Était les cisos von Moschusochsen Lernen Können

Drittanbieter-Risikomanagement Ist Für Cisos und Sicherheisentscheider Eine signifikante Herausforderung. Wird Sie Nicht (Richtig) Gestemmt, Drohen Weitreichende Geschäftliche Konsequenzen – Bis hin zum Stillstand der Produktion.

Das Wurde dans Den Vergangenen Monaten von Diversen Cyberattacken Auf Drittanbieter Unterstrichen. Zum Beispiel, als im juni 2024 die russische hackergruppe apt29 (auch bekannt als « Cozy Bear ») die kostenlose éloignée-access-software teamViewer Ins Visier nahm, die im unternehmensumfeld weit verbreiTet It. Selbst, Wenn Sie TeamViewer Nicht Einsetzen – ähnliche outils gibt es auch von Diversen, Anderen Anbietern. Beislieweise von perimeter81, anydesk, gotomypc oder logmein.

Die Entscheidenden Fragen Sind Dabei:

• Welcher Drittanbieter Wird als Nächstes Angegriffen?
• Und Können Sie es sich Leisten, diesbezüglich ein Risiko Einzugehen?

Drittanbieter Sind ihr schwächstes volée

Leider Verlassen Sich So Gut wie alle unternehmen in Zu Hohem maße auf zu Viele Verschiedene drittanbieter, Die in ihre Softwarelieferketten und GeschäftSprozesse eingebettet Sind. Dabei reven wir nicht über zwei oder drei tiers-parti-partis, sondern mit blick auf populäre logiciel-as-a-servicebote eher über hunderte oder tausende, auf die sich unternehmen Jeden tag tag verlassen.

Das Risiko, Das Einer Zusammenarbeit mit drittanbietern inhärent ist, Steigt Entsprechend Raristisch an – und nicht nur, wenn ihre anzahl überhandnimmt. Weitere Risikofaktoren dans Diesem Bereich Sind Beispsielsweise:

• Eingeschränkte transparenz. Alors intestin, alle anbieter bieten potenziellen kunden diversifié daten an, um ihre fähigkeiten anzupreisen. Dabei Kommen in Einigen Fällen Allerdings Informationen Zum Einsatz, die nicht aktuell Sind und somit die aktulle Risikolage Nicht Adäquat widerspiegeln.
• Mehr Komplexität. Divers Drittanbieter Arbeiten Selbst Mit Zulieferern und Subnternnehmen Zusammen, von Denen Sie Möglicherwerweise Nichts Wissen.
• Unausgereifte Prozesse. NICHT WENIGE tiers-anbieter arbeiten mit cybersecurity-richtlien und-standards, die weniger ausgereift sind als ihre eigenen.
• Geargere Investtionen. Letztgenannter punkt hängt oft auch damit zusammen, dass viele drittanbieter ein begrenztes budget für cybersicherheit zur verfügung Haben. Das Kann Sich auf das Sicherheitsniveau ihrer outils und des services Auswirken.

Zwar Wurde Eine Reihe von Best Practices und Playbooks Entwickelt, Um Diese Lücken Zu Schließen – Diese Haben Sich dans Weiten Teilen Allerdings Nicht Bewährt:

• Évaluations des vendeurs Verkommen Regelmäßig Zu Papierbasierten «Ankreuzübungen», Die Nur Zeit Fressen, Aber Nicht Dazu Beitragen, Risiken Zu minimierren.
• Auch Im Rahmen von vertragsverhandlungen dafür sorgen zu wollen, dass strengère sicherheitsanforderungen bei drittanbietern angelegt werden, chapeau à Vielen fällen nichts bewirkt.
• Einige Unternehmen Setzen Auf Continuous Monitoring, Um Einen überblick und Mehr, Datetengetriebene Einblicke dans Das Sicherheitsniveau von Drittanbietern Zu Erhalten.
• Andere Implements Mit Blick auf Auf tiers-partis incident-réponse-pläne, Um Strategien Zu Entwickeln und Einzuüben, Falls es bei diesen zu einem sicherheitsvorfall kommt.

Insbesondere die letzten beiden punkte können für unternehmen hilfreich sein. Allerdings Adressieren Auch diese Maßnahmen das Risiko dans Zusammenhang mit drittanbietern nicht vollumfänglich. Vielmehr Stellen Sie Ein Mitel Dar, Um Zu überwachen und Zu Reagieren, Falls es Zu Einer Cyberattacke Kommt.

