Zum Inhalt gehen

Third-Party Risk Management: Praktiken zur Verhinderung von Supply-Chain-Angriffen

Christian Schmidt-Brockhoff
26 Okt. 2022
capgemini-invent

Immer häufiger werden Unternehmen nicht direkt angegriffen, sondern über Drittparteien, deren IT-Dienste, Soft- oder Hardware kompromittiert werden. Solche Meldungen haben den Weg in die Mainstream-Medien gefunden und machen immer häufiger Schlagzeilen.
Zu den Unternehmen, die allein 2021 durch Cyberangriffe geschädigt wurden[1], welche nicht direkt gegen die Unternehmen selbst gerichtet waren, zählen unter anderem Audi, Volkswagen, Mercedes Benz oder Kaseya. Unternehmen müssen in der aktuellen Zeit nicht nur die Risiken des eigenen Unternehmens tragen, sondern sich auch auf die Risiken der Partner einlassen. Vertrauen steht hier um Mittelpunkt.

Eine aktuelle Umfrage von Prevalent zeigt einen deutlichen Anstieg der Gefahrensituation in 2022 rund um Drittanbieter im Vergleich zum Jahr 2021:

Third-Party Risk Management at the Crossroads: Results from the 2022 TPRM Best Practices Study, 05/2022, Quelle: Prevalent

Die größten Herausforderungen im ‚Supply Chain Risk Management‘

Die Landschaft des Third-Party Risk Managements ist aufgrund der vielen Stakeholder divers. Daher ergeben sich Herausforderungen in unterschiedlichen Bereichen:

  • Streuung der Risiken: IT-Risiken sind auf mehrere Parteien verteilt, insbesondere auf Lieferanten, Anbieter und Partner. Herausforderungen bestehen darin, Risiken durch Drittparteien zu identifizieren und gemeinsam zu mindern. Der Nutzer der Dienstleistungen sollte in jedem Fall eine überwachende Funktion einnehmen, was aufgrund der Vielzahl an Drittparteien (häufig mehrere Hundert bis Tausend an der Zahl) eine Herausforderung an sich darstellt.
  • Sicherheitsvorfälle bei Drittparteien: Sicherheitsvorfälle kommen vor, auch bei Lieferanten und Partnern. Es ist sicherzustellen, dass, falls eine andere Partei im Netzwerkverbund betroffen ist, diese umgehend eine Mitteilung an die Partner schickt. Für gewöhnlich wird dies vertraglich abgesichert. Trotzdem müssen auch im eigenen Unternehmen standardisierte Prozesse und Schnittstellen etabliert sein, um Sicherheitsvorfälle außerhalb des eigenen, direkten Umfeldes zu betrachten.
  • Komplexe Compliance-Anforderungen: Die Einhaltung vertraglicher und rechtlicher Vorgaben in einem partnerschaftlichen Verhältnis ist insbesondere durch Cloud Computing und den deutlichen Anstieg der Vernetzung der IT komplexer geworden. Internationales Recht, kritische Infrastrukturen und Datenschutz kommen erschwerend hinzu. Den Anforderungen aller Stakeholdern gerecht zu werden und dabei auch die internationale gesetzliche Landschaft mit zu berücksichtigen, führt zu umfangreichen Pflichten im Vertragsmanagement, an der auch die Informationssicherheit ein Interesse hat.
  • Schatten-IT: Schatten-IT ist ein verbreiteten Phänomen, bei dem IT-Services eingekauft werden, ohne dass diese durch die IT-Abteilung oder offizielle Prozesse gesteuert werden. Zumeist kümmern sich Geschäftseinheiten direkt um die Beschaffung und Administration dieser Services. In solchen Fällen besteht ein erhöhtes Risiko, dass interne Sicherheitsanforderungen und jene der Anbieter und Partner nicht vollständig umgesetzt werden können.
  • Aufwendiger Betrieb des Risikomanagements: Durch die zusätzlichen Pflichten zur Prüfung von Drittparteien bis zur Genehmigung von IT-Services wird der Prozess zur Einführung von IT-Diensten verlangsamt. Dies führt mitunter zu einer Verringerung der Transformationsfähigkeit des Unternehmens.

