:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wer braucht Third-Party-Risk-Management? Auch der Mittelstand braucht Risk Management für seine Partner
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Wenn der Begriff TPRM (Third-Party-Risk-Management) fällt, zucken viele Unternehmen direkt zusammen und denken an viel Papier, das zu füllen gilt. Mittelständische Unternehmen schieben es gerne weg und denken, dass dies nur Konzerne brauchen. Aber ist dies wirklich so?
Nicht nur Konzerne haben Abhängigkeiten von Ihren Lieferanten, auch im Mittelstand ist kein Unternehmen autark unterwegs. Unternehmen haben Zulieferer und Vorproduzenten, sie haben Dienstleister für IT oder Buchhaltungsservice und Sie haben oft andere Unternehmen als wichtige Kunden. Fällt in dieser Supply Chain ein Glied aus, so bekommt das Unternehmen Herausforderungen. Es kann nicht mehr produzieren, liefern, bekommt seine Waren nicht abgenommen oder wird nicht bezahlt.
Der Bonitätsindex für die IT-Sicherheit
Es ist heute üblich, dass Unternehmen die Bonität ihrer Zulieferer, Geschäftspartner und Kunden prüft. Und es ist auch üblich, dass hierzu niemand selbst Bilanzen liest, sondern Experten wie Creditreform oder Dun & Bradstreet bemüht. Dies wird gemacht um das Risiko eines Ausfalls zu vermeiden.
Ähnlich kritisch wie ein finanzieller Ausfall und viel unvorhersehbarer ist jedoch ein Ausfall eines Zulieferers oder Kunden durch einen Cyber-Angriff. Das passiert täglich und trotzdem schieben Unternehmen dies im eigenen Kreis gerne weit weg. Dabei gibt es auch in diesem Bereich Spezialisten, die in der Lage sind das externe Risiko transparent zu machen. So wie Unternehmen von der Creditreform einen Bonitätsindex für ihre Geschäftspartner erfragen können, gibt es diese Bewertung auch für das extern sichtbare Risiko. Unternehmen geraten trotz guten Bonitätsindex in Zahlungsschwierigkeiten und auch der Security-Index garantiert keine 100 Prozent Sicherheit. Er gibt aber genau die richtigen Ansatzpunkte, um zu erkennen, wie gewissenhaft die Geschäftspartner mit dem Thema IT-Sicherheit umgeht und wie er aktuell aufgestellt ist.
Erfahren Sie vor Ihren Geschäftspartnern, dass diese eine Risiko haben
Die entsprechenden TPRM Scoring Lösung sind in der Lage für den Geschäftspartner ein Scoring abzugeben. Einige Lösungen können Risiken direkt klassifizieren und priorisieren. Risiken und Schwachstellen werden in einem Report dokumentiert, sodass Sie diese an Ihre Geschäftspartner adressieren können. Sie kennen damit die Schwachstellen ihrer Geschäftspartner viel schneller, können informieren und er kann diese schließen, bevor ein Hacker darauf aufmerksam wird.
Gute TPRM Lösungen scannen regelmäßig nach Schwachstellen und garantieren so, dass neue Schwachstellen unmittelbar erkannt werden. Dies sind dann u.a.
- Patch-Status
- Web Encryption
- Datenverlust
- Governance
- E-Mail Sicherheit
- Web-Applikation
- Threat Intelligence
- Hosting
- DNS Sicherheit
- Verteidigungsfähigkeit
Der automatisierte Scan ersetzt dabei nicht alle Maßnahmen, die im Vendor Risk Management nötig sind, aber er spart extrem viel Arbeit und erleichtert es Unternehmen sich mit der Materie zu beschäftigen. Idealerweise bezieht man TPRM as a Service. Dadurch werden Kosten gespart und es schont interne Ressourcen, die ohnehin knapp sind und dies in Regel noch zusätzlich übernehmen müssen. Und natürlich reduziert es auch den Aufwand auf der Partnerseite. Viele Sicherheitsfragen können einfach entfallen und werden durch die Realität ersetzt. Der Partner muss nicht beschreiben wie er es gerne sehen würde, das reale Bild zeigt den ist-Stand , oft auch zur Überraschung der Geschäftspartner.
Nicht nur der Supply Chain, auch das eigene Unternehmen wird geschützt
Natürlich sollte man diese Monitoring nicht nur für seine Partner einsetzen, auch für das eigene Unternehmen liefert dies die gleichen aufschlussreichen Daten. Etwas Gamification bringt zudem das Rating, dass einige Lösungen mitbringen. Dies vergleicht den Score des eigenen Unternehmens mit dem Durchschnitt anderer Unternehmen und ergänzen lässt sich dies mit dem Score der Geschäftspartner und Wettbewerbern. Schließlich wollen wir immer etwas besser werden und IT-Sicherheit ist heute einer der wichtigsten Unterscheidungsmerkmale in einem Wettbewerbsmarkt. Niemand will lesen, dass sein Geschäftspartner gehackt wurde und er nicht mehr arbeitsfähig ist oder kritische Daten abgeflossen sind.
Über den Autor: Thomas Kress ist Geschäftsführer der TKUC GmbH. Die TKUC Group bietet unter der Marke TheUnified innovative IT-Sicherheits-Lösungen und -Services für Mittelstandskunden und Konzerne im DACH-Raum. Den Fokus legt TheUnified auf Lösungen, die den Aufwand der Kunden reduzieren, Kosten sparen und trotzdem ein zusätzliches Sicherheitslevel ermöglichen.
(ID:48659009)
:quality(80)/p7i.vogel.de/wcms/66/0f/660f253c1ce9fd3246898882cf964279/0113604227.jpeg "Eine TPRM-Lösung eines Drittanbieters steigert die Effizienz und spart Zeit und Kosten, indem die Leistung des Anbieters in Echtzeit überwacht wird. (Bild: Elnur - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/48/4b4878d0a0ba3255d26a09db331efd98/0107730533.jpeg "Unternehmen müssen sich vor Schwachstellen in ihren digitalen Lieferketten schützen. Nur dann können sie ihre gesamten Supply Chains schützen und erfolgreich am Markt bestehen. (Bild: Travel mania - stock.adobe.com)")