Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Eine Einführung in Drittanbieter-Risikomanagement | Varonis

Geschrieben von Josue Ledesma | Jun 17, 2021 4:00:00 AM

Das Drittanbieter-Risikomanagement ist ein wesentlicher Bestandteil der Cyber-Security-Strategie eines jeden Unternehmens, dem jedoch oft nicht die nötige Aufmerksamkeit (oder die nötigen Ressourcen) geschenkt wird. Wenn es jedoch vernachlässigt wird, bleibt eine der größten Risikoquellen des Unternehmens offen für kriminelle Hacker, böswillige Akteure und Angreifer aus staatlichen Strukturen. Ebenso bestehen Reputations- und Betriebsrisiken, falls ein Drittanbieter nicht für ausreichende Datensicherheit sorgt bzw. diese zu zögerlich angeht.

In dieser Einführung zeigen wir Ihnen, was das Drittanbieter-Risikomanagement ist, wie Sie eine Strategie dafür entwickeln, welche Best Practices es gibt und wie Sie Ihr Unternehmen darauf vorbereiten, Ihr Drittanbieter-Risikomanagement in der Cyber-Security-Abteilung weiter zu entwickeln und zu optimieren.

Was ist Drittanbieter-Risikomanagement?

Beim Drittanbieter-Risikomanagement wird sichergestellt, dass Sie für Ihre Drittanbieter die gleiche (oder eine höhere) Sorgfaltspflicht in Bezug auf Cyber-Security und -Risiken gelten lassen wie für Ihr eigenes Unternehmen. Zu den Drittanbietern gehören Ihre Auftragnehmer, Subunternehmer, externe Lieferanten, Cloud-basierte Anbieter – im Grunde jedes Unternehmen, das im Falle eines Datenlecks oder einer versehentlichen Offenlegung die Systeme oder vertraulichen Daten Ihres Unternehmens gefährden könnte.

Zum Beispiel nutzt Ihr Marketing-Team wahrscheinlich einen externen E-Mail-Marketing-Anbieter für seine Kunden-Newsletter. Diese enthalten personenbezogene Daten über Ihre Kunden, z. B. ihre Namen, ihre E-Mail-Adressen und, je nach Integration des Drittanbieters, möglicherweise weitere sensible Daten wie Versandadressen, vergangene Käufe und mehr.

Wenn dieser E-Mail-Anbieter Opfer eines Angriffs wird, werden die Informationen Ihrer Kunden offengelegt und Ihre Organisation ist für die Behebung, Reaktion und Kommunikation verantwortlich – was durchaus schwierig werden kann, wenn Sie nicht über das Datenleck informiert werden. Diese Art von Risiko ist bei den meisten, wenn nicht sogar bei allen, Drittanbietern präsent. Daher ist es entscheidend, sich diese Risiken bewusst zu machen.

VendorCentric hat eine sehr gute Aufschlüsselung der verschiedenen Arten von Risiken veröffentlicht, die von Drittanbietern ausgehen. Hier ist eine kurze Zusammenfassung.

Reputationsrisiko durch Drittanbieter

Aus politischen, betrieblichen, assoziativen oder anderen Gründen kann eine Verbindung mit einem Drittanbieter Ihren eigenen Ruf beeinträchtigen. Wenn eine Marke in die Kritik gerät und herauskommt, dass Sie in irgendeiner Weise mit ihr zusammenarbeiten, kann auch Ihr Unternehmen durch die öffentliche Aufmerksamkeit Schaden nehmen. Das kann sich negativ auf Ihre Kundenbeziehungen und Umsätze auswirken.

Betriebsrisiko durch Drittanbieter

Angesichts der Zunahme von Cloud-Anbietern und Cloud-basierten Infrastrukturen verlassen sich viele Unternehmen, insbesondere Großkonzerne, für ihre Geschäftsabläufe auf Drittanbieter. Zahlreiche Unternehmen verwenden beispielsweise AWS als Cloud-Hosting-Anbieter. Wenn AWS ausfällt (was bereits vorgekommen ist), sind möglicherweise die Website oder Dienste eines Unternehmens nicht verfügbar.

