Digital Operational Resilience Act vereinheitlicht den digitalen EU-Finanzsektor

Vaike Metzger
Vaike Metzger
Caroline Sieveritz
Caroline Sieveritz
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.