Autor
Michel Herzog
Veröffentlicht
27. November 2018
Was haben diverse Hacks und Datendiebstähle der jüngsten Vergangenheit gemeinsam? Die Einfallstore, welche die Angreifer erfolgreich ausnutzten, existierten nicht bei den direkt betroffenen Unternehmen. In vielen Fällen lag der Ursprung der Sicherheitslücken bei Lieferanten, Partnern oder sonstigen externen Dienstleistern. Solche Ereignisse sind keine Einzelfälle, sondern ein häufig anzutreffendes Szenario bei der Aufklärung von erfolgreichen Angriffen. Wir zeigen Ihnen anhand anschaulicher Beispiele, weshalb Supplier Risk Management IT-Sicherheit miteinbeziehen muss und somit ein unabdingbarer Aspekt des modernen und effektiven Managements von Cyber Security-Risiken ist sowie welche Lösung Ihnen dabei helfen kann.
Verschiedene Umfragen (siehe bspw. Risk Management Monitor und Infosec Institute) kommen zum Schluss, dass mindestens 60% der vergangenen IT-Sicherheitszwischenfälle auf Zulieferer, Partner oder ehemalige Mitarbeitende zurückzuführen sind. Diese Zahl verdeutlicht, wie wichtig es für Sie als Unternehmen ist, auch die IT-Sicherheitsrisiken Ihrer Lieferanten und Dienstleister zu berücksichtigen.
4 typische Herausforderungen des Supplier (Security) Risk Management
Die Herausforderungen bei der Bewertung von Lieferanten sind vielfältig und liefern zugleich schwerwiegende Argumente, Supplier (Security) Risk Management noch heute anzugehen:
- Die erste Herausforderung stellt die Auswahl von potentiellen Lieferanten dar. Es ist so gut wie unmöglich, alle (theoretisch) notwendigen Informationen in Bezug auf deren IT- und internen Prozesse zu erhalten. Ausserdem können sich die wenigsten Unternehmen – vorwiegend aus Effizienz- und Kostengründen – im Vorfeld ein detailliertes Bild bezüglich der IT-Sicherheit eines potentiellen Lieferanten verschaffen.
- Eine solche Bewertung bei einer kleinen Anzahl von Lieferanten ist noch mit einem überschaubaren Aufwand zu bewältigen und die Sicherheitsanforderungen sowie Prozesse sind meist weniger komplex als bei grösseren Unternehmen. Die benötigte Zeit für das Supplier Risk Management nimmt aber mit wachsender Anzahl der Dienstleister drastisch zu. Dies ist in unserer hochglobalisierten Welt ganz normal – oder können Sie Ihre Lieferanten noch an zwei Händen abzählen? Trotzdem vernachlässigen viele Unternehmen ihr Supplier Risk Management aufgrund der Komplexität und des Kostendrucks.
- Viele Unternehmen unterschätzen nach wie vor die generellen Cyber Security-Risiken. Die Gefahren, die Ihnen drohen, sind auch bei Ihren Partnern und Dienstleistern allgegenwärtig. Deshalb ist nicht nur eine einmalige Risikobewertung bei der Auswahl der Partner wichtig. Auch nachher muss eine regelmässige Überprüfung stattfinden und eine Risiko-Strategie festgelegt werden (Reduzieren, Akzeptieren, Auslagern), um schliesslich einem «Leading Practice-Ansatz» bei der Lieferantenbewertung gerecht zu werden.
- Als vierter Punkt kommt hinzu, dass nicht nur die Verantwortlichen im Bereich IT Security in die Thematik involviert sind. Schnittstellen zu den Themen Datenschutz, Legal & Compliance, dem Risikomanagement, der Einkaufsabteilung und der Audit-Abteilung des Unternehmens sowie weiteren Stakeholdern sind typische Konstellationen im Umfeld eines Lieferanten-Ökosystems. Diese Vernetzung erschwert die bereits sonst schon aufwendige Aufgabe für Unternehmen zusätzlich.
Wie anhand dieser vier Beispiele aufgezeigt wird, sind die Herausforderungen für Unternehmen vielfältig. Die Wichtigkeit des Themas wird jedoch aufgrund der gemachten Erfahrungen und der Entwicklungen (zunehmende Vernetzung und Abhängigkeiten sowie der steigenden Maturität der Angreifer) als zentrales Thema bewertet. Supplier Risk Management sollte eben nicht nur gewohnte Aspekte wie Lieferzuverlässigkeit, ökonomische Bewertungen usw. umfassen, sondern auch die IT-Sicherheitsrisiken abdecken. Denn im Falle eines erfolgreichen Hacks oder eines Datendiebstahls ist Ihr Unternehmen in der Verantwortung – unabhängig davon, ob die Angreifer direkt über Ihre IT oder die eines Lieferanten auf die Systeme und Daten zugreifen konnten. Daraus können hohe Wiederherstellungskosten, regulatorische Strafen und ein nicht zu vernachlässigender Reputationsschaden resultieren.
Supplier Risk Management – Wieso kompliziert, wenn es auch einfach geht?
Zum Glück gibt es heutzutage effiziente Tools, die Ihnen diese aufwendige (aber wichtige) Aufgabe des Supplier Risk Managements massgeblich erleichtern. Einer der Leader in diesem Bereich ist das Unternehmen SecurityScorecard. Die Lösung von SecurityScorecard erlaubt es Ihnen, die Sicherheitsrisiken von (potentiellen) Partnern resp. Dienstleistern transparent und übersichtlich nachzuvollziehen und im Anschluss die notwendigen Massnahmen einzuleiten. Sie können Veränderungen beim Scoring Ihrer Lieferanten laufend überwachen und die resultierenden Risiken managen. Wie das geht? SecurityScorecard scannt von extern verfügbare IPs und sucht nach weiteren, online verfügbaren Informationen, bspw. über versuchte Angriffe oder nach kompromittierten E-Mail-Adressen des Unternehmens, und fasst diese Informationen übersichtlich zusammen.
SecurityScorecard bietet jedoch nicht nur beim reinen Supplier Risk Management Vorteile. Es vereinfacht auch Schnittstellenthemen wie Datenschutz und Legal & Compliance-Anforderungen. Übrigens: Läuten bei Ihnen immer noch die Alarmglocken beim Stichwort «GDPR»? SecurityScorecard liefert Ihnen auch zu diesem Thema hilfreiche Informationen, in dem die entdeckten Schwachstellen mit den technischen Anforderungen (z.B. Privacy by Design, Privacy by Default) der Verordnung abgeglichen werden. Auch eine Messung der entdeckten Defizite an internationalen Standards wie ISO 27001/2, NIST CSF oder PCI DSS kann durchgeführt werden. Selbstverständlich können Sie auch Ihr eigenes Unternehmen auf die Probe stellen und von SecurityScorecard überprüfen lassen. Das kann Ihnen wiederum Anhaltspunkte liefern, um Ihre eigene Cyber Security sowie Ihr Scoring gegenüber Drittparteien zu verbessern.
Möchten Sie mehr über SecurityScorecard wissen? Wir zeigen Ihnen gerne persönlich auf, wie Sie SecurityScorecard in Ihrem Unternehmen einsetzen können – jetzt unverbindlich Offerte anfordern!
