Sicherheitsvorfälle in der Lieferkette dominieren die Schlagzeilen, wobei jeden Tag neue Verstöße bekannt werden – sei es ein Software-Hack wie bei SolarWinds oder Okta oder ein Angriff auf die Lieferkette wie bei Toyota. Vor kurzem gab Microsoft einen Hack bekannt, bei dem ein kompromittierter Schlüssel unberechtigten Zugriff auf Kundendaten ermöglichte.
Angesichts der anhaltenden Häufigkeit von Angriffen durch Dritte fragen sich Sicherheitsteams: Was könnte als Nächstes passieren?
NIST CSF und Risikomanagement durch Dritte
Für viele Unternehmen lautet die Antwort: Sie müssen Ihr Third-Party-Risikomanagement (TPRM) mithilfe von Best Practices, Leitlinien und Benchmarks in Ordnung bringen. Oft stammen diese Leitlinien aus gängigen Cybersicherheits-Frameworks wie dem Cybersecurity Framework (CSF) des National Institute of Standards and Technology (NIST). Nachdem die Version 2.0 des NIST CSF nun fertiggestellt ist, werden sich erhebliche Änderungen auf die Gestaltung und Umsetzung Ihres TPRM-Programms zur Bewältigung dieser Risiken auswirken.
In diesem Beitrag werde ich die wichtigsten Änderungen im Bereich Third-Party Risk Management (TPRM) und C-SCRM am NIST CSF untersuchen, dessen Kernfunktionen überprüfen und Best Practices für die Umsetzung als Teil Ihres Third-Party-Risikomanagementprogramms empfehlen.
3 wichtige TPRM-Aktualisierungen in NIST CSF Version 2.0
1. Neue Govern-Funktion
Die Einführung der Governance-Funktion verdeutlicht, wie wichtig Cybersicherheits-Governance für das Management und die Reduzierung von Cybersicherheitsrisiken in Lieferketten ist. Bisherige Governance-Inhalte , die in den anderen Funktionen – Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen – zu finden waren, wurden in die Governance-Funktion verschoben. Mit den vorgeschlagenen Änderungen umfasst die Cybersicherheits-Governance:
- Festlegung der Prioritäten und Risikotoleranzen der Organisation, der Kunden und der Gesellschaft
- Bewertung von Cybersicherheitsrisiken und -auswirkungen (auch für Dritte)
- Festlegung von Richtlinien und Verfahren zur Cybersicherheit
- Rollen und Verantwortlichkeiten im Bereich Cybersicherheit verstehen
Laut NIST sind diese Aktivitäten von entscheidender Bedeutung für die Erkennung, Reaktion und Wiederherstellung nach Cybersicherheitsvorfällen und -zwischenfällen sowie für die Überwachung von Teams, die Cybersicherheitsaktivitäten für die Organisation durchführen.
Da Unternehmen bei wesentlichen Dienstleistungen und Technologien zunehmend auf Dritte angewiesen sind, ist eine starke Governance entscheidend, um diese Risiken strukturiert und konsistent zu managen. Die Einbeziehung der Governance-Funktion in NIST CSF 2.0 unterstützt diese Anforderung, indem sie die Risikomanagementpraktiken für Dritte mit umfassenderen Corporate-Governance-Rahmenwerken in Einklang bringt.
Wichtige Funktionen der Governance-Funktion für das Risikomanagement von Drittanbietern:
Eine spezielle Governance-Funktion hilft dabei, die Cybersicherheitsaktivitäten und -prozesse von Drittanbietern über das Risikomanagement von Drittanbietern, das Unternehmensrisikomanagement und die Rechtsabteilungen hinweg aufeinander abzustimmen und zu integrieren. Zu beachten sind dabei unter anderem folgende Aspekte:
Verbesserte Rechenschaftspflicht und Entscheidungsfindung:
Die Governance-Funktion von CSF 2.0 unterstreicht die Bedeutung einer klaren Definition von Rollen und Verantwortlichkeiten innerhalb von Cybersicherheitsprogrammen, insbesondere für das Management von Risiken durch Dritte. Durch die Festlegung von Verantwortlichkeiten können Unternehmen das Risikomanagement für Dritte in das gesamte Governance-Framework integrieren und so eine Fragmentierung verhindern. Es fördert die Zuweisung von Verantwortlichkeiten für die Risikobewertung von Lieferanten, das Vertragsmanagement und die kontinuierliche Überwachung der Compliance, wodurch Schwachstellen reduziert werden. Darüber hinaus fördert die Governance-Funktion formelle Prozesse zur Bewertung von Risiken durch Dritte und zur fundierten Entscheidungsfindung bei der Auswahl und Überwachung von Lieferanten, um sicherzustellen, dass diese Entscheidungen mit der Risikotoleranz und den Cybersicherheitszielen des Unternehmens im Einklang stehen.
