Drittanbieter im Fokus:: Wie Unternehmen ihre Cyber-Resilienz stärken können
Immer mehr Sicherheitsverantwortliche fordern: Die Risikobewertung von Drittanbietern muss fester Bestandteil jeder Cyber-Resilienz-Strategie werden. Einheitliche Standards fehlen zwar, doch es gibt wirksame Maßnahmen, mit denen Unternehmen ihre Abwehr stärken können.
Drittanbieter-Netzwerke wachsen – und mit ihnen das Risiko. Laut einer Gartner-Studie aus dem Jahr 2022 stuften bereits 40 Prozent der befragten Compliance-Verantwortlichen zwischen 11 und 40 Prozent ihrer Drittanbieter als besonders risikobehaftet ein. Der weltweite IT-Ausfall bei CrowdStrike am 19. Juli 2024 war ein Weckruf: Über Nacht standen Systeme still – in nahezu allen Branchen. Seither nehmen viele Unternehmen das Risikomanagement ihrer Partner und Dienstleister deutlich ernster.
Inzwischen investieren manche Organisationen Zehntausende Euro in Audits. Doch die Ergebnisse lassen sich nur schwer vergleichen, denn allgemeingültige Standards für die Bewertung von Drittanbietern fehlen. Das erschwert die Zusammenarbeit – besonders, wenn Unternehmen umfassende Fragebögen und vertrauliche Dokumente von Partnern verlangen, die diese aus guten Gründen nicht vollständig offenlegen wollen. Gegenseitiges Vertrauen wird zur größten Herausforderung.
Besondere Anforderungen im Gesundheitswesen
Ein gutes Beispiel sind Organisationen im Gesundheitsbereich: Sie müssen besonders sensible Patientendaten schützen. Deshalb wählen sie ihre Partner sorgfältig aus und prüfen gezielt deren Sicherheitsstandards. Doch auch hier fehlen einheitliche Maßstäbe – viele Unternehmen führen eigene Audits durch, orientiert an individuellen Anforderungen.
Sieben wirksame Maßnahmen für mehr Sicherheit
Solange es keine einheitlichen Standards gibt, bleibt es Aufgabe der Unternehmen, selbst Verantwortung zu übernehmen. Diese sieben Schritte helfen dabei, Drittanbieterrisiken systematisch zu bewerten und die eigene Cyber-Resilienz zu stärken:
- Risiken im eigenen Unternehmen verstehen: Welche Daten und Prozesse sind besonders schützenswert? Welche Abteilungen sind bei Vorfällen zu informieren? Ein klares Rollenverständnis etwa durch ein RACI-Framework (Responsible, Accoutable, Consulted, Informed) schafft hier Orientierung.
- Drittanbieter analysieren: Welche Aufgaben übernimmt der Dienstleister? Welche Schnittstellen gibt es zu kritischen Bereichen im Unternehmen?
- Risiken klassifizieren: Je nach Einschätzung in hoch, mittel oder niedrig einstufen – und entsprechend handeln. Regelmäßige Neubewertung nicht vergessen.
- Sicherheitsstandards prüfen: Dazu gehören beispielsweise SOC-2-Berichte sowie branchenspezifische Vorgaben zu Datenschutz oder Compliance.
- Vertragliche Absicherung: Klare Regelungen zu Auditrechten und Meldepflichten bei Vorfällen sollten in jedem Vertrag verankert sein.
- Veränderungen kommunizieren: Änderungen auf beiden Seiten müssen frühzeitig adressiert und ihre Risiken gemeinsam bewertet werden.
- Prozesse automatisieren: Tools und Plattformen helfen, die Bewertung effizienter und weniger fehleranfällig zu gestalten.
Resilienz braucht Zusammenarbeit
Fest steht: Ein Unternehmen ist nur so sicher wie das schwächste Glied in seiner Lieferkette. Daher ist es entscheidend, dass Sicherheitsverantwortliche ihr Wissen teilen und gemeinsam an übergreifenden Standards für die Risikobewertung von Drittanbietern arbeiten.
Thomas Lo Coco, Regional Sales Director Central Europe bei Absolute Security
