E-Mail-Sicherheit

    Management von Cybersicherheitsrisiken durch Dritte

    Cyberangriffe über Dritte stellen ein großes und oft unerkanntes Sicherheitsrisiko für Unternehmen jeder Größe dar. Zum Glück gibt es Schritte, die Sie unternehmen können, um das Risiko zu minimieren.

    by Allan Halcrow
    getty-man-with-cell-phone.jpg

    Wichtige Punkte

    • Obwohl direkten Cyberangriffen auf Unternehmen die meiste Aufmerksamkeit gewidmet wird, sind indirekte Angriffe über Dritte ebenfalls eine wichtige Quelle für Cyberrisiken.
    • Viele Unternehmen sind nur unzureichend auf die Abwehr von Bedrohungen durch ihre Lieferkette oder andere Dritte vorbereitet.
    • Sie können dazu beitragen, die Cyber-Resilienz zu verbessern, indem Sie Maßnahmen ergreifen, um Sicherheitsverfahren bei Dritten zu verstehen und durchzusetzen, und indem Sie regelmäßige Cyber-Sensibilisierungsschulungen für Ihre Mitarbeiter durchführen.

    Bei der Verteidigung Ihres Unternehmens gegen Cyberangriffe ist es wichtig zu verstehen, dass Sie einen Krieg an mehreren Fronten führen. Der ersten Front - den direkten Angriffen auf Ihr Unternehmen - wird in der Regel die meiste Aufmerksamkeit geschenkt. Viele Unternehmen schenken der zweiten Front weniger Aufmerksamkeit: indirekte Angriffe über Dritte, einschließlich Ihrer Lieferkette. Diese zweite Front ist oft viel weniger gut verteidigt, was ironisch ist, wenn man bedenkt, dass sie eine Quelle erheblicher Risiken darstellt. Zu den Opfern eines Angriffs könnten Ihr Endergebnis, Ihre Marke und Ihr Ruf sowie Ihr Betrieb gehören.

    Vernetzte Ökosysteme führen zu neuen Risiken

    Wenn Sie ein General wären, der über die Bedrohungen von dieser zweiten Front informiert wird, würden Ihre Verteidiger Sie Folgendes wissen lassen wollen. Die Risiken, die von Dritten ausgehen, sind zum Teil deshalb gestiegen, weil fast keine Technologie mehr isoliert existiert. Nehmen wir zum Beispiel ein ausgeklügeltes Werkzeug, das in einer Automobilproduktionslinie eingesetzt wird. Das Gerät sendet Diagnoseinformationen an den Hersteller. Das hilft bei der Wartung, aber es öffnet auch einen Cyber-Kanal in Ihre IT-Umgebung. [1]

    Fast alle Unternehmen arbeiten heute in einem vernetzten Ökosystem, zu dem auch ihre Zulieferer gehören. Wenn ein Teil des Ökosystems angegriffen wird, sind andere Mitglieder des Ökosystems gefährdet. Die berüchtigte Datenpanne bei Target im Jahr 2013 ist ein solches Beispiel. Die Angreifer hackten sich zunächst in den Subunternehmer des Einzelhändlers für Heizungs- und Klimatisierungsdienste ein und nutzten dann laxe Zugriffsrechte aus, um Daten von Millionen von Kunden zu stehlen. [2] Der Verstoß kostete Target mehr als 18 Millionen Dollar. [3] Oder bedenken Sie, dass Best Buy und Delta Airlines zu den Unternehmen gehörten, die gefährdet waren, als der von ihnen gemeinsam genutzte Online-Chat-Anbieter mit Malware infiziert wurde. [4]

    Zu den Risiken, die von Ihren Verbindungen zu Dritten ausgehen, gehören:

    • Phishing
    • Malware
    • Man-in-the-Middle-Angriffe (MitM)
    • Trojaner
    • Ransomware-Angriffe
    • Denial-of-Service-Angriffe (DoS)
    • Angriffe auf IoT-Geräte

    Fast jedes Mal, wenn Ihr Unternehmen mit einem Dritten in Verbindung tritt (auch per E-Mail), sind Sie potenziell gefährdet. Und dieses Risiko kann größer sein, als Sie denken. Eine Studie des Ponemon Institute aus dem Jahr 2018 ergab, dass im Durchschnitt 471 Dritte Zugang zu den sensiblen Daten eines Unternehmens haben - und die wahre Zahl könnte sogar noch höher sein, da nur 35 % der Befragten alle Dritten kannten, mit denen sie Daten austauschen. [5]

    Unternehmen sind oft unvorbereitet auf Angriffe

    Diese Informationslücke deutet auf einen weit verbreiteten Mangel an Bewusstsein und Bereitschaft hin, der viele Unternehmen anfällig für Angriffe macht. Dies wurde durch die Ergebnisse einer kürzlich durchgeführten Wall Street Journal Umfrage unterstrichen, die ergab, dass nur 62 % der größeren Unternehmen in der Lage sind, das Risiko für oder von ihren Lieferanten zu quantifizieren und zu qualifizieren - und nur 42 % der kleineren Unternehmen sind dazu in der Lage. Obwohl 70 % der Unternehmen solche Angriffe von Dritten als Bedrohung ansehen, fühlen sich weniger als 60 % darauf vorbereitet. [6]

    In Anbetracht der vielen potenziellen Einfallstore für Angreifer und der Tatsache, dass die Verteidigungsstrategien oft nicht solide sind, sollte es nicht überraschen, dass Cyber-Kriminelle dies ausnutzen. Eine andere Umfrage ergab, dass 41 % der Befragten in den letzten 24 Monaten Opfer von Angriffen über Dritte geworden sind. [7]

