E-Mail-Sicherheit

    Stärkung des Risikomanagements für die Cybersicherheit von Dritten

    Drittanbieter von Produkten, Dienstleistungen und Software bieten einen enormen geschäftlichen Nutzen, bergen aber auch Risiken für die Cybersicherheit, die oft übersehen werden.

    29BLOG_1.jpg

    Wichtige Punkte

    • Die jüngste Studie zeigt, dass Unternehmen das Cybersecurity-Risiko von Drittanbietern nur unzureichend managen, selbst wenn ihre Abhängigkeit von externen Geschäftspartnern zunimmt.
    • Drei von fünf Unternehmen arbeiten mit Produkt-, Dienstleistungs- oder Softwareanbietern zusammen, bei denen im vergangenen Jahr Sicherheitslücken aufgetreten sind.
    • Bei kleineren Unternehmen ist die Wahrscheinlichkeit am geringsten, dass sie ein Cyber-Risikoprogramm für Dritte einrichten.   

    Denken Sie an jedes Unternehmen, mit dem Sie zusammenarbeiten, und daran, wie viele Computer sie in ihrem Unternehmen haben. Jedes Gerät stellt einen möglichen Einstiegspunkt für einen Cyberangriff durch Dritte dar. Diese immer größer werdende Angriffsfläche stellt ein ständiges Problem für Unternehmen dar, die sich auf Dutzende oder gar Hunderte von Anbietern von Produkten, Dienstleistungen und Software verlassen. 

    Eine Studie des Wall Street Journal Pro hat ergeben, dass 62 % der Unternehmen mit Produkt-, Dienstleistungs- oder Softwareanbietern zusammenarbeiten, die im vergangenen Jahr Opfer einer Sicherheitsverletzung wurden.[1] Das Identity Theft Resource Center (ITRC) hat inzwischen festgestellt, dass die in den USA öffentlich gemeldeten Angriffe von Dritten bzw. aus der Lieferkette im Jahr 2022 um mehr als 35 % gestiegen sind.[2]

    Der "2022 Data Breach Report" von ITRC beschreibt einen Angriff auf ein Debitorenmanagement-Unternehmen, bei dem die Daten von mehr als 600 Kundenfirmen offengelegt wurden. Dieses Beispiel unterstreicht, dass das Risiko für Dritte, das normalerweise mit Lieferketten für die Produktion und den Vertrieb von Waren verbunden ist, in den wachsenden Beziehungen von Unternehmen zu Partnern, die von Büroausstattern über Kollaborationsplattformen bis hin zu Managed Service Providern (MSPs) reichen, ebenso schädlich sein kann.

    Statistiken über Sicherheitsverletzungen wie die oben genannten haben dazu beigetragen, dass die Bemühungen um ein Cyber-Risikomanagement verstärkt wurden. Aus derselben WSJ Pro-Studie geht hervor, dass zwei von drei Unternehmen ein Programm zum Management von Cybersicherheitsrisiken durch Dritte eingeführt haben. Diese Programme werden jedoch hauptsächlich in mittleren und großen Unternehmen durchgeführt - nur eines von drei kleinen Unternehmen hat ähnliche Maßnahmen ergriffen. 

    Die Herausforderungen des Cyber-Risikomanagements für Drittparteien

    Laut der CyberRisk Alliance (CRA) gewähren Unternehmen in der Regel zahlreichen Drittanbietern Zugang zu privaten Netzwerken und sensiblen Datenbanken, da sie sich auf diese für geschäftliche Zwecke verlassen, die von der Kostenabrechnung über E-Mail-Dienste bis hin zur Verwaltung industrieller Kontrollsysteme reichen. Eine kürzlich durchgeführte CRA-Studie ergab, dass fast ein Drittel der Unternehmen mehr als 100 Beziehungen zu Drittanbietern unterhält, während einige Unternehmen im Finanzdienstleistungs- oder Gesundheitswesen sogar mehr als 500 Beziehungen unterhalten.[3] 

    Cyberangreifer nutzen oft Dritte aus, um ihr eigentliches Ziel zu erreichen. Im CRA-Bericht äußerten neun von zehn Befragten die Sorge, dass sie aufgrund einer Schwachstelle bei Dritten eine Datenschutzverletzung erleiden oder gegen die Datenschutzvorschriften verstoßen könnten.

    Fortschritte bei der Bekämpfung von Cyberrisiken durch Dritte

    Die Bewältigung von Cyberrisiken Dritter erfordert eine Kombination aus lehrbuchmäßigen Risikomanagementpraktiken, neuen Technologien und externer Hilfe. So führen viele größere Unternehmen so genannte "Zero Trust"-Ansätze und erweiterte Erkennungs- und Reaktionstechnologien (XDR) ein - nicht nur in ihren eigenen Organisationen, sondern auch in den Lieferketten. Ein Zero-Trust-Ansatz hilft dabei, den Zugriff auf Daten und Netzwerke nach dem Prinzip der geringsten Rechte zu kontrollieren, während XDR wichtige Erkennungs- und Reaktionsfunktionen über alle Netzwerkverbindungen hinweg integriert. Dennoch liegen solche Maßnahmen oft außerhalb der Reichweite kleinerer Unternehmen, die sich stattdessen zunehmend an Managed Security Service Provider (MSSPs) wenden.

