Kaspersky-Verbot: Auswirkungen auf das Risikomanagement von Drittanbietern

Befolgen Sie diese sieben Schritte, um das Risiko verbotener Software in Ihrem Ökosystem aus Drittanbietern und Lieferanten zu erkennen, zu bewerten und zu mindern.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter August 22, 2024 7 min gelesen
Decorative image

Im Juni 2024 verbot die US-Regierung den Verkauf und die Aktualisierung von Software, die vom Cybersicherheitsunternehmen Kaspersky in den Vereinigten Staaten entwickelt wurde. Die Ankündigung folgte auf ein Gesetz aus dem Jahr 2017, das die Verwendung von Kaspersky-Software in Regierungsbehörden untersagte. Die USA sind nicht das einzige Land, das diese Entscheidung getroffen hat. Auch die Regierungen des Vereinigten Königreichs, Deutschlands, Italiens, der Niederlande und anderer Länder haben die Verwendung von Kaspersky-Software verboten oder erheblich eingeschränkt.

Obwohl es keine direkten Hinweise auf illegale Aktivitäten gibt, basiert das Verbot auf der Befürchtung, dass die russische Regierung Zugriff auf das Netzwerk von Kaspersky und dessen Kundendaten haben könnte. Diese Regierungen befürchten, dass der Zugriff, den Kaspersky zum Schutz von Computersystemen nutzt, dazu missbraucht werden könnte, sensible Informationen zu stehlen oder Malware zu installieren. Die russische Invasion in der Ukraine hat die Befürchtungen weiter geschürt, dass russische Cyberangriffe den Zugriff auf die Systeme von Kaspersky nutzen könnten, um offensive Operationen gegen Nationen durchzuführen, die die Ukraine unterstützen.

Drittanbieter und Lieferanten in diesen Ländern sollten angesichts dieser Verbote bereits ihre Verbindungen zu Kaspersky-Software gekappt haben. Da dies jedoch nicht garantiert ist, ist es für Unternehmen von entscheidender Bedeutung, ihre Lieferanten und Lieferketten zu überprüfen, um Fälle von Kaspersky zu identifizieren und potenzielle Cyber-, Rechts- oder Reputationsschäden zu vermeiden.

Angesichts dieses neuen Verbots untersucht dieser Beitrag Maßnahmen, die Unternehmen ergreifen können, um Fälle von Kaspersky bei ihren Drittanbietern und in ihren Lieferketten aufzudecken und zu überwachen und so Risiken zu reduzieren.

Sieben Schritte zur Minderung des Risikos verbotener Technologien bei Ihren Drittanbietern oder in Ihrer Lieferkette

Beachten Sie diese sieben Schritte, um die Verwendung von Kaspersky in Ihrem Lieferanten-Ökosystem zu ermitteln, zu bewerten und zu überwachen. Diese Schritte gelten auch für alle anderen verbotenen Technologien, aber wir konzentrieren uns in diesem Fall auf Kaspersky.

1. Erstellen Sie ein zentrales Verzeichnis aller Drittanbieter.

Eine zentralisierte Bestandsaufnahme aller Drittanbieter und Lieferanten verbessert die Governance und die Prozesse im Lieferantenmanagement und verringert die Wahrscheinlichkeit, dass unüberwachte Lieferantenbeziehungen Risiken für Ihren IT-Betrieb mit sich bringen. Die Bestandsaufnahme Ihrer Lieferanten sollte auf einer zentralisierten Plattform erfolgen – nicht in Tabellenkalkulationen. Auf diese Weise können mehrere interne Teams am Lieferantenmanagement teilnehmen und der Prozess kann zum Nutzen aller automatisiert werden.

Sie können ein zentrales Lieferanteninventar aufbauen, indem Sie Lieferanten über eine Tabellenvorlage oder eine API-Verbindung zu einer bestehenden Beschaffungs- oder Kreditorenbuchhaltungslösung in Ihre Risikomanagementplattform für Drittanbieter importieren. Teams im gesamten Unternehmen sollten in der Lage sein, wichtige Lieferantendaten mit einem zentralisierten und anpassbaren Erfassungsformular und einem zugehörigen Workflow zur Genehmigung zu erfassen. Diese Funktion sollte allen per E-Mail-Einladung zur Verfügung stehen, ohne dass eine Schulung oder Lösungsexpertise erforderlich ist.

