Wie Firmen das Cyberrisiko durch Lieferanten in den Griff bekommen

-
23. April 2019
-
Redaktion RISIKO MANAGER

Wenn die IT-Sicherheit von Lieferanten versagt, können Hacker die eigenen Systeme infiltrieren. Unternehmen im Finanzsektor sind daher gut beraten, Best Practices für das Risikomanagement der von ihren Lieferanten ausgehenden Cyberrisiken einzuführen. Im Folgenden vier Vorschläge zur Risikominimierung.

Unternehmen, die ihre Systeme zu 100 Prozent vor Hackern schützen wollen, müssen auch an den wenigsten wahrscheinlichsten Stellen nach Schwachstellen suchen. Da aber auch die Firmen der Finanzbranche nur über begrenzte Ressourcen verfügen, sollten sie die Suche nach Schwachstellen an den wahrscheinlichsten Stellen beginnen: Bei sich selbst und bei ihren Lieferanten, erklärt Patrick Steinmetz vom Anbieter für IT-Sicherheitsratings BitSight. 

Die Finanzindustrie verfüge bedingt durch starke Regulierung im Vergleich zu anderen Branchen über eine robuste Cyberabwehr. In der Finanzbranche kooperierten die Firmen oft mit vielen Lieferanten, die ein Unsicherheitsfaktor seien. Dieses geschäftliche Ökosystem bestehe etwa aus Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Firmen sowie IT- und Software-Anbietern: „Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyberabwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird“, warnt Steinmetz. Es sei daher eine große Herausforderung, die Cyberrisken der Lieferkette zu managen. Der Experte listet auf der Basis einer Studie vier Best Practices auf, wie Firmen im Finanzsektor die Cyberrisken ihrer Lieferkette in Schach halten:

1. Integration und Standardisierung des Risikomanagements für Lieferanten-Cyberrisiken

Unternehmen im Finanzsektor sollten demnach zunächst das Risikomanagement für Lieferanten-Cyberrisiken als strategischen Teil in ihr gesamtes Risikomanagement integrieren. Nach der Erstellung einer umfassenden Liste ihrer Lieferanten sollten Firmen den Prozess der Risikobewertung standardisieren und Prioritäten anhand der Wichtigkeit definieren. Die Standardisierung helfe Firmen dabei, wichtige Richtlinien und Prozesse wie den Evaluierungs- und Bewertungsprozess von Lieferanten aufzustellen, Mindestanforderungen an die IT-Sicherheit von Lieferanten sowie Erwartungen (einschließlich IT-Sicherheitsratings) festzulegen und Kommunikationsmaßnahmen für den Fall einer Sicherheitslücke zu definieren.

2. Kontinuierliches Monitoring einsetzen

Formulare für die Risikobewertung von Lieferanten, die aus Ja- oder Nein-Fragen bestehen, helfen Steinmetz zufolge nicht dabei, die IT-Sicherheit von Lieferanten kontinuierlich und genau zu erfassen. Stattdessen brauchten Risikomanager permanent objektive und belastbare Daten und Metriken. Durch den Einsatz von Lösungen für kontinuierliches Monitoring bekämen Firmen Zugriff auf genau diese Daten. Damit könnten sie die IT-Sicherheit ihrer Lieferanten verifizieren und festlegen, welches Level an Vertrauen sie welchem Lieferanten einräumen. 

3. Konsistentes Reporting an den Vorstand einführen

Cybersicherheit werde zwar zunehmend zu einem Thema der Vorstandsebene, doch Kommunikations- und Reporting-Strategien enthielten oft keine Daten zu IT-Sicherheit und Risiken, die für die Führungskräfte gut verständlich seien, erläutert der Experte. IT-Sicherheitsleiter könnten Daten und Metriken – einschließlich IT-Sicherheitsratings – nutzen, um leicht verständliche Reports zu von Lieferanten ausgehenden Cyberrisiken und weiteren Sicherheitsbedenken zusammenzustellen. Die Reports sollten demnach mindestens einmal pro Jahr erstellt und kommuniziert werden.

4. Risikomanagement für erweiterte Lieferkette aufsetzen

Sobald das Risikomanagement für Cyberrisiken von direkten Lieferanten ein integraler Bestandteil der Programme für IT-Sicherheit geworden sei, sollten Unternehmen das Risikomanagement von tieferen Teilen ihrer Lieferkette angehen. Auch Lieferanten von Lieferanten könnten eine erhebliche Bedrohung für die eigene IT-Sicherheit darstellen, wenn sie gehackt würden. Dazu sei zunächst ein Überblick über die Lieferketten der eigenen Lieferanten erforderlich. „Anschließend greifen die oben genannten Best Practices: Risikobewertung standardisieren, Prioritäten definieren, Lösungen für kontinuierliches Monitoring einführen und regelmäßige Reportings etablieren“, resümiert Steinmetz. (ud)

Bildquelle: ©Bits and Splits | fotolia.com