Die CIS Critical Security Controls: Best Practices für das Risikomanagement von Drittanbietern

Befolgen Sie diese TPRM-Best Practices, um die Empfehlungen in den CIS Critical Security Controls 15 und 17 umzusetzen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter April 7, 2023 8 min gelesen

Die Critical Security Controls des Center for InternetSecurity® (CIS)
sind eine Reihe von 18 empfohlenen Kontrollen und 153 Unterkontrollen (auch als „Sicherheitsvorkehrungen“ bezeichnet), die IT-Sicherheitsteams dabei helfen sollen, die Auswirkungen von Cybersicherheitsvorfällen zu reduzieren. Das CIS beschreibt die Kontrollen als „vorgeschriebene, priorisierte und hochgradig fokussierte Maßnahmen, die durch ein Community-Support-Netzwerk unterstützt werden, um sie umsetzbar, nutzbar und skalierbar zu machen und mit allen Sicherheitsanforderungen der Industrie oder Regierung in Einklang zu bringen“.

Derzeit in Version 8 werden die 18 CIS-Kontrollen und 153 Sicherheitsvorkehrungen in drei Implementierungsgruppen (IGs) priorisiert:

  • IG1 umfasst Sicherheitsmaßnahmen, die vom CIS als „wesentliche Cyberhygiene“ angesehen werden und „mit begrenzten Cybersicherheitskenntnissen umsetzbar sein sollten und darauf abzielen, allgemeine, nicht gezielte Angriffe zu vereiteln“.
  • IG2 umfasst Sicherheitsvorkehrungen für Teams, die mit einer erhöhten Komplexität der Betriebsabläufe konfrontiert sind.
  • IG3-
    umfasst Sicherheitsvorkehrungen zur Abwehr komplexer Cyberangriffe

CIS klassifiziert außerdem jede Schutzmaßnahme nach NIST-Sicherheitsfunktionen, um die Zuordnung zu den einzelnen NIST-Kernfunktionen zu vereinfachen: Identifizieren, Erkennen, Schützen, Reagieren und Wiederherstellen.

Zwei Kontrollen enthalten spezifische Leitlinien zum Risikomanagement von Drittanbietern – Kontrolle 15: Dienstleistermanagement und Kontrolle 17: Vorfallreaktionsmanagement. Dieser Beitrag enthält Best Practices zur Beschleunigung und Vereinfachung der Umsetzung jeder Kontrolle.

CIS Critical Security Control 15: Verwaltung von Dienstleistern

CIS Control 15 empfiehlt Unternehmen, einen Prozess zu entwickeln, um die Fähigkeit ihrer Dienstleister zu bewerten, sensible Daten, kritische IT-Plattformen und/oder wichtige Prozesse, auf die sie Zugriff haben oder für die sie verantwortlich sind, zu schützen.

Im Folgenden finden Sie bewährte Verfahren für den Umgang mit den sieben Sicherheitsvorkehrungen unter Kontrolle 15:

15.1 Erstellung und Pflege eines Inventars von Dienstleistern

Erstellen Sie ein zentralisiertes Dienstleister-Inventar
, indem Sie Anbieter über eine Tabellenvorlage oder über eine API-Verbindung zu einer bestehenden Beschaffungslösung importieren. Teams im gesamten Unternehmen sollten in der Lage sein, wichtige Lieferantendaten mit einem zentralisierten und anpassbaren Erfassungsformular und dem dazugehörigen Workflow zu erfassen. Diese Funktion sollte jedem per E-Mail-Einladung zur Verfügung stehen, ohne dass eine Schulung oder Lösungsexpertise erforderlich ist.

Da alle Dienstleister zentralisiert werden, sollten Teams umfassende Lieferantenprofile erstellen, die Einblicke in die demografischen Daten eines Lieferanten, Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Geschäfts- und Reputationsinformationen, die Geschichte von Datenverstößen und die aktuelle finanzielle Leistung enthalten.