So gelingt ein effektives Management von Risiken zur Verteidigung gegen Supply-Chain-Angriffe

  • Abgestimmte, standardisierte Prozesse: Ein abgestimmter und kommunizierter Prozess ist eine notwendige Voraussetzung zur Kollaboration zwischen allen Beteiligten. Dies umfasst unter anderem den Einkauf, das Demand-Management, die IT-Sicherheit, das Vertragsmanagement, die Datenschutzorganisation und das Business selbst. Ein abgestimmter Prozess ist zudem flexibel und anpassungsfähig; so kann er fortwährend verbessert werden.
  • Verfolgen von Änderungen: In den eingekauften IT-Services kann es zu vielen Änderungen kommen, obgleich sich diese vertraglich oder technisch manifestieren. Auch Änderungen in der Systemlandschaft oder der generellen IT-Umgebung, beispielweise durch neue Angriffsvektoren oder politische Ereignisse, können Einfluss auf die Risikolandschaft haben. Aufgrund solcher Änderungen müssen die jeweiligen IT-Services überprüft und das Risikomanagement dahingegen sensibilisiert werden.
  • Sicherheitsabstufung der Lieferanten: Aufgrund der Vielzahl von Partnern lassen sich nicht alle Drittparteien gleichermaßen überwachen. Eine Abstufung der Lieferanten schafft die Möglichkeit, zu priorisieren. Hier sollten gleich zwei Wertungen mit einfließen: Die Kritikalität des Services für das Geschäft und die Risikobeschaffenheit des Lieferanten selbst. Je wichtiger die Dienstleistung für das eigene Unternehmen, desto granularer sollte die Überwachung durchgeführt werden. Analog gilt das auch für Lieferanten, die als besonders risikobehaftet eingestuft werden.
  • Automatisierung: Automatisierung bietet die größten Einsparpotentiale, wenn es um die Verringerung der Aufwände geht. Automatisierte Tools bieten die Möglichkeit, Schwachstellen zu analysieren, den Stand der Updates von Systemen zu überprüfen, Falschmeldungen zu reduzieren und somit auch den Stand der Sicherheit von Drittparteien zu überprüfen.

Das Risk Operations Center (ROC) kann als umfassende Lösung dienen, um Herausforderungen zu meistern und offene Potentiale zu realisieren

Das ROC wird analog zu einem Security Operation Center (SOC) für Unternehmensrisiken und / oder IT-Risiken betrieben, dies umfasst insbesondere die Behandlung von Risiken sowohl mit Bezug auf das Unternehmen selbst als auch auf Partner. Es kann Risiken dynamisch identifizieren und bewerten und daher maßgeschneiderte Vorgehensweisen für das jeweilige Unternehmen in der aktuellen Situation bieten, so dass Entscheidungen für die Gegenwart und Zukunft getroffen werden können. Dies ist essentiell, um die Risikolandschaft zur Vernetzung des jeweiligen Unternehmens mit samt seiner Partner und Lieferanten zu analysieren.

Ein ROC kombiniert die Vorteile des effektiven Risikomanagements mit denen eines dedizierten Teams, so dass dies als interne oder externe Dienstleitung für die Geschäftseinheiten des Unternehmens agiert und daher eine umfassende und professionalisierte Lösung zu den beschriebenen Herausforderungen bietet.

Vielen Dank an den Co-Autor Alexander Kühl!

Autor

Christian Schmidt-Brockhoff

Director | Digital Trust & Security, Capgemini Invent

    Blog per E-Mail abonnieren

    Erhalten Sie regelmäßig Blogposts in Ihrem Posteingang.