infoguard-blog-securityscorecard-weshalb-ihre-lieferanten-eine-bedrohung-fuer-sie-darstellen-koennen

Weshalb Ihre Lieferanten eine Bedrohung für Sie darstellen können und Supplier Risk Management so wichtig ist

Was haben diverse Hacks und Datendiebstähle der jüngsten Vergangenheit gemeinsam? Die Einfallstore, welche die Angreifer erfolgreich ausnutzten, existierten nicht bei den direkt betroffenen Unternehmen. In vielen Fällen lag der Ursprung der Sicherheitslücken bei Lieferanten, Partnern oder sonstigen externen Dienstleistern. Solche Ereignisse sind keine Einzelfälle, sondern ein häufig anzutreffendes Szenario bei der Aufklärung von erfolgreichen Angriffen. Wir zeigen Ihnen anhand anschaulicher Beispiele, weshalb Supplier Risk Management IT-Sicherheit miteinbeziehen muss und somit ein unabdingbarer Aspekt des modernen und effektiven Managements von Cyber Security-Risiken ist sowie welche Lösung Ihnen dabei helfen kann.

Verschiedene Umfragen (siehe bspw. Risk Management Monitor und Infosec Institute) kommen zum Schluss, dass mindestens 60% der vergangenen IT-Sicherheitszwischenfälle auf Zulieferer, Partner oder ehemalige Mitarbeitende zurückzuführen sind. Diese Zahl verdeutlicht, wie wichtig es für Sie als Unternehmen ist, auch die IT-Sicherheitsrisiken Ihrer Lieferanten und Dienstleister zu berücksichtigen.

4 typische Herausforderungen des Supplier (Security) Risk Management

Die Herausforderungen bei der Bewertung von Lieferanten sind vielfältig und liefern zugleich schwerwiegende Argumente, Supplier (Security) Risk Management noch heute anzugehen:

  1. Die erste Herausforderung stellt die Auswahl von potentiellen Lieferanten dar. Es ist so gut wie unmöglich, alle (theoretisch) notwendigen Informationen in Bezug auf deren IT- und internen Prozesse zu erhalten. Ausserdem können sich die wenigsten Unternehmen – vorwiegend aus Effizienz- und Kostengründen – im Vorfeld ein detailliertes Bild bezüglich der IT-Sicherheit eines potentiellen Lieferanten verschaffen.
  2. Eine solche Bewertung bei einer kleinen Anzahl von Lieferanten ist noch mit einem überschaubaren Aufwand zu bewältigen und die Sicherheitsanforderungen sowie Prozesse sind meist weniger komplex als bei grösseren Unternehmen. Die benötigte Zeit für das Supplier Risk Management nimmt aber mit wachsender Anzahl der Dienstleister drastisch zu. Dies ist in unserer hochglobalisierten Welt ganz normal – oder können Sie Ihre Lieferanten noch an zwei Händen abzählen? Trotzdem vernachlässigen viele Unternehmen ihr Supplier Risk Management aufgrund der Komplexität und des Kostendrucks.
  3. Viele Unternehmen unterschätzen nach wie vor die generellen Cyber Security-Risiken. Die Gefahren, die Ihnen drohen, sind auch bei Ihren Partnern und Dienstleistern allgegenwärtig. Deshalb ist nicht nur eine einmalige Risikobewertung bei der Auswahl der Partner wichtig. Auch nachher muss eine regelmässige Überprüfung stattfinden und eine Risiko-Strategie festgelegt werden (Reduzieren, Akzeptieren, Auslagern), um schliesslich einem «Leading Practice-Ansatz» bei der Lieferantenbewertung gerecht zu werden.
  4. Als vierter Punkt kommt hinzu, dass nicht nur die Verantwortlichen im Bereich IT Security in die Thematik involviert sind. Schnittstellen zu den Themen Datenschutz, Legal & Compliance, dem Risikomanagement, der Einkaufsabteilung und der Audit-Abteilung des Unternehmens sowie weiteren Stakeholdern sind typische Konstellationen im Umfeld eines Lieferanten-Ökosystems. Diese Vernetzung erschwert die bereits sonst schon aufwendige Aufgabe für Unternehmen zusätzlich.

