Zusammenarbeit mit Drittanbietern: Vier entscheidende Bestandteile des Risikomanagements

Mai 12, 2021

Zusammenarbeit mit Drittanbietern: Vier entscheidende Bestandteile des Risikomanagements

By Jaime Arze

Die Anzahl der Managed Service Provider (MSPs), die bei Datto angefragt haben, ob wir oder einer unserer wichtigsten Dienstleister von den Microsoft Exchange ProxyLogon-Schwachstellen betroffen sind, ist null. Houston, wir haben ein Problem!

Fragestellungen zur Sicherheit sollten nicht an der Grenze des eigenen Netzwerks aufhören. Wir müssen auch die Sicherheitslage von Drittanbietern berücksichtigen, die unsere Daten verarbeiten, die in unsere Systeme integriert sind oder auf die wir uns im täglichen Betrieb verlassen. Schließlich ist die Sicherheit einer Organisation nur so stark wie ihr schwächstes Glied und ob wir es glauben wollen oder nicht, Drittanbieter als integraler Bestandteil der Lieferkette sind eine wichtige Komponente des Alltagsgeschäfts.

Für MSPs ist das Konzept des Outsourcings von Arbeitsschritten oder Prozessen selbstverständlich, schließlich ist es die zentrale Grundlage für die Dienstleistungen, die sie ihren Kunden anbieten. Aber wie sicher sind die Anbieter, mit dem Sie eine Partnerschaft eingegangen sind? Schützen Ihre Dienstleister die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Zugriffen auf die gleiche Weise wie Sie selbst? Und vor allem: Sind Sie sich der Sicherheitslücken und Risiken aufgrund ihrer Geschäftsbeziehungen zu den Drittanbietern bewusst? Wenn Sie auf diese Fragen keine Antwort haben, dann vernachlässigen Sie eine wesentliche Komponente der Cyber-Resilienz-Strategie Ihres Unternehmens.

Machen Sie eine Bestandsaufnahme Ihrer Lieferanten?

Lassen Sie uns mit den Grundlagen beginnen. Jeder IT- oder Security-Experte wird Ihnen bestätigen, dass die Grundlage jeder erfolgreichen Maßnahme darin besteht, sich selbst zu kennen, d. h. die eigene Situation bezüglich der Cybersicherheit richtig einzuschätzen. In den meisten Cybersicherheits-Frameworks für MSPs ist die Inventarisierung von Hardware- und Software-Assets ein wesentlicher Bestandteil des Kompetenzbereichs „Identifizierung“ – warum also nicht auch die Drittanbieter bei der Bestandsaufnahme mit einbeziehen?

Wenn man nicht alle relevanten Rahmenbedingungen erfasst und verstanden hat, kann man Probleme nicht effektiv behandeln. Ohne einen Überblick zu haben, welche Dienstleister Ihr Unternehmen in Anspruch nimmt, wird es schwierig für Sie, die tatsächlichen Schwachstellen und Risiken in Ihrem Dienstleisterportfolio zu identifizieren. Besonders wichtig ist es, dabei systematisch vorzugehen. Dafür sollte jeder Drittanbieter in einem Aufzeichnungssystem erfasst und nach Art der Dienstleistung kategorisiert werden. Dieses System kann Teil Ihrer Programme oder auch eine einfache Tabelle sein – am wichtigsten hierbei ist es, Prozesse zu entwickeln und sie beizubehalten.

Die zentrale Verwaltung des Dienstleisterportfolios hat viele Vorteile und nicht alle beziehen sich auf die Sicherheit oder Risiken. Wenn Sie alle Dienstleister zentral erfasst haben, können Sie durch den damit gewonnenen Überblick schnell einschätzen, ob es Redundanzen gibt oder ob Drittanbieter in Ihrem Portfolio sind, die Sie vielleicht nicht mehr benötigen. Darüber hinaus sehen Sie, welche Dienstleister besonders wichtig für Ihr Unternehmen sind und daher bei einer Sicherheitsprüfung priorisiert werden sollten.

Wer ist wer im Gewirr der Dienstleister?

