Risikoüberwachung ist die Praxis, extern verfügbare Daten zu sammeln und zu analysieren, um potenzielle Bedrohungen und Auswirkungen zu bewerten. Für Lieferantenmanager beginnt die Identifizierung von Risiken mit der proaktiven Beobachtung von Feeds zu Cyber-Bedrohungen, Wirtschaftsnachrichten und Finanzdaten. Diese Informationen können genutzt werden, um Verstöße, Compliance-Verletzungen, Störungen der Lieferkette und andere Bedrohungen für die Geschäftsbeziehung zu identifizieren.
Dieser Blog beantwortet unter anderem folgende Fragen:
- Warum sollten Lieferantenmanager Bewertungen durch Überwachung validieren?
- Welche Informationsquellen sollten Lieferantenmanager überwachen?
- Wie können Sie vermeiden, in eine große Überwachungsfalle zu tappen?
Warum Vendor Manager Bewertungen mit Risikomonitoring validieren sollten
Lieferantenmanager nutzen häufig eine kontinuierliche, externe Überwachung von Cyber- und Geschäftsrisiken, um die Antworten aus Lieferantenbewertungen zu validieren. Zwar zeigen regelmäßige, interne, kontrollbasierte Bewertungen, wie Lieferanten IT-Sicherheit und Datenschutz handhaben, doch kann sich im Jahr zwischen den Bewertungen viel ändern!
Die kontinuierliche Überwachung Ihrer Lieferanten hat mehrere Vorteile, darunter:
- Unmittelbarkeit – Durch einen sofortigen Überblick über öffentliche Risiken können Sie Ihre Einstufungs- und Priorisierungslogik bei der Einbindung von Lieferanten optimieren.
- Validierung – Überprüfung, ob die Antworten auf interne Lieferantenumfragen mit externen Cyber-, Geschäfts- und Finanzereignissen übereinstimmen, die sich auf ihre Organisationen auswirken.
- Häufigkeit – Regelmäßige, unvoreingenommene Einblicke in potenzielle Schwachstellen oder relevante Geschäftsrisiken, die sich negativ auf Ihr Unternehmen auswirken können.
Risikoüberwachung macht das Lieferantenrisikomanagement ganzheitlicher.
Welche Cyber-Informationsquellen sollten Vendor Manager überwachen?
Die Überwachung von Lieferantenrisiken umfasst mehr als nur das Scannen nach Schwachstellen in der Cybersicherheit. Sie sollte auch Informationen aus mehreren externen Quellen für Cyber-Bedrohungsinformationen umfassen, darunter:
- Internet-Sensornetzwerke
- Globale Bedrohungsdatenbanken
- Zusammenarbeitende Sicherheitspartner
- Antiviren-Benutzer
Diese Informationen können Ihnen helfen, die Risiken für die öffentlich zugänglichen Ressourcen Ihres Lieferanten besser zu verstehen.
Häufige Quellen für Daten zu Lieferantenrisiken sind unten aufgeführt.
| Überwachung von Cyberrisiken Ziel | Beschreibung |
|---|---|
| Dark Web | Häufige Erwähnungen eines Unternehmens im Dark Web stehen oft in Zusammenhang mit Bedrohungen gegen dieses Unternehmen. Die Aufmerksamkeit auf Dark-Web-Märkten kann auch auf illegale Verkäufe von Unternehmensvermögen oder -konten oder auf Betrugsmaschen hindeuten. |
| Domainmissbrauch/Typosquatting | Neue Domain-Registrierungen, die bestehenden Unternehmensdomains ähneln, können Anzeichen für potenziellen Domain-Missbrauch (z. B. Phishing) sein. Sie können auch auf Bemühungen hinweisen, Domain-Missbrauch zu verhindern oder einzudämmen. |
| E-Mail-Sicherheit | Sender Policy Framework (SPF)-Richtlinienkonfigurationen, Domain Keys Identified Mail (DKIM) und Domain-basierte Nachrichtenauthentifizierung, Berichterstattung und Konformität (DMARC) |
| Durchgesickerte Anmeldedaten | Offengelegte Anmeldedaten und E-Mails können darauf hindeuten, dass Passwörter oder Unternehmens-E-Mail-Adressen von Mitarbeitern wiederverwendet werden. Dies erhöht auch das Risiko von Credential-Stuffing-Angriffen und gezielten Angriffen durch Hacker. |
| Vorfälle | Offenlegungen von Sicherheitsverletzungen und validierte Berichte über Cyberangriffe können auf aktuelle Angriffe, Sicherheitsverletzungen oder andere Ereignisse hinweisen, die Informationsressourcen gefährden. |
| Infrastruktur | Verstöße gegen IT-Richtlinien, Missbrauch der Unternehmensinfrastruktur, Infektionen in der Unternehmensinfrastruktur, Malware, Fehlkonfigurationen, Schwachstellen, infizierte Hosts, nicht unterstützte Software |
| Sicherheit von Webanwendungen | SSL/TLS-Zertifikate und Konfigurationen |
Diese Informationen sind genau das, was Hackern sichtbar ist. Die Erkenntnisse können dazu genutzt werden, Anbietern dabei zu helfen, ihre Open-Source-Spuren zu beseitigen oder Sicherheitslücken in ihren Prozessen zu schließen. Dies ist vergleichbar mit der Bereinigung Ihrer Kreditauskunft vor der Beantragung eines Wohnungsbaudarlehens.