Wie anhand dieser vier Beispiele aufgezeigt wird, sind die Herausforderungen für Unternehmen vielfältig. Die Wichtigkeit des Themas wird jedoch aufgrund der gemachten Erfahrungen und der Entwicklungen (zunehmende Vernetzung und Abhängigkeiten sowie der steigenden Maturität der Angreifer) als zentrales Thema bewertet. Supplier Risk Management sollte eben nicht nur gewohnte Aspekte wie Lieferzuverlässigkeit, ökonomische Bewertungen usw. umfassen, sondern auch die IT-Sicherheitsrisiken abdecken. Denn im Falle eines erfolgreichen Hacks oder eines Datendiebstahls ist Ihr Unternehmen in der Verantwortung – unabhängig davon, ob die Angreifer direkt über Ihre IT oder die eines Lieferanten auf die Systeme und Daten zugreifen konnten. Daraus können hohe Wiederherstellungskosten, regulatorische Strafen und ein nicht zu vernachlässigender Reputationsschaden resultieren.

Supplier Risk Management – Wieso kompliziert, wenn es auch einfach geht?

Zum Glück gibt es heutzutage effiziente Tools, die Ihnen diese aufwendige (aber wichtige) Aufgabe des Supplier Risk Managements massgeblich erleichtern. Einer der Leader in diesem Bereich ist das Unternehmen SecurityScorecard. Die Lösung von SecurityScorecard erlaubt es Ihnen, die Sicherheitsrisiken von (potentiellen) Partnern resp. Dienstleistern transparent und übersichtlich nachzuvollziehen und im Anschluss die notwendigen Massnahmen einzuleiten. Sie können Veränderungen beim Scoring Ihrer Lieferanten laufend überwachen und die resultierenden Risiken managen. Wie das geht? SecurityScorecard scannt von extern verfügbare IPs und sucht nach weiteren, online verfügbaren Informationen, bspw. über versuchte Angriffe oder nach kompromittierten E-Mail-Adressen des Unternehmens, und fasst diese Informationen übersichtlich zusammen.

securityscorecard-supplier-risk-managementSecurityScorecard bietet jedoch nicht nur beim reinen Supplier Risk Management Vorteile. Es vereinfacht auch Schnittstellenthemen wie Datenschutz und Legal & Compliance-Anforderungen. Übrigens: Läuten bei Ihnen immer noch die Alarmglocken beim Stichwort «GDPR»? SecurityScorecard liefert Ihnen auch zu diesem Thema hilfreiche Informationen, in dem die entdeckten Schwachstellen mit den technischen Anforderungen (z.B. Privacy by Design, Privacy by Default) der Verordnung abgeglichen werden. Auch eine Messung der entdeckten Defizite an internationalen Standards wie ISO 27001/2, NIST CSF oder PCI DSS kann durchgeführt werden. Selbstverständlich können Sie auch Ihr eigenes Unternehmen auf die Probe stellen und von SecurityScorecard überprüfen lassen. Das kann Ihnen wiederum Anhaltspunkte liefern, um Ihre eigene Cyber Security sowie Ihr Scoring gegenüber Drittparteien zu verbessern.

Sicherheitsbewertung mit SecurityScorecard – Bis Ende Jahr exklusiv zum Vorzugspreis!

Sie merken: Wir sind überzeugt von dieser Plattform. Haben wir Sie neugierig gemacht? Bis zum 31. Dezember 2018 profitieren Sie von bis zu 50% Rabatt! Zögern Sie also nicht und fordern Sie gleich unverbindlich eine Offerte an. Mehr Informationen zu SecurityScorecard gibt’s auf unserer Website sowie bei unserem Promotionsangebot!

Zum Angebot

<< >>

Cyber Security

Michel Herzog
Über den Autor / Michel Herzog

InfoGuard AG - Michel Herzog, Senior Cyber Security Consultant

Weitere Artikel von Michel Herzog


Ähnliche Artikel
Endpoint Detection & Response – oder warum schneller auch besser ist
Endpoint Detection & Response – oder warum schneller auch besser ist

Einbrecher sind leise, agieren im Versteckten und schlagen schnell zu, um noch schneller mit der Beute zu [...]
Wie Ihre Cyber Security von einem Wohnungseinbruch profitieren kann
Wie Ihre Cyber Security von einem Wohnungseinbruch profitieren kann

Wie jedes Jahr waren auch diese Sommerferien wie immer viel zu kurz. Wahrscheinlich schwelgen Sie genau wie [...]
2018 – das Jahr der GDPR ist noch nicht vorbei!
2018 – das Jahr der GDPR ist noch nicht vorbei!

Die GDPR (oder auch DSGVO) hat im ersten Halbjahr viele Gemüter erhitzt. Nicht wenige Unternehmen haben nicht [...]
Cyber Security Blog

Der InfoGuard Cyber Security Blog liefert Ihnen regelmässig News und detaillierte Berichte aus der Welt der Cyber Security und Cyber Defence.

Blog Updates abonnieren
Social Media
SecurityScorecard
infoguard-securityscorecard-offering