15.2 Einführung und Aufrechterhaltung einer Politik zur Verwaltung von Dienstleistern

Wichtige Bestimmungen in einer Richtlinie zum Management von Dienstleistern sollten Folgendes umfassen:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Logik zur Klassifizierung und Kategorisierung von Lieferanten
  • Schwellenwerte für die Risikobewertung auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Zuordnung von vierten und N-ten Parteien, um zu verstehen, wo die Daten Ihres Unternehmens fließen
  • Ermittlung der richtigen Bewertungen und Quellen für kontinuierliche Überwachungsdaten (Cyber, Geschäft, Reputation, Finanzen)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung

15.3 Klassifizierung von Dienstanbietern

Führen Sie eine vertragliche Due-Diligence-Prüfung mit einer Bewertung anhand der folgenden Kriterien durch, um inhärente Risiken zu erfassen, zu verfolgen und zu quantifizieren
für alle Dritten:

  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch klassifizieren und einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.

15.4 Sicherstellen, dass die Verträge mit den Dienstleistern Sicherheitsanforderungen enthalten

Zentralisieren Sie die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen
, um sicherzustellen, dass wichtige Sicherheitsanforderungen in den Lieferantenvertrag aufgenommen, vereinbart und während der gesamten Geschäftsbeziehung anhand von Leistungskennzahlen (KPIs) durchgesetzt werden. Zu den wichtigsten Funktionen sollten gehören:

  • Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

15.5 Bewertung von Dienstleistern

Sammeln und korrelieren Sie Informationen zu einer Vielzahl von Lieferantenkontrollen, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der Kritikalität des Drittanbieters, wie sie durch die inhärente Risikobewertung ermittelt wurde. Für Drittanbieter, die anstelle einer vollständigen Lieferantenrisikobewertung einen SOC 2-Bericht einreichen, überprüfen Sie die Liste der im SOC 2-Bericht identifizierten Kontrolllücken, erstellen Sie Risikopunkte für den Drittanbieter und verfolgen und melden Sie Mängel.

Vermeiden Sie die Verwendung von Tabellenkalkulationen zum Sammeln und Analysieren von Informationen zu Lieferantenkontrollen, da dieser Ansatz sehr manuell ist und nur für eine Handvoll Lieferanten skalierbar ist.

15.6 Daten von Dienstanbietern überwachen

Kontinuierliche Verfolgung und Analyse externer Bedrohungen für Dritte
durch Überwachung des Internets und des Dark Webs auf Cyberbedrohungen und Schwachstellen sowie öffentlicher und privater Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Zu den Überwachungsquellen sollten gehören:

  • Cyber: Kriminelle Foren, Onion-Seiten, Dark-Web-Foren mit speziellem Zugang, Threat Feeds, Paste-Seiten für gestohlene Zugangsdaten, Datenbanken mit Sicherheitsverletzungen sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken.
  • Operativ: Öffentliche und private Quellen zu M&A-Aktivitäten, Wirtschaftsnachrichten und operativen Updates
  • Reputationsbezogen: Negative Nachrichten, regulatorische und rechtliche Informationen, Profile politisch exponierter Personen, Sanktionslisten und globale Vollstreckungslisten sowie Gerichtsakten
  • Finanzdaten: Datenbanken mit Finanzkennzahlen von Unternehmen, darunter Umsatz, Gewinn und Verlust, Eigenkapital usw.

Die Ergebnisse von Bewertungen und kontinuierlichen Überwachungen sollten in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst werden, in denen Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen gemessen und kategorisiert werden. Mit diesen Erkenntnissen können Teams die Folgen eines Risikos leicht erkennen und verfügen über vorgefertigte Empfehlungen für Abhilfemaßnahmen, mit denen Dritte die Risiken mindern können.