Entwicklung und Einhaltung von Richtlinien:
Die Governance-Funktion ermutigt Unternehmen, Richtlinien zu erstellen, die alle Aspekte des Risikomanagements für Dritte abdecken, von der Lieferantenauswahl über die kontinuierliche Überwachung bis hin zur Reaktion auf Vorfälle. Diese Richtlinien stellen sicher, dass Lieferanten die Sicherheitsanforderungen erfüllen, z. B. die Einhaltung bestimmter Standards, die Durchführung von Audits oder die Implementierung von Sicherheitskontrollen. Darüber hinaus befasst sich die Governance-Funktion mit der Einhaltung sowohl interner Richtlinien als auch externer Vorschriften und hilft Unternehmen dabei, das Risikomanagement für Dritte an Branchenstandards wie HIPAA oder FFIEC anzupassen, um die Einhaltung der Vorschriften zu gewährleisten und Strafen zu vermeiden.
Risikoüberwachung und kontinuierliche Verbesserung:
Die NIST CSF 2.0-Governance betont die Bedeutung einer kontinuierlichen Überwachung und Verbesserung des Risikomanagements für Dritte. Dies wird auch im Abschnitt „Verbesserung” der Kategorie „Identifizieren” hervorgehoben. Die Governance-Funktion fordert Unternehmen dazu auf, Prozesse zur regelmäßigen Überprüfung und Aktualisierung ihrer Risikomanagementpraktiken für Dritte einzurichten. Auf diese Weise können Unternehmen ihre Strategien an die sich verändernde Bedrohungslage und die Beziehungen zu Dritten anpassen.
Zur kontinuierlichen Verbesserung können die Neubewertung der Sicherheitsvorkehrungen von Lieferanten, die Durchführung von Audits und die Überprüfung von Vorfallberichten Dritter gehören. Dazu gehört auch die Aktualisierung von Verträgen und Service Level Agreements (SLAs), um neuen Cybersicherheitsrisiken oder regulatorischen Anforderungen Rechnung zu tragen. Die Einbettung dieser Aktivitäten in die Unternehmensführung gewährleistet eine kontinuierliche Überwachung und Minderung von Risiken durch Dritte.
2. Verstärkte Aufgaben für Rechts- und Compliance-Teams
Im Einklang mit der Hinzufügung der Governance-Funktion betont CSF 2.0 die Rolle der Rechts- und Compliance-Teams. Für TPRM benötigen diese Gruppen genaue und zeitnahe Berichte von Lieferanten, Anbietern und anderen Drittorganisationen, die möglicherweise Zugang zu sensiblen Daten, Systemen und Anwendungen haben.
3. Verbesserte Leitlinien zu Risiken in der Lieferkette
Die für TPRM-Teams bedeutendste Neuerung in CSF 2.0 ist die verbesserte Anleitung zum Management von Lieferkettenrisiken. CSF 2.0 enthält zusätzliche Ergebnisse zum Cybersicherheits-Risikomanagement in der Lieferkette (C-SCRM), um Unternehmen bei der Bewältigung dieser besonderen Risiken zu unterstützen. Laut CSF besteht „das Hauptziel von C-SCRM darin, angemessene Überlegungen zum Cybersicherheits-Risikomanagement von Erstparteien auf Dritte, Lieferketten sowie Produkte und Dienstleistungen, die ein Unternehmen erwirbt, auszuweiten, basierend auf der Kritikalität der Lieferanten und der Risikobewertung“.
Die Kategorie „Risikomanagement in der Lieferkette“ wurde um die neue Funktion „Govern“ erweitert. Sie umfasst neue Bestimmungen zur Einbindung von Cybersicherheit in Verträge, zur Vertragsbeendigung und zur kontinuierlichen Bewertung von Risiken durch Dritte im gesamten Umfeld der Organisation.
Nächste Schritte: Laden Sie die vollständige NIST CSF 2.0-Checkliste herunter.
Die im Februar 2024 fertiggestellte Version 2.0 kann Unternehmen dabei helfen, umfassende TPRM- und C-SCRM-Maßnahmen besser in ihre Abläufe zu integrieren, von der Governance über das Risikomanagement bis hin zur Cybersicherheit. Durch die Formalisierung von Governance-Strukturen rund um Beziehungen zu Dritten, die Gewährleistung von Verantwortlichkeit, die Entwicklung robuster Richtlinien und die Förderung einer kontinuierlichen Überwachung bietet CSF 2.0 einen umfassenden Rahmen für den Umgang mit den komplexen Risiken, die von Dritten ausgehen.
