Die 10 größten Risiken für Drittparteien in der Rechtsbranche (und was man dagegen tun kann)

Die meisten rechtlichen Risiken für Anbieter beziehen sich auf die Datensicherheit. Was sind die richtigen Kontrollen zum Schutz der Daten? Finden Sie es hier heraus.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juni 23, 2020 7 min gelesen
Decorative image

Um einen wirtschaftlicheren Ansatz für das Third-Party-Risk-Management (TPRM) in der Rechtsbranche zu bieten, hat sich Prevalent mit führenden Anwaltskanzleien in den Vereinigten Staaten zusammengetan und das Legal Vendor Network (LVN)
im Jahr 2017. Das LVN wurde entwickelt, um Anbietern aller Art - eDiscovery, Personalwesen, Übersetzungsdienste und viele andere - die Möglichkeit zu geben, standardisierte Sicherheitskontrollbewertungen einmal auszufüllen und sie mit allen Kanzleimitgliedern der LVN-Gemeinschaft zu teilen. Dieser Ansatz reduziert die Kosten und den Zeitaufwand, den Kanzleien für die Bewertung kritischer Dienstleistungsanbieter benötigen.

Seit ihrer Einführung hat die LVN Daten über die Sicherheitspraktiken von Anbietern mithilfe der Fragebögen von Shared Assessments Standard Information Gathering (SIG) gesammelt. Dieser Blog fasst die zehn größten Risiken zusammen, die bei der Analyse von 344 nach dem Zufallsprinzip ausgefüllten Fragebögen entdeckt wurden, und gibt Empfehlungen, wie Anwaltskanzleien diese Risiken abschwächen können.

Die 10 größten rechtlichen Risiken für Anbieter

Bei der Analyse der Ergebnisse der Stichprobe haben wir festgestellt, dass Dritte in den folgenden Bereichen das größte Risiko für Anwaltskanzleien darstellen:

  1. Anwendungssicherheit - Datenverarbeitung in Anwendungen - 67%
  2. Zugangskontrolle - Fernzugriff - 65%
  3. Business Resilience - Drittanbieterdienste sind eine kritische Abhängigkeit - 64%
  4. Physische und ökologische Sicherheit - Besucher sind erlaubt - 62%
  5. Asset- und Informationsmanagement - bewertete Daten werden elektronisch gespeichert - 61%
  6. Anwendungssicherheit - Anwendungsentwicklung - 61%
  7. Asset- und Informationsmanagement - Daten werden in einer Datenbank gespeichert - 58%
  8. Serversicherheit - Daten werden auf einem Server gespeichert - 57%
  9. Anwendungssicherheit - Datenverarbeitung über Websites - 54%
  10. Anwendungssicherheit - Management von Anwendungsschwachstellen - 52%

Der Rest dieses Blogs konzentriert sich auf die drei gemeinsamen Kategorien dieser zehn größten Risiken: Anwendungssicherheit, Asset- und Informationsmanagement sowie Bereiche wie der physische und logische Zugriff auf Daten.

Risiken für die Anwendungssicherheit und Abhilfemaßnahmen

Da Anwendungen oft über Netzwerke verfügbar und mit der Cloud verbunden sind, sind sie anfällig für Sicherheitsbedrohungen, die zu Verstößen führen könnten. Da Anwaltskanzleien für den Schutz der Daten ihrer Mandanten verantwortlich sind, ist es nicht verwunderlich, dass die Anwendungssicherheit so genau unter die Lupe genommen wird. Werfen wir einen Blick darauf, was uns die vier in der obigen Top-Ten-Liste aufgeführten Risiken im Zusammenhang mit der Anwendungssicherheit sagen.

Unsere Analyse des Legal Vendor Network zeigt, dass:

  • Das Fehlen strenger Sicherheitskontrollen für Anwendungen, die Daten übertragen, verarbeiten oder speichern, kann das Risiko der Datenpreisgabe und des Eindringens in das Netzwerk erhöhen.
  • Fehlende Sicherheitskontrollen bei der Anwendungsentwicklung können zu Schwachstellen in der Anwendung führen.
  • Der Mangel an bekannten, nicht behobenen Schwachstellen, die nicht an die Sicherheitsüberwachungs- und -reaktionsgruppen zur Sensibilisierung und Überwachung weitergeleitet werden, birgt die Gefahr einer Gefährdung. Dies ist in erster Linie auf einen Mangel an Prozessen innerhalb des Softwareentwicklungszyklus (SDLC) zurückzuführen.
  • Fehlende Sicherheitskontrollen für Websites können Daten und Netzwerkinfiltrationspunkte ungeschützt lassen.

