Warum ist das "Third party risk management" so wichtig für die Cybersicherheit?

Im Mai 2021 ergab eine vom Ponemon Institute durchgeführte Studie, dass 51% der Unternehmen Opfer von Datenschutzverletzungen durch Subunternehmer geworden waren. Diese Tatsache verdeutlicht nicht nur eine der vielen Cybersicherheitsherausforderungen für Unternehmen im Jahr 2022, sondern unterstreicht auch die Notwendigkeit, das Management durch Dritte zu beauftragen Cybersicherheitsrisiken ganz oben auf Ihren Prioritäten.

In den letzten Jahren wurden große Anstrengungen unternommen, um Onlinesicherheit um zu versuchen, bessere Methoden für das Risikomanagement zu entwickeln, und Unternehmen, die in Risikomanagementprogramme von Drittanbietern investiert haben, haben sich als widerstandsfähiger gegen die COVID-19-Krise erwiesen. Diese Organisationen schützen sich gleichzeitig vor betrieblichen Risiken, rechtlichen Risiken — im Zusammenhang mit der Einhaltung der Allgemeinen Datenschutzverordnung (DSGVO) — und finanziellen Risiken.

Lydie Aubert

An article from

Lydie Aubert
Marketing Director
Published
March 30, 2023
Updated
March 30, 2023
Reading time
minutes
third party risk management - C-Risk

Worum geht es beim Cybersecurity Third-Party Risk Management (TPRM)?

Da das Modell des „erweiterten Unternehmens“ seit geraumer Zeit ein großer Erfolg ist, hat sich die Notwendigkeit herausgestellt, die Cybersicherheitsrisiken Dritter zu managen.

Die Cybersicherheitsherausforderungen des erweiterten Unternehmensmodells

Das erweiterte Unternehmensmodell ist seit Mitte der 1990er Jahre vorherrschend, und der Autohersteller Chrysler war der erste, der es eingeführt hat. Das erweiterte Unternehmensmodell setzt auf die Digitalisierung seiner Prozesse, um Partnerschaften noch weiter voranzutreiben. Als „Leitunternehmen“ schafft es Mehrwert, während Drittunternehmen die Fähigkeiten bereitstellen, die ihm fehlen.

Diese Drittanbieter interagieren mit dem führenden Unternehmen über neue Arten des Austauschs digitaler Informationen. Das erweiterte Unternehmen zeichnet sich durch diesen digitalisierten Austausch von Informationen und Prozessen aus, sei es über Computernetzwerke, Software, Nachrichten oder Datenaustauschsysteme.

Dieses breite Drittanbieter-Ökosystem hat den Vorteil, dass neue Wachstumssynergien entstehen. Dieses Ökosystem ist jedoch auch ein günstiger Nährboden für das Auftreten von Cyberrisiken, da jeder Partner einen potenziellen Einstiegspunkt darstellt Cyberangriffe.

Was bedeutet Drittrisiko in Bezug auf Cybersicherheit?

Bei C-Risk, unserer Methode von Risikomanagement, Schwachstellenbewertung und Cybersicherheitskontrolle basieren auf dem FAIR™ -Standard, dem zufolge ein Risiko ein ungewisses Ereignis ist, das zu einem Verlust im Zusammenhang mit Vermögenswerten führen kann. Dieser Verlust ist durch seine Eintrittswahrscheinlichkeit gekennzeichnet. Das Risiko wird somit zu „der erwarteten Häufigkeit und dem erwarteten Ausmaß künftiger Verluste“.

Informationssicherheitsrisiken sind vielfältig und können von Unternehmen zu Unternehmen unterschiedliche Formen annehmen, obwohl die Cyberrisiken von Drittanbietern in der Regel dieselben bleiben:

  • vertrauliche Datenschutzverletzung;
  • Nichtverfügbarkeit von Diensten, beispielsweise im Falle eines Ransomware-Cyberangriffs;
  • Industriespionage;
  • Smurf-Angriff, eine Art von Angriff, bei dem die Schwachstellen von Subunternehmern ausgenutzt werden, die weniger geschützt sind als das Hauptunternehmen;
  • Geldstrafe wegen Nichteinhaltung verschiedener Vorschriften.

