Thought Leadership
Drittanbieter-Zugriffe und komplexe Lieferketten sind zu einem großen Unsicherheitsfaktor in der Cybersicherheit geworden. Immer häufiger missbrauchen Kriminelle sie, um Daten zu stehlen und die IT zu kapern.
Klassische IAM-Systeme, die nicht auf die Anforderungen aktueller B2B-Ökosysteme vorbereitet sind, können mit der Situation nicht umgehen. Sie verschleiern die Risiken und erhöhen so das Risiko. Grund genug, sich mit den Rahmenbedingungen für ein sicheres B2B-IAM auseinanderzusetzen.
Kontrollverlust ist der Super-GAU für jedes SOC-Team – gedanklich oft weggeschoben und doch wahrscheinlicher, als in vielen Simulationen prognostiziert. Besonders in der Lieferkette hat sich das Risiko in den letzten Jahren massiv verstärkt: die Zahl der Lieferanten steigt jährlich an und damit auch die Zahl der Schnittstellen zu Drittanbietern. In jeder Zero-Trust-Umgebung sollte das unmittelbar die Frage initiieren: Kann man dieser Verbindung trauen?
Doch in der Praxis wird hier viel zu oft nicht unter die Oberfläche geblickt. Das zeigen aktuelle Daten wie etwa des Ponemon Instituts: mehr als die Hälfte der Befragten in Deutschland gab an, bereits von Datenverlusten durch Drittanbieterzugriffe betroffen gewesen zu sein. Eine Zahl, die sich auch in der Studie der CyberRisk Alliance findet. Zudem sah etwa ein Drittel der PI-Befragten in externen Zugriffen generell ein erhebliches Risiko für die IT. Der DBIR 2025 von Verizon kam zu dem Ergebnis, dass 30 Prozent der Sicherheitsverletzungen auf Drittanbieter zurückzuführen sind.
Neben diesen Zahlen sollten auch die prominenten Fälle der letzten Jahre zu Denken geben. Der MOVEit-Angriff, bei dem Angreifer einen Zero-Day nutzten, um mehr als 2700 Organisationen und fast 100 Millionen Nutzerdatensätze zu kompromittieren. Das Ticketmaster-Datenleck 2024, bei dem mit einem manipulierten Cloud-Dienst die Zahlungsdaten von 560 Millionen Kunden gestohlen wurde. Oder der Fall der Truist Bank, die 2024 durch einen gehackten Dienstleister betroffen war. Bei diesen Vorfällen reichte oft ein umkippender Dominostein aus, um eine Vielzahl an Unternehmen massiv in Bedrängnis zu bringen. Die Schutzmechanismen erwiesen sich als nicht ausreichend.
Die Grenzen von „klassischen“ IAM-Systemen
Eine wesentliche Ursache: klassische IAM (Identity and Access Management)-Lösungen sind nicht für die Vielfalt und Agilität entwickelt worden, die in unternehmerischen Ökosystemen entstehen können. Sie kommen deshalb mit der steigenden Zahl externer Partner und der Diversität an IT-Systemen an ihre Grenzen. Das große Problem dabei ist, dass Identitätslücken oder unzureichendes Monitoring oft gar nicht oder nur mit großer Zeitverzögerung sichtbar werden. Mit anderen Worten: die IT wähnt sich in einer trügerischen Sicherheit. Wenn das Ausmaß des Schadens sichtbar wird, ist es bereits deutlich zu spät. Und gerade das Einholen von Informationen wird dann zu einer langwierigen Sisyphus-Arbeit, die sowohl die Reaktion auf, als auch die Rehabilitation nach einem Data Breach erschwert.
Der zentrale Dreh- und Angelpunkt für ein souveränes Handling der Situation ist deshalb das Identitätsmanagement. Die Konsequenzen von fehlerhaften oder nicht-performanten Lösungen lassen sich hier nicht deutlich genug beschreiben: ohne klare Regelungen für den Zugriff von Drittanbietern und die kontinuierliche Überwachung der Zugangsvorgänge kann bereits ein einziger Kompromiss dazu führen, dass die gesamte Lieferkette befallen ist. Es wäre sträflich zu glauben, dass das im eigenen Unternehmen nicht passieren kann. Viel schneller als gedacht führt der Druck von Vertragsabschlüssen und Lieferzeiten dazu, dass Kompromisse eingegangen werden, die im Fall der Fälle teuer zu bezahlen sind. Und das ist kein Problem einer unpassenden Softwareauswahl, sondern der eigenen Governance.