Compliance-Risiko durch Drittanbieter

Der Schwerpunkt bei behördlicher Compliance und Vorschriften wird zunehmend auf das Drittanbieter-Risiko gelegt. So hat das NIST (US-Standardisierungsbehörde) vor kurzem eine Sonderveröffentlichung für Informationssicherheit herausgegeben, die sich vorwiegend mit Drittanbietern befasst. Je nach Branche erfordern bestimmte Compliance- und Regulierungsvorschriften, dass Unternehmen über Drittanbieter-Risikomanagement verfügen und für die Compliance ihrer Drittanbieter haftbar sind.

Informationssicherheitsrisiko durch Drittanbieter

Dies ist wohl das wichtigste Risiko und kann sich auf die bereits erwähnten Arten von Risiken auswirken. Möglicherweise haben Sie in Ihre eigene Cyber-Security-Abteilung investiert, um sicherzustellen, dass Ihr Unternehmen gut abgesichert ist. Aber was ist mit all Ihren Drittanbietern? Wissen Sie, ob Ihre Daten auf deren Servern so sicher gespeichert werden, wie Sie es gerne hätten? Wissen Sie, was ihr Plan im Falle eines Datenlecks ist, und unternehmen sie Maßnahmen, um sicherzustellen, dass Angreifer Ihr Netzwerk nicht erreichen können? Der Hack von Target (einem US-Einzelhändler) im Jahr 2013 kam bekanntermaßen durch einen HLK-Anbieter zustande, der gehackt und benutzt wurde, um die Systeme von Target zu erreichen und Kreditkartendaten von Millionen von Kunden zu stehlen.

Dieser Artikel konzentriert sich vorwiegend auf das Informationssicherheits-Risiko, da dieses sich auf andere Drittanbieter-Risiken auswirken und verhindern kann, dass diese Ihr Unternehmen beeinträchtigen.

Warum ist Drittanbieter-Risikomanagement wichtig?

Ohne Drittanbieter-Risikomanagement bestehen auch für Sie große Risiken. Wenn ein staatlich unterstützter Hacker oder ein böswilliger Akteur versucht, das Netzwerk Ihres Unternehmens zu erreichen, ist ihm klar, dass sich das am einfachsten bewerkstelligen lässt, wenn er das schwächste Glied angreift. Meistens erfolgt das über Drittanbieter und Mitarbeiter. Dieses Risiko nimmt immer weiter zu, denn mehr und mehr Unternehmen spannen immer mehr Drittanbieter für alle möglichen Geschäftsprozesse ein. Eine Umfrage von Gartner im Jahr 2019 hat gezeigt, dass 71 % aller Unternehmen in den letzten drei Jahren einen Zuwachs an Drittanbietern verzeichnet haben. 83 % der Führungskräfte gaben an, dass sie nach dem ersten Onboarding und der sorgfältigen Prüfung der Anbieter mögliche Risiken festgestellt haben.

Eine starke Strategie für das Drittanbieter-Risikomanagement kann Ihnen helfen, Risiken in Ihrem Drittanbieter-Netzwerk zu identifizieren und zu mindern, Schäden bei einem Vorfall zu reduzieren und zu verhindern sowie auf Datenschutzverletzungen oder Angriffe zu reagieren. So können Sie Probleme lösen, bevor sie sich erheblich auf Sie oder Ihre Kunden auswirken können.

Herausforderungen für Unternehmen beim Drittanbieter-Risikomanagement

Transparenz: Möglicherweise verfügen Sie nicht über die richtigen Abläufe oder Tools, um den Überblick über alle Drittanbieter in Ihrem Unternehmen zu behalten. Mitarbeiter oder Abteilungen können auch beschließen, in Eigenregie neue Anbieter zu beauftragen, ohne Sie zu informieren (das wird als „Schatten-IT“ bezeichnet). Dies erschwert das Drittanbieter-Risikomanagement, da Sie Anbieter, die Ihnen nicht bekannt sind, nicht berücksichtigen oder beurteilen können.