Welche Business-Intelligence-Quellen sollten Vendor Manager überwachen?
Der nächste Bereich, den Vendor Manager überwachen sollten, sind qualitative Geschäftsinformationen, die auf mögliche zukünftige Risiken hinweisen können. Zu den Geschäftsrisikoindikatoren gehören die folgenden:
- Operative Risiken – M&A-Aktivitäten, Entlassungen, Führungswechsel, Änderungen in Partnerschaften, Kundenbeziehungen und geografische Expansionen können den Betrieb eines Unternehmens stören.
- Markenrisiken – Datenverstöße, Produktrückrufe und Markenänderungen können sich negativ auf die öffentliche Wahrnehmung auswirken. Dies kann zu unvorhergesehenen Kosten oder Einschränkungen des Geschäftsbetriebs führen.
- Regulatorische/rechtliche Risiken – Untersuchungen, Geldstrafen, Wirtschaftssanktionen/schwarze Listen sowie größere Rechtsstreitigkeiten und Vergleiche lenken ab und können den Geschäftsbetrieb beeinträchtigen.
Welche Finanzquellen sollten Vendor Manager überwachen?
Lieferantenmanager sollten Finanzindikatoren wie Insolvenzen, Kapitaltransaktionen und die Auswirkungen von Datenverstößen auf die finanzielle Tragfähigkeit überwachen. Dies kann auch den Beschaffungsteams dabei helfen, neue Lieferanten vorab zu prüfen, bestehende Lieferanten zu überwachen und die finanzielle und organisatorische Gesundheit zu bewerten. Dies führt zu schnelleren und fundierteren Beschaffungsentscheidungen.
Zusammen bieten Cybersicherheit, Geschäftsrisiken und Finanzüberwachung einen viel umfassenderen Überblick über einen Anbieter. Diese „Outside-In“-Sichtweise verschafft Ihnen einen Vorteil bei der Interpretation der potenziellen Auswirkungen von Anbieterrisiken. Sie ergänzt außerdem „Inside-Out“-Bewertungen, um eine fundiertere und genauere Risikobewertung zu liefern.
Stellen Sie diese Fragen, um diese Überwachungsfalle zu vermeiden
Einige Unternehmen können in die Falle tappen, zu glauben, dass Überwachung allein als Strategie für das Lieferantenrisikomanagement ausreicht. Überlegen Sie, ob eine „Bewertung“ oder ein „Sicherheitsrating“ wirklich die Herausforderungen des Lieferantenrisikomanagements bewältigen kann, mit denen Sie konfrontiert sind.
Sicherheitsbewertungstools bieten lediglich einen externen Netzwerkscan, der grundlegende Cyberrisiken aufzeigt. Ohne Herstellergarantie und ohne Kontextbewertung bieten Bewertungsanbieter nur einen begrenzten Überblick über das Herstellerrisiko. Das bedeutet, dass keine echte Bewertung stattfindet.
Um festzustellen, ob Ihre derzeitige Lösung Ihren Anforderungen an die Überwachung und das Risikomanagement von Anbietern entspricht, sollten Sie sich folgende Fragen stellen:
- Wie steht es mit der Messung der internen Einhaltung von Compliance-Vorgaben durch einen Anbieter? Kann ein externer Scan dies aufzeigen?
- Kann Ihnen eine Sicherheitsbewertung Aufschluss darüber geben, wie ein Anbieter mit Ihren Daten umgeht?
- Wie können Sicherheitsbewertungen die Sammlung von Lieferantennachweisen und die Due Diligence automatisieren?
Die Risikobewertung oder -einstufung von außen nach innen kann zwar Einblicke in Risiken liefern, erfüllt jedoch allein nicht die Compliance-Anforderungen. Von Gartner und anderen veröffentlichte Best Practices empfehlen, Lieferantenbewertungen mit einer kontinuierlichen Überwachung zu kombinieren, um ein umfassenderes Lieferantenrisikomanagement zu erreichen.
Nächste Schritte
Lieferantenmanager sollten bei der Überwachung von Risiken durch Dritte ein breites Netz auswerfen. Mit den richtigen Quellen in Kombination mit internen Bewertungsergebnissen können Sie sich ein vollständigeres Bild von den Risiken Ihrer Lieferanten machen.
Prevalent Vendor Threat Monitor liefert Geschäfts-, Cyber- und Finanzinformationen aus über 500.000 Quellen.
Erfahren Sie mehr über unseren bewährten 5-stufigen Ansatz für das Risikomanagement von Lieferanten in unserem Leitfaden für bewährte Verfahren oder fordern Sie noch heute eine Demonstration an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
