3rd-Party-Risiko für die IT-Sicherheit

Unternehmen investieren viel Geld, um ihre IT-Systeme abzusichern. Aber sind auch die Systeme ihrer Partnerunternehmen sicher, fragt IT-Sicherheitsexperte Thomas Kress.

In der komplexen Landschaft der IT-Sicherheit ist es nicht mehr ausreichend, nur das eigene System zu schützen. Das 3rd-Party-Risiko hat sich als eine der größten Bedrohungen für Unternehmen herausgestellt. Selbst wenn ein Unternehmen über modernste Sicherheitsmaßnahmen verfügt, kann es durch die Schwachstellen eines Partners oder Zulieferers gefährdet werden. Diese externen Systeme können, wenn sie nicht ausreichend gesichert sind, als Einfallstore für Cyberangriffe dienen.

Hacker, immer auf der Suche nach dem schwächsten Glied in der Kette, haben erkannt, dass Zulieferer und Partner oft weniger gut geschützt sind. Sie nutzen diese Schwachstellen gezielt aus, um Zugang zu den wertvolleren Netzwerken und Daten des Hauptunternehmens zu erhalten. Daher ist es für Unternehmen von entscheidender Bedeutung, nicht nur ihre eigenen Sicherheitsmaßnahmen zu überprüfen, sondern auch die ihrer Partner und Zulieferer sorgfältig zu bewerten.

Supply Chain Risk Management

Das Bewusstsein für die Bedeutung des Supply Chain Risk Managements (SCRM) steigt stetig. Insbesondere Unternehmen aus der Finanz- und Versicherungsbranche sowie große Industriekonzerne haben die Relevanz dieses Konzepts schon früh erkannt und integriert. Auch im gehobenen Mittelstand gewinnt das SCRM zunehmend an Bedeutung. Für einige mag der Begriff im Kontext der NIS2-Direktive das erste Mal aufgetaucht sein, doch die Umsetzung in der Praxis zeigt oft ein uneinheitliches Bild.

Es ist nicht ungewöhnlich, dass Unternehmen lediglich Alibi-Prozesse durchführen, bei denen Zulieferer umfangreiche Fragebögen ausfüllen müssen. Doch diese Befragungen sind oft oberflächlich, und die gelieferten Antworten werden selten gründlich überprüft. Zulieferer wissen oft genau, welche Antworten von ihnen erwartet werden und liefern diese entsprechend, unabhängig von der tatsächlichen Situation. Dieses Vorgehen birgt erhebliche Risiken und zeigt, dass ein tieferes Verständnis und eine konsequentere Umsetzung des SCRM dringend erforderlich sind.

System der Partner regelmäßig überprüfen

Vertrauen ist gut, Kontrolle ist besser – dieses Sprichwort gewinnt im Kontext des Supply Chain Risk Managements an besonderer Bedeutung. Wenn Unternehmen die IT-Sicherheit ernst nehmen, reicht es nicht aus, sich auf die Selbstauskünfte ihrer Zulieferer und Partner zu verlassen. Eine einmalige Überprüfung bei der Aufnahme einer Geschäftsbeziehung kann einen ersten Eindruck vermitteln, doch die IT-Landschaft ist dynamisch. Sicherheitskonfigurationen ändern sich, Software wird aktualisiert, Zertifikate laufen ab und neue Sicherheitslücken werden entdeckt. Daher ist es unerlässlich, die IT-Sicherheit der Partner regelmäßig und idealerweise in Echtzeit zu überwachen. Ein kontinuierliches Audit aller Zulieferer und Partner wäre jedoch sowohl zeitlich als auch ressourcentechnisch kaum umsetzbar. Es bedarf also innovativer Lösungen, um die Sicherheit der gesamten Lieferkette effizient zu gewährleisten und gleichzeitig die operativen Abläufe nicht zu behindern.

OSINT-Analysen für Echtzeit-Überwachung

In der sich ständig wandelnden Landschaft der IT-Sicherheit bieten OSINT-Analysen (Open Source Intelligence) eine fortschrittliche Methode, um die Sicherheitslage von Zulieferern und Partnern kontinuierlich im Blick zu behalten. Anstatt aktive Scans oder Penetrationstests durchzuführen, die rechtliche Grauzonen berühren könnten, analysieren OSINT-Tools Informationen aus öffentlich zugänglichen Quellen. Diese Daten, die auch Hackern zur Verfügung stehen, werden systematisch gesammelt und ausgewertet. So können Unternehmen erkennen, ob etwa veraltete Software mit bekannten Schwachstellen im Einsatz ist, ob bestimmte Server unsachgemäß aus dem Internet erreichbar sind oder ob die Verschlüsselung von Webdiensten den aktuellen Standards entspricht.

Die Stärke von OSINT-Analysen liegt in ihrer Fähigkeit, kontinuierlich und in Echtzeit zu überwachen, ohne die Systeme der Partner direkt zu beeinflussen. Dies ermöglicht Unternehmen, potenzielle Risiken frühzeitig zu identifizieren und proaktiv zu handeln, bevor sie zu echten Bedrohungen werden. Es ist jedoch wichtig, den richtigen OSINT-Anbieter auszuwählen, da sich die Qualität und Aktualität der gesammelten Daten erheblich unterscheiden kann.

OSINT-Tools mit Prozess-Mining kombinieren

Die Digitalisierung treibt nicht nur die Entwicklung neuer Sicherheitstools voran, sondern auch die Integration bestehender Systeme, um Prozesse zu optimieren und Risiken zu minimieren. Einige fortschrittliche Unternehmen haben bereits begonnen, ihre OSINT-Plattformen um zusätzliche Analysen zu erweitern. Themen wie Bonität und ESG (Environmental, Social, Governance) werden immer relevanter, da sie weitere wichtige Aspekte des Risikomanagements abdecken. Durch die Integration dieser Analysen in eine zentrale Plattform können Einkaufsabteilungen ein umfassendes Tool nutzen, das alle erforderlichen Checks für potenzielle und bestehende Partner bietet.

Ein besonders spannender Ansatz ist die Kombination von OSINT-Tools mit Prozess-Mining-Lösungen. Unternehmen wie Celonis haben solche Integrationen vorgenommen, um sicherheitsrelevante Informationen direkt in bestehende Bestell- und Lieferkettenprozesse einfließen zu lassen. Dies reduziert die Komplexität und ermöglicht es Unternehmen, Risiken in Echtzeit zu erkennen und zu managen, ohne zusätzliche Systeme oder Prozesse implementieren zu müssen.

Thomas Kress

ist IT-Sicherheitsexperte und Inhaber der TKUC Group.