Die Moschusochsen-Stratgie

ICH BIN STOLZES MITGLIED DES «Centre de partage et d’analyse d’informations financières» (FS-ISAC) und Habe Zusammen Mit Anderen Cisos Aus der FinanzDienstleistungsbranche den Vorsitz des Strategischen Ausschusses dans Der Asien-Pazifik-Region inne. Das Konsortium bietet finanzdienstleistern auf der ganzen welt ein umfassendes cyber-intelligence-netzwerk, um sich Untereinander über möglicherwerweise bevorstehende oder Bereits laufende angriffskampagnen auszutauschen.

Weil Viele Verschiedene unternehmen Der Branche Mit Unterschiedlich Ausgeprägtem Knowhow und Ressourcen an Bord Sind, Sind Die Mitglieder in Der Lage, Eine Umfassende Perspektive Zu Erhalten, die Sie alleine Nicht Errechen Könnten. Das fs-isac ist insefern ein hervorragendes beispiel dafür, wie wir als Sicherheisentscheider zusammenarbeiten können, um unsser besser gegen Risiken Abzuchern.

Das ist die Essenz Dessen, était ich als «Moschusochsenstrategie» Bezeichne. Der Hintergrund: Werden Moschusochsen von Wölfen Angegriffen, Bildet die Herde Einen Kreis, dans dessen mitte sich die schwächeren mitglieder befinden. Die Hörner der «Frontline» -Tiere Sind Dabei Nach Außen Poséiert. Für die angreifer ist dieser gemeinschaftliche verteidigungwall kaum noch zu überwinden. Ich bin der Festen überzugung, Dass Sich Diese Strategie Auch auf Das Drittanbieter-Risikomanagement übertragen lässt.

Ähnlich wie bei den moschusochsen die kälber sind die drittanbieter, auf die wir un verlassen, die schwächsten herdenmitglieder. Werden Sie in mitleidenschaft Gezogen, wirkt sich das auf unfrese kritischen geschäftsprozesse aus. Der Underschied Zu den Moschusochsen: Wir Bilden Keinen Kreis, dans dessen mitte sich die drittanbieter befinden. Stattdessen Wäre es angebracht, sich im kollektiv darüber Auszutauschen, wenn die sorge belteht, dass die cybersecurity-maßnahmen bei einem tiers-partis-anbieter zu wünschen übriglassen unstärkt werden sollten.

Noch Wichtiger Wäre Allerdings Eine Gemeinsame übereinkunft Darüber, den drittanbieter bei Seinen Bemühungen Zu Unterstützen. Das würde potenziell koordiationsarbeit unter umständen auch eine neuverhandlung von verträgen erfordern – hätte aber den vorteil, diese schwachstelle.

Von der Theories Zur Praxis

Ein Solches Zusammenwirken Könte Unter Juristen Durchaus Bedenken Aufwerfen – Stichwort WettBewerbsrecht. Dennoch Hat der Moschusochsenansatz das potenzial, die Risikolage in sachen drittanbieter entscheidend zu verbessen – und unternehmen dabei zu Untertützen, tiers-parti-risiken besser zu manage.

Das Könte – Zum Beispiel – Folgendermaßen Aussehen:

1. Bestimmen Sie, Welche Drittanbieter Ihnen Am Meisten Sorgen Bereiten und erstellen Sie Eine «Hot List».
2. Tauschen Sie Sich mit Anderen Unternehmen Aus, um diese liste abzugleichen und die kandidaten zu ermitteln, die sie gemeinsam Haben.
3. Verhandeln Sie über Einen Gemeinschaftlichen «Schutzschild» für diese anbieter.

Denselben Ansatz Haben Wir Bei fs-Isac als Möglichen weg für die zukunft diskutitiert. Die ersten beiden schrittte sind relativ Simpel zu bewerkstelligène – der dritte macht Hingegen Deutlich mehr aufwand, aber auch den Entscheidenden Underschied. Ein Praktischer Ansatz, Um Diesen Umzusetzen, Könte Dabei Darin Bestehen, Dass Die Größten Unternehmen Eine Führungsrolle Einnehmen und Kleinere unter ihre Fittiche Nehmen.

Vergessen Sollten Sie Dabei Nicht, Dass Auch Die Moschusochsen-STratégie Ihre Grenzen Hat: Wenn Ein Bär Angreift, Machen Sich Auch Moschusochsen Aus dem Staub – Dannst Jeder auf Sich Allein Gestellt. Das lässt sich ebenfalls auf die cybersicherheit übertragen: je mächtiger der feind, desto wahrscheinlicher ist es, dass der angriff in einen kampf ums Blanke überleben ausartet. Aber Auch Wenn Diese Strategie Nicht auf Jedes Szenario Anwendbar ist, Könte Sie unser Kollektives Risiko Erheblich Minmileren. (FM)

SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.