Informationssicherheit im Third Party Risk Management: Grundlagen

18. Januar 2024

Unternehmen arbeiten oft mit einer Vielzahl von Dienstleistern zusammen, um sich auf ihr Kerngeschäft konzentrieren zu können oder Kosten einzusparen. Damit dies gelingt, müssen die Unternehmen ihren Dienstleistern Zugriff (digital und analog) auf Ihre Unternehmenswerte gewähren. Diese Öffnung gegenüber Dienstleistern ist nicht ohne Risiko, denn eine Informationssicherheitslücke beim Dienstleister kann schnell zu einem Schaden im Unternehmen führen. Um dieses Risiko angemessen zu adressieren, müssen Unternehmen ein effektives Third Party Risk Management (TPRM) einführen. In unserer Beitragsreihe "Informationssicherheit im Third Party Risk Management" erklären wir die Grundlagen eines effektiven TPRM, häufige Stolpersteine und mögliche Lösungsansätze.

Vendor, Dienstleister oder Third Party? Was genau sind Drittparteien?

Welchen Begriff Sie in Ihrem Unternehmen verwenden, spielt keine Rolle. Alle umschreiben Unternehmen, Organisationen oder Einzelpersonen, mit denen Ihr Unternehmen eine auf vertraglicher Basis geregelte Geschäftsbeziehung zur Erbringung einer definierten Dienstleistung eingegangen ist oder eingehen will. Das TPRM umfasst den gesamten Lebenszyklus dieser Geschäftsbeziehung, von der Anbahnung bis zur Beendigung. Das bedeutet unter anderem, dass eine Risikobetrachtung bereits vor dem Vertragsabschluss stattfinden sollte.

Beachten Sie: Auch Unterauftragnehmer solcher Drittparteien, also Viertparteien, müssen im TPRM betrachtet werden.

Warum ergeben sich aus der Zusammenarbeit mit Drittparteien besondere Risiken?

Um mit einer Drittpartei effektiv zusammenarbeiten zu können, muss das beauftragende Unternehmen dem Dienstleister in der Regel Zugriff auf bestimmte Unternehmenswerte gewähren, damit die Dienstleistung überhaupt erbracht werden kann. Ein Beispiel: Ein Unternehmen sucht nach einer SaaS-Lösung zur Verwaltung von Personaldaten. Um die Funktionen der SaaS-Lösung nutzen zu können, müssen die Personaldaten importiert werden. Damit befinden sich die Informationen nicht mehr im Unternehmen, sondern wurden an den Betreiber der SaaS-Lösung ausgelagert. Der hohe Schutzbedarf dieser sensiblen Daten hat sich durch die Auslagerung nicht geändert, allerdings liegt die Verantwortung für der Umsetzung entsprechender Schutzmaßnahmen beim Dienstleister. Das Unternehmen wiederum muss sicherstellen, dass der Dienstleister dieser Verantwortung im Sinne des Unternehmens gerecht wird und die Schwachstellen identifizieren, bei denen dies nicht der Fall ist (=Risiko).

Welche Risiken ergeben sich aus Beziehungen mit Drittparteien?

Der Austausch und die Weitergabe von Informationen an Drittparteien ist ein wesentlicher Bestandteil der täglichen Arbeit in vielen Unternehmen. Mit jeder Weitergabe erhöht sich allerdings das Risiko, dass die Vertraulichkeit, Integrität oder Verfügbarkeit dieser gemeinsam genutzten Informationen verletzt werden. Solche Risiken sind im Zweifel geschäftskritisch, da sie finanzielle, rechtliche, operative, strategische oder verheerende reputationsbezogene Auswirkungen haben können.

