Anzeige

Risk Management

Von Viren und Bots bis hin zu Ransomware: Die Supply Chain bietet Angriffspunkte für Cyberattacken, die weitreichende Schäden verursachen können. In ein ganzheitliches Management von Risiken sollten Unternehmen daher auch ausdrücklich ihre Lieferanten einbeziehen.

„Jedes Unternehmen hat nur begrenzte Kontrolle über die Sicherheitsmaßnahmen, die bei externen Partnern wie beispielsweise IT-Anbietern, Teilelieferanten und Personaldienstleistern den Standard bilden“, erklärt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. „Die Folge: Jeder erfolgreiche Angriff auf Partner wird auch zu einer potenziellen Gefahr für einen selbst.“ Die Notwendigkeit des Risikomanagements ist für jedes Unternehmen von grundlegender Bedeutung; je komplexer die Lieferkette ist und je mehr Dritte ihr angehören, desto höher steigt das Risiko. Die Liste der geschäftssensiblen Daten, zu denen externe Dritte potenziell Zugang erhalten können, ist lang – von Geschäftsgeheimnissen und geistigem Eigentum bis hin zu persönlichen Daten oder Unternehmensrichtlinien. Diese Daten sind gefährdet, wenn Lieferanten nicht über angemessene Sicherheits- und Datenschutzvorkehrungen verfügen.

Die folgenden vier Schritte skizzieren die Basis eines Programms für das Vendor Risk Management, das auf Best Practices zum Schutz sämtlicher digitalen und physischen Assets eines Unternehmens beruht.

1. Identifizierung der Cybersicherheitsrisiken innerhalb der Lieferkette
Die Identifizierung von Risiken innerhalb einer Lieferkette und der Lieferantenlandschaft eines Unternehmens beginnt mit dem Aufbau eines Inventars von Lieferanten und deren Einordnung in Risikostufen. Dazu gilt es, die Verbindungen der jeweiligen Lieferanten mit sämtlichen internen Daten, Systemen und Netzwerken sowie sämtliche Erfahrungen im bisherigen Kontakt zu bewerten.

Sind die Cybersicherheitsrisiken eines Lieferanten identifiziert und bewertet, kann ein entsprechendes Cybersicherheitsprogramm erstellt werden, das unbedingt in das Lieferantenmanagement des Unternehmens integriert werden sollte. Beim Aufbau eines solchen Programms für das Vendor Risk Management ist eine enge Kooperation zwischen dem Beschaffungswesen und der Rechtsabteilung geboten. Bei der Auswahl neuer Lieferanten sowie bei der Verhandlung und dem Vertragsabschluss empfiehlt es sich, Sicherheit und Datenschutz als Punkte in die Verträge einzubeziehen. Auf diese Weise kann ein konsistentes System implementiert werden, das sämtliche kritischen Bereiche einschließlich finanzieller Rentabilität, Sicherheit und Einhaltung von Gesetzen berücksichtigt.

2. Flexible Monitoringprogramme für Lieferanten
Es gibt viele Ansätze zur Bewertung und Überwachung von Lieferanten hinsichtlich ihres Cybersicherheitsrisikos. Bei der konkreten Programmgestaltung empfiehlt sich ein flexibles Vorgehen auf Basis eines risikobasierten Ansatzes. Anbieter mit höherem Risiko erfordern engmaschigere Sicherheitsmaßnahmen wie beispielsweise das Ausfüllen von Sicherheitsfragebögen, Vor-Ort-Besuche oder -Audits oder Sicherheitszertifizierungen. Hier kommt es darauf an, den Umfang der nachgefragten Daten mit Blick auf das Risikomanagement zu begrenzen und nur relevante Informationen zu sammeln.

Zur effizienten Verwaltung des Vendor Risk Management-Programms sind fortschrittliche Automatisierungslösungen verfügbar. Gartner listet entsprechende Systeme inzwischen als separate Softwarekategorie. Die meisten dieser Lösungen operieren als Software-as-a-Service. Viele von ihnen beinhalten Informationen über die Cybersicherheitsprofile, die finanzielle Lage und das Geschäftsgebaren eines Lieferanten als Ergänzung zu anderen häufig verwendeten Bewertungsmethoden wie Sicherheitsfragebögen und Vor-Ort-Audits. Auch die Integration mit Beschaffungs-, ERP- und Service-Management-Tools wird immer üblicher.

