Das durchschnittliche Unternehmen teilt vertrauliche Informationen mit 583 Drittanbietern — und 82 % der Unternehmen gewähren diesen Dritten Zugang zu ihren sensiblen Daten.

In der heutigen vernetzten Geschäftswelt erstreckt sich die Angriffsfläche einer Organisation weit über ihre eigene IT-Infrastruktur hinaus. Die Bewertung und Verwaltung von Risiken durch Dritte ist unerlässlich, um Ihre Abläufe vor externen Bedrohungen zu schützen.

Im Folgenden werden wir die Bedeutung der Sicherheit durch Dritte untersuchen, einen Schritt-für-Schritt-Prozess zur Bewertung von Risiken durch Dritte vorstellen und KPIs zur Messung des Erfolgs Ihres TPRM-Programms definieren.

Verstehen des Risikomanagements durch Dritte (TPRM): Was ist Sicherheit durch Dritte?

Drittanbieter sind Unternehmen, die Zugang zu den sensiblen Datenbeständen Ihrer Organisation haben, wie z. B. Dienstleister, Cloud-Computing-Plattformen, Rechenzentren, Gehaltsabrechner und Lieferanten.

Die Zusammenarbeit mit Drittanbietern ermöglicht es Organisationen zwar, schneller zu skalieren, Prozesse zu verbessern und effizienter zu arbeiten, sie birgt jedoch auch Risiken. Jeder Drittanbieter, der Zugang zu Ihren Systemen hat, bietet böswilligen Akteuren einen potenziellen Zugangspunkt zu Ihren sensiblen Unternehmens- oder Kundendaten.

Laut einem Verizon Data Breach Investigations Report ereignen sich 62 % aller Datenverletzungen über Drittanbieter.

Aus diesem Grund ist die Sicherheit durch Dritte so wichtig – ein Satz von Praktiken und Tools, der dazu beitragen kann, Risiken durch Dritte zu erkennen und deren Wahrscheinlichkeit und Auswirkungen zu verringern, kann Ihre Organisation und Ihre Kunden vor ernsthaften Bedrohungen schützen. Ganz zu schweigen davon, dass die Nichteinhaltung des ordnungsgemäßen Managements von Risiken durch Dritte Ihre Organisation regulatorischen, finanziellen, rechtlichen und reputationsbezogenen Schäden aussetzen kann.

Die Bedrohung durch Sicherheitsrisiken Dritter im Jahr 2024

Risiken durch Dritte entwickeln sich parallel zur allgemeinen Informationssicherheitslandschaft weiter. Neue Technologien wie KI, sich verändernde globale Geschäftspraktiken, neue gesetzliche und regulatorische Anforderungen und andere Faktoren machen starke Praktiken im Risikomanagement durch Dritte für Organisationen im Jahr 2024 und darüber hinaus entscheidend.

• In den letzten zwei Jahren haben 82 % der Organisationen ein oder mehrere Datenverletzungen durch Dritte erlebt, deren Behebung durchschnittlich 7,5 Millionen US-Dollar kostete.
• Nur 34 % der Befragten haben Vertrauen darin, dass ein primärer Dritter sie über einen Sicherheitsvorfall oder eine Datenverletzung informieren würde.
• 98 % der Organisationen haben Beziehungen zu mindestens einem Drittanbieter, der in den letzten zwei Jahren eine Verletzung erlitten hat.
• Für jeden Drittanbieter in ihrer Lieferkette haben Organisationen typischerweise indirekte Beziehungen zu 60 bis 90 Mal so vielen Viertparteienbeziehungen.
• Im Vergleich zur primären Organisation zeigen Drittanbieter fünfmal häufiger schlechte Sicherheit. Ungefähr 10 % der Drittanbieter erhalten eine F-Bewertung unter Organisationen, die selbst eine A-Bewertung für ihre eigene Sicherheitslage erhalten.
• Im Durchschnitt dauert die Identifizierung und Eindämmung eines Lieferkettenbruchs 26 Tage länger als der globale Durchschnitt für andere Arten von Verstößen.

Arten von Sicherheitsrisiken von Drittanbietern

Die Zusammenarbeit mit Drittanbietern kann verschiedene Arten von Risiken für Ihre Organisation mit sich bringen. Im Folgenden sind viele der häufigsten Risiken aufgeführt, die beim Aufbau eines Drittanbieter-Risikomanagementprogramms berücksichtigt werden sollten.

