NBA-Datenpanne durch Dritte: 7 Spielzüge, um Fehlwürfe zu vermeiden

Verbessern Sie die Leistungsfähigkeit Ihres Teams im Umgang mit Cybersicherheitsvorfällen durch Dritte, indem Sie diese sieben Maßnahmen umsetzen.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 21, 2023 7 min gelesen
Decorative image

Die National Basketball Association (NBA) hat damit begonnen, Personen darüber zu informieren, dass ihre personenbezogenen Daten bei einem Datenleck bei einem Drittanbieter gestohlen wurden. Die NBA gibt an, dass die betroffenen Daten Namen und E-Mail-Adressen umfassen, aber keine anderen Arten von personenbezogenen Daten abgerufen wurden.

Da derzeit in den USA die March Madness
stattfindet, bleibt das Thema Basketball bestehen. In diesem Beitrag werden sieben Strategien vorgestellt, mit denen Ihr Risikomanagementteam für Drittanbieter verhindern kann, dass es bei Bedrohungen durch Datenverstöße bei Drittanbietern „Airballs” wirft.

#1. Eine Kultur des Erfolgs aufbauen

Jeder Trainer wird Ihnen sagen, dass es für den langfristigen Erfolg eines Teams und einer Organisation unerlässlich ist, von Anfang an eine Gewinnkultur zu etablieren. Das Gleiche gilt für Ihr Risikomanagementprogramm für Dritte. Beginnen Sie mit der richtigen Grundlage, einschließlich der Definition von:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI) für Teams im gesamten Unternehmen
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Dritte, vierte und N-te Parteien im Geltungsbereich
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) zur Bewertung von Lieferanten
  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Berichterstattung an Interessengruppen
  • Strategien zur Risikominderung und -behebung

Meisterschaften werden im Training gewonnen. Testen und verbessern Sie daher kontinuierlich die TPRM-Prozesse Ihres Unternehmens, um mit den sich ändernden Bedrohungen Schritt zu halten.

#2. Wählen Sie die richtigen Spieler für Ihr Team aus und legen Sie vertragliche Erwartungen fest.

Effektives Teambuilding beginnt damit, die richtigen Spieler zu verpflichten oder zu tauschen oder freie Spieler zu verpflichten, die zur Kultur Ihres Teams passen. Im Risikomanagement von Drittanbietern bedeutet dies, Lieferanten zu suchen und auszuwählen, die das geringste Risiko für den Betrieb Ihres Unternehmens darstellen.

Vergleichen und überwachen Sie im Rahmen Ihres Lieferantenauswahlprozesses wichtige Informationen zu Lieferantenrisiken, wie z. B. demografische Daten, verwendete Technologien von Drittanbietern, ESG-Bewertungen, aktuelle Einblicke in das Geschäft und die Reputation, die Geschichte von Datenverstößen und die finanzielle Leistung. Auf diese Weise können Sie Lieferanten auswählen, die nicht nur für den jeweiligen Zweck geeignet sind, sondern auch zum Risikoprofil Ihres Unternehmens passen.

Um die Leistung der Lieferanten zu maximieren, sollten messbare und durchsetzbare Leistungskennzahlen in den Lieferantenvertrag aufgenommen werden. Dadurch werden Vertragsverlängerungsgespräche transparenter.

#3. Kennen Sie Ihren Gegner

Im Basketball bedeutet es, seinen Gegner zu kennen, vor dem Spiel Videos zu studieren, die Paarungen der einzelnen Spieler zu verstehen und die richtigen fünf Startspieler auszuwählen, um die Gewinnchancen zu maximieren. Beim Risikomanagement von Drittanbietern ist es schwieriger, seinen Gegner zu kennen, da dieser unsichtbar bleibt, bis er zuschlägt. Deshalb ist es wichtig, die Risiken Ihres Anbieters in Bezug auf Cybersicherheit zu verstehen, da der Gegner genau diese Schwachstellen ausnutzen wird.

Beginnen Sie damit, ausgewählte Dritte anhand ihrer Kritikalität oder des Ausmaßes der Bedrohungen für ihre Informationsressourcen zu bewerten, indem Sie inhärente Risiken erfassen, verfolgen und quantifizieren. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Klassifizierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltsprüfungen festlegen und den Umfang laufender Bewertungen und kontinuierlicher Überwachungen bestimmen.

#4. Effektive Spielzüge aufzeichnen und aggressiv reagieren

Erfolgreiche Basketballteams spielen ihr Spiel, passen aber ständig ihre Herangehensweise an, um ihre Gewinnchancen zu verbessern. Flexibilität ist hier entscheidend, und im Risikomanagement für Dritte bedeutet dies, Risiken kontinuierlich zu bewerten und entsprechend auf Vorfälle bei Drittanbietern zu reagieren.

Zu den wichtigsten Komponenten eines wirksamen Programms zur Reaktion auf Vorfälle durch Dritte gehören:

  • Automatisierte Fragebögen zum Ereignis- und Vorfallmanagement zur Ermittlung des Risikos
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Berichterstattung durch Lieferanten zur Beschleunigung der Risikoreaktion
  • Workflow-Regeln zum Auslösen von Maßnahmen bei Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

Die Standardisierung eines Rahmens für die Risikoreaktion verbessert die Teamleistung, indem alle auf einen einzigen Satz von Erwartungen abgestimmt werden.

