Cybersecurity Rating Services bewerten Lieferkettenrisiko
Ein wachsender Marktsektor hilft Unternehmen, die Cyber-Resilienz und -Schwachstellen ihrer Geschäftspartner zu bewerten.
Wichtige Punkte
- Cybersecurity-Ratings sind für die Sicherheit das, was Kreditratings für das Finanzwesen sind.
- Sie können die Cyberschwachstellen jedes großen oder kleinen Unternehmens extern bewerten.
- Das Risikomanagement in der Lieferkette ist ihre wichtigste Anwendung.
Cybersecurity-Ratings sind auf dem besten Weg, ihren Platz neben den Kreditratings als Nachweis für die Geschäftstätigkeit in der digitalen Wirtschaft einzunehmen. Ähnlich wie Moody's, Fitch und Standard & Poor's das finanzielle Risiko von Unternehmen bewerten, entstehen nun auch Ratingdienste für Cybersicherheit, die das Sicherheitsrisikoprofil von Unternehmen bewerten. Der Vergleich ist besonders treffend, denn beide Arten von Risiken können die Aussichten eines Unternehmens gefährden und jeden, der mit ihm Geschäfte macht, in Mitleidenschaft ziehen.
Auf der Grundlage des Cybersecurity-Ratings eines Unternehmens kann es als mehr oder weniger attraktiver Lieferant, Kunde, Übernahmeziel oder Versicherungsnehmer angesehen werden. Sicherheitsexperten nutzen die Ratings auch tagtäglich, um das Risikoprofil ihres eigenen Unternehmens und das ihrer Partner in der Lieferkette zu überwachen.
Der Markt für Cybersecurity-Ratings befindet sich noch in der Wachstumsphase, so das globale Marktforschungsunternehmen Forrester, das auf eine uneinheitliche Leistung der sieben führenden Rating-Dienste in Bereichen wie Genauigkeit, Transparenz und Integration mit anderen IT-Management-Plattformen hinweist. [1] Gartner kommt zu dem Schluss: "Sicherheits- und Risikomanagement-Führungskräfte sollten Sicherheits-Rating-Dienste nutzen, um kontinuierliche Echtzeit-Bewertungen für interne Bewertungen, Beschaffung, Partnerschaften und M&A-Aktivitäten bereitzustellen." [2]
Zur Erläuterung von Cybersecurity-Ratings haben wir Alex Rich interviewt, Vice President of Marketplace Business Development bei SecurityScorecard, einem der führenden Rating-Services und Partner von Mimecast.[3]
Bewertung der Sicherheit von außen nach innen
Cybersecurity-Bewertungen können eine Außenperspektive auf die Cyberschwachstellen eines Unternehmens bieten, so Rich. Unternehmen nutzen sie, um Unternehmen zu bewerten, die einen Einfluss auf ihr Endergebnis haben könnten, von Kunden bis hin zu Wettbewerbern. Die Bewertungen werden auch zur Ergänzung der internen Überwachung ihrer eigenen Sicherheitsmaßnahmen verwendet.
Unternehmen, die diese Dienste lizenzieren, können wählen, über welche Unternehmen sie regelmäßig Berichte erhalten möchten, einschließlich ihrer eigenen. Allein SecurityScorecard bewertet 1,5 Millionen Unternehmen und bietet einen kontinuierlichen Fluss von Bewertungen zusammen mit der Identifizierung spezifischer Probleme und Empfehlungen zu deren Behebung.
Bewertungsdienste für Cybersicherheit nutzen eine Kombination aus globalen Internetsensoren, Open-Source-Informationsfeeds, Datenbanken mit Software-Schwachstellen und anderen Tools und Methoden, um die Sicherheitsabwehr von Unternehmen und ihre Gefährdung zu analysieren. Sie messen Faktoren wie die Qualität der Anwendungs-, Endpunkt- und Netzwerksicherheit sowie Aktivitäten wie Software-Patching.[4] Bei SecurityScorecard kann durch das Sammeln und Durchlaufen dieser Datenpunkte durch die Algorithmen innerhalb von 10 Minuten eine Bewertung für jedes neu ausgewählte Unternehmen erstellt werden.
Nutzung von Rating-Diensten: Ein typischer Fall
Nehmen wir zum Beispiel an, dass das Verfahren eines Unternehmens zur Behebung von Software-Schwachstellen unzureichend ist. Ein Bewertungsdienst für Cybersicherheit würde die offenen Schwachstellen dieses Unternehmens im Internet sehen und im Laufe der Zeit feststellen, wie oft und wie lange anfällige Software ungepatcht bleibt. Diese Daten könnten zeigen, ob das Unternehmen eine schlechte Cyberhygiene an den Tag legt und das Risiko eines Cyberangriffs, die Nichteinhaltung von Sicherheitsvorschriften und andere Probleme aufweist.