1. Cyber-Sicherheitsrisiko: Das Risiko einer Datenschutzverletzung oder eines Cyberangriffs auf einen Drittanbieter, der Zugang zu den Systemen oder Datenressourcen Ihrer Organisation hat, wodurch Hacker oder andere böswillige Akteure unbefugten Zugriff auf Ihre Netzwerke erhalten.
2. Compliance-Risiko: Viele Vorschriften erfordern von Organisationen, eine Due Diligence durchzuführen, um sicherzustellen, dass alle Anbieter, mit denen sie zusammenarbeiten, über ausreichende Datenschutzmaßnahmen verfügen. Zum Beispiel verlangt HIPAA von Gesundheitsorganisationen, zu überprüfen, ob ihre Geschäftspartner PHI schützen. Wenn ein Drittanbieter nicht den gesetzlichen und regulatorischen Anforderungen entspricht, kann Ihre Organisation Strafen wegen Verstößen ausgesetzt sein.
3. Reputationsrisiko: Wenn eine Datenschutzverletzung, ein Sicherheitsvorfall oder schlechte Geschäftspraktiken bei einem Drittanbieter ans Licht kommen, könnte Ihre Organisation durch Assoziation einen Reputationsschaden erleiden.
4. Finanzielles Risiko: Wenn ein Drittanbieter, auf den Sie angewiesen sind, finanzielle Schwierigkeiten oder Insolvenz erleidet, könnte Ihre Organisation Einnahmeverluste oder zusätzliche Kosten erleiden — insbesondere, wenn Sie stark auf deren Dienstleistungen oder Produkte angewiesen sind.
5. Betriebsrisiko: Das Risiko, dass der Drittanbieter Dienstleistungen oder Produkte nicht wie erwartet liefert, was Ihre Geschäftsabläufe und Kundenverpflichtungen stören kann.
6. Strategisches Risiko: Wenn die strategischen Ziele eines Drittanbieters nicht mit denen Ihrer Organisation übereinstimmen, können sich deren Strategien oder Betriebsabläufe in einer Weise ändern, die für Ihr Geschäft nachteilig ist.

Wie man eine Sicherheitsrisikoanalyse für Drittanbieter durchführt

Eine Risikoanalyse für Drittanbieter ist ein wesentliches Instrument, um die mit Drittanbietern und Lieferanten verbundenen Risiken zu verstehen, zu quantifizieren und zu reduzieren. Diese Risikoanalysen sind aus einigen wichtigen Gründen wichtig:

• Sie bieten ein besseres Verständnis des Ausmaßes und der Arten von Risiken, die Sie mit jeder Anbieterbeziehung eingehen würden. Mit diesem Wissen sind Sie in der Lage, fundiertere Entscheidungen darüber zu treffen, wie diese Risiken effektiv verwaltet und gemindert werden können — oder ganz vermeiden, unnötige Risiken einzugehen.
• Sie geben Ihnen wichtige Einblicke in die Cybersicherheits- und Datenschutzpraktiken eines Anbieters. Wenn Sie einem Anbieter Zugang zu Ihrer IT-Umgebung gewähren, brauchen Sie die Gewissheit, dass er die Cybersicherheit genauso ernst nimmt wie Sie. Eine Risikobewertung oder ein Sorgfaltsfragenbogen kann Ihnen helfen, die von ihm getroffenen Sicherheitsmaßnahmen zu verstehen und zu beurteilen, wie gut Ihre sensiblen Daten im Falle eines externen Angriffs geschützt wären.
• Sie können Ihr eigenes Maß an Konformität mit allen Vorschriften oder Industriestandards überprüfen, die von Ihnen verlangen, mit konformen Anbietern zusammenzuarbeiten, wie zum Beispiel GDPR, CCPA, NYDFS, PCI DSS und HIPAA. Sie erfüllen auch die gesetzlichen Anforderungen für Vorschriften, die regelmäßige Drittrisikobewertungen verlangen.
• Sie werden proaktiv die Finanz- und Reputationsgesundheit Ihres Unternehmens schützen. Die Verbindung mit einem kompromittierten Anbieter könnte erhebliche Auswirkungen auf Ihr Geschäft haben, sowohl mit sofortigen finanziellen Konsequenzen als auch mit dem Verlust des Kundenvertrauens.

Hier ist eine Schritt-für-Schritt-Anleitung, wie man eine Drittrisikobewertung durchführt.

Schritt 1: Bestimmen Sie ein akzeptables Maß an Drittparteirisiko

Akzeptable Stufen von Drittparteirisiken werden oft durch die strategischen Ziele der Organisation, das regulatorische Umfeld, die betrieblichen Fähigkeiten und die finanzielle Kapazität bestimmt.