Sehen Sie sich mein On-Demand-Webinar mit Prevalent an, um mehr darüber zu erfahren, wie NIST CSF 2.0 TPRM und Kontrollen für das Risikomanagement in der Cybersicherheit der Lieferkette integriert. Ich lade Sie außerdem ein, die von Prevalent entwickelte umfassende NIST CSF 2.0-Checkliste herunterzuladen. Darin werden die Governance-Funktion und die Kontrollen für das Risikomanagement in der Lieferkette ausführlich behandelt.
Wenn Sie mehr über die Prevalent TPRM-Lösung für NIST CSF 2.0 erfahren möchten, vereinbaren Sie noch heute einen Termin für eine Vorführung.
Die NIST CSF-Struktur
Das CSF ist in sechs Kernfunktionen unterteilt: Steuern, Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Kernfunktionen sind ergebnisorientiert und werden vom NIST nicht als Checkliste für Maßnahmen betrachtet. Eine Veranschaulichung der Kernfunktionen finden Sie in der folgenden Grafik.
Die sechs Kernfunktionen des NIST-Cybersicherheitsrahmens. Mit freundlicher Genehmigung: NIST.
1. Regieren
Die mit Version 2.0 eingeführte neue Funktion „Govern“ ist grundlegend und dient dazu, Informationen darüber zu liefern, wie ein Unternehmen die Ergebnisse der anderen fünf Funktionen im Rahmen seiner umfassenderen Unternehmensrisikomanagementstrategie erreichen und priorisieren wird. Sie umfasst die Überwachung der Cybersicherheitsstrategie, Rollen, Verantwortlichkeiten, Richtlinien, Prozesse und Verfahren und zentralisiert die Leitlinien für das Risikomanagement in der Cybersicherheits-Lieferkette.
2. Identifizieren
Die Identifizierungsfunktion dient dazu, ein Verständnis für die Vermögenswerte einer Organisation (z. B. Daten, Hardware, Software, Systeme, Einrichtungen, Dienstleistungen und Mitarbeiter) und die damit verbundenen Cybersicherheitsrisiken zu schaffen.
3. Schützen
Die Schutzfunktion bietet spezifische Leitlinien zum Schutz von Vermögenswerten, um die Wahrscheinlichkeit und die Auswirkungen von negativen Cybersicherheitsvorfällen zu verringern. Dazu gehören Themen wie Sensibilisierung und Schulung, Datensicherheit, Identitätsmanagement, Authentifizierung und Zugriffskontrolle, Plattform-Sicherheit (d. h. Sicherung der Hardware, Software und Dienste physischer und virtueller Plattformen) sowie die Widerstandsfähigkeit der technologischen Infrastruktur.
4. Erkennen
Die Erkennungsfunktion dient dazu, Anomalien, Kompromittierungsindikatoren und andere potenziell nachteilige Cybersicherheitsvorfälle zu erkennen und zu analysieren.
5. Antworten
Die Reaktionsfunktion umfasst Richtlinien zur Eindämmung der Auswirkungen von Cybersicherheitsvorfällen, wie z. B. Vorfallmanagement, Analyse, Schadensbegrenzung, Berichterstattung und Kommunikation.
6. Wiederherstellen
Die Wiederherstellungsfunktion enthält Richtlinien zur Wiederherstellung des normalen Betriebs, um die Auswirkungen von Cybersicherheitsvorfällen zu verringern.
Nahezu jede Funktion umfasst Kategorien und Unterkategorien, die direkt für das Risikomanagement von Drittanbietern und das Risikomanagement in der Cybersicherheits-Lieferkette relevant sind. Die Identifizierungsfunktion konzentriert sich beispielsweise stärker auf die Identifizierung von Vermögenswerten und Risiken, einschließlich Systemen und Dienstleistungen von Drittanbietern. Unternehmen werden dazu angehalten, Due-Diligence-Prüfungen bei Drittanbietern durchzuführen, um Schwachstellen zu identifizieren und die Einhaltung von Cybersicherheitsstandards sicherzustellen. Die Funktionen „Schützen“ und „Erkennen“ bieten Leitlinien zur Implementierung von Sicherheitskontrollen zur Minderung von Risiken durch Dritte, wie z. B. die Überwachung des Zugriffs und die Sicherstellung der Einhaltung von Sicherheitsrichtlinien durch Lieferanten.
