Cyber Supply Chain Risk Management (C-SCRM) Bewährte Praktiken

Ein effektives C-SCRM-Programm kann Ihrem Unternehmen helfen, fundierte Entscheidungen zu treffen und Lieferanten auszuwählen, die Cybersicherheit und Compliance ernst nehmen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter September 19, 2022 15 min gelesen
Decorative image

Auch wenn Ihr Unternehmen beträchtliche Ressourcen in sein IT-Sicherheitsprogramm investiert, kann es eine enorme Herausforderung sein, Ihre Cyber-Supply-Chain gegen Datenschutzverletzungen Dritter, Ransomware-Angriffe und andere Sicherheitsrisiken zu schützen. Diese Aufgabe wird umso schwieriger, je komplexer Ihre Lieferkette ist oder je mehr sie sich auf Partnerschaften im Ausland stützt.

Wie können Sie sich einen Überblick über die Risiken verschaffen, die von Dritten, Vierten und N-ten Parteien in Ihrer erweiterten Lieferkette ausgehen, und gleichzeitig sicherstellen, dass Ihre Lieferanten über die notwendigen Sicherheitskontrollen zum Schutz Ihres Unternehmens verfügen? In diesem Artikel finden Sie einige Best Practices für den Aufbau eines effektiveren und effizienteren Cyber Supply Chain Risk Management (C-SCRM) Programms.

Was ist Cyber Supply Chain Risk Management (C-SCRM)?

Unter Cyber Supply Chain Risk Management (C-SCRM) versteht man den Prozess der Identifizierung, Analyse und Entschärfung von Schwachstellen, Datengefährdungen und anderen Sicherheitslücken, die die Fähigkeit eines Unternehmens bedrohen, Produkte und Dienstleistungen der Informationstechnologie (IT) oder der Betriebstechnologie (OT) zu liefern.

Die Bewältigung von Cyberrisiken in Ihrer Lieferkette erfordert nicht nur den Schutz Ihres Unternehmens vor direkten Angriffen, sondern auch die Minderung des Risikos von Datenverletzungen durch Dritte und Dritte, die Ihr Geschäft stören könnten.

Risiken in der Lieferkette sind heute für viele Unternehmen ein Thema auf Vorstandsebene. Dies ist keine Überraschung, wenn man die folgenden Statistiken aus einer aktuellen Prevalent-Studie betrachtet:

  • 45 % der Unternehmen hatten in den letzten 12 Monaten mit einer Verletzung der Daten oder des Datenschutzes durch Dritte zu kämpfen.
  • 54 % der Befragten berichteten von einer Unterbrechung der Lieferkette
  • 55 % meldeten einen Verstoß gegen die Vorschriften im Zusammenhang mit mangelnder Kontrolle durch Dritte

Ein effektives C-SCRM-Programm kann Ihrem Unternehmen helfen, fundierte Entscheidungen zu treffen und Lieferanten auszuwählen, die Cybersicherheit und Compliance ernst nehmen.

C-SCRM-Anforderungen an Drittparteien

Beispiele für Cyber-Risiken in der Lieferkette

Ransomware

Bei Ransomware handelt es sich um bösartige Software, die den Zugriff auf kompromittierte Computersysteme verhindert, Dateien auf den Systemen verschlüsselt oder mit der Freigabe sensibler, gestohlener Daten droht, wenn kein Geld an den Angreifer gezahlt wird. Ransomware gibt es zwar schon seit Jahrzehnten, aber der technologische Fortschritt hat es kriminellen Akteuren ermöglicht, ein neues Ausmaß und eine neue Raffinesse zu erreichen. Anstatt wie in der Vergangenheit hauptsächlich kleine und mittlere Unternehmen anzugreifen, um kleine Summen zu erpressen, zielen die Angreifer nun auf große Unternehmen ab, die Dreh- und Angelpunkte globaler Lieferketten sind.

Es ist keine Überraschung, dass Ransomware ein wichtiges Thema in den Nachrichten ist. Ein Beispiel im Zusammenhang mit C-SCRM ist die Sicherheitslücke bei Kaseya im letzten Jahr, die zu Ransomware-Angriffen auf Tausende von Unternehmen über das Remote-Monitoring- und Management-Tool (RMM) des Unternehmens führte.