Nicht alle Dienstleister sind gleich und es kann zur Herausforderung werden, die individuellen Eigenschaften jedes Drittanbieters in Ihrem Lieferantenportfolio zu erfassen, besonders wenn Ihre Ressourcen begrenzt sind. Unternehmen, für die Risikomanagement nicht zum Alltagsgeschäft gehört, sollten sich daher auf die Dienstleister fokussieren, deren Kompromittierung den größten Schaden verursachen oder die operativen Abläufe erheblich bremsen könnte.

Die Priorisierung bzw. Kategorisierung von Dienstleistern kann für eine Reihe von Prozessen im Lieferantenmanagement genutzt werden:

  • Festlegen der regelmäßigen Überprüfungen von Dienstleistern im gesamten Unternehmen
  • Definition spezifischer Anforderungen an Dienstleister auf jeder Ebene
  • Beschleunigung der Beschaffungsprozesse für Dienstleister mit geringem Risiko
  • Priorisierung der Sicherheitsprüfung von Dienstleistern mit hohem Risiko

Hier sind einige Schlüsselkriterien, die bei der Kategorisierung Ihrer Dienstleister berücksichtigt werden sollten.

Eine Checkliste zu viel: Ihre Dienstleister richtig einschätzen

Die Komplexität der Beziehungen zu den Drittanbieten, deren Services wir in Anspruch nehmen, nimmt zu. Das sollte auch für die Methoden gelten, mit denen wir sie bewerten. Die Zeit der standardisierten Checklisten sollte eigentlich vorbei sein, dennoch nutzen viele Unternehmen weiterhin veraltete Listen, um komplexe Sicherheitsprozesse zu bewerten. Das ist so, als würde man versuchen, ein dreidimensionales Problem mit einem zweidimensionalen Ansatz anzugehen.

Nachdem wir einen Blick auf die Kriterien für die Identifizierung Ihrer wichtigsten Dienstleister geworfen haben, wenden wir uns einer geeigneten Methode für Sie zu, um die Drittanbieter zu bewerten. In der Regel sollten die Dienstleister der Stufe 1 wie eine Erweiterung Ihres Unternehmens behandelt werden. Deshalb sollten Sie sicherstellen, dass sie über ähnliche oder bessere Richtlinien, Verfahren, Prozesse und Fähigkeiten verfügen als die, die Sie für Ihr eigenes Unternehmen festgelegt haben.

Sie müssen einschätzen können, welche Auswirkungen auf Ihre Abläufe und die Ihrer Kunden zu erwarten wären, wenn es zu einem erfolgreichen Cyber-Angriff auf einen Ihrer Dienstleister käme. Die Bewertung Ihrer Dienstleister sollte sich an dieser Einschätzung orientieren. Wenn Sie sich Sorgen über die Verfügbarkeit eines Dienstleisters machen, bauen Sie feste Service-Level-Agreements (SLAs) in den Vertrag ein. Damit können Sie sicherstellen, dass der Anbieter einen angemessenen Reaktionsplan für den Notfall vorbereitet hat. Vergewissern Sie sich, dass die Business-Continuity-Pläne nicht nur die formalen Ansprüche erfüllen, sondern so aufgebaut und getestet sind, dass sie auch unvorhergesehene Ereignisse überstehen. Wenn Ihre Bedenken in erster Linie die Daten betreffen, dann stellen Sie sicher, dass die richtigen Zugriffskontrollen in das System eingebaut sind, dass Verschlüsselungsstandards angewandt werden, dass Audit-Trail-Protokolle überprüft werden usw.

Es gibt endlos viele Szenarien, sodass man sich nicht auf alle Eventualitäten vorbereiten kann. Wichtig ist vor allem, dass Sie keine Lücken im Sicherheitskonzept des Dienstleisters übersehen und Ihre Bewertung auf der Grundlage eines soliden Verständnisses dessen, was er für Sie tut und wie er sich auf Ihre Cyber-Resilienz auswirken könnte, ausrichten. Es ist leicht, sich darauf zu berufen, dass bestimmte Prozesse bestehen. Schwieriger ist es, deren Effektivität und Effizienz zu dokumentieren. Stellen Sie also sicher, dass Sie weitere Nachforschungen anstellen, Fragen stellen, sich mit den richtigen Ansprechpartnern treffen und deren Pläne zur Behebung von Problemen oder Bedenken dokumentieren. Wenn Sie einen Dienstleister als wichtig eingestuft haben, müssen Sie diesen auch entsprechend behandeln.

