Die "Twilight Zone" der Cyber-Risiken von Anbietern vermeiden

Wie kann eine VRM-Lösung Ihnen helfen, unerwünschte Probleme zu vermeiden?

Jay Fitzhugh
Jay Fitzhugh November 17, 2020 7 min gelesen
Risikozone für Lieferanten

Vorgelegt zu Ihrer Genehmigung: Sie wurden zu einer wichtigen Vorstandssitzung einberufen.

Als CIO der Bank wissen Sie nur, dass John, der Leiter des Einzelhandels, eine wichtige Präsentation hat.

Sie ahnen nicht, dass Sie eine andere Dimension betreten werden...

Nachdem alle Teilnehmer an der Telefonkonferenz teilgenommen haben, stellt John sofort sein neuestes Wundermittel vor, um die Kreditvergabe an Verbraucher anzukurbeln und den Jahresbonus für alle zu sichern: Die neueste, glänzendste digitale Marketingkugel, die verspricht, die Kreditvergabe um 150 % zu steigern.

Alle sind begeistert. Wie schnell kann es losgehen? 

Johns Antwort? "Alles, was wir tun müssen, ist, die IT-Abteilung zu beauftragen, das neue Widget in unsere Website einzubinden und es mit unseren wichtigsten Kundendaten zu verknüpfen, damit es seine Aufgabe erfüllen kann. 

Ohne zu zögern, erklärt der CEO: "Wir machen es!" 

Verzeihen Sie die melodramatische Analogie die ich gerade dargelegt habe. Aber wenn Sie der CIO sind, der für den Schutz der Datenbestände Ihres Unternehmens verantwortlich ist, könnte Ihnen dieses Treffen das mulmige Gefühl geben, dass Sie sich in einer Episode von The Twilight Zone befinden.

Das Problem ist, dass Sie recht haben.

Wenn das Risiko seltsamer ist als die Fiktion

Auch wenn dies eine fiktive Darstellung der Art und Weise sein mag, wie Strategie und Maßnahmen in einem Unternehmen an Dynamik und Zustimmung gewinnen, verspreche ich Ihnen, dass es nicht weit hergeholt ist: Es ist nicht weit hergeholt. Jeder, der schon ein paar Jahre in der Unternehmenswelt verbracht hat, weiß, dass verzweifelte Zeiten Unternehmen oft dazu verleiten, verzweifelte Maßnahmen zu ergreifen, ohne sich über die Gefahren Gedanken zu machen. Dazu gehört auch, dass man Lieferanten nicht mit der gebotenen Sorgfalt prüft und sie nicht auf versteckte Risiken untersucht.

Das Problem ist, dass dies, genau wie in der Fernsehserie, in einer unwillkommenen Wendung im dritten Akt enden kann.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infografik: Richtlinien für effektives Vendor Onboarding

Risikominimierung bei gleichzeitigem Aufbau starker Lieferantenbeziehungen.

Jetzt herunterladen

Ihr Produkt mag in der Tat halten, was es verspricht. Aber wenn es um Ihre Daten oder Nutzerdaten geht, welche Sicherheitsvorkehrungen gibt es dann? Wenn es sich beispielsweise um eine Webanwendung handelt, die in Ihre Website integriert ist, kann sie versteckte Tags enthalten, die Daten an die Partner und Unterauftragnehmer Ihres Anbieters exportieren (ohne Ihre Zustimmung). Diese Huckepack-Tags können Sicherheitsprobleme verursachen, gegen Datenschutzgesetze verstoßen und die Benutzerfreundlichkeit beeinträchtigen.

Wie können Sie diesen Enthusiasmus zügeln und sicherstellen, dass eine angemessene Bewertung und Prüfung des Anbieters erfolgt, bevor Sie sich unwiderruflich für sein Produkt entscheiden? Eine Verpflichtung, bei der Sie die Verantwortung für den Erfolg der Implementierung und das laufende Betriebsrisiko tragen?

Erweiterte Sorgfaltspflicht

Die erste Voraussetzung für jede neue Beziehung zu einem Produkt oder einer Dienstleistung eines Drittanbieters ist die Prüfung der vom Anbieter zur Verfügung gestellten Due-Diligence-Dokumentation. Dazu gehören Jahresabschlüsse und Versicherungsbescheinigungen, Kontrollprüfungen (SOC 1 oder SOC 2), Geschäftskontinuitäts- und Wiederherstellungspläne sowie Testergebnisse und wahrscheinlich auch Unterlagen zur Informationssicherheit.

Vielleicht möchten Sie noch einen Schritt weiter gehen und den Hintergrund der Personen, die das Produkt oder die Dienstleistung anbieten, bewerten, bestehende Kunden befragen und nach negativen Nachrichten suchen. Im Falle eines neuen Marktteilnehmers scheint zwar alles, was verfügbar ist, in Ordnung zu sein - zumindest, was das Sichtbare betrifft -, aber haben Sie wirklich ein vollständiges Bild? Sind Sie bereit, den Zugriff auf Ihr wichtigstes Gut, die vertraulichen Daten Ihres Unternehmens und Ihrer Kunden, zuzulassen? Was sollten Sie sonst noch tun?