Das relativ neue Segment entwickelt sich ständig weiter. Es entstehen Angebote, die das Vendor Risk Management als Service beinhalten und die Administration signifikant erleichtern. Inzwischen gibt es mehrere Austausch- und gemeinsame Bewertungsprogramme, um die Belastung für Lieferanten zu verringern, die buchstäblich Hunderte von Fragebögen ausfüllen müssen. Sicherheitszertifizierungsprogramme gewinnen immer mehr an Bedeutung, da viele Lieferanten versuchen, ihren Kunden die Gewissheit zu verschaffen, dass ihre Sicherheitsprogramme anerkannten Industriestandards entsprechen.

3. Krisenreaktionsplan für Vorfälle bei einem Lieferanten
Wenn ein Lieferant von einem Datenleck oder einem anderen sicherheitskritischen Vorfall betroffen ist, kann sich das auch auf das Geschäft seiner Kunden auswirken. Deren Programmdesign sollte daher Risikomanagement des Lieferanten in die unmittelbare Krisenreaktion einbeziehen. Die Cybersicherheitsanforderungen an Geschäftspartner sollten festlegen, wie schnell ein Kunde über eine potenzielle Sicherheitsverletzung oder einen Vorfall informiert werden muss. In den Playbooks zur Reaktion auf Vorfälle sollten zudem Maßnahmen aufgeführt sein, die im Ernstfall zu ergreifen sind. Die Reaktionspläne und Simulationsszenarien auf Vorfälle sollten insbesondere jene Lieferanten mit kritischem Status für die eigene Sicherheit beinhalten.

4. Sensibilisierung der Unternehmensleitung für das Vendor Risk Management
Das implementierte Programm sollte Dashboards und Metriken enthalten, die das Risiko, das durch Dritte entsteht, messen und übersichtlich als Bericht aufbereiten. Vorstand und Aufsichtsrat haben diesbezüglich einen zunehmend hohen Informationsbedarf. Daher sollte das Programm die Kennzahlen der darin aufgenommenen Lieferanten, den Anteil derer mit höherem Risiko, die evaluiert oder unter ständiger Überwachung stehen, sowie die erzielte Risikoreduzierung erfassen.

https://www.kudelskisecurity.com/de/


Artikel zu diesem Thema

Ransomware
Okt 29, 2020

Die fünf hartnäckigsten Mythen zu Ransomware

Angriffe mit Ransomware sind weltweit auf dem Vormarsch und werden auch künftig nicht…

Weitere Artikel

EU Buch

Es wird Zeit für eine europäische Cyber-Sicherheitsstrategie

Die rasante Digitalisierung, insbesondere bedingt durch die Corona-Pandemie, stellt nicht nur die Europäische Union, sondern alle Regierungen weltweit vor große Herausforderungen. Hacker nutzen die Situation aus und sind mit Spionage-, Ransomware- und…
Drohne

Der Tesla Drohnen-Hack - Sicherheitsrisiken bei Softwarekomponenten

Den deutschen Sicherheitsexperten Ralf Philipp Weinmann und Benedikt Schmotzle ist es gelungen, einen Tesla Model X aus der Luft zu hacken, berichtet Forbes. Mit einer Drohne, die mit einem Wifi-Dongle ausgerüstet war, öffneten sie die Türen des Fahrzeugs.
World Password Day

Alle Jahre wieder - World Password Day

Der erste Donnerstag im Mai ist „Welt-Passwort-Tag“. Der Aktionstag wurde 2013 von der Intel Corporation ins Leben gerufen, um für einen bewussteren Umgang mit Passwörtern zu werben.
Passwortmanagement

IT-Security: Mehr als nur Passwörter

Nutzer empfinden Passwörter häufig als störend, obwohl sie bei achtlosem Einsatz Sicherheitslücken verursachen.
SSL-Zertifikat

Verkürzte Laufzeit: SSL-Zertifikate nur noch 13 Monate gültig

Es gab Zeiten, in denen SSL-Zertifikate eine Laufzeit von fünf Jahren aufwiesen. Das ist vorbei: Zuletzt hatte Apple im Alleingang dafür gesorgt, dass die SSL-Zertifikat-Laufzeit auf ein Jahr reduziert wurde. „Das ist mit Vorteilen für die Sicherheit…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.