Anwaltskanzleien sollten sich mit den Sicherheitsrisiken von Anwendungen befassen:

  • Bewertung der Sicherheitskontrollen, die für die Anwendung, den Entwicklungsprozess und die Websites ihrer Anbieter bestehen, und Ermittlung spezifischer Kontrollen, die verbessert oder verbessert werden müssen.
  • Stellen Sie fest, ob die Schwachstellen von Anbietern von einer anderen Gruppe, z. B. einer Risikomanagementgruppe, überwacht und verfolgt werden. Falls die Schwachstellen nicht überwacht werden, muss ein Prozess eingeführt werden, der die Kommunikation, Verfolgung, Überwachung und Behebung dieser Schwachstellen durchsetzt.
  • Bewerten Sie die Dokumentation, z. B. Zugriffsverwaltungsrichtlinien, Netzwerkdiagramme, Berichte über das Eindringen in das Netzwerk, Richtlinien für die Reaktion auf Vorfälle, den Lebenszyklus der sicheren Softwareentwicklung (SSDLC), Code-Scans (statisch oder dynamisch) und Berichte über das Eindringen in Anwendungen. Code-Scans und Berichte über das Eindringen in Anwendungen sollten von einem automatisierten Tool-Set und/oder einem externen Unternehmen stammen.

Bei kritischen und/oder eingeschränkten/vertraulichen Daten sollten Anwaltskanzleien eine zusätzliche Due-Diligence-Prüfung in Erwägung ziehen, z. B. die Durchführung einer Vendor Building In Security Maturity (vBSIMM)-Prüfung. Für Anwendungen, die nach außen gerichtet sind, sollten Sie das Vendor Risk Monitoring von Prevalent nutzen, um Probleme wie IP-Bedrohungen, ungeschützte Anmeldedaten und Typosquatting zu erkennen.

Risiken und Abhilfemaßnahmen bei der Verwaltung von Vermögenswerten und Informationen

Die sichere Speicherung und Verwaltung von Daten ist das Kernstück zahlreicher Vorschriften zum Schutz der Privatsphäre und des Datenschutzes, darunter GDPR, CCPA und andere. Wie bei der Anwendungssicherheit müssen Anwaltskanzleien unbedingt sicherstellen, dass ihre Anbieter über die nötigen Schutzmaßnahmen verfügen, um die Daten ihrer Mandanten angemessen zu schützen - andernfalls drohen Strafen. Zwei der zehn größten Risiken beziehen sich auf das Informationsmanagement, da ein Mangel an strengen Protokollen zum Schutz von Daten zu Datenkompromittierungen und gesetzlichen Strafen führen kann.

Anwaltskanzleien sollten die Risiken der Vermögensverwaltung und des Informationsmanagements angehen:

  • Bewerten Sie die Sicherheitskontrollen, die für die Speicherung der Daten bestehen. Beginnen Sie damit, dass Sie Nachweise wie eine Verschlüsselungsrichtlinie, eine Zugriffsverwaltungsrichtlinie und ein Netzwerkdiagramm benötigen.
  • Identifizieren Sie spezifische regulatorische Anforderungen und Kontrollen, die vorhanden sein müssen, und stellen Sie sicher, dass die Drittpartei die entsprechenden Kontrollen eingerichtet hat. Erwägen Sie eine zusätzliche Due-Diligence-Prüfung für Dritte mit hohem Risiko, indem Sie einen von einem externen Unternehmen erstellten Bericht über die Netzwerkdurchdringung verlangen.

Das Prevalent Legal Vendor Network bietet die Möglichkeit, diese Empfehlungen umzusetzen.

Zugangskontrolle, Ausfallsicherheit, physische und umgebungsbedingte Sicherheit; Sicherheitsrisiken bei Servern und Abhilfemaßnahmen

Diese letzte Kategorie von Risiken, die vom Legal Vendor Network analysiert wurde, hat erhebliche Auswirkungen auf den Datenzugriff, wenn sie nicht beachtet wird.