Ein zentrales Verzeichnis von Drittanbietern und Lieferanten hat den zusätzlichen Vorteil, dass ein einheitliches Lieferantenprofil erstellt werden kann, das wichtige Merkmale wie firmografische Details, Finanzdaten, betriebliche Informationen und andere wichtige Einblicke in das Unternehmen enthält.

2. Erstellen Sie eine Karte von Drittanbietern, um das Risiko einer Technologiekonzentration zu ermitteln.

Sammeln Sie während des Inventarisierungsprozesses Informationen zu den Technologien von Drittanbietern, die in Ihrem Lieferanten-Ökosystem eingesetzt werden, um anhand der Nutzung bestimmter Technologien Beziehungen zwischen Ihrem Unternehmen und Dritten zu identifizieren. Auf diese Weise können Sie Angriffspfade in Ihr Unternehmen visualisieren und proaktive Maßnahmen zur Risikominderung ergreifen. Dies können Sie durch eine gezielte Bewertung oder durch passives Scannen erreichen.

Im Fall von Kaspersky würde Ihnen eine Übersicht über die Anbieter, die das nun verbotene Tool verwenden, dabei helfen, sich auf diejenigen Anbieter zu konzentrieren, die hinsichtlich einer potenziellen Malware-Gefährdung überprüft werden sollten. Konzentrieren Sie sich zunächst auf die wichtigsten oder geschäftskritischen Anbieter, da eine Unterbrechung ihrer Geschäftstätigkeit möglicherweise schwerwiegendere Auswirkungen auf Ihr Unternehmen hätte.

3. Führen Sie eine inhärente Risikobewertung durch.

Nachdem Sie Ihre Lieferanten zentralisiert und das Vorhandensein betroffener Technologien bewertet haben, führen Sie Bewertungen der inhärenten Risiken durch, um zu ermitteln, wie Sie Ihre Drittanbieter entsprechend den von ihnen ausgehenden Risiken kontinuierlich bewerten können. Zu den Attributen, die zur Berechnung einer inhärenten Risikobewertung herangezogen werden, sollten mindestens der Zugriff auf sensible Informationen oder Systeme, regulatorische und gesetzliche Anforderungen sowie der geografische Standort gehören.

4. Bewertung der Geschäftskontinuitätspläne und der Widerstandsfähigkeit von Drittunternehmen

Beziehen Sie gefährdete Lieferanten proaktiv mit ein, indem Sie einfache, gezielte Bewertungen durchführen, die sich an bekannten Branchenstandards orientieren. Die Ergebnisse dieser Bewertungen helfen Ihnen dabei, die erforderlichen Abhilfemaßnahmen zu ergreifen, um potenzielle Sicherheitslücken zu schließen. Gute Lösungen bieten Workflow-Automatisierung, Überprüfung und Analyse, Unterstützung beim Evidenzmanagement und integrierte Empfehlungen, um Abhilfemaßnahmen zu beschleunigen und diese Lücken schnell zu schließen.

5. Überwachen Sie gefährdete Anbieter und Lieferanten kontinuierlich auf Cyberangriffe.

Um stets auf den nächsten Angriff vorbereitet zu sein, muss man nach Anzeichen für einen bevorstehenden Sicherheitsvorfall Ausschau halten. Die Überwachung von kriminellen Foren, Onion-Seiten, speziellen Zugangsforen im Dark Web, Threat Feeds, Paste-Seiten für geleakte Zugangsdaten, Sicherheits-Communities, Code-Repositorys und Datenbanken zu Schwachstellen und Hackerangriffen/Sicherheitsverletzungen ist dabei unerlässlich.

Sie können diese Quellen einzeln überwachen oder nach Lösungen suchen, die alle Erkenntnisse in einer einzigen Quelle zusammenfassen, sodass alle Risiken zentralisiert und für das Unternehmen sichtbar sind. Korrelieren Sie alle Überwachungsdaten mit den Bewertungsergebnissen und zentralisieren Sie sie in einem einheitlichen Risikoregister für jeden Anbieter, um die Risikoprüfung, Berichterstattung und Reaktionsinitiativen zu optimieren.