Software-Schwachstellen

Die Verwendung von Software mit bekannten Schwachstellen oder ein unzureichender Einblick in die Sicherheitspraktiken eines Softwareanbieters kann dazu führen, dass Ihr Unternehmen erheblichen Unterbrechungen, Datenverletzungen und Ausfallzeiten ausgesetzt ist. Nehmen Sie zum Beispiel die Sicherheitslücke bei SolarWinds, durch die Tausende von Unternehmen und Behörden über Monate hinweg böswilligen Akteuren ausgesetzt waren.

Physischer und virtueller IT-Zugang

Der physische und virtuelle IT-Zugang ist einer der offensichtlichsten Kanäle, über den die Lieferkette kompromittiert werden kann. Zahlreiche Unternehmen wurden von Auftragnehmern gehackt, die anfangs nur ein geringes Risikoprofil aufwiesen. Da diese Auftragnehmer jedoch physischen Zugang zu Einrichtungen und IT-Systemen hatten, konnten sie von böswilligen Akteuren als trojanische Pferde eingesetzt werden, um Zugang zu Unternehmenskunden zu erhalten.

Gestohlene Anmeldeinformationen

Cyberkriminelle stehlen oft nicht direkt Daten, wenn sie die E-Mail-Konten oder Netzwerke eines Unternehmens ausnutzen. Stattdessen verkaufen sie kompromittierte Benutzernamen und Kennwörter im Dark Web für Bitcoin oder andere Kryptowährungen. Dies verringert das Risiko für die Kriminellen, da sie die gestohlenen Anmeldeinformationen sofort zu Geld machen können, ohne in einzelne Konten einbrechen zu müssen.

In letzter Zeit haben Ransomware-Gruppen, die im Dark Web operieren, damit begonnen, Informationen über ihre Opfer öffentlich zu veröffentlichen, um die Opferorganisation zur Zahlung eines Lösegelds zu zwingen. Die Überwachung dieser Foren und Blogs kann eine frühzeitige Warnung vor potenziellen Datenschutzverletzungen liefern, die sich auf die in Ihrer gesamten Lieferkette geteilten Daten auswirken können.

Verstöße gegen die Vorschriften

Laut einer aktuellen Prevalent-Studie meldeten 55 % der Unternehmen einen Compliance-Verstoß im Zusammenhang mit einer mangelnden Überwachung durch Dritte. Von Unternehmen wird zunehmend erwartet, dass sie personenbezogene Daten (PII) innerhalb ihrer eigenen Organisation schützen und proaktiv sicherstellen, dass Dritte Kundendaten und andere sensible Informationen schützen. Zu den geltenden Vorschriften gehören CCPA, GDPR, CMMC, PCI DSS und einige andere.

Cyber Supply Chain Risk Management (C-SCRM) Bewährte Praktiken

Es ist schon zeitaufwändig genug, Lösungen zu finden, die den funktionalen und geschäftlichen Anforderungen Ihres Unternehmens entsprechen. Die Bewertung der Cybersicherheitslage eines potenziellen Anbieters bringt zusätzliche Komplexität und Unsicherheit in den Beschaffungs- und Auswahlprozess.

Deshalb ist es wichtig, dass Sie Ihre Beziehung zu einem potenziellen Lieferanten mit einer Due-Diligence-Prüfung vor Vertragsabschluss beginnen, die im Einklang mit Ihren RFIs, RFPs und anderen Ausschreibungsprozessen steht. Zu den Erkenntnissen über die Cybersicherheit, die in dieser frühen Phase der Lieferantenbeziehung gewonnen werden sollten, gehören:

  • Historie von Datenschutzverletzungen und Offenlegungen, um festzustellen, ob der Anbieter anfällig für Cyberangriffe ist
  • Verwendete Technologien von Drittanbietern, um einen Einblick in das Risiko einer Technologiekonzentration zu erhalten und periphere Technologien aufzudecken, die Rückkanäle zu Ihrem Unternehmen bieten könnten

Wenn Sie diese Erkenntnisse in Ihren Ausschreibungsprozess einbeziehen, stellen Sie nicht nur sicher, dass die ausgewählte Lösung zweckmäßig ist, sondern auch, dass der Anbieter hinter der Lösung Ihr Unternehmen nicht unnötigen Risiken aussetzt.

