Third-Party-Risk-Management: Risiken durch Dritte erkennen

Steigende Bedrohungen und Herausforderungen

Angreifer wählen stets das schwächste Glied in der Cyberkette. Und dies sind meist Mitarbeiter oder Dritte. Und diese Risiken steigen, da immer mehr Unternehmen immer häufiger Anbieter zur Abwicklung aller Arten von Geschäftsprozessen einsetzen. Eine Umfrage von Gartner aus dem Jahr 2019 zeigte, dass bei 71 Prozent der Unternehmen in den letzten drei Jahren die Anzahl der Anbieter in ihrem Partnernetzwerk gestiegen ist.

Eine umfassende Risikomanagement-Strategie hilft dabei, Risiken innerhalb des Drittanbieternetzwerks zu identifizieren, dieses Risiko zu minimieren und auf Vorfälle zu reagieren, bevor sie größeren Schaden anrichten. Bei der Umsetzung einer solchen Strategie stehen Unternehmen jedoch vor drei größeren Herausforderungen:

• Transparenz: Um den Überblick über alle Drittanbieter in Ihrem Unternehmen zu behalten, benötigen Unternehmen entsprechende Tools und Prozesse. Zudem setzen Mitarbeiter oder Abteilungen oft auch neue Anbieter ohne das Wissen (und Einverständnis) der IT-Abteilung ein (Schatten-IT).
• Haftung und Reaktion: Abhängig von den Vertragsbedingungen oder -vereinbarungen ist eine Drittpartei im Falle einer Datenschutzverletzung möglicherweise nicht verpflichtet, das Unternehmen hierüber umgehend zu informieren, wodurch dieses nicht in der Lage ist, sofort entsprechende Maßnahmen einzuleiten. Die Kenntnis spezifischer Bedingungen und Vereinbarungen im Falle von Sicherheitsvorfällen und in Bezug auf Vorschriften ist der Schlüssel zum Management des Drittanbieterrisikos.
• Maßnahmen und Prozesse: Für Cyberkriminelle gibt es kein Innen und Außen. Deshalb sollte beim Third-Party-Risk-Management ein ähnlicher Ansatz wie bei „internen“ Vorfällen mit entsprechenden Sicherheitsmaßnahmen und -prozessen umgesetzt werden. So sollten Prozesse etabliert werden, dass kein Anbieter ohne Wissen des Sicherheitsverantwortlichen und die gebotene Sorgfalt (due diligence) eingesetzt wird. Bei geschäftskritischen Drittanbietern und Partnern müssen Notfallpläne, -Tools und -strategien vorliegen. Auf diese Weise werden die Sicherheitsverantwortlichen über Angriffe und Vorfälle frühzeitig informiert und sind so in der Lage, weiteren Schaden für das Unternehmen zu verhindern sowie angemessen reagieren und kommunizieren zu können.

Tipps für ein effektives Third-Party-Risk-Management

Grundsätzlich ist das Risikomanagement ein Prozess, für den es keine Lösung gibt, die für alle Unternehmen und in jeder Situation passt. Wie bei den meisten Risiko- und Sicherheitsstrategien müssen die Ansätze auf die Bedürfnisse, Ressourcen, Größe, Branche und Compliance-Anforderungen eines Unternehmens zugeschnitten sein.

1. Bestandsaufnahme

Um die spezifischen Drittanbieterrisiken erkennen und bewerten zu können, bedarf es der Bestandsaufnahme aller Drittanbieter. Hierzu können Tools eingesetzt werden, die das gesamte Netzwerk scannen und/oder Asset-Transparenz bieten. Zusätzlich sollten auch sämtliche Abteilungsleiter einbezogen werden, um sicherzustellen, dass nichts übersehen wird. Ebenso kann die Rechtsabteilung bei der Suche nach Anbietern und Partnern helfen, indem aktive und inaktive Verträge geprüft werden. Auf diese Weise lassen sich auch abgelaufene Verträge von Drittanbietern finden, die möglicherweise noch Zugriff auf Daten oder das Netzwerk haben.

2. Priorisieren

Nachdem eine Liste von Anbietern erstellt wurde, sollten nach dem Risiko und danach, wie geschäftskritisch sie sind, geordnet werden. Ein geschäftskritischer Anbieter mit hohem Risiko beeinträchtigt im Falle einer Datenverletzung oder eines Ausfalls die Geschäftstätigkeit stark beziehungsweise gefährdet die Daten massiv. Niedriger eingestufte Anbieter haben in der Regel keinen Zugang zu sensiblen Daten, wodurch der Betrieb durch einen Vorfall nicht wesentlich gestört wird. Eine entsprechende Bewertung hilft bei der Planung der nächsten Schritte.

„Angreifer wählen stets das schwächste Glied in der Cyberkette. Und dies sind meist Mitarbeiter oder Dritte.“

Michael Scheffler, Varonis Systems

Bewerten

Man kann nicht alle Bedrohungen gleichermaßen adressieren. Deshalb empfiehlt es sich, die bestehenden Verträge mit den geschäftskritischsten und risikoreichsten Anbietern und Partnern zu prüfen und sich mit der Rechtsabteilung zu koordinieren. Hierbei sollten verschiedene Worst-Case-Szenarien durchgespielt werden und insbesondere folgende Fragen berücksichtigt werden:

• Welche Informationen (wenn überhaupt) müssen im Falle einer Sicherheitsverletzung offengelegt werden? In welchem Zeitrahmen?
• Welche spezifischen Reaktions-/Abwehrstrategien gibt es?
• Arbeiten die Anbieter beziehungsweise Partner im Rahmen des eigenes Reaktionsplan mit dem Unternehmen zusammen?
• Halten die Anbieter und Partner sämtliche für das Unternehmen relevanten Vorschriften ein?

Durch die Beantwortung dieser Fragen lässt sich erkennen, wo genau das Risiko liegt – sei es durch fehlende Sicherheitsvorkehrungen seitens des Anbieters, durch fehlende Offenlegung von Sicherheitsverletzungen oder durch die Nichteinhaltung von Vorschriften, die das Unternehmen einhalten muss. Darüber hinaus muss geprüft werden, welche unnötigen, vermeidbaren Risiken vorliegen, wie beispielsweise der Zugang zu sensiblen Daten, der nicht benötigt wird.

3. Zukunft sichern

Anhand dieses Rahmens können alle eklatanten Risiken von Dritten identifiziert werden, die eine sofortige Aufmerksamkeit erfordern, ganz gleich, ob es sich um ein Compliance-Problem oder ein geschäftskritisches Risiko handelt. Zum einen sollte mit den bestehenden Anbietern und Partnern bei der Risikoreduzierung zusammengearbeitet werden, zum anderen wird sichergestellt, dass neue Partner das Unternehmen nicht ähnlichen Risiken aussetzen.

Insbesondere der Schutz von Cloud-Datenbanken und -Datenspeichern muss priorisiert werden, da sich die Aktivitäten von Cyberkriminellen zunehmend in diesen Bereich verlagern. Sicherheitsverantwortliche benötigen eine umfassende Transparenz über die Anbieter und Lösungen.

Intern sollten neue Prozesse eingeführt werden, um zu verhindern, dass ein Anbieter auf das Netzwerk zugreift, ohne dass die Sicherheitsverantwortlichen davon wissen und die Partnerschaft genehmigen. Zusätzlich können Netzwerksegmentierungs-Tools und die Einrichtung eines Systems für privilegierten Zugriff verhindern, dass ein Dritter Daten des Unternehmens offenlegt oder ein Angreifer über diese Dritten in das Netzwerk gelangt.

Third-Party-Risk-Management ist ein fortlaufendes Projekt. Man sollte nicht erwarten, innerhalb weniger Wochen oder Monate sämtliche Herausforderungen vollständig zu meistern oder ein funktionierendes Framework entwickelt zu haben. Es erfordert einen gewissen Aufwand und Ressourcen sowie einen langen Atem. Im Laufe der Zeit werden zudem neue Herausforderungen auftauchen. Davon sollte man sich aber angesichts der gegenwärtigen Bedrohungslage nicht abschrecken lassen. Setzt man Prioritäten, welche Drittanbieter (zum Beispiel Cloud-Anbieter und Infrastrukturpartner) besonders adressiert werden, hat man bereits einen guten Start in Richtung Risikominimierung hingelegt.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.