Verschiedene Geschäftseinheiten können auch unterschiedliche Risikotoleranzen haben, daher sollten Entscheidungen über akzeptable Risikostufen mehrere Stakeholder in der Organisation einbeziehen. Beziehen Sie höheres Management, Rechtsteams, IT, Sicherheits-, Compliance- und Betriebspersonal in Diskussionen über die Definition eines akzeptablen Risikoniveaus ein.

Schritt 2: Identifizieren Sie relevante Risiken

Verschiedene Anbieter tragen auch unterschiedliche Risikoniveaus. Hier sind einige Fragen, die Ihnen helfen können, potenzielle Drittparterisiken zu identifizieren:

• Würde der Anbieter Zugang zu internen Netzwerken haben? Welches Maß an Zugang wäre gewährt?
• Gibt es spezifische regulatorische Anforderungen, die mit dem Lieferanten verbunden sind, wie HIPAA oder GDPR?
• Verlässt sich der Anbieter auf andere Drittparteien, die ein Risiko für ihre Servicebereitstellung darstellen könnten? Wie managen sie ihre eigenen Lieferkettenrisiken?
• Hat der Anbieter eine Geschichte von Verstößen oder Vorfällen?
• Ist der Anbieter SOC 2 oder ISO 27001 konform?
• Welche Maßnahmen hat der Anbieter ergriffen, um die Geschäftskontinuität im Falle einer Katastrophe sicherzustellen?

Schritt 3: Bewerten Sie die aktuelle Kontrollumgebung und die Cybersicherheitslage des Drittanbieters

Due Diligence oder ein Sicherheitsfragenbogen sollten immer Teil Ihres Anbieterbeschaffungsprozesses sein. Stellen Sie sicher, dass alle Anbieter, mit denen Sie eine Partnerschaft eingehen, Ihre Sicherheitsanforderungen erfüllen, bevor Sie weiter gehen.

• Welche Sicherheitsmaßnahmen haben sie derzeit implementiert, um Risiken zu mindern?
• Mit welchen Sicherheitsstandards sind sie konform und wann haben sie ihr letztes externes Audit abgeschlossen?
• Hat der Lieferant einen Datenverstoß oder einen großen Sicherheitsvorfall erlitten oder war er Gegenstand regulatorischer Interventionen?
• Hat der Anbieter einen Vorfallreaktionsplan? Enthält dieser Plan, dass Ihre Organisation im Falle eines Sicherheitsvorfalls oder Datenverstoßes benachrichtigt wird?
• Hat der Anbieter einen robusten Geschäftsfortführungs- und Katastrophenwiederherstellungsplan? Wie haben sie vergangene Störungen oder Krisen gemeistert?
• Führen sie regelmäßig Penetrationstests, Schwachstellenscans oder interne Sicherheitsaudits durch?

Wenn Sie sich nicht sicher sind, was Sie fragen sollen, schauen Sie sich unsere Vorlage für den Sicherheitsfragebogen des Anbieters für eine umfassende Liste von Sicherheitsbewertungsfragen an.

Schritt 4: Verstehen Sie alle Risiken durch Unterauftragnehmer

Wird dieser Anbieter irgendwelche Operationen an andere Anbieter weitervergeben? Viele Organisationen haben nur begrenzte Einblicke oder Kontrolle über Beziehungen zu Unterauftragnehmern, aber auch diese Subunternehmer können bedeutende Risiken für Ihre Geschäftsabläufe darstellen.

Um Risiken durch Unterauftragnehmer effektiv zu mindern, müssen Organisationen ihre Risikomanagementrahmen und Sorgfaltspflichtprozesse über direkte Anbieter hinaus ausweiten, um sicherzustellen, dass Drittanbieter ihre Subunternehmer effektiv verwalten.

