:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Vorteile des Third Party Risk Management (TPRM) Vorsicht vor Risiken durch Geschäftspartner!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Outsourcing stellt Unternehmen vor viele Herausforderungen, darunter Datensicherheits-, Finanz-, Compliance- und Reputationsrisiken. Die Identifizierung, Meldung, Verwaltung und Minderung solcher Risiken lassen sich mit einem Third Party Risk Management (TPRM) lösen.
Kooperationen mit Drittpartnern haben viele Vorteile: Sie können die Organisation effizienter machen, neue Fähigkeiten oder Technologien einbringen und das Arbeitsprodukt auf andere Weise verbessern. Aber ohne ein wirksames Third Party Risk Management (TPRM) können Dritte beispiellose Risiken für ein Unternehmen darstellen.
Dies liegt daran, dass Dritten oft Zugriffe auf wertvolle Unternehmenssysteme und die damit verbundenen sensiblen Daten eingeräumt werden. Zudem können sie meist auch von einem anderen Standort oder einem anderen Server aus auf das hauseigene System zugreifen. Ein Risikomanagement Dritter (TRPM) trägt dazu bei, sicherzustellen, dass Unternehmen weniger anfällig für Hacker-Angriffe und Sicherheitsverletzungen sind, selbst wenn sie mit den vertrauenswürdigsten Geschäftspartnern zusammenarbeiten.
Risikomanagement von Drittanbietern (TPRM)
Ein effizientes Third Party Risk Management (TPRM) nutzt den Risikomanagement-Lebenszyklus eines Drittanbieters, um die Risiken zu identifizieren, die Dritte möglicherweise einbringen, und erstellt dann einen Rahmen dafür, auf welche Systeme und Datentypen ein Dritter zugreifen kann. Obwohl dieses Maß an Sicherheit im Prinzip schon immer notwendig war, ist es in den heutigen digitalen Bedrohungslandschaften noch viel wichtiger.
Unternehmen verlassen sich in allen Bereichen auf Dritte, vom Cloud-Hosting über SaaS-Softwarelösungen bis hin zu Geschäftspartnern und Anbietern. Rund 80 Prozent der Unternehmen geben auch ihre Cloud-Daten an diese Dritte weiter, die Risiken hinsichtlich fahrlässiger Verstöße als auch böswilliger Attacken in sich bergen.
Verstöße kommen in Unternehmen meist zustande, indem diesen Geschäftspartnern zu viele Zugriffsrechte eingeräumt wurden. Umfragen ergaben, dass rund 50 Prozent der Unternehmen Dritten Zugriffe auf ihre Systeme gewähren, ohne deren Sicherheitspraktiken zu überprüfen.
Für eine Risikominderung sind die meisten Unternehmen häufig nicht in der Lage, indem sie diese Kooperationen einfach stoppen, jedoch eine Verschärfung der Richtlinien für die IT-Security ist dagegen sehr gut möglich.
Risiken zur Verwaltung Dritter
Da nicht alle Risiken immer gleich sind, müssen die Richtlinien für das Management Dritter umfassend sein. In der Folge sind die wesentlichen Risiken aufgeführt, die in einer Risikomanagement-Richtlinie und den Risiko-Kontrollen abgedeckt sein sollten:
- IT-Security-Risiken: Zu diesen Risiken gehören kompromittierte Systeme sowie Hacker-Angriffe oder Verstöße.
- Compliance-Risiken: Diese Risiken entstehen immer dann, wenn ein Dritter Gesetze, Vorschriften oder interne Verfahren verletzt.
- Reputationsrisiken: Jedes Mal, wenn ein Dritter dem öffentlichen Image einer Organisation schadet, stellt er ein Reputationsrisiko dar. Dies kann den Verlust von Kundeninformationen oder sogar öffentliche Interaktionen betreffen.
- Finanzielle Risiken: Solche Risiken treten auf, wenn Dritte die finanziellen Erwartungen aufgrund hoher Kosten oder geringer Einnahmen nicht erfüllen.
- Betriebsrisiko: Dritte können ein Risiko darstellen, wenn sie nicht ordnungsgemäße Abläufe oder Verfahren einhalten, einschließlich der richtigen Protokolle für den Zugriff auf Systeme und Daten.
Wesentliche Vorteile von TPRM
Bei korrekter Umsetzung hilft das TPRM Unternehmen dabei, Risiken Dritter effektiver zu verwalten und unnötige Kosten und andere Arten von Schäden zu vermeiden.
- Bessere Datentransparenz und Berichtsfunktionen: Ein effektives TPRM-Programm bietet eine durchgängige Transparenz und genaue KI-gesteuerte Dateneinblicke für eine bessere Entscheidungsfindung, Planung und Berichterstattung. Es bietet außerdem ein benutzerfreundliches Dashboard zum Anpassen der Berichterstellung, um Domänen zu identifizieren, die verbessert werden müssen und konform zu bleiben.
