In vier Schritten zum erfolgreichen Vendor Risk Management

Von Viren und Bots bis hin zu Ransomware: Die Supply Chain bietet Angriffspunkte für Cyberattacken, die weitreichende Schäden verursachen können. In ein ganzheitliches Management von Risiken sollten Unternehmen daher auch ausdrücklich ihre Lieferanten einbeziehen.

„Jedes Unternehmen hat nur begrenzte Kontrolle über die Sicherheitsmaßnahmen, die bei externen Partnern wie beispielsweise IT-Anbietern, Teilelieferanten und Personaldienstleistern den Standard bilden“, erklärt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. „Die Folge: Jeder erfolgreiche Angriff auf Partner wird auch zu einer potenziellen Gefahr für einen selbst.“ Die Notwendigkeit des Risikomanagements ist für jedes Unternehmen von grundlegender Bedeutung; je komplexer die Lieferkette ist und je mehr Dritte ihr angehören, desto höher steigt das Risiko. Die Liste der geschäftssensiblen Daten, zu denen externe Dritte potenziell Zugang erhalten können, ist lang – von Geschäftsgeheimnissen und geistigem Eigentum bis hin zu persönlichen Daten oder Unternehmensrichtlinien. Diese Daten sind gefährdet, wenn Lieferanten nicht über angemessene Sicherheits- und Datenschutzvorkehrungen verfügen.

Anzeige

Die folgenden vier Schritte skizzieren die Basis eines Programms für das Vendor Risk Management, das auf Best Practices zum Schutz sämtlicher digitalen und physischen Assets eines Unternehmens beruht.

1. Identifizierung der Cybersicherheitsrisiken innerhalb der Lieferkette
Die Identifizierung von Risiken innerhalb einer Lieferkette und der Lieferantenlandschaft eines Unternehmens beginnt mit dem Aufbau eines Inventars von Lieferanten und deren Einordnung in Risikostufen. Dazu gilt es, die Verbindungen der jeweiligen Lieferanten mit sämtlichen internen Daten, Systemen und Netzwerken sowie sämtliche Erfahrungen im bisherigen Kontakt zu bewerten.

Sind die Cybersicherheitsrisiken eines Lieferanten identifiziert und bewertet, kann ein entsprechendes Cybersicherheitsprogramm erstellt werden, das unbedingt in das Lieferantenmanagement des Unternehmens integriert werden sollte. Beim Aufbau eines solchen Programms für das Vendor Risk Management ist eine enge Kooperation zwischen dem Beschaffungswesen und der Rechtsabteilung geboten. Bei der Auswahl neuer Lieferanten sowie bei der Verhandlung und dem Vertragsabschluss empfiehlt es sich, Sicherheit und Datenschutz als Punkte in die Verträge einzubeziehen. Auf diese Weise kann ein konsistentes System implementiert werden, das sämtliche kritischen Bereiche einschließlich finanzieller Rentabilität, Sicherheit und Einhaltung von Gesetzen berücksichtigt.

2. Flexible Monitoringprogramme für Lieferanten
Es gibt viele Ansätze zur Bewertung und Überwachung von Lieferanten hinsichtlich ihres Cybersicherheitsrisikos. Bei der konkreten Programmgestaltung empfiehlt sich ein flexibles Vorgehen auf Basis eines risikobasierten Ansatzes. Anbieter mit höherem Risiko erfordern engmaschigere Sicherheitsmaßnahmen wie beispielsweise das Ausfüllen von Sicherheitsfragebögen, Vor-Ort-Besuche oder -Audits oder Sicherheitszertifizierungen. Hier kommt es darauf an, den Umfang der nachgefragten Daten mit Blick auf das Risikomanagement zu begrenzen und nur relevante Informationen zu sammeln.

Zur effizienten Verwaltung des Vendor Risk Management-Programms sind fortschrittliche Automatisierungslösungen verfügbar. Gartner listet entsprechende Systeme inzwischen als separate Softwarekategorie. Die meisten dieser Lösungen operieren als Software-as-a-Service. Viele von ihnen beinhalten Informationen über die Cybersicherheitsprofile, die finanzielle Lage und das Geschäftsgebaren eines Lieferanten als Ergänzung zu anderen häufig verwendeten Bewertungsmethoden wie Sicherheitsfragebögen und Vor-Ort-Audits. Auch die Integration mit Beschaffungs-, ERP- und Service-Management-Tools wird immer üblicher.

Das relativ neue Segment entwickelt sich ständig weiter. Es entstehen Angebote, die das Vendor Risk Management als Service beinhalten und die Administration signifikant erleichtern. Inzwischen gibt es mehrere Austausch- und gemeinsame Bewertungsprogramme, um die Belastung für Lieferanten zu verringern, die buchstäblich Hunderte von Fragebögen ausfüllen müssen. Sicherheitszertifizierungsprogramme gewinnen immer mehr an Bedeutung, da viele Lieferanten versuchen, ihren Kunden die Gewissheit zu verschaffen, dass ihre Sicherheitsprogramme anerkannten Industriestandards entsprechen.

3. Krisenreaktionsplan für Vorfälle bei einem Lieferanten
Wenn ein Lieferant von einem Datenleck oder einem anderen sicherheitskritischen Vorfall betroffen ist, kann sich das auch auf das Geschäft seiner Kunden auswirken. Deren Programmdesign sollte daher Risikomanagement des Lieferanten in die unmittelbare Krisenreaktion einbeziehen. Die Cybersicherheitsanforderungen an Geschäftspartner sollten festlegen, wie schnell ein Kunde über eine potenzielle Sicherheitsverletzung oder einen Vorfall informiert werden muss. In den Playbooks zur Reaktion auf Vorfälle sollten zudem Maßnahmen aufgeführt sein, die im Ernstfall zu ergreifen sind. Die Reaktionspläne und Simulationsszenarien auf Vorfälle sollten insbesondere jene Lieferanten mit kritischem Status für die eigene Sicherheit beinhalten.

4. Sensibilisierung der Unternehmensleitung für das Vendor Risk Management
Das implementierte Programm sollte Dashboards und Metriken enthalten, die das Risiko, das durch Dritte entsteht, messen und übersichtlich als Bericht aufbereiten. Vorstand und Aufsichtsrat haben diesbezüglich einen zunehmend hohen Informationsbedarf. Daher sollte das Programm die Kennzahlen der darin aufgenommenen Lieferanten, den Anteil derer mit höherem Risiko, die evaluiert oder unter ständiger Überwachung stehen, sowie die erzielte Risikoreduzierung erfassen.

https://www.kudelskisecurity.com/de/

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.