Wenn ihre Dienstleister keine Pläne für den Notfall haben, sollten Sie zusammen mit Ihrem Geschäftspartner einen solchen Plan entwickeln und Meilensteine festlegen. Diese werden dem Dienstleister dabei helfen, den Fortschritt zu verfolgen und die gewünschte Lösung zu erreichen. Wenn diese Herangehensweise nicht zur Debatte steht, sollten Sie sicherstellen, dass Sie über ein System verfügen, mit dem Sie das Risiko auf den Dienstleister zurückübertragen können oder das Ganze vertraglich festlegen. Best Practices und Zusicherungen sollten als Voraussetzungen für die Aufnahme einer Geschäftsbeziehung festgeschrieben werden. Werden sie nicht eingehalten, sollte der Schaden ganz oder teilweise vom Dienstleister übernommen werden.

Eine vertragliche Sicherheitsklausel schützt Sie nicht nur, indem sie die Dienstleister zur Einhaltung der Best Practices verpflichtet. Sie legt auch die Kadenz der Geschäftsbeziehung fest und bestimmt die Standards, die beide Parteien im Falle eines Vorfalls einhalten sollen. Faktoren wie Reaktionen auf einen Vorfall, Datenabruf, Dateneigentum, Rechte auf ein Gutachten usw. sollten vor dem Start der Geschäftsbeziehung festgelegt werden. Das sind zwar sehr grundsätzliche Anforderungen, aber wenn es zu Problemen und einer rechtlichen Auseinandersetzung kommt, kann die vertragliche Festschreibung dieser Faktoren für Ihre Rechtsexperten sehr wertvoll werden.

Risikomanagement ≄ Einmalige Sicherheitsüberprüfung

Der Abschluss einer Sicherheitsüberprüfung ist nicht das Ende des Risikomanagements, wenn es um die Zusammenarbeit mit Drittanbietern geht. Wenn Sie eine gewissenhafte Prüfung durchgeführt haben, haben sie wahrscheinlich Lücken in den Prozessen einiger Dienstleister entdeckt. In diesem Falle sollten Sie es nicht bei der Dokumentation der Mängel belassen. Ein aktiver Austausch mit dem jeweiligen Dienstleister ist wichtig. Es ist für beide Seiten von Vorteil, wenn die Kommunikation mit Ihren Dienstleistern offen und ehrlich abläuft. Größere Mängel sollten auf beiden Seiten dokumentiert und den festgelegten Meilensteinen entsprechend weiterverfolgt werden. Darüber hinaus sollten Sie bei größeren Schwachstellen ALLE Ihre Dienstleister fragen, ob sie davon betroffen sind, da dies einen nachgelagerten negativen Effekt auf Ihre Cyber-Resilienz hat.

MSPs sollten die Möglichkeit schaffen, ihre wichtigsten Dienstleister für qualitativ hochwertige Sicherheit und die Vorbereitung auf Notfälle in die Verantwortung zu nehmen. Um das zu erreichen, sind diese vier Bestandteile des Risikomanagements entscheidend:

  • IDENTIFIZIEREN: Verstehen Sie Ihre Dienstleister und deren Einfluss auf Ihre Cyber-Resilienz
  • PRIORISIEREN: Kategorisieren Sie Ihre Dienstleister nach ihrer Bedeutung für Ihren Betrieb und der Wahrscheinlichkeit negativer Auswirkungen im Falle eines erfolgreichen Cyber-Angriffs
  • EVALUIEREN: Entwickeln Sie einen Auswertungsprozess, der auf den Dienstleister und Ihre Bedürfnisse zugeschnitten ist
  • DRANBLEIBEN: Das Management Ihrer Dienstleister ist ein kontinuierlicher Prozess, kein einmaliger Aufwand

Wenn es das nächste Mal eine größere Schwachstelle bei einer bestimmten Technologie gibt, die automatisch kompromittiert wird, fragen Sie die Partner Ihrer Anbieter, ob sie oder einer ihrer wichtigsten Dienstleister davon betroffen ist und was sie dagegen unternehmen. Bis dahin sollten Sie eine Bestandsaufnahme der Dienstleister vornehmen, sie priorisieren, bewerten und diese Prozesse weiterführen.

Relevant Articles

Subscribe to the Blog