- Schnelleres Onboarding von Dritten: Der Onboarding-Prozess ist für ein Unternehmen äußerst komplex und lebenswichtig und kann mehrere Wochen dauern. Die Automatisierung dieses Prozesses kann ihn effizient, einheitlich und sicher machen. Wenn das Onboarding schneller und transparenter erfolgt, werden die Beziehungen zu den Geschäftspartnern tendenziell stärker.
- Erhöhte Zeit- und Kosteneinsparungen: Eine TPRM-Lösung eines Drittanbieters erhöht die Effizienz und spart Zeit und Kosten, indem sie die Performance des Geschäftspartners in Echtzeit überwacht. Obwohl eine TPRM-Lösung eine Anfangsinvestition erfordert, spart sie dem Unternehmen auf lange Sicht viel Geld und Zeit.
Erstellung eines TPRM
Der Einstieg in das Risikomanagement von Anbietern und Dritten kann Probleme bereiten. Effektive Richtlinien für ein Risikomanagement bestehen aus mehreren Ebenen. Sie liefern Hinweise für ein Unternehmen, wie es die Sicherheit Dritter bewerten soll, und geben den Dritten dann Hinweise, wie sie mit sensiblen Daten umgehen müssen. Die IT-Teams können mit der Erstellung ihrer TPRM-Lösung mit folgenden Schritten beginnen:
- 1. Prüfung aller Drittparteien: Der erste Schritt besteht im Grunde darin, zu prüfen, welche Geschäftspartner über Zugriffe auf Unternehmenssysteme oder -daten verfügen. Zu diesem Zweck sollte das Team eine umfassende Liste aller Personen, mit denen die Organisation zusammenarbeitet, einschließlich Auftragnehmern, Beratern und Lieferanten erstellen. Dabei ist zu beachten, welche Zugriffsebenen diese Parteien bereits innehaben, als auch welche Zugriffsebene sie benötigen.
- 2. Jeder Drittpartei eine Risikobewertung zuweisen: Um die Risikostufe jedes Dritten zu bewerten, muss sich das Team die jeweiligen Systemzugriffe genauer ansehen. Auf je mehr Daten sie zugreifen können, umso höher ist das Risiko. Hierzu sollte das Team eine Datenbank erstellen, die Dritte danach kategorisiert, ob sie ein hohes, mittleres oder niedriges Risiko aufweisen. Diese Datenbank muss stets aktualisiert werden.
- 3. Verfahren für das Risikomanagement erstellen: Mithilfe der Liste der Geschäftspartner und den zugehörigen Risikobewertungen ist ein Verfahren für jede Risikostufe zu entwickeln, was folgende Punkte umfassen sollte.
- Due Diligence: Welche Sicherheitsfragen muss die Organisation jedem Dritten stellen?
- Security Service Level Agreements (SLAs): Wie überprüft die Organisation, ob Anbieter die SLAs einhalten, und welche Schritte unternimmt die Organisation, wenn dies nicht der Fall ist?
- Kontrollen: Welche Kontrollen sind obligatorisch und welche akzeptabel?
- Compliance: Wie überprüft die Organisation, ob der Anbieter die gesetzlichen und Branchenstandards einhält?
- Haftung: Wer ist im Falle eines Verstoßes verantwortlich und welche Rechtsbehelfe hat die Organisation?
- Überprüfung: Wie prüft die Organisation fortlaufend ihre Partner, um sicherzustellen, dass sie weiterhin die Sicherheitsanforderungen erfüllen?
- Aufsicht: Welche Prozesse werden vom Vorstand bzw. der Geschäftsleitung überwacht?
- Risikominderung: Welche Verfahren sind vorhanden, falls es zu einem Verstoß kommt?
- Kontinuierliche Aktualisierung der Richtlinien: IT-Security-Bedrohungen entwickeln sich ständig weiter, ebenso wie die Abhängigkeit von Unternehmen durch Dritte. Um Schritt zu halten, sollten Unternehmen einen „Always-on“-Ansatz zur Überwachung und Aktualisierung der Risikomanagementrichtlinien Dritter verfolgen.
(ID:49669893)
:quality(80)/p7i.vogel.de/wcms/8f/58/8f588138eccc088592c113be7b748095/0114780503.jpeg "Die Autoren Fabian Mihailowitsch und Stephan Rogalski von Deloitte betrachten die Ursachen und Auswirkungen von Cyberangriffen auf Lieferanten- und Abnehmernetzwerke. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/41/2941da66b975d2e974dc0afd28f9652b/0110819420.jpeg "Reifegradmodelle tragen dazu bei, IT-Security-Programme zu optimieren und schließlich Risiken in einem digitalen Ökosystem zu mindern. (Bild: Andrii Yalanskyi - stock.adobe.com)")