6. Testen Sie Ihren Notfallplan für Vorfälle durch Dritte.

Die Automatisierung der Reaktion auf Vorfälle ist entscheidend für die Verkürzung der durchschnittlichen Erkennungszeit (MTTD) und der durchschnittlichen Reaktionszeit (MTTR) auf Vorfälle von Drittanbietern, wodurch die Auswirkungen des Vorfalls auf Ihren Betrieb verringert werden können. Während Sie Ihre Pläne zur Reaktion auf Vorfälle kontinuierlich verbessern:

  • Nutzen Sie einen zentralisierten Fragebogen für das Ereignis- und Vorfallmanagement, um die Reaktionszeiten zu verkürzen und die Bewertungen zu vereinfachen und zu standardisieren.
  • Verfolgen Sie den Fortschritt beim Ausfüllen des Fragebogens in Echtzeit, um mögliche Auswirkungen zu reduzieren.
  • Ermöglichen Sie Anbietern, proaktiv Vorfälle zu melden, um Kontext hinzuzufügen und die Reaktionszeiten zu verkürzen.
  • Verwenden Sie Workflow-Regeln, um automatisierte Playbooks auszulösen, die entsprechend den potenziellen Auswirkungen auf das Unternehmen auf Risiken reagieren.
  • Geben Sie dem Anbieter Anweisungen zur Behebung des Problems, um das Risiko für Ihr Unternehmen auf ein akzeptables Maß zu senken.

Durch die Zentralisierung der Reaktion auf Vorfälle von Drittanbietern in einem einzigen unternehmensweiten Vorfallmanagementprozess können Ihre IT-, Sicherheits-, Rechts-, Datenschutz- und Compliance-Teams effektiv zusammenarbeiten, um Risiken zu minimieren.

7. Durchsetzung der Bestimmungen in Lieferantenverträgen

Achten Sie darauf, dass Sie in Ihren Lieferantenverträgen durchsetzbare Bestimmungen aufnehmen, die die Verwendung verbotener Technologien untersagen und von Dritten eine Bescheinigung über deren Nichtverwendung verlangen. Um den Prozess zu vereinfachen und ihn in das Risikobewertungsprogramm für Dritte zu integrieren, nutzen Sie Vertragsworkflow-Funktionen, um den Lebenszyklus vom Onboarding bis zum Offboarding zu automatisieren, und suchen Sie nach KI-Funktionen, die automatisch wichtige Vertragsdetails für eine zentralisierte Nachverfolgung und Durchsetzung extrahieren.

Nächste Schritte für TPRM im Rahmen des Kaspersky-Verbots

Ein manueller, reaktiver Ansatz beim Risikomanagement von Drittanbietern erhöht nur die Wahrscheinlichkeit von Betriebsunterbrechungen, rechtlichen Sanktionen oder Compliance-Verstößen. Befolgen Sie stattdessen die sieben Schritte in diesem Beitrag, um besser auf zukünftige Softwareverbote vorbereitet zu sein.

Die weit verbreitete Risikomanagementplattform für Dritte kann dabei helfen, indem sie:

  • Zentralisierung von Lieferantenverträgen, Automatisierung der Verwaltung wichtiger Bestimmungen und native Integration in den Risikobewertungsprozess.
  • Automatisierung der Lieferantenverwaltung und Erstellung einer Übersicht aller Dritt-, Viert- und N-Parteien.
  • Bereitstellung eines einzigen umfassenden Profils für jeden Anbieter, das allen Beteiligten zur Verfügung steht.
  • Profilierung und Einstufung von Anbietern, um diese genau zu kategorisieren und die richtige Sorgfaltspflicht festzulegen.
  • Bewertung von Anbietern anhand von Dutzenden von Branchen-Frameworks unter Verwendung von mehr als 750 Risikobewertungsvorlagen mit integrierten Empfehlungen zur Behebung von Mängeln.
  • Kontinuierliche Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzrisiken zur Validierung der Bewertungsergebnisse.
  • Verwaltung des Vorfallsreaktionsprozesses für Dritte.

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, das Risiko verbotener Software in Ihrem Lieferanten-Ökosystem zu erkennen, zu bewerten und zu mindern, fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.