Der Verizon Data Breach Investigations Report 2022 enthält eine wahre Fundgrube an Daten, in denen mehr als 23.896 Sicherheitsvorfälle und 5.212 Datenschutzverletzungen für den Zeitraum vom 1. November 2020 bis zum 31. Oktober 2021 analysiert werden. Einige beunruhigende Trends in den Daten sollten jedoch Sicherheits-, Risiko- und Lieferantenmanagementteams alarmieren, damit sie sich besser auf zukünftige Vorfälle vorbereiten können. Hier sind die wichtigsten Erkenntnisse aus dem Bericht zum Risikomanagement durch Dritte.
62 % der System-Einbruchsvorfälle erfolgten über einen Partner
Jedes Unternehmen ist in gewissem Maße auf Dritte angewiesen – seien es Anbieter
,
die Waren oder Dienstleistungen zur Unterstützung des Geschäftsbetriebs liefern, oder Lieferanten
,
die Vorleistungen für Endprodukte erbringen. Die Daten von Verizon zeigen, dass Partner (z. B. Dritte, Anbieter oder Lieferanten) im letzten Jahr für 62 % der Systemeinbrüche verantwortlich waren (siehe Abbildung 36 aus dem Bericht). Wenn man bedenkt, dass Partner 2008 nur an 39 % der Datenverstöße beteiligt waren, wird schnell deutlich, wie erstaunlich stark die Zahl der an Sicherheitsvorfällen beteiligten Dritten im Laufe der Zeit gestiegen ist. Mit jedem Dritten, mit dem Sie Geschäfte machen, vergrößert sich Ihre Angriffsfläche exponentiell.
Angriffe auf die Software-Lieferkette (über Software-Updates) sind maßgeblich für den Anstieg der von Partnern ausgehenden Angriffe verantwortlich. Diese Art von Vorfällen macht 9 % aller Vorfälle im Jahr 2021 aus. Ein einziger kompromittierter Softwareanbieter, der Updates an Tausende seiner Kunden verteilt (die wiederum mit Tausenden von Anbietern, Lieferanten und anderen Dritten zusammenarbeiten könnten – d. h. sekundäre Opfer), kann unvorstellbaren Schaden anrichten (siehe SolarWinds).
Obwohl die Daten zeigen, dass Verstöße durch Dritte nur 1 % der Datenverstöße ausmachen, stellt Verizon fest, dass bei dieser Methode gestohlene Anmeldedaten und Ransomware zwei der fünf häufigsten Vorgehensweisen waren. Das bedeutet, dass Risikomanager für Dritte aktiv sicherstellen sollten, dass ihre Drittanbieter und Lieferanten über strenge Passwortrichtlinien und Netzwerksegmentierungsarchitekturen verfügen – und in der Lage sind, diese Praktiken unabhängig zu validieren.
(Quelle: Verizon Data Breach Investigations Report, Mai 2022)
Die Fertigungsindustrie ist ein zunehmend beliebtes Ziel
Aus Sicht der Branche machen Partner 1 % der Bedrohungsakteure im Fertigungssektor aus. 1 % mag zwar nicht viel erscheinen, aber bedenken Sie den Schaden, den ein einziger Systemangriff wie die Ransomware-Attacke auf den Toyota-Zulieferer Kojima Industries angerichtet hat. Auch wenn dieser Vorfall nicht in diesem Datensatz enthalten ist, sollte er uns daran erinnern, dass ein einzelner Vorfall weitreichende und lang anhaltende Auswirkungen haben kann. Tatsächlich zeigen die Daten von Verizon, dass die Fertigungsindustrie insgesamt ein zunehmend beliebtes Ziel ist – mit exponentiell steigenden Systemeinbrüchen. Siehe Abbildung 92 aus dem Bericht.
(Quelle: Verizon Data Breach Investigations Report, Mai 2022)
Deutlicher Anstieg von Ransomware
Um beim Thema Ransomware zu bleiben: Die Zahl der Ransomware-Angriffe stieg im Jahr 2020 um 13 % an, was laut Verizon einen größeren Anstieg gegenüber dem Vorjahr darstellt als in den letzten fünf Jahren insgesamt. Siehe Abbildung 38 aus dem unten stehenden Bericht.
Der Anstieg der Vorfälle und Sicherheitsverletzungen sollte nicht überraschen; man muss nur die Schlagzeilen lesen, um sich über die neuesten Opfer zu informieren. Im letzten Jahr gab es bedeutende Ransomware-Angriffe durch Dritte, darunter PracticeMax, Kaseya und Colonial Pipeline – viele davon waren Varianten der Ryuk-Ransomware.