Integration von Sicherheitsanforderungen in Lieferantenverträge

Viele Unternehmen bedenken nicht, dass sie in der Lage sein könnten, in Verträgen Cybersicherheitskontrollen vorzuschreiben. SLAs und andere vertragliche Vereinbarungen können Dritt- und Viertparteien dazu verpflichten, Cybersecurity-Kontrollen zum Schutz der sensiblen Daten Ihres Unternehmens zu implementieren oder aufrechtzuerhalten.

Verstehen des profilierten, inhärenten und verbleibenden Anbieterrisikos

Wenn Sie die verschiedenen Arten von Lieferantenrisiken verstehen, können Sie datenbasierte Entscheidungen über die Anwendung von Fragebögen zum Lieferantenrisiko treffen und Lieferanten auf der Grundlage des messbaren Risikos genau vergleichen. Bei Prevalent kategorisieren wir das Lieferantenrisiko in drei Typen:

  • Profiliertes Risiko: Das profilierte Risiko bezieht sich auf die Produkt- oder Dienstleistungskategorie, die ein Lieferant für Ihr Unternehmen bereitstellt. Ein Managed Service Provider (MSP), der Zugang zu Ihrer IT-Umgebung hat, birgt beispielsweise ein viel höheres Risiko als ein Reinigungsunternehmen.
  • Inhärentes Risiko: Das inhärente Risiko ist das Ausmaß des Risikos, das ein Lieferant vor der Implementierung der von Ihrem Unternehmen geforderten Sicherheitskontrollen darstellt. Das inhärente Risiko wird für bestimmte Unternehmen auf der Grundlage von Risikobewertungen und Daten zur Risikoüberwachung berechnet.
  • Restrisiko: Das Restrisiko ist das Risiko, das verbleibt, nachdem ein Lieferant Abhilfe- oder Minderungsmaßnahmen getroffen hat. Ihr Risikomanagementteam muss bestimmen, ob Restrisiken akzeptabel sind oder nicht.

Verwendung von Fragebögen und Repositories für Lieferantenrisiken

Fragebögen zum Lieferantenrisiko können einen Einblick in die Cybersicherheitskontrollen eines Lieferanten geben und helfen, Verstöße gegen die Vorschriften zu vermeiden. Sie können den Prozess der Due-Diligence-Prüfung von Lieferanten erheblich beschleunigen, indem Sie Ihre Fragebögen auf das inhärente Risiko zuschneiden und die Antworten den für Ihr Unternehmen geltenden Cybersicherheitsvorschriften zuordnen.

Sie sollten auch in Erwägung ziehen, die Fragebögen nach Branche, Servicelevel und/oder Systemzugriffsstufe zu segmentieren. So könnte beispielsweise ein Softwareanbieter einen ganz anderen Fragebogen benötigen als ein Heizungs-, Lüftungs- und Klimaanlagenbauer, der vor Ort tätig ist. Der wirksame Einsatz von Fragebögen zu Lieferantenrisiken kann die Einhaltung von Vorschriften vereinfachen, die Aufnahme von Lieferanten rationalisieren und einen Einblick in die erweiterte Lieferkette ermöglichen.

Der Einsatz einer Risikomanagementplattform eines Drittanbieters kann dazu beitragen, den Prozess zu automatisieren und den Zeitaufwand für die Bewertung von Lieferanten zu verringern. Darüber hinaus ist der Beitritt zu einem Vendor-Risk-Intelligence-Netzwerk eine kosteneffiziente Möglichkeit, Zugang zu Tausenden von bereits abgeschlossenen Bewertungen zu erhalten und die Beschaffung, die Auswahl, das Onboarding und die inhärente Risikobewertung zu verbessern.

Bonus-Tipp: Wenn Sie Ihre Fragebögen zur Risikobewertung von Lieferanten entwerfen, sollten Sie auch Fragen zu vierten und n-ten Parteien einbeziehen, um einen Einblick in die Risiken tiefer in der Lieferkette zu erhalten. Selbst wenn Ihre Drittpartei über solide Cybersicherheitskontrollen verfügt, könnte einer ihrer Lieferanten eine Datenverletzung auslösen, die sich letztlich auf Ihr Unternehmen auswirkt.

