Wie Sie externe Dienstleister auditieren

Angreifer dringen zunehmend über externe Dienstleister und Zulieferer-Systeme in Unternehmensnetze ein - der sichere Parameter ist obsolet geworden. Umso wichtiger, die gesamte Lieferkette zu kennen und alle ihre Bausteine im Blick zu haben. [...]

VERTRAGSBEZOGENE MASSNAHMEN
Unternehmen müssten laut Koller sicherstellen, dass ihre Dienstleisterverträge auch Bestimmungen darüber enthalten, wie hoch die Rückstellungen für Verbindlichkeiten für Cyber-Vorfälle sein müssen, wer für den Ausfall kritischer Dienste haftet, wo die Grenzen der Verpflichtungen seitens der Zulieferer liegen und wie ein möglicher Schadenersatz aussieht. Je nach Typ des Zulieferers und seines Services sehe solch ein Vertrag anders aus. Wer sich nicht sicher sei, solle sich juristischen Rat bei Experten einholen.

Damit die vereinbarten Regeln auch für beide Seiten nachvollziehbar und langfristig gültig sein können, müssen Unternehmen vor Vertragsunterzeichnung den Wert ihrer zu schützenden Daten und Systeme gegen die drohenden Risiken abwägen, die durch einen Zugriff von außen entstehen. Sie müssen sicherstellen, dass der Zulieferer gut genug versichert ist, um den schlimmstmöglichen Schaden finanziell decken zu können. Wichtig ist auch, dass jeder Zulieferer zum angemessenen Schutz der gefährdeten Systeme verpflichtet ist. „Begrenzungen von verbindlich zu tätigenden Rückstellungen für den Ernstfall senken zwar die Kosten für den Service, im Fall eines Daten-GAUs entsteht aber möglicherweise zusätzlicher finanzieller Schaden“, erklärt Koller.

Eine entscheidende Rolle bei der Risikoabwägung spielen die Größe des Dienstleisters und der Umfang der Geschäftsbeziehungen, die ein Unternehmen mit ihm eingehen will. Erst wenn diese Indikatoren klar benannt sind, sollte ein Vertrag aufgesetzt werden. Je größer der Zulieferer, desto größer auch seine finanziellen Mittel, um den Auftraggeber im Fall eines Security-Vorfalls zu entschädigen. Berechnen Sie Ihren größtmöglichen finanziellen Schaden in dem betroffenen Bereich und halten Sie diesem Wert die größtmögliche Entschädigungsleistung des Zulieferers entgegen. Wenn der drohende Schaden größer ist als das, was der Dienstleister zu leisten im Stande ist, passt es möglicherweise nicht – der Lieferant ist zu klein. Andersrum stellt das Ganze meist kein Problem dar – dann sind aber eventuell die Kosten für eine Dienstleistung von einem viel größeren Zulieferer von Anfang an zu hoch.

Wer dennoch unbedingt mit einem Dienstleister zusammen arbeiten möchte, der die finanziellen Mittel im Schadensfall nicht aufbringen kann, sollte eine Cyber-Versicherung für Schäden, die durch Zulieferer entstanden sind, ins Auge fassen. Entsprechende Policen gibt es einige am Markt – man müsse laut Koller aber schon genau darauf achten, welche Schäden abgedeckt sind.

*Simon Hülsbömer ist leitender Redakteur der Computerwoche.de


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*