Der vielleicht wichtigste Schritt, den Sie unternehmen können, ist der nächste: Führen Sie eine unabhängige Bewertung der Cybersicherheitsmaßnahmen eines Anbieters durch und prüfen Sie dabei, ob dieser tatsächlich das umsetzt, was er in seinen Due-Diligence-Verfahren in Bezug auf Informationssicherheitspraktiken und Datenschutzstandards dokumentiert. Mit einer Vendor Risk Management (VRM)-Lösung (wie unserem eigenen Mitratech TPRM (Prevalent)) als Ihrer Lösung für das Risikomanagement von Drittanbietern können Sie genau eine solche Bewertung erhalten, bevor Sie einen Vertrag mit ihnen abschließen oder sogar zu einem späteren Zeitpunkt in der Geschäftsbeziehung.

Mehrere Stufen der Bewertung von Cyber-Risiken durch Anbieter

Im Falle unserer eigenen VRM-Lösung, die in die renommierte Black Kite-Plattform zur Überwachung der Cybersicherheit integriert ist, ist die Bewertung der technischen Situation eines Anbieters nur eine von mehreren Bewertungsstufen. Die technische Situation kann viele potenzielle zukünftige Fallstricke in einer anstehenden oder bestehenden Geschäftsbeziehung aufdecken, wie z. B. unwirksame Updates und Schutzmaßnahmen in den Verarbeitungsanlagen und der Umgebung des Anbieters. Oder sie kann aufzeigen, wo Kompromisse bereits bestehen.

Während die technische Haltung einen technischen Hintergrund erfordert, um sie in vollem Umfang zu bewerten, gibt es einen eher "verwaltungstechnisch verstandenen" Aspekt der Cybersicherheitsüberwachung. Es geht darum, die Konformität des Anbieters mit branchenüblichen Anforderungen und anerkannten Zertifizierungen zu ermitteln. Dies ist eine wichtige sekundäre Fähigkeit , über die Sie verfügen sollten.

Zum Beispiel die Allgemeine Datenschutzverordnung (GDPR), das Gesetz der Europäischen Union, das die Kontrolle der EU-Bürger über ihre personenbezogenen Daten festlegt. Sie hat zu Rechtsstreitigkeiten und hohen Geldstrafen für Zuwiderhandelnde geführt und ist daher ein Risikobereich, den es zu vermeiden gilt.

Durch die Überwachung der Cybersicherheit mit der oben erwähnten VRM-Lösung können Sie eine Bestätigung erhalten, dass die erforderlichen GDPR-Einrichtungen innerhalb der öffentlich zugänglichen Webpräsenz eines vorgeschlagenen Anbieters funktionieren, so dass Sie darauf vertrauen können, dass dieser die GDPR-Anforderungen erfüllt. Es können Verbesserungsvorschläge gemacht werden, die in die Bewertung einfließen.

Das gleiche Verfahren kann auch auf andere Zertifizierungen und gesetzliche Vorschriften angewendet werden, wie beispielsweise CCPA, Shared Assessment SIF, ISO 27001, NIST und andere.  Dies sind nur einige von Dutzenden (und immer mehr werdenden) branchendefinierten Standards. Im Fall von Mitratech TPRM (Prevalent) basiert unser interner Fragebogen zur Bewertung der Informationssicherheit von Anbietern auf NIST-Standards und ist für die Eingabe von Anbieterzertifizierungen in Normshield zertifiziert.

Die äußeren Grenzen des Cyber-Risikos für Anbieter überwinden

Tut mir leid, ich konnte mir nicht helfen. Aber anstatt die Kontrolle zu verlieren, wie im Vorspann zu dieser alten Sendung, können Sie jetzt mehr Kontrolle über das Cyber-Risiko des Anbieters gewinnen. Wissen (und Daten) sind schließlich Macht, und die richtige VRM-Lösung gibt sie Ihnen.

Der Einblick in die Cybersicherheitsdefizite eines Anbieters (und das damit verbundene unangemessene Risiko für Ihr Unternehmen) bietet ein außergewöhnliches Druckmittel bei Vertragsverhandlungen oder bei der Aufforderung an einen Anbieter, Korrekturmaßnahmen und finanzielle Anpassungen vorzunehmen. Außerdem können Sie auf der Grundlage der Daten, die in der Geschäftsbeziehung vorhanden sind, das finanzielle Risiko bestimmen. Dies ist ein äußerst aussagekräftiger Einblick, der sich mit dem FAIR™ Institute Risikowert (VaR) Rahmenwerk.

In dem hypothetischen Beispiel, mit dem wir begonnen haben, kann die Möglichkeit, die Cybersicherheitslage unseres potenziellen Anbieters zu analysieren, die absolut beste Möglichkeit sein, um sicherzustellen, dass das vorgeschlagene Widget akzeptabel ist. Die Möglichkeit, die Cybersicherheitslage eines Drittanbieters und das damit verbundene Risiko für Ihr Unternehmen laufend zu überwachen, ist für Ihr Unternehmen von entscheidender Bedeutung. Mit dem richtigen VRM-Anbieter und der richtigen Lösung können Sie unerwünschte Probleme vermeiden. Vor allem von der Art Rod Serling.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1605296946307{background-image: url(https://mitratech.com/wp-content/uploads/background-3-1.jpg?id=32674) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}.vc_custom_1596163214368{margin-left: 40px !important;}

Verteidigen Sie sich gegen Anbieter- und Unternehmensrisiken

Erfahren Sie mehr über unsere branchenführenden VRM/ERM-Lösungen.

Kontakt
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.