    Ein aktueller Bericht von PwC zeigt, dass CISOs und andere Führungskräfte, die für Cybersicherheitsrichtlinien und Widerstandsfähigkeit verantwortlich sind, messbare Fortschritte gemacht haben. Siebzig Prozent der Umfrageteilnehmer gaben an, dass sie das Risikomanagement in der Lieferkette verbessert haben. Dennoch erwarten 34 %, dass Bedrohungen durch Dritte sie im Jahr 2023 erheblich beeinträchtigen werden, und 32 % sehen ihre Software-Lieferkette als potenziellen Verursacher.[4]

    Bewährte Praktiken zur Minderung von MSP- und anderen Drittanbieterrisiken

    Das britische National Cyber Security Centre (NCSC) hat kürzlich festgestellt, dass MSPs eine wachsende Quelle für Cyberrisiken Dritter darstellen. Die Agentur erklärte:

    "Die Inanspruchnahme eines MSP ist ein Sicherheitskompromiss. Sie profitieren von den Sicherheitsvorteilen, die sich aus der Nutzung des Fachwissens des MSP ergeben, das oft mehr Fachwissen über Cloud-Sicherheit umfasst, als Sie selbst hätten einstellen können. Allerdings müssen Sie dem MSP fast immer administrativen Zugriff auf Ihre Daten gewähren. Dies vergrößert die Angriffsfläche, da es nun mehr Systeme gibt, die bei einem Angriff Ihre Daten gefährden würden."[5]

    PwC empfahl Best Practices, die bei der Beauftragung eines MSP oder eines anderen Drittanbieters berücksichtigt werden sollten, darunter: 

    • Überprüfen Sie jeden Partner, mit dem Sie Daten austauschen: "Datensicherheit und Datenschutz sind die Achillesferse vieler Unternehmen", so PwC, doch nur 43 % der Unternehmen geben an, dass sie die Sicherheitsvorkehrungen von Dritten immer überprüfen.  
    • Zero Trust anwenden: Unternehmen sollten das Zero-Trust-Prinzip der geringsten Privilegien auf MSPs und andere Geschäftspartner anwenden und die Privilegien bei Änderungen der administrativen Rollen sofort aktualisieren. Doch nur 47 % tun dies.
    • Deaktivieren Sie MSP-Konten, die keine Infrastruktur mehr verwalten: Es scheint ein offensichtliches Sicherheitsrisiko zu sein, aber nur 57 % der Unternehmen geben an, dass sie dies immer tun. 
    • Binden Sie MSPs an robuste Disaster-Recovery-Anforderungen: Dazu gehören vertragliche Vereinbarungen mit anschließender Überwachung. Aber nur 44 % der Unternehmen verlangen von MSPs, dass sie Reaktions- und Wiederherstellungspläne für Zwischenfälle anbieten, die ihren eigenen Anforderungen an Ausfallsicherheit und Notfallwiederherstellung entsprechen.
    • Durchsetzung der Multi-Faktor-Authentifizierung (MFA): Die Implementierung von MFA für Ihre Mitarbeiter ist sinnvoll, aber was ist mit Dritten? Obwohl dies empfohlen wird, geht weniger als die Hälfte der Unternehmen (46 %) konsequent so weit. 

    Zu den weiteren Schutzmaßnahmen gehören die Ausweitung der Programme zur Sensibilisierung für die Cybersicherheit auf Partner und Mitarbeiter sowie die Erwägung einer Cyberversicherung als Absicherung.

    Die Quintessenz

    Es gibt keine Möglichkeit, alle Angriffsrisiken auszuschalten, die sich aus den Beziehungen zwischen Dritten und der Lieferkette ergeben können. Es gibt jedoch bewährte Verfahren, die Unternehmen befolgen können, darunter Strategien für das Risikomanagement durch Dritte, Technologielösungen und verwaltete Dienste. Während einige Unternehmen in diesen Bereichen Fortschritte machen, haben die meisten noch einen weiten Weg vor sich. Lesen Sie unter , wie die integrierte Cybersecurity-Plattform von Mimecast Ihr Unternehmen vor Cyberrisiken Dritter schützen kann.


     

    [1] "WSJ Pro Research Umfrage: Ergebnisse zum Risikomanagement von Drittanbietern," Wall Street Journal

    [2] "2022 Data Breach Report," Identity Theft Resource Center

    [3] "CRA-Studie: Managing Third-Party Risk in the Era of Zero Trust," CyberRisk Alliance

    [4] "2023 Global Digital Trust Insights Report," PwC

    [5] "Bedrohungsbericht 13. Januar 2023," UK National Cyber Security Centre

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang