Die Vierten im Bunde : Cyber-Gefahren durch Subunternehmen und Auftragnehmer von Third Parties
Im Rahmen heutiger komplexer Lieferketten-Strukturen hat man es längst nicht mehr nur mit dritten, sondern auch mit vierten Parteien zu tun. Das geht einerseits durch Verträge und in Zusammenarbeit mit kooperativen Third Parties, ergänzend und teilweise – etwa bei unwilligen Partnern – aber auch ausschließlich durch eigene technische „Aufklärung“, etwa über ein External-Attack-Surface-Management (EASM).
Unternehmen sind sich mittlerweile bewusst, dass sie eine Vielzahl von Drittanbietern in ihre digitalen Prozesse integrieren. Die starke und unvermeidliche Abhängigkeit von Drittanbietern wie Cloud- und software-as-a-Service-(SaaS)-Providern ist eine Realität der heutigen IT- und Sicherheitsabläufe: Unternehmen übertragen sensible und geschützte Daten an Computer-Umgebungen von Drittanbietern, wo sie verarbeitet und gespeichert werden. Diese können ein Risiko für das Unternehmen darstellen, weshalb es wichtig ist, die Kontrolle über diese Prozesse zu behalten. Bei einem Cyber-Angriff kann dies sonst schnell zu Schäden an Ruf und Geldbeutel führen.
Was aber oft etwas unter den Tisch fällt: Wenn Dritte andere externe Parteien damit beauftragen, den Betrieb zu unterstützen und die Daten des ersten Unternehmens zu verarbeiten, dann kommt eine vierte Partei als Risiko ins Spiel. Dann muss auch deren angemessene Cyber-Abwehr sichergestellt werden!
Auf die Verträge achten
Da in einer Lieferkette viele solcher vierten Parteien involviert sein können, ist es unerlässlich, zunächst diejenigen zu identifizieren, die hinter den Kulissen mit den sensiblen Daten des Unternehmens umgehen. Die Anforderungen an eine solide Due-Diligence-Prüfung von Anbietern, die sich aus den Cybersicherheits-Gesetzen und -Richtlinien für stark regulierte Sektoren, wie Banken, Versicherungen und Gesundheitsdienstleister sowie kritische Infrastrukturen (KRITIS) an sich ergeben, haben Entscheider* möglicherweise schon früher dazu veranlasst, von Dritten Informationen über vierte Parteien anzufordern.
Eine vertragliche Festlegung der geforderten Offenlegung macht es einfacher, diese Informationen zu sammeln. Wenn in bereits unterzeichneten Verträgen eine solche Klausel fehlt und unwillige Drittanbieter sich weigern, die angeforderten Informationen zur Verfügung zu stellen, oder diese Bemühungen ignorieren, dann müssen Führungskräfte selbstbewusst auftreten und die Informationen auf andere, technologische Weise beschaffen.
Das Management externer Angriffsflächen (External-Attack-Surface-Management, EASM) bezeichnet die Praxis der Identifizierung möglicher Schwachstellen und Sicherheitslücken in öffentlich zugänglichen digitalen Angriffsflächen eines Unternehmens. Dazu gehören auch die SaaS-Anbieter, mit denen das Unternehmen als Dritt- und Viertanbieter verbunden ist. EASM ist häufig eine SaaS-Lösung für das Dashboarding nach den Scans – sie muss sich nicht mit dem Unternehmen verbinden und führt Scans nur mit minimalen Domäneninformationen durch. Es identifiziert alle IT-Ressourcen, die öffentlich zugänglich sind, und zeigt alle möglichen Schwachstellen.
EASM-Tools verfügen zudem über eine der leistungsstärksten Funktionen überhaupt: Sie erkennen IT-Ressourcen, die über das Internet zugänglich sind, und melden sie, obwohl das Unternehmen selbst womöglich nicht darüber informiert ist – dazu gehören eben auch Ressourcen Dritter und Vierter. Aktuelle EASM-Tools sind heute häufig KI-gesteuert und überwachen sowie prüfen ständig die digitale Oberfläche eines Unternehmens: Sobald neue Assets auftauchen, werden sie umgehend identifiziert.
Schwachstellen, Bedrohungen und Risiken werden über ein Dashboard gemeldet (vgl. Abb. 2).
Das Heft des Handelns in die Hand nehmen
Falls Drittanbieter kooperativ sind, sollte man als Unternehmen anfragen, welche Mechanismen deren Sicherheitskontrollen und die vierten Parteien überwachen. Dazu gehört auch die Frage, wie und wann die Drittanbieter im Falle von Sicherheitsvorfällen, die sich auf den Betrieb und die Daten eines Unternehmens auswirken können, benachrichtigt werden – und ob, wie und wann sie diese Meldungen an das Unternehmen weitergeben. Gleichzeitig sollte man die Service-Level-Agreements (SLAs) der Drittanbieter für die Benachrichtigung bei Sicherheitsvorfällen prüfen: Der Zeitrahmen muss mit den Richtlinien des eigenen Unternehmens für Disaster-Recovery (DR) und Business-Continuity-Management (BCM) sowie mit den gesetzlichen Anforderungen übereinstimmen.