C-SCRM Bewährte Praktiken

Kontinuierliche Überwachung in der gesamten Cyber Supply Chain

Die kontinuierliche Überwachung durch Dritte kann Ihnen helfen, neue Schwachstellen, Datenschutzverletzungen und andere Sicherheitsrisiken zu erkennen, die Lieferanten betreffen. Die Überwachung ermöglicht es Ihnen, über Risiken auf dem Laufenden zu bleiben, die zwischen den regelmäßigen, auf Fragebögen basierenden Bewertungen auftauchen können. Eine leistungsstarke Lösung zur Überwachung von Cyberrisiken kann Informationen aus kriminellen Foren, Zwiebelseiten, Dark-Web-Spezialforen, Bedrohungs-Feeds, Paste-Sites, Sicherheits-Communities, Code-Repositories, Schwachstellen-Datenbanken und anderen Quellen liefern.

Neben der frühzeitigen Warnung vor potenziellen Vorfällen, die sich auf Ihr Unternehmen auswirken könnten, kann durch die kontinuierliche Überwachung auch überprüft werden, ob die Kontrollen, die in den Antworten des Lieferanten auf die Bewertung angegeben wurden, tatsächlich vorhanden sind und wie vorgesehen funktionieren.

Vierte und n-te Party nicht vergessen

Anders als bei physischen Gütern kann es schwierig sein, nachzuvollziehen, wie die Informationen Ihres Unternehmens in Ihrer erweiterten Lieferkette gespeichert und weitergegeben werden. Jedes Unternehmen in Ihrer Cyber-Lieferkette arbeitet wahrscheinlich mit Dutzenden oder sogar Hunderten von Softwareunternehmen, ausgelagerten IT-Vertragspartnern und anderen Dritten zusammen, von denen mehrere Zugriff auf die Daten Ihres Unternehmens haben könnten. Das Letzte, was ein CISO oder CIO hören möchte, ist, dass das Unternehmen aufgrund der Nachlässigkeit eines Drittanbieters einer Datenschutzverletzung ausgesetzt war.

Im Folgenden finden Sie einige bewährte Verfahren, die Sie bei der Bewertung und Minderung des Risikos der vierten Partei anwenden können.

Identifizieren Sie unternehmenskritische Anbieter in Ihrer Cyber Supply Chain

Der Aufbau eines effektiven C-SCRM-Programms erfordert die Festlegung von Prioritäten, auf welche Lieferantenrisiken man sich konzentrieren sollte. Das durchschnittliche Unternehmen arbeitet mit unzähligen dritten, vierten und x-ten Parteien zusammen. Es ist unmöglich, jedes Risiko in der erweiterten Lieferkette eines jeden Anbieters zu finden. Wenn Sie sich einen Überblick über Ihre Cyber-Supply-Chain verschaffen wollen, sollten Sie sich zunächst auf die wichtigsten Lieferanten konzentrieren, und zwar auf der Grundlage ihrer inhärenten Risikowerte. Berücksichtigen Sie bei der Festlegung der Prioritäten:

  • In welchem Umfang hat der Verkäufer Zugang zu regulierten Daten wie PII, PFI, PHI und gegebenenfalls zu klassifizierten oder kontrollierten nicht klassifizierten Informationen?
  • Ist der Anbieter ein Software-Anbieter? Wenn ja, wo werden die Daten der Organisation gehostet und welche Sicherheitskontrollen gibt es im Rechenzentrum?
  • Verfügt der Anbieter über ein eigenes Programm für das Risikomanagement in der Cyber-Lieferkette? Wenn ja, ist er in der Lage, einen Bericht über sein Cyber-Lieferkettenrisiko zu erstellen?
  • Stützt die Organisation ihre Programme für Informationssicherheit und Risikomanagement für Dritte auf allgemein anerkannte Rahmenwerke?

Abbildung Ihrer erweiterten Cyber-Lieferkette

Die Erstellung einer umfassenden Karte Ihrer Lieferkette mit Abhängigkeiten und Risikoeinstufung kann Ihnen die nötige Transparenz verschaffen, um wirksame Entscheidungen zur Risikominderung zu treffen. Zunächst müssen Sie sicherstellen, dass Sie die erforderlichen Daten erfassen. Fragen zu vierten und n-ten Parteien in Ihrer erweiterten Lieferkette sollten standardmäßig in allen Fragebögen zur Risikobewertung von Lieferanten enthalten sein.

Sobald Sie einen guten Überblick über Ihr Ökosystem von Dritt- und Drittanbietern haben, können Sie Anbieter identifizieren, die einzelne Fehlerquellen oder inakzeptable Informationssicherheitsrisiken darstellen können. Hier sind einige Vorschläge für Abhilfemaßnahmen, wenn eine vierte oder neunte Partei als risikoreich eingestuft wird:

  • Antrag auf Aktualisierung Ihres Vertrags mit dem betreffenden Dritten, um die gemeinsame Nutzung von Daten oder den Zugang zur IT-Infrastruktur mit dem risikoreichen vierten Beteiligten zu beschränken
  • Anforderung zusätzlicher Informationen über die Sicherheitskontrollen und die Infrastruktur der vierten Partei
  • Erwägung alternativer Drittanbieter, wenn Verträge zur Erneuerung anstehen
  • Zusammenarbeit mit der internen Abteilung, die mit der Drittpartei verbunden ist, um Schutzmaßnahmen zu implementieren und die gemeinsame Nutzung sensibler Daten zu begrenzen
  • Kontinuierliche Überwachung der vierten Partei, um das Risiko einer Kompromittierung zu verringern, die sich letztendlich auf Ihr Unternehmen auswirken könnte

Regelmäßige Neubewertung des Lieferantenrisikos

Risiken entstehen und entwickeln sich ständig, daher reicht es nicht aus, kritische Lieferanten auf eine einzige, punktuelle Risikobewertung zu beschränken. Stellen Sie sicher, dass Sie das Risiko zu mehreren Zeitpunkten während der Vertragslaufzeit neu bewerten, um sicherzustellen, dass das Restrisiko nicht über ein akzeptables Maß hinaus gestiegen ist. Hier sind einige Fragen, die Sie berücksichtigen sollten:

  • Führt Ihr C-SCRM-Programm Risikobewertungen während des gesamten Lebenszyklus des Vertrags durch oder nur einmal zu Beginn?
  • Werden der Umfang und die Häufigkeit der Risikobewertungen auf der Grundlage der Risikoergebnisse aus dem Onboarding-Prozess des Lieferanten festgelegt?
  • Sind Sie in der Lage, Änderungen im Restrisikoprofil des Anbieters effektiv in Ihren allgemeinen Workflow für das Risikomanagement von Drittanbietern zu integrieren?
  • Bewerten Sie das Risiko der vierten und dritten Partei im Rahmen Ihrer Standardrisikobewertungen?

Implementierung eines Reaktionsplans für Lieferantenvorfälle

Premeditatio malorum - lateinisch für "die Vorhersage von Übeln und Schwierigkeiten, die auf uns zukommen könnten". Oder, um es deutlicher auszudrücken: Planen Sie das Schlimmste ein! Unerwünschte Cyber-Ereignisse bei Lieferanten werden eintreten. Der Grad der Vorbereitung Ihres Unternehmens auf diese Ereignisse kann jedoch den Unterschied zwischen einer schweren Störung und einer leichten Störung ausmachen.

Effektives Incident Management (IM) und C-SCRM gehen Hand in Hand. Die Identifizierung von Dritt-, Viert- und N-ten Parteien ermöglicht beispielsweise ein effektives Vorfallsmanagement - wenn man bedenkt, dass die Hälfte aller Vorfälle ihren Ursprung bei Zulieferern haben. Verträge mit Lieferanten und Unterauftragnehmern müssen Anforderungen an die Benachrichtigung über IM/Verletzungen innerhalb eines bestimmten Zeitrahmens (z. B. 24 Stunden) nach Feststellung eines größeren Vorfalls enthalten. Die Validierung der IM-Prozesse und -Kontakte Ihrer Zulieferer sowie regelmäßige Tests können dazu beitragen, die operative Bereitschaft zur Reaktion auf Vorfälle und deren Behebung sicherzustellen.

Sorgfalt beim Offboarding beibehalten

Viele Unternehmen verwenden viel Zeit auf die Due-Diligence-Prüfung von Lieferanten, Risikofragebögen und die Erfassung von Compliance-Anforderungen, versäumen es aber, für das Ende der Geschäftsbeziehung zu planen - wenn viele Sicherheitsrisiken auftreten. Aus diesem Grund ist das Offboarding von Lieferanten genauso wichtig wie das Onboarding. Wenn es nicht gelingt, Lieferanten erfolgreich aus dem Unternehmen zu entfernen und sicherzustellen, dass sensible Daten vernichtet und der IT-Zugriff widerrufen wurde, kann dies zu folgenden Konsequenzen führen:

  • Probleme mit der Einhaltung von Vorschriften, wenn ein Vertrag ausgelaufen ist und der Anbieter noch Zugang zu IT-Systemen hat
  • Potenzielle Datenschutzverletzungen, wenn ein Anbieter PII oder PHI Ihrer Mitarbeiter oder Kunden gespeichert hat
  • Insider-Bedrohungen, wenn Mitarbeiter von Auftragnehmern weiterhin Zugang zu Daten und Systemen haben

C-SCRM-Ressourcen

Es gibt mehrere Ressourcen für das Risikomanagement in der Cyber Supply Chain, die Sie bei der Erstellung oder Bewertung Ihres Programms heranziehen können. Zu den bekanntesten Ressourcen gehören die vom National Institute of Standards and Technology (NIST) und anderen Regierungsbehörden, Regulierungsbehörden und privaten Industriegruppen veröffentlichten. Hier sind einige nützliche Ressourcen:

NIST Sonderveröffentlichung 800-161 r1: Cybersecurity Supply Chain Risk Management Practices für Systeme und Organisationen

NIST SP 800-161 ist ein Rahmenwerk für das Cyber Supply Chain Risk Management, das Ihrem Unternehmen beim Aufbau und der Reifung seines C-SCRM-Programms helfen kann. NIST 800-161 bietet detaillierte Anleitungen zur Einbindung eines C-SCRM-Programms in Ihre umfassendere Risikomanagement-Strategie und behandelt kritische Erfolgsfaktoren für den Aufbau eines effektiven C-SCRM-Programms. Die NIST 800-161-Kontrollen sind in 20 Familien unterteilt, die von der Zugangskontrolle bis zu Vorfällen und Reaktionen reichen.

NIST C-SCRM-Risikoexpositionsrahmen

Anhang A von NIST SP 800-161 Rev. 1 enthält einen Rahmen für die Risikoexposition mit detaillierten Anleitungen zur Identifizierung potenzieller Bedrohungsszenarien für die Lieferkette. NIST definiert ein Bedrohungsszenario als "eine Reihe von diskreten Bedrohungsereignissen, die mit einer bestimmten potenziellen oder identifizierten bestehenden Bedrohungsquelle oder mehreren Bedrohungsquellen verbunden sind und teilweise zeitlich geordnet sind". Das NIST Risk Exposure Framework ermöglicht es Ihnen, verschiedene Bedrohungsszenarien für die Lieferkette zu identifizieren und ihnen ein Risiko zuzuordnen und diese Erkenntnisse in Ihren umfassenderen Ansatz zur Risikobewertung für Dritte einzubeziehen.

NIST C-SCRM-Vorlagen

Anhang D von NIST 800-161 r1 enthält mehrere Vorlagen für die Dokumentation Ihres C-SCRM-Programms, einschließlich Implementierungsplänen, Konformitätsinitiativen, strategischen Zielen, Rollen und Verantwortlichkeiten sowie Implementierungsmeilensteinen. Diese Vorlagen sind von unschätzbarem Wert, wenn es darum geht, ein neues C-SCRM-Programm zu skizzieren oder Ihr bestehendes Programm mit unterstützender Dokumentation zu verbessern.