Haftung und Reaktion: Je nach Ihren Vertragsbedingungen ist ein Drittanbieter im Falle einer Datenschutzverletzung und Offenlegung Ihrer Daten möglicherweise nicht verpflichtet, Sie sofort über die Verletzung zu informieren. Wenn Sie über ein solches Problem nicht informiert werden, kann ein böswilliger Akteur in Ihr Netzwerk gelangen, ohne dass Sie darüber Bescheid wissen. So werden Ihre Möglichkeiten, auf den Vorfall zu reagieren, stark eingeschränkt. Sie müssen möglicherweise auch nicht mit Ihren Compliance- oder regulatorischen Standards Schritt halten, was zu Geldstrafen oder anderen regulatorischen Problemen führen kann. Die Kenntnis spezifischer Bedingungen und Vereinbarungen im Falle von Sicherheitsvorfällen und in Bezug auf Vorschriften ist der Schlüssel zu einem guten Management von Drittanbieterrisiken.

Maßnahmen und Abläufe: Genau wie Sie Sicherheitsmaßnahmen und -abläufe für Ihre eigene Cyber-Security-Abteilung haben, erfordert auch das Risikomanagement für Drittanbieter einen ähnlichen Ansatz. Sie müssen Abläufe einführen, um sicherzustellen, dass kein Anbieter ohne Ihr Wissen und Ihre sorgfältige Prüfung beauftragt wird. Bei geschäftskritischen Drittanbietern müssen Sie über Pläne, Tools und Strategien für den Notfall verfügen, damit Sie Bescheid wissen, falls es bei diesem Anbieter zu einem Sicherheitsvorfall kommt. So können Sie weiteren Schaden für Ihr eigenes Unternehmen verhindern und angemessen reagieren und kommunizieren.

4 Best Practices für das Drittanbieter-Risikomanagement

Drittanbieter-Risikomanagement ist ein Prozess und es gibt kein Patentrezept, das zu jedem Unternehmen passt. Wie bei den meisten Risiko- und Sicherheitsstrategien muss der Ansatz jeweils auf die Anforderungen, Ressourcen, die Größe, Branche und die Compliance-Bedingungen eines Unternehmens zugeschnitten werden.

1. Inventur aufnehmen

Sobald Sie ein Verständnis für die spezifischen Drittanbieter-Risiken Ihres Unternehmens entwickelt haben und wissen, welche Auswirkungen diese auf Sie haben könnten, müssen Sie eine Inventur all Ihrer Drittanbieter aufnehmen. Dafür sind möglicherweise Tools erforderlich, die Ihr gesamtes Netzwerk scannen und/oder Asset-Transparenz bieten. Ebenso sollten Sie all Ihre Abteilungsleiter kontaktieren, um alles genau zu überprüfen. Ihre Rechtsabteilung kann Ihnen dabei helfen, durch einen Blick auf geltende und nicht geltende Verträge alle Anbieter und Partner zu erfassen. Auf diese Weise können Sie auch abgelaufene Verträge mit Drittanbietern finden, die möglicherweise noch Zugriff auf Ihre Daten oder Ihr Netzwerk haben.

2. Anbieter priorisieren

Nachdem Sie eine Liste von Anbietern erstellt haben, sollten Sie diese Liste ordnen: zum einen absteigend nach Risiko, und zum anderen nach der Bedeutung für Ihr Unternehmen. Ein geschäftskritischer Anbieter mit hohem Risiko würde Ihre Geschäftsfähigkeit oder Ihre Daten (bzw. Kundendaten) gefährden, wenn er angegriffen würde oder es zu einem Ausfall käme. Anbieter mit geringem Risiko haben möglicherweise keinen Zugriff auf solche sensiblen Daten und würden Ihre Geschäftsfähigkeit nicht erheblich beeinträchtigen, wenn etwas schiefginge. Dies bildet die Grundlage für Ihren nächsten Schritt.

3. Anbieter bewerten

Gehen Sie für Ihre geschäftskritischsten Anbieter und Lieferanten mit hohem Risiko die bestehenden Verträge durch und sprechen Sie mit Ihrer Rechtsabteilung. Gehen Sie verschiedene Worst-Case-Szenarien durch und berücksichtigen Sie die folgenden Fragen.