(Quelle: Verizon Data Breach Investigations Report, Mai 2022)
Sieben bewährte Best Practices zur Reduzierung von Risiken durch Dritte
Angesichts der zunehmenden Zahl von Sicherheitsverletzungen durch Dritte und Ransomware-Angriffen sollten Unternehmen, die manuelle Methoden zur Verwaltung der Risiken von Drittanbietern und Lieferanten einsetzen, die Umsetzung der folgenden Best Practices in Betracht ziehen, um die Identifizierung, Einstufung und Minderung dieser Risiken zu beschleunigen.
- Beginnen Sie mit dem Management von Risiken durch Dritte noch vor Vertragsunterzeichnung, indem Sie aktuelle Datenverstöße und regulatorische Maßnahmen analysieren und potenziell riskante Beziehungen zu Vierten aufdecken – Daten, die Ihnen weitere Informationen für Ihre Entscheidungen zur Lieferantenauswahl liefern können.
- Legen Sie Reaktionszeiten für Vorfälle und Verstöße in Lieferantenverträgen fest und automatisieren Sie die Berichterstattung anhand durchsetzbarer SLAs, um Warnmeldungen auszulösen, wenn Erwartungen nicht erfüllt werden. Stellen Sie außerdem sicher, dass Ihre Lieferanten über einfache, intuitive Mechanismen für die Meldung und Benachrichtigung von Vorfällen und Verstößen verfügen.
- Messen Sie das inhärente Risiko von Drittanbietern und stufen Sie Lieferanten entsprechend ihrer inhärenten Risikobewertung ein, um den Umfang der laufenden Due-Diligence-Prüfungen nach der Aufnahme festzulegen.
- Führen Sie detaillierte, auf internen Kontrollen basierende Risikobewertungen von Lieferanten anhand von Best-Practice-Sicherheitsrahmenwerken wie NIST oder ISO durch und erstellen Sie Workflows und Berichte, um Kontrollausnahmen zu eskalieren und Abhilfemaßnahmen vorzuschlagen. Diese Aktivitäten sollten spezifische Risikobereiche wie menschliche Faktoren, Datenmanagement und Authentifizierungsmechanismen berücksichtigen.
- Überprüfen Sie die fortlaufende Wirksamkeit der Kontrollen eines Anbieters, indem Sie extern beobachtbare Cybersicherheitsmetriken mit den Ergebnissen interner Kontrollbewertungen korrelieren. Wenn beispielsweise die Benutzer-IDs und Passwörter eines Anbieters in einem Dark-Web-Forum zum Verkauf angeboten werden, können Sie diesen Befund mit der Antwort der Bewertung verknüpfen, in der die Stärke der Passwortrichtlinie des Anbieters diskutiert wird, und entscheiden, ob Änderungen vorgenommen werden müssen.
- Identifizieren Sie Beziehungen zwischen dem Unternehmen und Dritten, um Abhängigkeiten aufzudecken und Informationspfade zu visualisieren, die für Angriffe durch Vierte offen sein könnten.
- Nutzen Sie Workflows, um Berichte über Systemzugriffe, Datenvernichtung und Zugriffsverwaltung zu erstellen und potenzielle Zugangswege zu Ihrem Unternehmen zu schließen, sobald ein Lieferant ausgeschieden ist.
Umgang mit Sicherheitsvorfällen bei Drittanbietern und Lieferanten
Da Datenverstöße bei Anbietern und Störungen in der Lieferkette weiterhin Schlagzeilen machen, kann man leicht von den Anforderungen der Risikobewertung bei Hunderten (oder sogar Tausenden) von Drittanbietern überwältigt werden.
Um Ihrem Team dabei zu helfen, Sicherheitsvorfälle bei Drittanbietern proaktiver zu erkennen und zu mindern, hat Prevalent eine Checkliste für die Reaktion auf Vorfälle entwickelt, die auf dem NIST-Leitfaden zur Behandlung von Computersicherheitsvorfällen ( SP 800-61) basiert. Die Checkliste beschreibt vier grundlegende Phasen, die Sicherheitsteams bei ihren Programmen zur Reaktion auf Vorfälle berücksichtigen sollten. Verwenden Sie diese Checkliste zusammen mit den vollständigen NIST-Leitlinien, um Ihre bestehenden Prozesse zur Reaktion auf Vorfälle bei Drittanbietern mit Best Practices zu vergleichen.
Fordern Sie dann eine Prevalent-Demo an, um eine maßgeschneiderte Strategie zur Automatisierung Ihres TPRM-Programms von der Lieferantenauswahl bis zum Offboarding zu besprechen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