Fragen Sie Anbieter nach ihren eigenen Risikomanagementprogrammen für Drittanbieter, um zu verstehen, wie sie Subunternehmer bewerten und überwachen. Es wird auch empfohlen, Klauseln über Risiken durch Subunternehmer in Verträge mit Anbietern aufzunehmen:

• Fügen Sie eine Klausel hinzu, die es Ihnen ermöglicht, das Management der Subunternehmer durch den Drittanbieter zu auditieren, oder verlangen Sie, dass sie Auditberichte bereitstellen.
• Stellen Sie sicher, dass Drittanbieter garantieren, dass ihre Subunternehmer spezifische Sicherheits-, Datenschutz- und/oder Compliance-Standards einhalten, die für Ihre Branche relevant sind, wie SOC 2, ISO 27001, HIPAA oder NIST 800-53.
• Definieren Sie die Haftung im Falle eines Sicherheitsverstoßes oder Datenverlusts durch Unterauftragnehmer.
• Verlangen Sie, dass der Drittanbieter Sie unverzüglich über Probleme mit Subunternehmern informiert, die Ihre Organisation betreffen könnten.
• Verlangen Sie, dass Drittanbieter Informationen über wichtige Subunternehmer offenlegen, die an kritischen Geschäftsabläufen beteiligt sind oder sensible Daten handhaben.
• Erwägen Sie, von Drittanbietern zu verlangen, eine Cyberversicherung abzuschließen, die Schäden durch Subunternehmer abdeckt.

Schritt 5: Klassifizieren Sie Drittanbieterrisiken mithilfe eines Risikoregisters und einer Risikomatrix

Als nächstes müssen Sie die potenzielle Wahrscheinlichkeit und Auswirkung jedes Anbieterrisikos bewerten. Dies erleichtert die Priorisierung von Risiken, den Vergleich von Anbietern und die Fokussierung auf die dringendsten Risiken für Ihre Organisation.

Fügen Sie Drittanbieterrisiken Ihrem Risikoregister hinzu, um eine umfassende Sicht auf Ihr Risikoprofil und die Angriffsfläche Ihrer Organisation zu behalten. Verwenden Sie dann eine Risikomatrix, um Drittanbieterrisiken zu priorisieren und einen Migrationsplan zu erstellen.

Eine Risikomatrix bewertet Risiken basierend auf Wahrscheinlichkeits- und Auswirkungswerten. Risiken, die sowohl sehr wahrscheinlich sind als auch erhebliche Auswirkungen auf Ihr Geschäft hätten, haben eine höhere Priorität als weniger schwerwiegende Risiken.

Die Secureframe-Plattform verwendet sowohl qualitative als auch quantitative Skalen für ihr Risikoregister-Feature:

Schritt 6: Wählen Sie einen Drittanbieter aus und richten Sie Minderungsmaßnahmen ein

Nachdem Sie eine engere Auswahl an Drittanbietern getroffen haben, mit denen Sie zusammenarbeiten möchten, müssen Sie möglicherweise zusätzliche Maßnahmen implementieren, um Ihre Geschäftsbeziehung zu gewinnen.

Schließen Sie Mindestdienstleistungsniveaus oder grundlegende Sicherheits- und Compliance-Anforderungen in Ihren Anbietervertrag ein – zum Beispiel, dass der Anbieter verpflichtet ist, ein aktives ISO 27001-Zertifikat zu führen oder eine jährliche SOC 2-Prüfung durchzuführen.

Schritt 7: Überwachen Sie kontinuierlich Drittanbieterrisiken

Risikobewertungen von Drittanbietern sind keine einmalige Angelegenheit. Nach der Einführung eines neuen Anbieters sollten Sie weiterhin jährliche Risikobewertungen von Drittanbietern durchführen, um ein klares und aktuelles Bild Ihrer RisikoUmgebung zu behalten. Aktualisieren Sie Anbieterbewertungen nach Bedarf und markieren Sie Anbieter, die Ihren festgelegten Risikoschwellenwert überschreiten.

Schritt 8: Definieren Sie eine Exit-Strategie für Anbieter

Wenn eine neue Risikobewertung zeigt, dass ein Anbieter Ihr akzeptables Risikoniveau nicht mehr erfüllt, können Sie sich möglicherweise entscheiden, die Beziehung zu beenden. Die korrekte Ausgliederung eines Anbieters ist genauso wichtig wie die erfolgreiche Integration. Daher sollten Sie für jeden Schritt im Lebenszyklus eines Anbieters einen Plan haben.

Während der Ausgliederung müssen Sie den Zugriff eines Anbieters auf Ihre IT-Infrastruktur und Datenressourcen entfernen, um eine starke Sicherheit zu wahren und das Risiko eines Verstoßes zu verringern. Stellen Sie sicher, dass Sie:

• Deaktivieren Sie alle Anbieter-Konten und Anmeldeinformationen, einschließlich gemeinsam genutzter Anmeldeinformationen.
• Deaktivieren Sie Anmeldeinformationen für APIs, VPNs, Dateifreigaben und Messaging-Apps.
• Fordern Sie die Rückgabe von Firmengeräten an.
• Widerrufen Sie den physischen Zugang zu Rechenzentren oder Informationsressourcen.
• Stellen Sie sicher, dass alle vom Anbieter erhaltenen Daten ordnungsgemäß entsorgt wurden.
• Führen Sie Zugriffsprotokolle für Prüfpfade und zur Erkennung unbefugter Zugriffsversuche.