Die Governance-Funktion: Cybersicherheit Risikomanagement in der Lieferkette im Detail
Hinweis: Dies ist nur eine Übersichtstabelle und keine vollständige Liste der NIST-Kategorien. Um eine vollständige Übersicht über das NIST CSF zu erhalten, laden Sie bitte die Vollversion herunter. Arbeiten Sie mit Ihrem internen Audit-Team und externen Auditoren zusammen, um die richtigen Kategorien und Unterkategorien zu bestimmen, auf die Sie sich konzentrieren sollten.
| Funktion, Kategorie und Unterkategorie | Bewährte Praktiken |
|---|---|
| GOVERN (GV): Die Strategie, Erwartungen und Richtlinien der Organisation für das Management von Cybersecurity-Risiken werden festgelegt, kommuniziert und überwacht. | |
| Risikomanagement für Cybersicherheit in der Lieferkette (GV.SC): Prozesse für das Risikomanagement in der Cyber-Lieferkette werden von den Stakeholdern der Organisation identifiziert, etabliert, verwaltet, überwacht und verbessert. | |
|
GV.SC-01: Ein Programm, eine Strategie, Ziele, Richtlinien und Prozesse zum Risikomanagement in der Cybersicherheits-Lieferkette werden von den Stakeholdern der Organisation festgelegt und vereinbart.
GV.SC-02: Die Rollen und Verantwortlichkeiten im Bereich Cybersicherheit für Lieferanten, Kunden und Partner werden festgelegt, kommuniziert und intern und extern koordiniert. GV.SC-03: Das Risikomanagement für die Cybersicherheit in der Lieferkette ist in die Cybersicherheit und das Unternehmensrisikomanagement, die Risikobewertung und die Verbesserungsprozesse integriert. |
Erstellen Sie ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) oder für das Risikomanagement in der Cybersecurity-Lieferkette (C-SCRM), das mit Ihren umfassenderen Programmen für Informationssicherheit und Governance, Unternehmensrisikomanagement und Compliance übereinstimmt.
* Suchen Sie Experten, die mit Ihrem Team zusammenarbeiten, um: Im Rahmen dieses Prozesses sollten Sie Folgendes definieren: |
| GV.SC-04: Lieferanten sind bekannt und werden nach ihrer Bedeutung priorisiert. |
Zentralisieren Sie Ihr Drittanbieter-Inventar in einer Softwarelösung. Anschließend quantifizieren Sie inhärente Risiken für alle Dritten. Zu den Kriterien, die zur Berechnung des inhärenten Risikos für die Priorisierung von Dritten herangezogen werden, sollten gehören:
* Art der Inhalte, die zur Validierung von Kontrollen erforderlich sind Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen. Eine regelbasierte Tiering-Logik sollte eine Kategorisierung der Anbieter anhand einer Reihe von Faktoren ermöglichen, darunter Dateninteraktion, Finanzdaten, regulatorische Aspekte und Reputation. |
| GV.SC-05: Anforderungen zur Bewältigung von Cybersicherheitsrisiken in Lieferketten werden festgelegt, priorisiert und in Verträge und andere Arten von Vereinbarungen mit Lieferanten und anderen relevanten Dritten integriert. |
Zentralisierung der Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträge den Vertragslebenszyklus zu automatisieren und sicherzustellen, dass wichtige Klauseln durchgesetzt werden. Zu den wichtigsten Funktionen sollten gehören:
* Zentralisierte Nachverfolgung aller Verträge und Vertragselemente wie Art, wichtige Termine, Wert, Erinnerungen und Status – mit benutzerdefinierten, rollenbasierten Ansichten Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten und Prüfungsklauseln im Anbietervertrag festgelegt und die SLAs entsprechend verfolgt und verwaltet werden. |
| GV.SC-06: Es werden Planungen und Sorgfaltsprüfungen durchgeführt, um Risiken zu reduzieren, bevor formelle Beziehungen zu Lieferanten oder anderen Dritten eingegangen werden. |
Zentralisieren und automatisieren Sie die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs) in einer einzigen Lösung, die einen Vergleich anhand wichtiger Merkmale ermöglicht.
Da alle Dienstanbieter zentralisiert und überprüft werden, sollten die Teams umfassende Anbieterprofile erstellen, die Einblicke in die demografischen Informationen eines Anbieters, Technologien von Drittanbietern, ESG-Bewertungen, jüngste Geschäfts- und Reputationseinblicke, Datenverletzungen und die jüngste finanzielle Leistung enthalten. Dieses Maß an Sorgfaltspflicht schafft einen größeren Kontext für Entscheidungen bei der Anbieterauswahl. |
| GV.SC-07: Die Risiken, die von einem Lieferanten, seinen Produkten und Dienstleistungen sowie anderen Dritten ausgehen, werden im Laufe der Geschäftsbeziehung erfasst, dokumentiert, priorisiert, bewertet, behandelt und überwacht. |
Suchen Sie nach Lösungen, die eine große Bibliothek mit vorgefertigten Vorlagen für Risikobewertungen durch DritteDie Bewertungen sollten bei der Einstellung, bei Vertragsverlängerungen oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden, je nach wesentlichen Änderungen.
