Nahezu jedes US-Unternehmen arbeitet mit 3rd-Party-Diensteistungen, z.B. Software-as-a-Service-Lösungen (SaaS), die mindestens einmal kompromittiert wurden.
Dies geht aus einer Analyse des Data-Science-Unternehmens Cyentia Institute hervor, die externe Sicherheitsprüfungen von weltweit mehr als 230.000 Unternehmen umfasst und von der Firma SecurityScorecard für das Management von Cybersicherheitsrisiken bereitgestellt wurden. Die Analyse ergab, dass das durchschnittliche US-Unternehmen etwa 10 direkte Beziehungen zu Dritten und Hunderte von indirekten Beziehungen zu vierten Parteien unterhält. Fast alle US-Unternehmen (98 %) hatten mindestens einen Drittpartner, bei dem in der Supply-Chain mindestens eine Sicherheitsverletzung aufgetreten ist, so der Bericht.
Diese Studie spiegelt nicht vollständig die Lage auf dem europäischen oder gar deutschen Markt wieder. Jedoch sind auch hierzulande die Digitalisierungsgrade je nach Branche hoch. Betrachtet man hier die Dienstleistungen und IT-Lösungen von Dritt- und Viertparteien, dürfte das Ergebnis ähnlich erschreckend sein. Nur sehr gut aufgestellte Unternehmen investieren Zeit und Geld, um Drittanbieter hinreichend auf Sicherheitsmaßnahmen zu prüfen. Eine tiefergehende Betrachtung der Supply-Chain ist schlicht nicht realisierbar. Daher bleibt nur der Weg über vertragliche Vereinbarungen, um Drittanbieter zu verpflichten hohe Anforderungen an Informationssicherheit auch an deren Dienstleister weiterzugeben (Weiterverlagerung). Im Datenschutz ist dies durchaus üblich und erprobt.
Nach unseren Erkenntnissen haben nur wenige deutsche Unternehmen Regelungen zu Weiterverlagerungen in Sachen Informationssicherheit getroffen. Die aktuell bestehenden gesetzlichen Regelungen zur Informationspflicht bei Sicherheitsvorfällen sind nicht für alle IT-Dienstleister verpflichtend und längst nicht alle IT-Sicherheitsvorfälle sind gleichzeitig auch Datenschutzvorfälle, aus denen eine Verpflichtung zur Information an Betroffene hervorgeht.
Der lange Weg zur Dienstleistersteuerung
Dabei muss der erste Schritt in ein belastbares 3rd-Party-Risk-Management nicht direkt ein vollumfängliches Maß erreichen. Wir empfehlen eine schrittweise Einführung, um auch IT-fremde Bereiche im eigenen Unternehmen einzubinden, wie z.B. den Einkauf oder die Rechtsabteilung. Besonderes Augenmerk sollte man auf die unternehmenskritischen Auslagerungen legen und hier ggfs. nachverhandeln oder zumindest Anpassungen prüfen. Bei neu zu vergebenden Aufträgen können bereits bei der Marktsondierung oder einer Ausschreibung erste Anforderungen und Maßstäbe formuliert werden, sodass Dienstleister von Anfang informiert sind und Kundenwünsche und Ansprüche verstehen. Selbst in stark budgetorientierten Branchen haben IT-Dienstleister begonnen das eigene Sicherheitsniveau zu erhöhen, um Anforderungen der Kunden und des Gesetzgebers gerecht zu werden. Es dürfte also keinen IT-Dienstleister überraschen, wenn Kundenunternehmen Fragen zur Umsetzung der Informationssicherheit stellen. Gut vorbereitete IT-Dienstleister können in kurzer Zeit Fragen beantworten und dem Kunden einen guten Eindruck über die etablierten Sicherheitsmaßnahmen vermitteln.
Drum prüfe, wer sich an Auslagerung bindet
Nachdem der erste Schritt getan ist und Verträge mit Dienstleistern Sicherheitsmaßnahmen und -prozesse einfordern, gilt es nun (stichprobenartig) dies regelmäßig zu prüfen. Das kann formalisiert und damit standardisiert werden, um den Aufwand gering zu halten, aber auch um die Vergleichbarkeit zu ermöglichen, so lassen sich nach geeigneter Zeit Trends je Dienstleister ableiten. Nicht immer können oder müssen dabei alle Anforderungen 1:1 umgesetzt sein, und letztendlich obliegt es dem Kundenunternehmen zu entscheiden, welche Abweichungen von Anforderungen akzeptabel sind oder nicht.
Vollkommen inakzeptabel ist jedoch, wenn man erst aus der Presse erfährt, dass der eigene IT-Dienstleister von einem Cyber-Angriff betroffen ist – und die eigene Betroffenheit unklar bleibt. Ein kompromittierter Dienstleist stellt ein Risiko für jedes Kundenunternehmen dar.
Fazit
Die reine Anzahl an Auslagerungen ist für das Risiko allein nicht entscheidend, vielmehr ist es die Kombination aus der Anzahl der Auslagerungen und die Kritikalität bzw. die Bedeutung der betroffenen Prozesse und Informationen. Zusätzlich bilden Abhängigkeiten und Schnittstellen zwischen selbst betriebenen (on-Premise) und ausgelagerten IT-Diensten einen Risikokomplex. Schnell breiten sich Angriffe von einem IT-Dienst auf andere aus, beispielsweise bei Backup-Systemen in der Cloud kann dies fatal Folgen haben und zu Desastern führen, wenn keine Sicherheitsmaßnahmen getroffen wurden. Katastrophen entstehen nicht nur durch außerordentliche Supply-Chain-Attacken, wie man sie im Fall SolarWinds oder NotPetya kennt. Auch übliche, breitgefächerte Angriffe können zu Kompromittierung eines Dienstleisters führen, sofern er nicht hinreichend vorbereitet ist.
Den Überblick zu behalten erfordert ein strukturiertes und konformes Risikomanagement, für die es Frameworks und Standards gibt. In stark regulierten Branchen finden diese bereits Anwendung und kann mit entsprechender Erfahrung in pragmatischer Form als Blaupause für andere Branchen dienen.
Gleichgültig ob Software-gestützt oder nicht: Den Überblick und die Kontrolle zu erlangen erfordert eine zukunftsorientierte Struktur. Mit wenigen Fragen symptomatisch und mit wenig Aufwand einen Eindruck über die Sicherheitslage des Dienstleisters zu erhalten, benötigt Erfahrung. Mit genügend Geschick lassen sich auch non-IT-Bereiche in Ihrem Unternehmen involvieren.
Der einfachste Weg ist dabei für den temporären Aufbau auf Expertise und externe Unterstützung zurückzugreifen. Nehmen Sie hierfür unverbindlich Kontakt mit uns auf.