Das Cyberrisiko von Drittanbietern fällt daher unter das operative, aber auch finanziell, Reputations-, Rechts- und Regulierungsrisiken.

The extended company enforces Third-Party Risk Management

Möchten Sie mehr über die Quantifizierung von Cyberrisiken erfahren?

Vereinbaren Sie einen Telefontermin, um zu besprechen, wie unsere CRQ-Lösungen Ihnen helfen können, Ihre häufigsten und teuersten Cyberrisiken zu identifizieren und zu quantifizieren.

Wer sind die Cybersicherheitsdrittparteien?

Rechtlich gesehen bezeichnet „Dritter“ oder „Drittunternehmen“ eine juristische Person außerhalb einer Geschäftsbeziehung. Dritte können sich aus vielen externen Interessengruppen zusammensetzen:

  • Lieferanten
  • Vertragspartner und Subunternehmer
  • Händler
  • Franchisenehmer
  • Berater und Experten
  • Partner
  • Klienten
  • Versicherungsunternehmen

Offensichtlich unterscheiden sich die Arten von Dritten von einer Hauptfirma zur anderen. Es ist immer notwendig, durchzugehen Bewertung des Cyberrisikos und Überprüfungen der Cybersicherheitsstrategie, um diese Dritten zu identifizieren. Dies sind wichtige Prozesse, da sie verhindern, dass das Drittanbieter-Ökosystem — dessen Zweck es ist, zusätzliche Fähigkeiten zu vermitteln — entweder die Aktivitäten oder den Ruf des führenden Unternehmens bedroht.

Wie funktioniert das Risikomanagement von Drittanbietern im Unternehmenskontext?

Das Risikomanagement von Drittanbietern (TPRM) beinhaltet die Entwicklung und anschließende Durchführung eines kontinuierlichen Präventionsverfahrens. Im Bereich Cybersicherheit geht es bei TPRM in der Tat eher darum, Schäden zu verhindern als sie zu reparieren. Dieser Ansatz erfordert eine Zentralisierung der Verwaltung und eine kontinuierliche Überwachung der Netzwerk- und IT-Prozesse von Drittanbietern.

Für die Aufgabe kann es daher erforderlich sein, jemanden (Risikomanager oder CIO) mit der Verantwortung für Cybersicherheit TPRM zu beauftragen, und in jedem Fall müssen mehrere Abteilungen zusammenarbeiten:

  • Die IT-Abteilung hat natürlich die Aufgabe, auf Software oder digitale Kommunikationskanäle zu achten, die sie für unzureichend sicher hält;
  • Von der Geschäftsleitung wird erwartet, dass sie andere Abteilungen warnt, falls der Führungswechsel eines externen Partners eine Neubewertung seiner IT-Zuverlässigkeit erforderlich machen könnte;
  • Die Rechtsabteilung sollte die Einhaltung gesetzlicher Vorschriften durch Dritte überprüfen.

Third-Party Risk Management is inherent to every partnership

Risikomanagement durch Dritte: Bewährte Präventionspraktiken

Es gibt verschiedene Methoden zur Einrichtung eines effektiven TPRM-Programms, die alle auf zwei Säulen beruhen: der Überprüfung der Sorgfaltspflicht durch Dritte und der kontinuierlichen Überwachung des Risikos, solange die Geschäftspartnerschaft besteht.

Die Drittanbieter-Risikoanalyse von C-Risk: das CIA-Modell

Bei C-Risk basiert unsere Risikoanalyse für Dritte auf der FAIR™ Analysemethode, dessen Prozess mit der Bestimmung des Ausmaßes des Risikos, d. h. des potenziellen „Schadenereignisses“, beginnt.