Als Teil einer effektiven kontinuierlichen Überwachung von Drittanbietern – wahrscheinlich durch den Einsatz eines kommerziellen Sicherheits-Scoring-Tools implementiert – müssen Unternehmen auch Drittanbieter einbeziehen und deren Sicherheits-Scores überwachen. Auf direkte Verstöße oder sogar Ausfallzeiten von Drittanbietern muss aufmerksam gemacht werden, sofern sie zu Ausfällen oder finanziellen Verlusten des Unternehmens führen können.
„Klumpen“ vermeiden
Eine große Gefahr vieler Drittparteien: Wenn diese bei der Erbringung von Dienstleistungen für ein Unternehmen selbst in hohem Maße auf einen gemeinsamen Anbieter angewiesen sind, entsteht das Risiko eines einzelnen Ausfallpunkts mit großer Schadenswirkung (Single Point of Failure, SPoF). Solche Abhängigkeiten sollte man, wenn möglich, reduzieren. Bei größeren Drittanbietern haben deren Risiko-Management-Abteilungen dieses Konzentrationsrisiko in der Regel berücksichtigt und verfügen über Daten zur Quantifizierung dieses Risikos sowie Pläne zur seiner Verringerung.
Das Management der Risiken von Drittanbietern, vierten Parteien und der Lieferkette an sich muss im Unternehmen zwingend abteilungsübergreifend erfolgen: Die Abteilungen für die Beschaffung und das Management von Drittanbietern sind dafür verantwortlich, Anbieter aufzunehmen und die anfänglichen und fortlaufenden Due-Diligence-Prüfungen durchzuführen. In vielen Fällen führen IT- und Anwendungseigentümer, die auf Unternehmensebene dezentralisiert sind, jedoch direkte Interaktionen
mit Drittanbietern durch. Sie sind dann auch dafür verantwortlich, die entsprechenden Dienstleistungen zu erhalten, die Servicelevels zu bestimmen und sich mit den jeweiligen vierten Parteien auseinanderzusetzen.
IT- und Anwendungseigentümer sind wiederum diejenigen, die von Front-End-Benutzern der Anwendungen oder Tools bei Systemausfällen, Störungen und Sicherheitsvorfällen kontaktiert werden. Sie haben im Laufe der Zeit Service- und Sicherheitsdaten gesammelt, die ihnen helfen, die Probleme zu lösen. Wenn die tatsächlichen Service-Levels nicht (rechtzeitig) mitgeteilt werden, kommt es zwangsläufig zu einer Trennung zwischen den Abteilungen auf Unternehmensebene und den Eigentümern, die sich aus erster Hand mit den Beziehungen zu Dritten befassen. Dies ist vor allem dann der Fall, wenn es keine unternehmensweite Plattform für Beschaffung, Drittanbieter oder Lieferketten-Management gibt.
Unternehmen müssen letztlich sicherstellen, dass mindestens eine jährliche Aktualisierung der Informationen über Dritt- und Viertanbieter erfolgt. Dies sollte vorzugsweise in Übereinstimmung mit dem Zeitplan für die Überprüfung von SLAs und die Erneuerung von Verträgen erfolgen. Eine Plattform zum Lieferketten-Management ist heute zwingend mit einem Dienst zu integrieren, der Sicherheitsbewertungen von Anbietern bereitstellt und alle relevanten Informationen in einem einzigen Fenster anzeigt. Zudem muss ein „Responsable, Accountabile, Consulted and Informed“-Diagramm (RACI) erstellt werden, in dem die Rollen und Zuständigkeiten der zentralen und dezentralen Beteiligten detailliert aufgeführt sind.
Fazit
Ein wirksames Risiko-Management in der Lieferkette erfordert einen vielschichtigen Ansatz. Dazu gehören ein effektives Programm für das Risiko-Management von Lieferanten, eine kommerzielle Plattform für das Lieferanten-Management, ein EASM-Tool sowie verbesserte vertragliche Vereinbarungen, welche die Offenlegung von Risiken gegenüber dem eigenen, auftraggebenden Unternehmen einschließen.
Nur eine derart umfassende Herangehensweise, die Angestellte, Prozesse und Technologie in einer durchdachten und kohärenten Weise zusammenführt, ermöglicht am Ende das Management der Gefahren, die von vierten Parteien ausgehen.
Marco Eggerling ist studierter IT-Jurist mit einem LL.M-Abschluss der University of Edinburgh und Global CISO bei Check Point Software Technologies.