#5. Ballbesitz behalten

Im College-Basketball wird der „Possession Arrow“ verwendet, um zu bestimmen, welches Team in Situationen, in denen die definitive Kontrolle über den Ball nicht klar ist, den Ballbesitz erhält. Für Risikomanagementteams von Drittanbietern erweitern wir diese Definition um den Besitz von Daten – manchmal hat man sie selbst, manchmal hat sie ein Dritter, Vierter oder N-ter.

Um Ihr Risiko in Bezug auf Datensicherheitsvorfälle in Ihrem erweiterten Lieferanten-Ökosystem zu begrenzen, identifizieren Sie Subunternehmerbeziehungen von Viert- und N-Parteien, indem Sie eine fragebogenbasierte Bewertung durchführen oder die öffentlich zugängliche Infrastruktur des Drittanbieters passiv scannen. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten.

Sobald dies festgelegt ist, führen Sie eine Bewertung der Datensicherheit und des Datenschutzes durch. Zu den wichtigsten Überlegungen sollten gehören:

  • Datenschutz-Folgenabschätzungen, um gefährdete Geschäftsdaten aufzudecken und festzustellen, wo personenbezogene Daten (PII) vorhanden sind, wo sie weitergegeben werden und wer Zugriff darauf hat
  • Kontrollzuordnung und Berichterstattung gemäß Datenschutzbestimmungen
  • Kontinuierliche Überwachung von Datenverstößen bei Lieferanten – einschließlich Art und Umfang der gestohlenen Daten, Compliance- und Regulierungsfragen sowie Echtzeit-Benachrichtigungen über Datenverstöße bei Lieferanten
  • Durchsetzung vertraglicher Datenschutzbestimmungen ab Beginn der Geschäftsbeziehung

Zu wissen, wer den Ball hat (oder in diesem Fall die Daten), ist der erste Schritt zur Verbesserung der Reaktion auf Vorfälle durch Dritte.

#6. Fouls vermeiden

Nichts kann die Dynamik einer Basketballmannschaft mehr beeinträchtigen als ein Foul zum falschen Zeitpunkt. Für Risikomanagementteams von Drittanbietern können Fouls einen schwerwiegenden Verstoß gegen Compliance-Vorschriften bedeuten. Um Compliance effizient nachzuweisen und Strafen zu vermeiden, sollten Sie die Erfassung von Informationen zu Lieferantenrisiken automatisieren, Risiken quantifizieren, Lieferanten Abhilfemaßnahmen anbieten (oder kompensierende Kontrollen verlangen) und die Ergebnisse auf etablierte IT-Sicherheitskontrollrahmen wie ISO 27001, NIST und andere abbilden. Ein proaktiver Einblick in die Sicherheitspraktiken von Lieferanten kann Ihrem Team helfen, potenzielle Compliance-Verstöße zu vermeiden und die Berichterstattung bei Audits zu beschleunigen.

#7. Wissen, wann man aufrüsten sollte

Wenn sich die Verluste häufen oder die Chemie im Team leidet, kann es an der Zeit sein, die Aufstellung zu ändern, und das könnte einen Wechsel bedeuten. Für Risikomanagement-Teams von Drittanbietern bedeutet dies, die Vertragserfüllung ständig zu überwachen und Anbieter zu entlassen, wenn KPIs, KRIs oder SLAs nicht eingehalten werden.

Wenn eine Kündigung erforderlich ist, nutzen Sie Automatisierung und Workflows, um:

  • Führen Sie eine abschließende Überprüfung des Vertrags durch.
  • Begleichen Sie alle ausstehenden Rechnungen.
  • Zugriff auf IT-Infrastruktur, Daten und physische Gebäude widerrufen
  • Überprüfung der Einhaltung von Datenschutz- und Informationssicherheitsvorschriften
  • Aktualisieren Sie Ihre Lieferantenverwaltungsdatenbank
  • Kontinuierliche Überwachung von Lieferanten hinsichtlich potenzieller zukünftiger Risiken

Die Durchführung dieser Aufgaben verringert das Risiko Ihrer Organisation nach Vertragsabschluss.

Nächste Schritte zur Minderung des Risikos von Datenverstößen durch Dritte

Wenn sich in Ihrem Lieferantenumfeld ein Cybersicherheitsvorfall wie der Datenverstoß bei der NBA ereignen würde, wäre Ihr Unternehmen dann in der Lage, dessen Auswirkungen auf Ihr Geschäft schnell zu erfassen und seinen eigenen Vorfallreaktionsplan zu aktivieren? Erwägen Sie die Umsetzung dieser sieben Maßnahmen, um die Leistung Ihres Teams zu verbessern, laden Sie die Checkliste für die Reaktion auf Vorfälle durch Dritte herunter oder kontaktieren Sie uns, um noch heute eine persönliche Vorführung zu vereinbaren.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.