Bewertungen sollten zentral verwaltet werden und durch Workflow-, Aufgabenmanagement- und automatisierte Beweisüberprüfungsfunktionen unterstützt werden, um sicherzustellen, dass Ihr Team während des gesamten Beziehungslebenszyklus Einblick in die Risiken Dritter hat. Wichtig ist, dass eine TPRM-Lösung integrierte Empfehlungen für Abhilfemaßnahmen auf der Grundlage von Risikobewertungsergebnissen enthält, um sicherzustellen, dass Ihre Drittparteien die Risiken rechtzeitig und in zufriedenstellender Weise angehen und den Prüfern die entsprechenden Nachweise vorlegen können. Im Rahmen dieses Prozesses sollten externe Bedrohungen für Dritte kontinuierlich verfolgt und analysiert werden. Überwachen Sie das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Alle Überwachungsdaten sollten mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert werden, um die Risikoprüfung, Berichterstattung, Abhilfemaßnahmen und Reaktionsinitiativen zu rationalisieren. Achten Sie darauf, Betriebs-, Reputations- und Finanzdaten Dritter einzubeziehen, um den Cyber-Ergebnissen einen Kontext zu geben und die Auswirkungen von Vorfällen im Laufe der Zeit zu messen. |
| GV.SC-08: Relevante Lieferanten und andere Dritte werden in die Planung, Reaktion und Wiederherstellung bei Zwischenfällen einbezogen. |
Als Teil Ihres umfassenderen Strategie zum Umgang mit Zwischenfällen Stellen Sie sicher, dass Ihr Programm zur Reaktion auf Vorfälle bei Dritten es Ihrem Team ermöglicht, die Auswirkungen von Vorfällen bei Dritten schnell zu erkennen, darauf zu reagieren, darüber zu berichten und sie zu mindern. Sicherheitsvorfälle bei AnbieternSuchen Sie nach Managed Services, bei denen engagierte Experten Ihre Lieferanten zentral verwalten, proaktive Ereignisrisikobewertungen durchführen, identifizierte Risiken bewerten, Risiken mit kontinuierlichen Cyber-Überwachungsinformationen korrelieren und Empfehlungen zur Behebung von Mängeln aussprechen. Managed Services können den Zeitaufwand für die Identifizierung von Lieferanten, die von einem Cybersicherheitsvorfall betroffen sind, erheblich reduzieren und sicherstellen, dass Abhilfemaßnahmen ergriffen werden.
Zu den wichtigsten Funktionen eines Drittanbieters für die Reaktion auf Zwischenfälle sollten gehören: * Kontinuierlich aktualisierte und anpassbare Fragebögen zum Ereignis- und Vorfallmanagement Ziehen Sie auch die Nutzung von Datenbanken in Betracht, die mehrere Jahre lang Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthalten - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie der Echtzeit-Benachrichtigungen von Anbietern über Datenverletzungen. Mit diesen Erkenntnissen kann Ihr Team den Umfang und die Auswirkungen des Vorfalls besser verstehen, welche Daten betroffen waren, ob der Betrieb des Drittanbieters beeinträchtigt wurde und wann die Abhilfemaßnahmen abgeschlossen sind - und das alles mit Hilfe von Experten. |
| GV.SC-09: Maßnahmen zur Sicherheit der Lieferkette sind in Cybersicherheits- und Unternehmensrisikomanagementprogramme integriert, und ihre Leistung wird während des gesamten Lebenszyklus der Technologieprodukte und -dienstleistungen überwacht. | Siehe GV.SC-01 und GV.SC-02. |
| GV.SC-10: Pläne zum Risikomanagement in der Cybersicherheits-Lieferkette enthalten Bestimmungen für Aktivitäten, die nach Abschluss einer Partnerschaft oder eines Dienstleistungsvertrags stattfinden. |
Aufbauend auf den für GV.SC-05 empfohlenen Best Practices sollten Vertragsbewertungen automatisiert werden und Offboarding Verfahren zur Verringerung des Risikos für Ihr Unternehmen nach Vertragsabschluss.
* Planen Sie Aufgaben zur Überprüfung von Verträgen, um sicherzustellen, dass alle Verpflichtungen erfüllt wurden |
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
