Die heutige Cybersicherheitslandschaft erfordert eine agile und datengesteuerte Risikomanagementstrategie, um mit der ständig wachsenden Angriffsfläche von Drittanbietern fertig zu werden.
Wenn ein Unternehmen Dienstleistungen durch gemeinsame Nutzung von Daten und Netzwerkzugriff auslagert, erbt es das Cyber-Risiko von seinen Anbietern über deren Mitarbeiter, Prozesse, Technologie und die Drittanbieter dieses Anbieters. Das typische Unternehmen arbeitet mit durchschnittlich fast 5.900 Drittewas bedeutet, dass Unternehmen einem enormen Risiko ausgesetzt sind, unabhängig davon, wie gut sie ihre eigenen Grundlagen abdecken.
So führten beispielsweise 81 individuelle Vorfälle durch Dritte zu mehr als 200 öffentlich gemeldeten Verstößen und Tausenden von Verstößen mit Welleneffekt im Laufe des Jahres 2021, so a Bericht von BlackKite.
Der derzeitige Outside-in-Ansatz für das Management von Drittrisiken ist unzureichend. Stattdessen muss sich die Branche auf einen neuen Ansatz für das Risikomanagement von Drittanbietern zubewegen, indem sie Gespräche über die Outside-In-Bewertungen hinaus initiiert. Insbesondere sollten Unternehmen Zero-Trust-Prinzipien für alle Anbieter festlegen, das Risiko externer und interner Assets mit Inside-Out-Bewertungen bewerten und das Cyber-Risiko in Echtzeit messen.
Das Zero-Trust-Prinzip „Niemals vertrauen, immer überprüfen“ ist weit verbreitet, um interne Umgebungen zu verwalten, und Unternehmen sollten dieses Konzept auf das Risikomanagement von Drittanbietern ausdehnen.
Um dem entgegenzuwirken, müssen Unternehmen Anbieter als Teilbereiche ihres Geschäfts betrachten.
Die drohende Bedrohung
Die Menge an Daten und geschäftskritischen Informationen, die ein Unternehmen mit seinen Anbietern teilt, ist überwältigend. Beispielsweise kann ein Unternehmen geistiges Eigentum mit Fertigungspartnern teilen, persönliche Gesundheitsinformationen (PHI) auf Cloud-Servern speichern, um sie mit Versicherern zu teilen, und Marketingagenturen Zugriff auf Kundendaten und personenbezogene Daten (PII) gewähren.
Dies ist nur die Spitze des Eisbergs, und die meisten Unternehmen wissen oft nicht, wie groß der Eisberg wirklich ist. In einer Umfrage des Ponemon Institute, 51 % der befragten Unternehmen gaben dies an Bewerten Sie nicht die Cyber-Risikolage Dritter, bevor Sie ihnen Zugang zu vertraulichen Informationen gewähren. Darüber hinaus gaben 63 % der befragten Unternehmen an, dass sie keinen Einblick haben, auf welche Daten und Systemkonfigurationen Anbieter zugreifen können, warum sie darauf zugreifen können, wer Berechtigungen hat und wie die Daten gespeichert und weitergegeben werden.
Dieses riesige Netzwerk von Unternehmen, die Informationen in Echtzeit austauschen, führt zu einer riesigen Angriffsfläche, die immer schwieriger zu verwalten ist. Um diese Herausforderung zu meistern, nutzen Unternehmen Cybersicherheitsinitiativen wie fragebogenbasierte Onboarding-Umfragen und Sicherheitsbewertungsdienste in ihren Risikomanagementstrategien von Drittanbietern.
Obwohl diese Tools bestimmte Anwendungsfälle haben, haben sie auch schwerwiegende Einschränkungen.
Cybersicherheitsbewertungsdienste sind ein schneller und kostengünstiger Ansatz für Risikobewertungen durch Dritte. Ihre Einfachheit – die das Cyber-Risiko eines Anbieters als Punktzahl darstellt, wie Bonitätsbewertungen bei Finanzdienstleistungen – macht sie trotz der Einschränkungen zu einer beliebten Wahl.