Third Party Risk Management
5 Wege, mit Drittanbietern unterzugehen
Foto: eamesBot - shutterstock.com
Weil Geschäftsprozesse immer komplexer werden, wenden sich Unternehmen zunehmend an Drittanbieter, um geschäftskritische Services - vom Cloud-Speicher bis hin zur Security - zuverlässig bereitstellen zu können. Geht es um Tasks, die ansonsten erheblichen, eigenen Aufwand erfordern und interne Ressourcen binden würden, ist das oft nicht nur effizienter, sondern auch kostengünstiger. Third-Party-Provider in Anspruch zu nehmen, ist jedoch auch mit erheblichen potenziellen und oft unvorhersehbaren Risiken verbunden. "Das Risiko steigt, wenn die Cybersicherheitskontrollen des Drittanbieters unzureichend sind", warnt Gartner-Analyst Luke Ellery.
HanneMcBlain, Senior Director beim Beratungsunternehmen ISG, beobachtet, dass der Einsatz von Drittanbietern für viele Unternehmen eine weithin akzeptierte Notwendigkeit darstellt. Sie appelliert daher: "Die Partnerschaften mit Drittanbietern müssen kontinuierlich gemanagt werden, denn sie sind mit inhärenten Geschäftsrisiken verbunden und verlagern Kontrollaspekte über die Grenzen eines Unternehmens hinaus."
Wenn Ihr Unternehmen mit Drittanbietern zusammenarbeitet, sollten Sie die folgenden fünf Risiken unbedingt auf dem Schirm haben.
1. Kompromittierte Daten
Laut dem Global Cybersecurity Outlook 2022 (PDF) des Weltwirtschaftsforums sind indirekte Cyberangriffe - also erfolgreiche Einbrüche in Unternehmensnetzwerke über Drittanbieter - in den letzten Jahren von 44 auf 61 Prozent gestiegen. Peter Tran, Chief Information Security Officer beim Beratungsunternehmen InferSight, weiß, woran das unter anderem liegt: "Viele Unternehmen verfügen nicht über die nötigen Prozesse, um die Zugriffsrechte der betreffenden Konten zu kontrollieren - zum Beispiel, wenn es um effektives Offboarding von Third-Party-Anbietern geht. Das öffnet Cyberkriminellen Tür und Tor, die nach veralteten, aber noch aktiven Konten suchen."
Michael Orozco, Cybersicherheitsanalyst bei MorganFranklin, konkretisiert das dunkle Szenario: "Ein Drittanbieter könnte auch angegriffen werden, während er die Daten Ihres Unternehmens hostet. Eine sorgfältige Due Diligence und ein kontinuierliches Schwachstellen-Monitoring über den gesamten Vendor-Lifecycle hinweg helfen an dieser Stelle."
Ariel Weintraub, CISO beim US-Versicherungsriesen MassMutual, fasst zusammen, was auf dem Spiel steht: "Daten, die auf diesem Wege gestohlen werden, können von Bedrohungsakteuren für diverse Aktivitäten missbraucht werden - zum Beispiel für Identitätsdiebstahl oder weitere Angriffe zur Übernahme anderer, externer Konten." Die Implementierung eines Defense-in-Depth-Ansatzes zur Begrenzung des Zugriffs von Dritten auf das Unternehmensnetzwerk sei entscheidend, um Privilege Escalation zu verhindern, meint die Sicherheitsentscheiderin und ergänzt: "Wenn es darum geht, wer über unsere Daten verfügt, stellen Third-Party-Provider immer ein Problem dar. Deshalb bewerten wir kontinuierlich neue und bestehende Drittanbieter in einer Weise, die dem Cyberrisiko des jeweiligen Unternehmen angemessen ist."
Key Trend No. 2: 60% of organizations will use #cybersecurity risk as a major factor to protect against risks in third-party transactions by 2025 ??
— Gartner (@Gartner_inc) March 9, 2023
Find out how to prepare with the 2023 Security & Risk Management Leadership Vision eBook: https://t.co/S3jVtwk6Tu #GartnerSEC pic.twitter.com/GJ8l1PuUA0
2. Incident- und Ausfallkosten
Ungebetene Besucher im Unternehmensnetzwerk können horrende Kosten nach sich ziehen - und eine Cyberversicherungs-Police deckt die entstandenen Schäden nicht immer ab. Vor allem dann nicht, wenn Unternehmen ihre Systeme nicht ausreichend schützen.
Jay Pasteris, CISO und CIO in Personalunion beim MSP GreenPages, rechnet zusammen: "Sie werden das Vertrauen neuer und bestehender Kunden verlieren und damit eine Umsatzquelle. Es kostet eine Menge Geld, einen bestehenden Kunden zu ersetzen. Diese finanziellen Auswirkungen summieren sich also sehr schnell."
3. Reputationsverlust
"Die Auswirkungen auf den Ruf des Unternehmens können den finanziellen Schaden bei weitem übersteigen", gibt Weintraub zu bedenken. Negative Publicity aufgrund eines Breaches bei einem Drittanbieter könne rufschädigend wirken, beziehungsweise eine ungünstige öffentliche Wahrnehmung begünstigen.
Wir Orozco anmerkt, sind Beschwerden von Kunden über Drittanbieter-Services im Regelfall ein guter Anhaltspunkt dafür, dass Probleme ins Haus stehen: "Die Kunden sehen den Drittanbieter nicht - sie sehen nur Ihren Unternehmensnamen, Ihre Marke und Ihre Unfähigkeit, das gegebene Versprechen zu erfüllen."
Um sicherzustellen, dass die Third-Party-Provider, mit denen sie zusammenarbeiten, Daten ordnungsgemäß verwahren, ergreifen viele Unternehmen proaktive Maßnahmen. Dieser werden jedoch deutlich erschwert, wenn der Drittanbieter eine eigene Lieferkette hat, wie Weintraub erläutert: "Wenn Sie die Kette Ihrer Lieferanten und deren Lieferanten immer weiterverfolgen, wird es immer diffiziler, Einblick in jedes einzelne Unternehmen und den Reifegrad ihrer Risikomanagement-Programme zu bekommen."
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.