  • Welche Informationen (falls zutreffend) müssen sie Ihnen im Falle einer Datenschutzverletzung mitteilen?
  • Wenn ja, in welchem Zeitrahmen?
  • Welche spezifischen Reaktions-/Minderungsstrategien sind vorhanden?
  • Werden sie mit Ihnen im Rahmen Ihrer eigenen Vorfallsreaktionsstrategie zusammenarbeiten?
  • Sind sie mit den Vorschriften konform, für die Sie verantwortlich sind?

Diese Fragen helfen Ihnen dabei, besser zu verstehen, worin Ihr Drittanbieterrisiko besteht. Dieses kann beispielsweise darin liegen, dass es Ihrem Anbieter an Sicherheitsmaßnahmen mangelt, dass im Falle eines Angriffs zu wenige Informationen weitergegeben werden oder dass Ihr Anbieter nicht mit einer Vorschrift konform ist, an die Sie sich halten müssen.

Sie sollten auch prüfen, ob es unnötige Risiken gibt, denen ein Drittanbieter Sie aussetzen könnte. Hat er Zugang zu sensiblen Daten, die er für seine Funktion nicht benötigt? Oder ist die vorliegende Netzwerkintegration möglicherweise unnötig und es wäre möglich, den Zugriff zu blockieren, um zu verhindern, dass ein böswilliger Akteur Ihre Server erreicht.

4. Anbieter zukunftssicher machen

Anhand des oben beschriebenen Plans können Sie alle schwerwiegenden Drittanbieter-Risiken identifizieren, die sofortige Aufmerksamkeit erfordern – egal ob es sich um ein Compliance-Problem oder ein geschäftskritisches Risiko handelt, das Sie nicht ignorieren dürfen. Während Sie mit Ihrem Anbieter zusammenarbeiten, um ihn entweder auf das nötige Compliance-Niveau zu bringen oder andere Möglichkeiten zu finden, Ihr Risiko zu reduzieren, können Sie sicherstellen, dass solche Risiken bei neuen Anbietern sofort vermieden werden.

Hier können Tools, Software, zusätzliche Partner und Anbieter ins Spiel kommen. Priorisieren Sie den Schutz Ihrer Cloud-Datenbanken und stellen Sie sicher, dass Sie einen vollständigen Überblick über die Anbieter haben und dass neue Partnerschaften oder Verträge keine Sicherheitslücken aufweisen. Intern sollten neue Prozesse eingeführt werden, die verhindern, dass ein Anbieter auf Ihr Netzwerk zugreift, ohne dass Sie davon wissen und die Partnerschaft genehmigen. Netzwerksegmentierungstools und die Einrichtung eines Systems für privilegierten Zugriff können verhindern, dass Drittanbieter Ihre Daten offenlegen und dass jemand über diese Zugriff auf Ihr Netzwerk erhält.

Drittanbieter-Risikomanagement ist ein fortlaufender Prozess

Wenn Sie gerade erst mit dem Drittanbieter-Risikomanagement beginnen, sollten Sie nicht erwarten, dass Sie in wenigen Wochen oder Monaten eine vollständige Lösung oder einen funktionierenden Rahmenplan haben. Es erfordert eine Menge Aufwand und Ressourcen, und mit der Zeit werden neue Aufgaben auftauchen. Solange Sie priorisieren, welche Drittparteien (beispielsweise Ihre Cloud-basierte Anbieter oder Infrastrukturpartner) Sie verwalten, ist das bereits ein guter Anfang.

Um mehr darüber zu erfahren, welcher Cloud-Anbieter am besten zu Ihnen passt, lesen Sie den Artikel von Varonis zum Vergleich von AWS, Azure und Google. Wenn Sie mehr über die Sicherung und den Schutz Ihrer Daten vor internen und externen Bedrohungen erfahren möchten, klicken Sie hier, um sich die Datensicherungslösung von Varonis anzusehen.