Welch schwerwiegende Folgen ein erfolgreicher Angriff auf Drittparteien für Unternehmen haben kann, zeigt etwa das Beispiel eines des folgenschwersten Ransomware-Angriffs der Geschichte im Sommer 2021, der unter anderem den amerikanischen Fleischproduzenten JBS und die schwedische Supermarktkette Coop traf. Als Einfallstor für die Angreifer diente ein vermeintliches Update der Software VSA des Hersteller Kaseya, die für Fernzugriffe, Patchmanagement, Inventarisierung und Backup unter anderem bei Kassensystemen weltweit eingesetzt wird. Statt des Updates wurde Kunden von Kaseya im Juli 2021 jedoch Ransomware eingeschleust, die ihre Systeme verschlüsselte. Für die Wiederherstellung forderten die Angreifer Lösegeld in Millionenhöhe. Bis zu 1.500 Unternehmen weltweit sollen laut Kaseya-CEO Fred Voccola von der Attacke betroffen gewesen sein. Da viele der Kunden Kaseyas wiederum selbst Dienstleister für andere Unternehmen sind, dürfte die Dunkelziffer allerdings noch höher liegen. Dieser Dominoeffekt macht Angriffe auf die Lieferkette besonders gefährlich.

Quelle: https://www.verfassungsschutz.de/SharedDocs/hintergruende/DE/wirtschafts-wissenschaftsschutz/lieferkettensicherheit.html

Was ist ein Third Party Risk Management Programm?

Risiken, die sich für Unternehmen aus Beziehungen mit Drittparteien ergeben, müssen genau wie alle anderen Risiken effektiv identifiziert, bewertet und gesteuert werden. Häufig nutzen Unternehmen jedoch mehr Dienstleistungen durch Drittparteien, als sie einzeln bewerten könnten – Risiken bleiben so unerkannt oder unbehandelt. Insbesondere, wenn ihre Lieferanten oder Dienstleister die Informationen wiederum an ihre eigenen Dienstleister weitergeben, nimmt die Transparenz und die Kontrolle über diese Informationen weiter ab: Die Risiken werden in der Lieferkette noch vervielfacht.

Je mehr Beziehungen mit Drittparteien Ihr Unternehmen also unterhält, umso größer ist die Notwendigkeit für ein strukturiertes TPRM-Programm, das es Ihnen ermöglicht, alle Dienstleistungen zu identifizieren, die ein Informationsrisiko für Ihr Unternehmen darstellen, und die Risiken angemessen zu priorisieren und zu behandeln.

Aus genau diesem Grund enthalten immer mehr Richtlinien und Regulatoriken, wie DORA, NIS-2 oder BAIT, Anforderungen zu Third Party Risk Management. So heißt es in der NIS-2-Richtlinie beispielsweise:

Besonders wichtig ist die Bewältigung von Risiken, die die Lieferkette von Einrichtungen und deren Beziehungen zu den Lieferanten […] betreffen, da sich die Vorfälle häufen, bei denen Einrichtungen Opfer von Cyberangriffen werden und es böswilligen Akteuren gelingt, die Sicherheit der Netz- und Informationssysteme zu beeinträchtigen, indem Schwachstellen im Zusammenhang mit den Produkten und Diensten Dritter ausgenutzt werden. NIS-2 (85)

Quelle: https://eur-lex.europa.eu/eli/dir/2022/2555/oj?locale=de#

Ausblick

Ein effektives TPRM ist nicht nur eine Notwendigkeit, sondern auch eine Chance, Ihr Unternehmen sicherer, leistungsfähiger und wettbewerbsfähiger zu machen. Der Aufbau und die Verbesserung eines effektiven TPRM-Programms sind dabei ein kontinuierlicher Prozess. Die kommenden Teile dieser Blogserie widmen sich daher den wichtigsten Aspekten und Teilschritten eines TPRM-Programms. Wenn Sie mehr über darüber erfahren möchten, laden wir Sie ein, sich mithilfe unserer Blogserie über den Aufbau, Verbesserung und Bewertung eines Third Party Risk Management Programms zu informieren und Ihre eigene TPRM-Strategie zu entwickeln.


Benötigen Sie Unterstützung? Wir sind für Sie da.

Benötigen Sie Unterstützung beim Aufbau Ihres Third Party Risk Management Programms?

Sprechen Sie uns gerne an.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien