Tendenz steigend: Cyberrisiken durch Partner und Lieferanten

Cyberrisiken stellen eine ernsthafte Bedrohung für Unternehmen dar und der Schutz vor diesen Risiken ist daher elementar. Das haben viele Unternehmen bereits erkannt und sorgen für ihre eigene digitale Sicherheit. Unternehmen haben aber nur eine begrenzte Kontrolle über die Sicherheitsmassnahmen ihrer Partner und Lieferanten. Diese können unter Umständen eine grössere Gefahr darstellen als interne Schwachstellen. Auch bei Verstössen von Drittparteien drohen böse Überraschungen, denn ohne angemessene Aufsicht kann ein Vertragsunternehmen, dass die Leistung einkauft, gleichermassen haftbar sein.

Mehr als die Hälfte der Unternehmen erlebte schon einen Datenverstoss durch Dritte
Die Studie «Data Risk in the Third-Party Ecosystem» des Instituts Opus & Ponemon zeigt, dass 59 Prozent der Unternehmen aus den Vereinigten Staaten und aus dem Vereinigten Königreich 2018 einen Datenverstoss durch Dritte erlebten. Diese Art von Datenverstössen stellt eines der am schnellsten wachsenden Risiken für die sensiblen Daten eines Unternehmens dar. Gemäss der Studie glauben insgesamt mehr als drei Viertel der Organisationen, dass Cybervorfälle, die durch Drittparteien verursacht sind,  zunehmen werden. Handlungsbedarf sehen hingegen nicht alle. Für weniger als die Hälfte aller Unternehmen stellt das Management von Beziehungen zu Drittparteien eine Priorität dar. Unternehmen verlassen sich jedoch zunehmend auf Drittparteien. Sie beziehen eine Vielzahl von IT-basierten Dienstleistungen wie Cloud Storage, CRM-Lösungen oder SaaS-Plattformen von Partnern und Lieferanten. Das CRM-System ist ein gutes Beispiel. Ein CRM beinhaltet die gesamten Kundendaten eines Unternehmens. Wenn böswillige Akteure das System eines CRM-Anbieters hacken, kompromittieren sie alle persönlichen Daten der Kunden eines Unternehmens.

Ein holistischer Blick auf die Verwundbarkeit des eigenen Unternehmens ist unabdingbar
Wenn Unternehmen immer mehr Dienstleistungen auslagern, müssen sie aktiv die Kontrolle über die Gefährdung durch Partner und Lieferanten übernehmen. Ein holistischer Blick auf die Verwundbarkeit des eigenen Unternehmens – also inklusive Drittparteien – ist unabdingbar, um die richtigen Schutzmassnahmen und Prozesse zu implementieren. Bereits bei der Auswahl und beim Onboarding von Partnern und Lieferanten müssen potenzielle Sicherheitsrisiken thematisiert und überprüft werden. Nach Vertragsabschluss umfasst das Risikomanagement von Drittparteien das Monitoring der vertraglichen Vereinbarungen sowie der kritischen digitalen Schnittstellen (Vektoren). Der anerkannte Kryptografie-Experte Bruce Schneier brachte es folgendermassen auf den Punkt: «Security is a process, not a product.» Der Blick auf einzelne interne Einheiten kann das grosse Ganze ins Wanken bringen. Daher sollte Cyber Security immer holistisch betrachtet und das Unternehmen somit in alle Richtungen abgesichert werden. Ein offensives Digital Risk Monitoring ist zentral und fachmännischer Rat unerlässlich.