Ein Unternehmen, das den Bewertungsdienst für einige oder alle seine Lieferanten lizenziert hat, könnte in einem nächsten Schritt den Dienst in seine Risikomanagementplattform für Dritte integrieren. In diesem Fall könnte die Plattform, wenn das Rating eines Lieferanten unter ein "C" fällt, automatisch eine Warnung an den Lieferanten senden oder ihn sogar vorübergehend vom Netz des Lizenznehmers abschneiden. Bei einer Gesamtbewertung von "C" ist die Wahrscheinlichkeit eines Verstoßes gegen die SecurityScorecard-Skala um das 4,3-fache höher als bei einer Bewertung mit "F", was die Wahrscheinlichkeit um das 7,7-fache erhöht.
Bewertungen tragen zur Transparenz der Lieferkette bei
Das obige Beispiel der Lieferkette stellt eine der häufigsten Anwendungen für Sicherheitsbewertungen dar. Und das aus gutem Grund: Angriffe auf die Lieferkette haben weltweit für Schlagzeilen gesorgt, und die Agentur der Europäischen Union für Cybersicherheit (ENISA) schätzt, dass sie sich bis 2021 vervierfachen werden. [5]
Lieferketten haben oft gemeinsamen Netzwerkzugang und sensible Daten. "Dies führt zu einer Dynamik, bei der die Zulieferer in jeder Hinsicht zu Erweiterungen Ihres Angriffsbereichs werden", so Rich. Doch während ein Sicherheitsteam die Netzwerke und Geräte des eigenen Unternehmens gut im Blick und unter Kontrolle hat, kann es die seiner Zulieferer in der Regel nicht überwachen oder kontrollieren.
Cyberkriminelle greifen oft schwach verteidigte Unternehmen in Lieferketten an, um letztlich größere Ziele zu erreichen. Fast zwei Drittel der Angriffe auf Lieferketten nutzen das Vertrauen der Kunden in ihre Lieferanten aus, so die ENISA. Um das Cybersecurity-Risiko in der Lieferkette in den Griff zu bekommen, empfiehlt die ENISA eine Überwachung sowohl nach innen als auch nach außen.
Sowohl Einkäufer als auch Anbieter in Lieferketten nutzen Bewertungen der Cybersicherheit. Während große Einkäufer ihre Lieferanten auf diese Weise im Auge behalten, nutzen auch die Anbieter die Bewertungen, um Geschäfte zu machen.
Berichterstattung über Ratings an Versicherer, Aufsichtsbehörden, Vorstandsmitglieder
Cybersicherheitsbewertungen werden in Zusammenhängen verwendet, die über die oben genannten Szenarien der Lieferkette und der Selbstüberwachung hinausgehen, z. B:
- Cyber-Versicherung: Wird von den Versicherern zur Festlegung von Deckung und Prämien verwendet.
- Benchmarking im Wettbewerb: Hilft beim Aufbau eines guten Rufs.
- M&As: Unterstützt die Due-Diligence-Prüfung von Übernahmezielen.
- Compliance: Ermöglicht die Validierung durch Dritte für die Regulierungsbehörden.
- Board Reporting: Unterstützt die Kommunikation der CISOs mit der Geschäftsleitung und den Vorständen.
Die Quintessenz
Der aufstrebende Markt für Cybersicherheits-Bewertungsdienste bedient eine wachsende Zahl von Unternehmen in verschiedenen Situationen, sei es, dass sie die Widerstandsfähigkeit eines M&A Ziels bestimmen wollen oder einfach eine externe Bewertung ihrer eigenen Cybersicherheitssysteme wünschen. Der häufigste Verwendungszweck ist eine bessere Sichtbarkeit von Schwachstellen in der Lieferkette, wo Cyberkriminelle häufig kleinere Anbieter angreifen, um größere Ziele zu erreichen.
[1] "Cybersecurity Risk Ratings Platforms, Q1 2021," Forrester
[2] "Innovation Insight for Security Rating Services," Gartner
[3] "SecurityScorecard und Mimecast haben sich zusammengeschlossen," SecurityScorecard
[4] "A Deep Dive in Scoring Methodology," SecurityScorecard
[5] "Understanding the Increase in Supply Chain Security Attacks," European Agency for Cybersecurity
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!