Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Studie: Lieferanten bilden hohes Cyberrisiko für Finanzsektor

BitSight, der Standard für IT-Sicherheitsratings, und das Center for Financial Professionals (CeFPro) geben die Ergebnisse ihrer Studie „Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” bekannt. Die von BitSight und CeFPro gemeinsam durchgeführte Studie untersucht aktuelle sowie zukünftige Ansätze und Herausforderungen für das Risikomanagement der von der Lieferkette ausgehenden Cyberrisiken. Die Studie basiert auf einer Umfrage unter Experten für Finanzdienstleistungen. Sie zeigt, dass die Experten das Risikomanagement von Lieferanten-Cyberrisiken als geschäftskritisch wahrnehmen. Dennoch fehlt oft ein kontinuierliches Monitoring und ein einheitliche Reporting der Lieferanten-Cyberrisiken. Zusammen mit weiteren Schwachstellen sorgt dies für Anfälligkeiten von Organisationen für Datenschutzverletzungen und weitere Konsequenzen.

Viele Unternehmen arbeiten mit hunderten oder sogar tausenden von Lieferanten zusammen. Dadurch entstehen neue Risiken, zu deren Bewältigung Unternehmen aktiv handeln müssen. Insbesondere in der Finanzindustrie existiert ist ein riesiges geschäftliches Ökosystem, das sich aus rechtlichen Organisationen, Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Unternehmen sowie IT- und Software-Anbietern zusammensetzt. Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyberabwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird. Nur durch aktives Cyber-Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen.

„Das Risikomanagement der von Lieferanten ausgehenden Cyberrisiken ist zu einem der wichtigsten Anliegen von Unternehmen geworden“, sagt Jake Olcott, Vice President of Communications and Government Affairs bei BitSight. „Gerade im Finanzsektor ergreifen viele Unternehmen Maßnahmen, um Lieferanten-Cyberrisiken zu managen. Aber wie unsere Umfrage mit CeFPro zeigt, gibt es bei Schwerpunkten wie dem kontinuierlichen Monitoring und einem effektiven Reporting der Risiken an den Vorstand noch viel Verbesserungspotenzial."

 

Die wichtigsten Erkenntnisse der Studie:

 

● Lieferanten-Cyberrisiko beeinflusst Geschäftsentscheidungen. Fast 97 % der Befragten geben an, dass die von Lieferanten ausgehende Cyberrisiken ein großes Problem sind. Fast 80 % gaben an, dass sie bereits eine Geschäftsbeziehung aufgrund der Cybersicherheitsleistung eines Anbieters beendet haben oder beenden würden. Eine von zehn Organisationen hat eine Stelle, die sich speziell um das Risikomanagement von Anbietern, Lieferanten oder Zulieferern kümmert.

 

● Es fehlt an konsistenter Erfassung des Lieferanten-Cyberrisikos und dessen Reporting. Nur 44 % der Befragten informieren ihre Vorgesetzten und den Vorstand regelmäßig über das Risiko. Das Fehlen von regelmäßigen Reports könnte die Ursache dafür sein, warum fast 20 % der Befragten der Meinung sind, dass ihre Vorstände und Vorgesetzten ihre Ansätze für das Third-Party Risk Management (TPRM) nicht verstehen oder davon nicht überzeugt sind.

 

● Viele Organisationen nutzen nicht die entscheidenden Werkzeuge. Befragte gaben an, dass sie weiterhin auf Maßnahmen wie jährliche Überprüfungen vor Ort, Fragebögen und Betriebsbesuche setzen, um die IT-Sicherheit von Lieferanten festzustellen. Dadurch bekommen sie aber nur limitierte Einblicke in die Lieferanten-Cyberrisiken. Nur 22 % der Organisationen setzen auf IT-Sicherheitsratings, um kontinuierlich die Cybersicherheitsleistung ihrer Lieferanten zu überwachen. Immerhin evaluieren 30 % der Organisationen derzeit Anbieter von IT-Sicherheitsratings.

 

● TPRM-Herausforderungen und Sorgen im Hinblick auf die Zukunft wachsen weiter. Unternehmen sind besorgt um die Genauigkeit und Belastbarkeit von Daten zur Risikobewertung sowie über unklare Verantwortlichkeiten für diese Art von Risikomanagement innerhalb ihrer Organisation. Für die Zukunft konzentrieren sich die Befragten darauf, die Effektivität ihrer Programme für IT-Sicherheit zu steigern, über neue Vorschriften auf dem Laufenden zu bleiben und kontinuierliches Monitoring sowie Visibilität zu gewährleisten.

 

Neue Werkzeuge und Best Practices sind verfügbar, um Unternehmen bei der Bewältigung einiger der wichtigsten Herausforderungen und Bedenken zu unterstützen, die in der Umfrage genannt wurden. Um die wachsenden Risiken effektiv zu managen und den zukünftigen Herausforderungen immer einen Schritt voraus zu sein, sollten Unternehmen Best Practices nutzen und auf Lösungen zur kontinuierlichen Überwachung wie beispielsweise IT-Sicherheitsbewertungen setzen, um ihr Cyberrisiko zu erfassen und zu managen. Dazu gehören auch Daten zu von Lieferanten ausgehenden Cyberrisiken, die akkurat und belastbar sind.

 BitSight

Laut BitSight-Studie “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” bilden Lieferanten ein hohes Cyberrisiko für den Finanzsektor. (Quelle: BitSight))

Der Report “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” steht hier zum Download bereit.

Quelle: BitSight
(Foto: XL_gonin/Fotolia)

Passende Artikel
Zeitschrift IT-SICHERHEIT
98,00 €

Preis für Jahresabonnement Inland