  • Physische und umgebungsbezogene Sicherheit: Das Fehlen von strengen Protokollen zur Verhinderung des unbefugten Zugangs zu physischen Einrichtungen könnte zu einer Reihe von Sicherheitsrisiken führen, wie z. B. Datenverlust, Netzwerkkompromittierung und unbefugter Zugang.
  • Server-Sicherheit: Das Fehlen strenger Protokolle zum Schutz des Serverzugriffs und der Datenexposition könnte zu einer Datenkompromittierung führen.
  • Widerstandsfähigkeit des Unternehmens: Die Abhängigkeit von kritischen Drittanbietern kann eine Reihe potenzieller Risiken mit sich bringen, z. B. die Unfähigkeit, ein Produkt oder eine Dienstleistung zu liefern, und die Gefährdung von Daten.
  • Fernzugriff: Es besteht die Möglichkeit des Zugriffs durch Außenstehende, wenn es an geeigneten Kontrollen fehlt und keine Überwachung durchgeführt wird.

Um diesen Risiken zu begegnen, sollten Anwaltskanzleien:

  • Bewerten Sie die vorhandenen Sicherheitskontrollen für den Zugang - sowohl physisch als auch logisch. Beginnen Sie damit, dass Sie Nachweise wie die physischen Sicherheitsrichtlinien, die Zugangsverwaltungsrichtlinien und Details zum Einsatz von VPN- und Multi-Faktor-Authentifizierungskontrollen verlangen. Stellen Sie sicher, dass die Richtlinie Details wie Besucherprotokolle, Ausweise, Mitarbeiterbegleitung, Videoüberwachung und Schließmechanismen für Sperrbereiche enthält. Bei Drittanbietern mit hohem Risiko sollten Sie eine zusätzliche Due-Diligence-Prüfung in Erwägung ziehen, indem Sie einen Sicherheitsbericht vor Ort verlangen, z. B. einen SOC2 Typ II.
  • Bewerten Sie die Sicherheitskontrollen, die für den Server und den Zugang zum Server gelten. Verlangen Sie Nachweise wie Verschlüsselungsrichtlinien, Zugangsverwaltungsrichtlinien und Netzwerkdiagramme. Erwägen Sie eine zusätzliche Due-Diligence-Prüfung für Dritte mit hohem Risiko, indem Sie einen von einem externen Unternehmen erstellten Bericht über das Eindringen in das Netzwerk verlangen.
  • Verlangen Sie Nachweise über die Geschäftskontinuität bzw. den Ausfallsicherheitsplan. Bei Drittanbietern, die ein hohes Risiko darstellen und/oder von denen Ihr Unternehmen in hohem Maße abhängig ist, sollten Sie eine zusätzliche Due-Diligence-Prüfung in Erwägung ziehen, z. B. die Durchführung eines szenariobasierten Tests oder einer Red-Team-Übung, die speziell auf den kritischen Dienst des Drittanbieters abzielt, um die Bereitschaft zur Beeinträchtigung zu testen. Vergewissern Sie sich, dass alle Drittparteien vertragliche Anforderungen bezüglich der Serviceverfügbarkeit haben.

Nächste Schritte

Anwaltskanzleien haben strenge Anforderungen an die Cybersicherheit ihrer Kunden und die Einhaltung von Vorschriften in Bezug auf den Zugang zu Daten. Die Ergebnisse dieser Analyse zeigen, dass die Hauptbedenken der Anwaltskanzleien darin bestehen, wie ihre Anbieter mit Daten umgehen - sei es in Anwendungen, Assets oder auf Servern oder in physischen Räumen. Das Prevalent Legal Vendor Network, das auf der Prevalent Third-Party Risk Management Plattform basiert, wurde von Grund auf entwickelt, um diese Risiken zu bewerten, zu verwalten und zu überwachen. Unsere einheitliche Plattform kombiniert die Leistung der SIG-Bewertungen mit den Prevalent Vendor Risk Assessment Services, um im Namen der Anwaltskanzleien Anbieterdaten zu sammeln und zu analysieren. Mit diesem Modell haben Rechtsteams die Gewissheit, dass sie einen Einblick in die Sicherheits- und Compliance-Praktiken ihrer Anbieter haben und fundierte Maßnahmen ergreifen können.

Wenn Sie eine Anwaltskanzlei sind, die mehr Kontrolle über ihre Lieferanten haben möchte, fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.