15.7 Daten von Dienstanbietern sicher stilllegen

Führen Sie Vertragsbewertungen und Offboarding-
-Verfahren durch, um das Risiko Ihrer Organisation nach Vertragsende zu verringern, darunter:

  • Planung von Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden. Ausgabe anpassbarer Vertragsbewertungen zur Beurteilung des Status.
  • Nutzen Sie anpassbare Umfragen und Workflows, um Berichte über Systemzugriffe, Datenvernichtung, Zugriffsverwaltung, Einhaltung aller relevanten Gesetze, Abschlusszahlungen und vieles mehr zu erstellen.
  • Zentrale Speicherung und Verwaltung von Dokumenten und Zertifizierungen wie NDAs, SLAs, SOWs und Verträgen. Nutzen Sie die integrierte automatisierte Dokumentenanalyse auf Basis von AWS-Technologien für natürliche Sprachverarbeitung und maschinelles Lernen, um sicherzustellen, dass wichtige Kriterien erfüllt sind.
  • Ergreifen Sie konkrete Maßnahmen zur Reduzierung des Lieferantenrisikos mit integrierten Empfehlungen und Anleitungen zur Behebung von Mängeln.

CIS Critical Security Control 17: Management der Reaktion auf Vorfälle

CIS Control 17 empfiehlt Organisationen, ein Programm zur Entwicklung und Aufrechterhaltung einer Incident-Response-Fähigkeit (z. B. Richtlinien, Pläne, Verfahren, definierte Rollen, Schulungen und Kommunikation) einzurichten, um sich auf Angriffe vorzubereiten, diese zu erkennen und schnell darauf zu reagieren. Es gibt sechs spezifische Sicherheitsvorkehrungen, die auf Control 17 abgestimmt sind:

17.1 Beauftragung von Personal für die Verwaltung der Vorfallbearbeitung

17.2 Einrichtung und Pflege von Kontaktinformationen für die Meldung von Sicherheitsvorfällen

17.3 Einrichtung und Aufrechterhaltung eines Unternehmensprozesses für die Meldung von Zwischenfällen

17.4 Einrichtung und Aufrechterhaltung eines Verfahrens zur Reaktion auf Zwischenfälle

17.5 Zuweisung von Schlüsselrollen und Verantwortlichkeiten

17.6 Definieren Sie Mechanismen für die Kommunikation während der Reaktion auf Vorfälle

Für Kontrolle 17 empfiehlt Prevalent bewährte Verfahren, die sich auf die zentrale Verwaltung von Anbietern, die Durchführung von Ereignisbewertungen, die Bewertung identifizierter Risiken, die Korrelation mit kontinuierlicher Cyberüberwachung und den Zugriff auf Leitlinien zur Behebung konzentrieren. Dazu gehören:

  • Nutzen Sie einen zentralisierten, anpassbaren Fragebogen für das Ereignis- und Vorfallmanagement.
  • Verfolgen Sie den Fortschritt beim Ausfüllen des Fragebogens in Echtzeit.
  • Risikoverantwortliche definieren und Erinnerungen versenden, um Umfragen termingerecht durchzuführen
  • Ermöglichen Sie Anbietern, proaktiv Vorfälle zu melden, um Kontext hinzuzufügen und die Reaktion zu beschleunigen.
  • Verwenden Sie Workflow-Regeln, um automatisierte Playbooks auszulösen, die entsprechend den potenziellen Auswirkungen auf das Unternehmen auf Risiken reagieren.
  • Leitfaden zur Behebung von Problemen
  • Ordnen Sie Beziehungen zwischen Dritten, Vierten und N-ten Parteien zu, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln.

Durch die Zentralisierung des Incident-Response-
s von Drittanbietern in einem einzigen unternehmensweiten Incident-Management-Prozess können Ihre IT-, Sicherheits-, Rechts-, Datenschutz- und Compliance-Teams effektiv zusammenarbeiten, um Risiken zu minimieren.

Nächste Schritte: Laden Sie die umfassende CIS-Kontrollliste herunter.

CIS Critical Controls bieten Strukturen und Best Practices zur Minderung des Risikos von Cybersicherheitsangriffen auf die Lieferkette. Prevalent bietet eine zentrale, automatisierte Plattform zur Umsetzung der CIS Controls 15 und 17 und zur Skalierung Ihrer Initiativen zum Risikomanagement von Drittanbietern als Teil Ihres umfassenderen Cybersicherheits-Risikomanagementprogramms. Erfahren Sie mehr, indem Sie die umfassende CIS Controls-Checkliste herunterladen, sich über unsere Lösungen für CIS Controls informieren oder noch heute eine persönliche Vorführung vereinbaren.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.