Da sind wir wieder. Ein weiterer Einzelhändler, ein weiterer Cyberangriff, der mit einem Drittanbieter in Verbindung steht. Diesmal lag der Fokus jedoch nicht auf dem Diebstahl von Kundendaten, sondern auf Mitarbeiterdaten. Die Luxus-Einzelhandelskette Nordstrom hat bekannt gegeben, dass die Daten ihrer Mitarbeiter möglicherweise durch einen Datenverstoß kompromittiert wurden und dass darunter Sozialversicherungsnummern, Geburtsdaten, Kontonummern, Bankleitzahlen und andere personenbezogene Daten (PII) sein könnten. Kriminelle wissen, dass ein Einbruch bei einem kleineren Anbieter, der nicht über ausreichende Sicherheitsbudgets verfügt, ihnen die Tür zum Diebstahl wertvoller Daten von großen Unternehmen öffnet.
In einer offiziellen Erklärung gab Nordstrom bekannt, dass die Ursache für den Datenverstoß ein Vertragsarbeiter war, der mit den Mitarbeiterdaten unsachgemäß umgegangen ist. Obwohl noch unklar ist, ob die Informationen weitergegeben oder in böswilliger Absicht verwendet wurden, stellte das Unternehmen klar, dass der Vertragsarbeiter „keinen Zugriff mehr auf unsere Systeme hat und wir zusätzliche Maßnahmen ergreifen, um zu verhindern, dass sich so etwas wiederholt“. Nordstrom hat noch keine Angaben zur Anzahl der von dem Datenverstoß betroffenen Mitarbeiter gemacht.
Der Datenverstoß bei Nordstrom ist insofern einzigartig, als dass nicht Kundendaten, sondern Mitarbeiterdaten offengelegt wurden. Dennoch reiht er sich ein in eine wachsende Zahl von Datenverstößen, die durch Drittanbieter verursacht wurden. Diese Verstöße durch Drittanbieter haben Unternehmen wie Target und Expedia betroffen und Diskussionen über verschiedene Ansätze zum Risikomanagement bei Drittanbietern ausgelöst.
Obwohl es im Bereich des Risikomanagements für Dritte einige Meinungsverschiedenheiten hinsichtlich der Wirksamkeit und des Aufwands verschiedener Methoden zur Risikominderung wie Bewertungsumfragen, kontinuierliche Überwachung und Vor-Ort-Inspektionen gibt, ist die Realität, dass jede dieser Methoden ein einzelnes Instrument für Risikomanagementteams darstellt und jede einen bestimmten Zweck im Rahmen der Beziehung zwischen Anbieter und Kunde erfüllt.
Im Fall der Sicherheitsverletzung bei Nordstrom verdeutlicht die Beteiligung eines externen Auftragnehmers die Notwendigkeit eines vielschichtigen Risikoprogramms für Dritte. Bewertungsumfragen und ein gründlicher Onboarding-Prozess können Unternehmen dabei helfen, das Risiko durch menschliche Bedrohungen zu mindern, während eine kontinuierliche Überwachung Cyber-Bedrohungen vorbeugen und verringern kann.
Prevalent bietet seinen Partnern ein umfassendes Toolkit zur Prävention und zum Management von Risiken durch Dritte. Forrester hat Prevalent kürzlich in „The Forrester New Wave™: Cybersecurity Risk Rating Solutions“ als führendes Unternehmen ausgezeichnet und festgestellt, dass „Prevalent ideal für Unternehmen ist, die ein einziges TPRM-Tool mit integrierten Cyber-Risikobewertungen suchen. Aufgrund seiner robusten Risikoinformationen und umfassenden Risikomanagementfunktionen ist Prevalent eine gute Wahl für Sicherheits- und Risikofachleute, die ein einziges Tool für alle Cyber-TPRM-Aktivitäten suchen.“
Als branchenweit einzige speziell entwickelte, einheitliche Plattform, die eine leistungsstarke Kombination aus automatisierten Bewertungen, kontinuierlicher Überwachung und Austausch von Nachweisen für die Zusammenarbeit zwischen Unternehmen und Anbietern integriert, bietet Prevalent die beste Lösung für ein hochfunktionales, effektives Programm zum Management von Risiken durch Dritte.
Daryan Ver Ploeg ist ein Open Source Intelligence Analyst im Vendor Threat Monitor Team von Prevalent in Washington, DC. Er ist Absolvent der University of Maryland, College Park, und hat einen Bachelor of Arts in Government and Politics.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