    Strategien zum Aufbau von Cyber-Resilienz

    Glücklicherweise gibt es Strategien, die dazu beitragen können, Ihre Cyber-Resilienz zu verbessern, indem sie das Risiko, das von Dritten ausgeht, verringern:

    Zeichnen Sie Ihren Datenfluss auf. Der Schutz Ihrer Daten ist besonders schwierig, wenn Sie nicht wissen, wohin sie gehen. Deshalb ist es wichtig, den Fluss der einzelnen Daten von der Erstellung bis zur Entsorgung zu erfassen. Ziel ist es, herauszufinden, wo und wie Ihre Daten angreifbar sind. Das gilt auch für Daten, die von Dritten stammen. Folgende Aspekte sind zu berücksichtigen: [8]

    • Wer ist Eigentümer und Überwacher der Daten?
    • Welche Verfahren gibt es für den Umgang mit Daten?
    • Welche Systemkontrollen gibt es?
    • Wie werden Sicherheitsrichtlinien durchgesetzt?

    Überprüfen Sie die internen und externen Sicherheitsverfahren. Sobald Sie wissen, wohin Ihre Daten gehen (oder woher sie kommen), überprüfen Sie Ihre derzeitigen Verfahren zum Schutz dieser Daten. Was funktioniert gut und was nicht? Welche Verbesserungsmöglichkeiten haben Sie? Was ist Ihr größtes Risiko? Die Sicherheit ist nur so stark wie ihr schwächstes Glied.

    Verstehen Sie, was Ihre Drittparteien tun. Zu wissen, woher Ihre Daten kommen und wohin sie gehen, ist ein Anfang. Aber was passiert mit ihnen, wenn sie in die Hände von Dritten gelangen? Es gibt mehrere mögliche Ansätze zur Bewertung der Datensicherheit: [9]

    • Bewerten Sie Kennzahlen wie das Transaktionsvolumen und die Sensibilität der Daten.
    • Berücksichtigen Sie die Auswirkungen der Datenschutzgesetze in den Ländern, in denen die Daten verarbeitet werden.
    • Bewerten Sie die Sicherheitsmaßnahmen, die Dritte anwenden. Eine Methode besteht darin, Dritte zu bitten, einen Fragebogen über ihre Praktiken auszufüllen. Eine Alternative besteht darin, sich auf Sicherheitsbewertungen zu verlassen, die von Unternehmen veröffentlicht werden, die unabhängige Analysen durchführen. [10] Vom Konzept her ist das ähnlich wie bei Kreditgebern, die ihr potenzielles Risiko bei Kreditentscheidungen anhand von Kreditbewertungen einschätzen.

    Definieren Sie Cybersicherheitsrichtlinien und -prozesse für Dritte. Experten weisen darauf hin, dass die Verpflichtung Dritter zur Einhaltung von Standardsicherheitsprozessen Ihre Abwehrkräfte stärken kann. Solche Verfahren könnten häufige Backups kritischer Daten, rechtzeitige Benachrichtigung über Sicherheitsverletzungen und regelmäßige Sicherheitsberichte umfassen. Ein weiterer Ansatz ist die Aufnahme von Sicherheitsstandards in Ihre Service-Level-Vereinbarungen.

    Investieren Sie in Schulungen zum Thema Cyber-Sensibilisierung. Menschen machen Fehler; tatsächlich ist menschliches Versagen ein Faktor bei schätzungsweise 95 % aller Sicherheitsvorfälle. [11] Benutzer folgen Phishing-Links in E-Mails von bösartigen Akteuren, die sich als Ihre Lieferanten ausgeben , sie besuchen gefälschte Websites und laden Anhänge herunter, in denen sich Schadsoftware versteckt. Der beste Weg, dieses Risiko zu verringern, besteht darin, Ihren Mitarbeitern regelmäßig Schulungen zum Thema Sicherheit anzubieten.

    Ziehen Sie eine Cyberversicherung in Betracht. Nichts, was Sie tun, kann garantieren, dass Sie nicht angegriffen werden, aber wenn Sie angegriffen werden, kann eine Versicherung helfen, Ihre finanziellen Verluste zu mindern.

    Die Quintessenz

    Viele Unternehmen sind sich des Ausmaßes ihrer Gefährdung durch Cyberrisiken von Dritten nicht bewusst. Glücklicherweise gibt es Möglichkeiten, wie Sie die Risiken Dritter besser verstehen und Ihr Unternehmen dagegen schützen können.

    [1] " Was ist ein Angriff auf die Lieferkette? Warum Sie Drittanbietern gegenüber misstrauisch sein sollten ," CSO

    [2] " Was ist Cyber-Risiko im Risikomanagement für Dritte? ," Normshield

    [3] " Warum Cyber-Risikomanagement durch Dritte für moderne Unternehmen wichtig ist (und wo man anfangen sollte) ," Forbes

    [4] " Management von Cybersecurity-Risiken bei Drittanbietern (Teil II von III) ," Volkovlaw

    [5] " The 2018 State of Endpoint Security Risk ," Ponemon Institute

    [6] " Die Branchen, die am anfälligsten für Cyberangriffe sind - und warum ," WSJ Pro Research

    [7] " Was ist ein Angriff auf die Lieferkette? Warum Sie Drittanbietern gegenüber misstrauisch sein sollten ," CSO

    [8] " Mapping and Managing Cyber Risks from Third Parties and Beyond ," PwC

    [9] " Mapping and Managing Cyber Risks from Third Parties and Beyond ," PwC

    [10] " Was ist ein Angriff auf die Lieferkette? Warum Sie Drittanbietern gegenüber misstrauisch sein sollten ," CSO

    [11] " IBM X-Force Threat Intelligence Index ," IBM

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang