Die Häufigkeit von Datenverstößen und Eindringen in Computersysteme nimmt in alarmierendem Tempo zu. Wir beobachten beispiellose Fortschritte in der Raffinesse der Angreifer. Gleichzeitig haben die neuesten und größten technologischen Fortschritte zu einer höheren Effizienz und Effektivität für Unternehmen und ihre Lieferketten geführt.
Allerdings sind auch Lieferanten in der Lieferkette anfällig für komplexe Angriffe. Der zunehmende Zugriff und die zunehmende Integration in die Umgebungen der Host-Organisationen können Risiken und potenzielle neue Angriffsflächen mit sich bringen. Um diese Risiken zu bewältigen, müssen Host-Organisationen daher ihre Sicherheitsverfahren anpassen und Lieferanten, Partner und sogar Kunden einbeziehen. Darüber hinaus müssen sie, um die Lieferkette
so weit wie möglich zu sichern, ihre eigenen Mitarbeiter, Prozesse und Technologien genauestens überprüfen.
Wie es zu Verstößen in der Lieferkette kommt
Es gibt viele Möglichkeiten, wie eine Verletzung der Lieferkette auftreten kann. Ein Softwarehersteller könnte durch Malware angegriffen werden, die den Quellcode verändert, der dann an Unternehmen verteilt wird, die die Software verwenden. Genau dieses Szenario spielte sich bei SolarWinds
in den Jahren 2020-2021 ab.
Ein weiterer häufiger Angriffsvektor könnte der Diebstahl der Anmeldedaten eines Anbieters sein, die Fernzugriff auf ein Unternehmen gewähren, mit dem sie zusammenarbeiten oder das sie unterstützen, was dann zum Eindringen in das Unternehmensnetzwerk aus einer bereits vertrauenswürdigen Quelle (dem Netzwerk des Anbieters) führt. Immer wieder haben wir erlebt, dass vertrauenswürdiger Zugriff uns zum Verhängnis geworden ist, sei es durch Anbieter, Partner oder andere Dritte, mit denen Unternehmen regelmäßig zusammenarbeiten.
Es ist an der Zeit, dass wir unsere Netzwerke und Vermögenswerte besser vor Organisationen schützen, die zwar bis zu einem gewissen Grad vertrauenswürdig sind, aber dennoch ein erhebliches Risiko für unsere Organisationen darstellen können, allein aufgrund der Tatsache, dass sie mit uns verbunden sind oder uns Software oder Dienstleistungen zur Verfügung stellen. Aber wie?
Eine zweistufige Lösung
1. Risikomanagement für Lieferanten
Zunächst benötigen wir ein effektiveres Risikomanagement für Anbieter und Dienstleister, die wir in unseren Umgebungen einsetzen oder die wir für die Bereitstellung von Unternehmensdienstleistungen nutzen (z. B. Cloud-Anbieter). Die Definition kritischer Anbieter und Dienstleister (sowie Partner) ist ein erster Schritt. Anschließend müssen wir sorgfältig prüfen, mit welchen Arten von Ressourcen und Daten Drittanbieter und -lösungen interagieren werden.
2. Netzwerksegmentierung
Zweitens müssen wir Netzwerke und Verbindungspunkte für alle verbundenen Dritten besser segmentieren, um das Eindringen von Angreifern und deren seitliche Bewegung besser zu verhindern. Einige Fernzugriffsszenarien für „vertrauenswürdige“ Partner ermöglichen nach ordnungsgemäßer Authentifizierung der Verbindungen einen nahezu vollständigen Zugriff auf die Systeme. Allen Dritten sollte gemäß der klassischen „Need-to-know“-Philosophie nur Zugriff auf die Ressourcen gewährt werden, die sie benötigen. Netzwerksegmente (VLANs oder Subnetze) sollten auf der Grundlage von Datentypen und Zugriffsmodellen eingerichtet werden, mit geeigneten Kontrollmechanismen wie Firewalls und Intrusion Detection, um den gesamten Datenverkehr in die und aus der Umgebung zu kontrollieren.
Nächste Schritte zur Reduzierung von Risiken durch Dritte
Da sich mehr Unternehmen denn je auf die Lieferkette konzentrieren, ist es an der Zeit, genau zu prüfen, welche Produkte und Dienstleistungen von Drittanbietern wir nutzen, auf welche Daten Drittanbieter Zugriff haben und wie sich Lieferanten und Dienstleister im täglichen Geschäftsbetrieb verhalten. Da die Lieferkette heute fest im Visier von Angreifern steht, gibt es keinen besseren Zeitpunkt als jetzt, um sich auf Risiken durch Drittanbieter und die Sicherheit der Lieferkette zu konzentrieren.
Weitere Informationen zu meinen Empfehlungen für die Sicherung von Beziehungen zu Drittanbietern finden Sie im On-Demand-Webinar „Was es wirklich bedeutet, sich ernsthaft mit Risiken durch Drittanbieter auseinanderzusetzen“.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