NIST-Leitfaden für die Software-Sicherheitslieferkette

Das NIST hat als Reaktion auf die Anforderungen der Executive Order (EO) 14028 Section 4E zur Verbesserung der Cybersicherheit der Nation seine Software Security Supply Chain Guidance veröffentlicht. Das Dokument richtet sich an Bundesbehörden, aber viele der gleichen Praktiken können auch von Unternehmen angewendet werden, die versuchen, Cyberrisiken in ihren erweiterten Lieferketten zu mindern.

Sicherheitsmaßnahmen für "EO-kritische Software"

Security Measures for EO Critical Software ist ein weiteres NIST-Dokument, das als Reaktion auf Executive Order 14028 erstellt wurde. NIST definiert EO kritische Software als:

... jede Software, die über eine oder mehrere Komponenten mit mindestens einem dieser Attribute verfügt oder direkte Softwareabhängigkeiten davon hat:

  • ist für die Ausführung mit erweiterten Rechten oder für die Verwaltung von Rechten vorgesehen;
  • direkten oder privilegierten Zugang zu Netzwerk- oder Computerressourcen hat;
  • dient der Kontrolle des Zugangs zu Daten oder Betriebstechnik;
  • eine für das Vertrauen kritische Funktion ausübt; oder,
  • außerhalb der normalen Vertrauensgrenzen mit privilegiertem Zugriff arbeitet. (Quelle)

Das Dokument "Sicherheitsmaßnahmen" ist in erster Linie für Bundesbehörden gedacht, kann aber auch von privatwirtschaftlichen Einrichtungen verwendet werden. In dem Dokument werden Softwarekategorien identifiziert, die als "EO-kritisch" eingestuft werden sollten, was Ihnen dabei helfen kann, potenziell risikoreiche Lieferanten während der Profiling- und Tiering-Phase zu erkennen.

NIST-Richtlinien über Mindeststandards für die Verifizierung von Software durch Entwickler

Dieses NIST-Dokument enthält spezifische Richtlinien für Bundesbehörden, um die Sicherheit der verwendeten Software zu überprüfen. Dazu gehören die folgenden Überprüfungstechniken, die die Grundlage für die Identifizierung von Risiken bilden sollten:

  • Bedrohungsmodellierung zur Ermittlung von Sicherheitsproblemen auf Entwurfsebene
  • Automatisierte Tests für Konsistenz und zur Minimierung des menschlichen Aufwands
  • Statisches Scannen von Code zum Auffinden von Fehlern
  • Heuristische Werkzeuge zur Suche nach möglichen fest kodierten Geheimnissen
  • Verwendung von eingebauten Kontrollen und Schutzmaßnahmen
  • "Black Box"-Testfälle
  • Codebasierte strukturelle Testfälle
  • Historische Testfälle
  • Fuzzing
  • Scanner für Webanwendungen, falls zutreffend
  • Adresse des enthaltenen Codes (Bibliotheken, Pakete, Dienste)

HHS C-SCRM-Anleitung

Das U.S. Department of Health and Human Services hat eine Präsentation zur Reifung eines C-SCRM-Programms veröffentlicht. Die Präsentation bietet einen umfassenden Überblick über bewährte C-SCRM-Verfahren auf der Grundlage von NIST und behandelt spezifische Kontrollen und Kontrollfamilien, die als Teil eines ganzheitlichen C-SCRM-Programms implementiert werden sollten.

Sind Sie besorgt über Cyber Supply Chain Risk Management? Prevalent kann helfen.

Das Cyber-Risiko für Dritte wächst exponentiell. Prevalent bietet eine benutzerfreundliche Plattform, die es Ihnen ermöglicht, Fragebögen zur Risikobewertung von Lieferanten zu automatisieren, den Lieferanten Risikowerte zuzuweisen, das Risiko und Veränderungen im Laufe der Zeit zu überwachen und das Lieferantenrisiko zu verwalten und darüber zu berichten. Die Verwendung einer speziellen TPRM-Plattform kann den Lebenszyklus des Lieferantenrisikomanagements automatisieren und es Ihrem Team ermöglichen, sich auf die Reduzierung des Unternehmensrisikos zu konzentrieren. Wenn Sie sehen möchten, wie Prevalent Sie bei der Verwaltung von Lieferkettenrisiken unterstützen kann, fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.