Metriken & KPIs zur Messung des Erfolgs des Risikomanagementprogramms von Drittanbietern

Die Messung der Effektivität Ihres Risikomanagementprogramms für Drittanbieter umfasst mehrere wichtige Kennzahlen. Diese KPIs und KRIs können Ihnen helfen, zu bewerten, wie gut Sie die mit Drittanbieterbeziehungen verbundenen Risiken managen.

Diese Metriken umfassen:

1. Anzahl der Anbieter ohne aktuelle Risikobewertung: Die Einrichtung einer Anbieter-Risikomanagementrichtlinie kann sicherstellen, dass jeder in Ihrem Unternehmen die Anforderungen einhält und dem definierten Risikobewertungsprozess für Drittanbieter folgt.
2. Bestehensquote für Sicherheitsfragebögen: Wenn jeder bewertete Anbieter Ihre Sicherheitsanforderungen erfüllt, sind diese wahrscheinlich nicht streng genug. Stellen Sie sicher, dass die Fragebögen eine umfassende Bewertung der Risikomanagementpraktiken und Sicherheitskontrollen des Anbieters bieten.
3. Anzahl der aktuellen Compliance-Probleme oder Sicherheitsbefunde: Je mehr Probleme es gibt, desto wahrscheinlicher ist es, dass der Anbieter regulatorische Compliance-Strafen oder Verstöße erlebt. Nicht-konforme Anbieter haben erhebliche Auswirkungen auf Ihren eigenen Compliance-Status.
4. Compliance-Rate: Prozentsatz der Drittanbieter, die den Sicherheitsrichtlinien und Standards Ihres Unternehmens entsprechen.
5. Vorfallsreaktionszeit: Zeit, die benötigt wird, um Sicherheitsvorfälle im Zusammenhang mit Drittanbietern zu identifizieren und darauf zu reagieren.
6. Effektivität der Risikominderung: Bewerten Sie, wie effektiv identifizierte Risiken von Drittanbietern gemindert oder verwaltet werden. Dies kann die Überprüfung des Erfolgs implementierter Kontrollen umfassen.
7. Risikoexposition von Viertanbietern: Verstehen Sie das Risiko, das von den eigenen Anbietern Ihrer Drittanbieter ausgeht. Es ist entscheidend zu wissen, wie gut Ihre Drittanbieter nachgelagerte Risiken managen.

Stärken Sie Ihr Sicherheitsrisikomanagement für Drittanbieter mit Secureframe

Die GRC-Automatisierungsplattform von Secureframe bietet robustes Anbietermanagement und eine End-to-End-Risikomanagementlösung, die Ihnen hilft, eine starke Sicherheitslage aufzubauen und aufrechtzuerhalten.

• KI-verbesserte Risikobewertungs-Workflows identifizieren Risiken, weisen Risikobewertungen zu und schlagen Risikobehandlungspläne mit nur wenigen Klicks vor.
• Dokumentieren Sie Risikobehandlungspläne und zeigen Sie die Risikohistorie, um Prüfern und Stakeholdern die Schritte zu zeigen, die Sie unternommen haben, um Risiken zu mindern und Ihre Sicherheitslage zu stärken.
• Erstellen Sie Ihr Risikoregister mit unserer umfassenden Risiko-Bibliothek, die NIST-Risikoszenarien für Kategorien wie Betrug, Recht, Finanzen und IT enthält.
• Verfolgen Sie die Kontrolleffizienz und kennzeichnen Sie Schwachstellen mit kontinuierlicher Überwachung Ihrer Tech-Umgebung.
• Verwenden Sie Automatisierung, maschinelles Lernen und die Wissensdatenbank von Secureframe, um Antworten auf Sicherheitsfragebögen und Ausschreibungen zu automatisieren.
• Verwenden Sie ein Secureframe Trust Center, um Drittanbietern Ihre eigene Compliance und Sicherheitslage zu demonstrieren

Erfahren Sie mehr darüber, wie Secureframe Sicherheit und Compliance rationalisieren und Ihr Risikomanagement verbessern kann, indem Sie ein Demo mit einem Produktexperten vereinbaren.