Risiken im Lieferketten-Management
Das generelle Risiko, das durch Drittanbieter-Schnittstellen entsteht, ist jedoch nur eine Seite der Medaille. Die andere ist, in welch umfangreichem Maße externe Partner und Lieferanten in die internen Systeme integriert und ihrem Verhalten überwacht werden. Und hier kriselt es im Alltag. Denn oftmals fehlen eine angemessene Identitätsprüfung und das Zugriffsmanagement bereits beim Onboarding, weil Prozesse händisch ablaufen oder die Kommunikation stockt. Dann erhalten externe Partner ungerechtfertigt weitreichenden Zugriff auf Daten, die sie eigentlich nicht einsehen sollten.
Der Schutz durch klassische IAM-Systeme versagt an dieser Stelle, da diese für interne, mitarbeiterzentrierte Szenarien entwickelt wurden und nicht für die dynamischen Identitäten, die in modernen B2B-Beziehungen entstehen. Die verschiedenen Partnerunternehmen haben oft unterschiedliche Reifegrade und Infrastrukturen. Diese Diversität in der Lieferkette trägt dazu bei, dass fragmentierte Identitätsdaten und ein inkonsistentes User-Verhalten entstehen, mit dem klassische IAM-Systeme nicht umgehen können.
In der Not bleibt Verantwortlichen oft nichts anderes übrig, als manuelle Prozesse dazwischenzuschalten und eine Ad-hoc-Governance zu implementieren. Der Flickenteppich, der so entsteht, ist allerdings ein Nährboden für Intransparenz und mangelnde Kontrollmöglichkeiten und verschärft damit die Sicherheitsproblematik. Zielführender ist es, die eigenen IAM-Systeme auf den Prüfstand zu stellen und zu modernisieren. Denn moderne B2B-IAM-Lösungen können die kontinuierliche Evaluation von Identitäten und ein dynamisches, verhaltensorientiertes Zugriffsmanagement sicherstellen.
B2B-IAM als Grundstein für das Vertrauen in die Lieferkette
B2B-IAM ermöglicht es Unternehmen, Nutzer beim Onboarding nicht nur durch statische Informationen wie den Namen oder das Passwort, sondern durch dynamische Workflows zu identifizieren. Zudem setzen sie auf eine föderierte SSO (Single Sign-On)-Umgebung, mit der sich Partner über den Identitätsanbieter ihres Unternehmens authentifizieren können, während sie gleichzeitig den eigenen Zugriffsrichtlinien unterliegen. Das verbessert das Nutzererlebnis und sorgt für einen sicheren Anmeldeprozess.
B2B-IAM unterstützt aber auch delegierte Verwaltungsmodelle, die es den Partnern ermöglichen, ihre Nutzer innerhalb von definierten Grenzen zu verwalten. Durch beziehungsbasierte Zugriffsmodelle fordert es eine adaptive Authentifizierung ein und ermöglicht Echtzeit-Zugriffsentscheidungen, bei denen sowohl die definierten Rollen, als auch das Verhalten und das kontextbezogene Risiko berücksichtigt werden.
Für die Unternehmens-Sicherheit bedeutet das: Zero Trust ist auch in dynamischen Partnernetzwerken ein realistisches Ziel, wenn die B2B-IAM dafür optimiert worden ist. Durch ein föderiertes SSO, einen automatisierten Lebenszyklus (vom On- bis zum Offboarding) und verhaltensbasierte Entscheidungsmodellen können Verantwortliche die Risiken in den Griff bekommen. Regelmäßigen Audits erfüllen die Compliance-Anforderungen. Davon profitieren alle Beteiligten – vor allem jedoch können die Vorteile moderner Lieferketten vollends zum Tragen kommen, ohne dass veraltete oder unpassende Systeme zu einem Stolperstein werden.