Zunächst müssen Sie feststellen, welcher Vermögenswert gefährdet ist — mit anderen Worten, welcher Teil Ihres Betriebs an Wert verlieren oder zu Ihrer zivil- oder strafrechtlichen Haftung führen würde, wenn es gefährdet wäre. In einem solchen Szenario müssen Sie auch den Bedrohungsagenten lokalisieren. Aus diesem Grund sollten Sie alle Lieferanten auflisten, mit denen Ihre Struktur Daten austauscht.

Schließlich sollten Sie auch die Folgen dieses Risikos abschätzen. Nach dem CIA-Modell können diese Folgen in drei Kategorien unterteilt werden:

  • C (Vertraulichkeit): direkte Auswirkungen auf die Einhaltung gesetzlicher Vorschriften — insbesondere auf DSGVO;
  • I (Integrität);
  • A (Verfügbarkeit) der Elemente, die für die Wertproduktion entscheidend sind.

Der zweite Schritt dieses Prozesses besteht darin, die erwartete Häufigkeit und das Ausmaß des potenziellen finanziellen Verlusts abzuschätzen. Schließlich sollten Sie ein Treffen mit den am stärksten gefährdeten Partnern Ihrer Lieferkette vereinbaren, um deren Strategien zur Minderung von Cyberrisiken zu besprechen. Einige Dritte sind anfälliger als andere, und zwar aus folgenden Gründen:

  • Aktivität — z. B. eine Online-Zahlungslösung;
  • geografische Parameter;
  • Sicherheitsüberprüfung für den Zugriff auf Ihre kritischen Server, Informationssysteme und Daten.

Was sollten Sie tun, wenn sich ein Drittrisiko als bemerkenswert hoch herausstellt?

Zuallererst sind hier ein paar grundlegende Anforderungen aufgeführt:

  • kennen Sie die regulatorischen Rahmenbedingungen Ihres Unternehmens in Bezug auf Cybersicherheit und Datenvertraulichkeit;
  • bereit sein, eine Cyberrisikobewertung Ihrer am stärksten gefährdeten Dritten durchzuführen;
  • das Risiko kontinuierlich überwachen, insbesondere wenn Dritte ihre Vorschriften oder ihren Handlungsspielraum ändern.

Für den Fall, dass ein Drittrisiko bemerkenswert hoch wird, sollten Sie die 4T-Regel befolgen und eine oder mehrere der folgenden Optionen auswählen:

  • TBeseitigen Sie das Risiko, indem Sie Ihrer Geschäftspartnerschaft ein Ende setzen;
  • TBehandeln Sie das Risiko, indem Sie seine Folgen mindern;
  • TÜbertragung des Risikos auf eine andere dritte Partei, z. B. eine Versicherungsgesellschaft;
  • TGehen Sie das Risiko ein, wenn sich die Beendigung der Partnerschaft nachteilig auf Ihr Unternehmen auswirkt.

Necessary analysis of third-party cyber risks

Häufig gestellte Fragen: Risikomanagement durch Dritte

Warum ist Drittanbieter-Risikomanagement so beliebt?

Das aktuelle Interesse am Risikomanagement von Drittanbietern lässt sich durch die Zunahme von Informationssicherheits- und Vertraulichkeitsverletzungen erklären.

Was sind die Hauptfolgen von Risiken durch Dritte?

Unabhängig davon, ob sie IT-bezogen sind oder nicht, können Risiken durch Dritte betriebliche, Reputationsrisiken, rechtliche, regulatorische und finanzielle Auswirkungen auf das führende Unternehmen haben.

Warum sollten Sie Ihr Drittanbieter-Risikomanagement auf Analysen stützen?

Wenn Sie regelmäßig Cyber-Risikobewertungen durch Dritte durchführen, können Sie Verhaltensweisen verhindern, die zu IT-Schwachstellen führen könnten. Dies ist auch eines der bestmöglichen Mittel zur Vorbereitung auf ICO-Inspektionen.

In diesem Artikel
Quantifizierung von Cyberrisiken für bessere Entscheidungen

Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.

Related articles

Read more on cyber risk, ransomware attacks, regulatory compliance and cybersecurity.