Anzahl und Umfang von Drittanbieter-Netzwerken steigen stetig, und damit steigt auch das Risiko durch Drittanbieter. Deren Risikobewertung muss angesichts der aktuellen Cyber-Bedrohungen eine Kernkomponente der Cyber-Resilienz-Strategie jedes Unternehmens werden. [...]
Immer mehr Sicherheitsverantwortliche erkennen: Die Risikobewertung von Drittanbietern muss angesichts der aktuellen Cyberbedrohungen eine Kernkomponente der Cyberresilienz-Strategie jedes Unternehmens werden. Dazu sind einheitliche Standards nötig. Doch die gibt es bisher nicht. Es gibt allerdings wirkungsvolle Maßnahmen, die CISOs und Compliance-Beauftragte für die Risikobewertung von Drittanbietern ergreifen können, um so die Cyberresilienz ihres eigenen Unternehmens zu erhöhen.
Anzahl und Umfang von Drittanbieter-Netzwerken steigen stetig, und damit steigt auch das Risiko durch Drittanbieter: Einer Gartner-Studie zufolge war 2022 bereits 40 Prozent der befragten Compliance-Verantwortlichen bewusst, dass zwischen 11 und 40 Prozent ihrer Drittanbieter ein hohes Risiko darstellen. Beim globalen Crowdstrike-Ausfall am 19. Juli 2024 schrillten dann sämtliche Alarmglocken der Unternehmen quer durch alle Branchen. Seitdem legen verantwortungsbewusste Führungskräfte verstärkt Wert darauf, das Risikomanagement ihrer Drittanbieter und Partner in ihren Governance- und Compliance-Strukturen zu berücksichtigen. Einige Unternehmen investieren Zehntausende Euro in Audits, anderen sind diese Audits immer noch nicht gut genug. Das Problem ist, dass diese Berichte keine allgemeingültigen Anforderungen erfüllen.
Gegenseitiges Vertrauen als enorme Herausforderung
Denn die Fragebögen zur Risikobewertung der Netzwerke von Drittanbietern und Geschäftspartnern sind zwar meist umfassend, jedoch nicht standardisiert – damit fehlt bei der Kommunikation der Unternehmen untereinander oft die gemeinsame Basis. Und wenn Unternehmen zusätzlich zu Antworten von Hunderten von Fragen noch detaillierte vertrauliche Dokumente von ihren externen Partnern einfordern, sind Schwierigkeiten vorprogrammiert. Denn es wird immer Informationen geben, die zwar für eine Risikobewertung wichtig sind, die Drittanbieter dennoch nicht an außen geben können. Hier müssen die Geschäftspartner in der Lage sein, einander zu vertrauen, ohne alle Informationen preiszugeben – das ist eine enorme Herausforderung.
Organisationen des Gesundheitswesens haben zum Beispiel viele wichtige und vertrauliche Patientendaten, die geschützt werden müssen – sie werden ihre Drittanbieter unter diesem Gesichtspunkt auswählen. Da diese Organisationen besondere Anforderungen an die Einhaltung von Gesetzen und Vorschriften haben, betrachten sie die Risikopunkte aus ihrem Blickwinkel heraus und führen ihre eigenen Audits durch.
Sieben Maßnahmen für mehr Widerstandsfähigkeit
Die Anforderungen an die Bewertung von Drittanbietern steigen permanent. Deshalb ist davon auszugehen, dass sie künftig um eine Form der kontinuierlichen Prüfung durch alle Kunden nicht herumkommen, und das womöglich, ohne dass eine Einigung darüber besteht, was wie geprüft werden soll. Deshalb ist es jetzt an der Zeit, allgemeingültige Standards für die Risikobewertung von Drittanbietern zu entwickeln. Solange es diese allgemeingültigen Standards aber noch nicht gibt, sollten Unternehmen die folgenden sieben wirksamen Maßnahmen zur Risikobewertung von Drittanbietern befolgen, um ihre Widerstandsfähigkeit im Internet zu verbessern:
- Das Risikoprofil des eigenen Unternehmens verstehen und wissen, mit welchen Daten, Prozessen und geschäftskritischen Aspekten der Anbieter zu tun haben wird, um sich bei der Bewertung daran zu orientieren. Etablieren und pflegen entsprechender RACI-Frameworks, die festlegen, wer im eigenen Unternehmen wofür Verantwortung trägt und über Probleme im Zusammenhang mit dem Risikomanagement des Drittanbieters informiert werden muss.
- Den Geschäftspartner beziehungsweise Drittanbieter verstehen: Auf welche Daten hat er Zugriff, welche Prozesse unterstützt er, wie wichtig seine Dienste für das Unternehmen? Die Risikobewertung darauf anpassen.
- Die Risikostufe des Anbieters in hoch, mittel oder niedrig klassifizieren und im Unternehmen dementsprechende Entscheidungen treffen. Den Anbieter fortlaufend überwachen und das Risiko im Laufe der Zeit immer wieder neu bewerten.
- Eine gründliche Bewertung durchführen, die bewährte Sicherheitspraktiken wie die Prüfung von SOC-2-Berichten sowie alle Datenschutz- oder sonstigen branchenspezifischen Anforderungen umfasst.
- Sicherstellen, dass die richtigen Vertragsbedingungen gelten, zum Beispiel, wenn es um Auditrechte und Meldepflichten bei Verstößen geht.
- Veränderungen aktiv mit allen externen und internen Stakeholdern kommunizieren: Geschäftspartner sollten sich bei Veränderungen gegenseitig über deren Bedeutung und die damit verbundenen Risiken informieren. Sinnvoll ist eine Kommunikation auch darüber, welche Warnsignale die Compliance-Abteilungen kennen müssen und möglicherweise eine erhöhte Sorgfaltspflicht erfordern.
- Den Prozess der Anbieterbewertung so weit wie möglich automatisieren, um ihn effizienter zu gestalten und Fehlerquellen zu vermeiden. Technologische Lösungen und Tools erleichtern die rechtzeitige Identifizierung und Abwehr von Risiken.
Angesichts der aktuellen Bedrohungslage muss allen klar sein: Die Cyberresilienz eines Unternehmens ist nur so gut wie die des schwächsten Glieds entlang der Produktions- und Lieferkette. Deshalb sind Sicherheitsverantwortliche gut beraten, ihr Fachwissen zu teilen und möglichst zügig gemeinsame Standards zur Risikobewertung von Drittanbietern zu etablieren.
* Thomas Lo Coco ist Regional Sales Director Central Europe bei Absolute Security.
Be the first to comment