Reaktion auf Sicherheitsverletzungen durch Dritte: 6 sofort zu ergreifende Maßnahmen

Nutzen Sie diese 6 Tipps, um Ihre Verfahren zur Reaktion auf Sicherheitsverletzungen durch Dritte zu verbessern.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter September 17, 2024 7 min gelesen
Decorative image

In einer Zeit, in der Datenverstöße oft nicht die Frage sind, ob sie auftreten
, sondern wann, ist es wichtiger denn je zu verstehen, wie man effektiv auf Sicherheitsvorfälle bei Dritten reagiert. Wie würde Ihr Unternehmen reagieren, wenn einer Ihrer wichtigsten Lieferanten einen Datenverstoß erleiden würde? Die ersten 24 Stunden nach der Entdeckung eines Vorfalls bei einem Dritten sind entscheidend für die Festlegung der Richtung Ihrer Reaktionsmaßnahmen.

Dieser Beitrag befasst sich mit den Herausforderungen bei der Reaktion auf Sicherheitsverletzungen durch Dritte und nennt sechs Schritte, die unmittelbar nach einem erfolgreichen Cyberangriff zu ergreifen sind.

Herausforderungen bei der Reaktion auf Sicherheitsverletzungen durch Dritte

Die Vorbereitung auf „Was-wäre-wenn“-Szenarien und Worst-Case-Ereignisse kann für jedes Unternehmen, das mit zahlreichen Dritten zusammenarbeitet, eine komplexe Aufgabe sein. Die Verwaltung von Hunderten oder Tausenden von Lieferantenbeziehungen erhöht den Schwierigkeitsgrad zusätzlich und macht es schwierig, einen strengen Prozess zur Reaktion auf Vorfälle aufrechtzuerhalten. Zu den wichtigsten Herausforderungen gehören:

  • Mangelnde Transparenz im Lieferantenumfeld: Wenn verschiedene Abteilungen Lieferanten mit unterschiedlichen Tools verwalten, fehlt oft eine zentrale Lieferantendatenbank. Dies erschwert die effektive Bewertung und Steuerung von Lieferantenrisiken.
  • Zeitaufwändige manuelle Prozesse: Sich auf manuelle Methoden wie Tabellenkalkulationen und Umfragen zu verlassen, um Sicherheitskontrollen in Ökosystemen von Drittanbietern zu verfolgen, ist ineffizient, fehleranfällig und schwer skalierbar.
  • Unzureichende Fragebögen zur Risikobewertung: Viele Fragebögen erfassen spezifische Risiken von Anbietern nicht und übersehen die Bewertung der Fähigkeit eines Anbieters, schnell auf Vorfälle zu reagieren. Dies schränkt die Fähigkeit des Unternehmens ein, die Cybersicherheitslage genau zu bewerten.
  • Schwierigkeiten bei der Nachverfolgung, Bewertung und Steuerung von Risiken: Ohne einen strukturierten Prozess zur Neubewertung von Risiken haben Unternehmen oft Schwierigkeiten, die Auswirkungen identifizierter Risiken zu verstehen und zu entscheiden, wie diese zu priorisieren und anzugehen sind.
  • Fehlende verbindliche Leitlinien für Abhilfemaßnahmen: Ohne klare, umsetzbare Empfehlungen bleiben festgestellte Schwachstellen möglicherweise unberücksichtigt, wodurch das Unternehmen potenziellen Bedrohungen ausgesetzt bleibt.
  • Unzureichende Berichterstattung über Fortschritte und Abhilfemaßnahmen: Eine unzureichende Berichterstattung über Maßnahmen zur Risikominderung behindert die Rechenschaftspflicht und Transparenz und erschwert es, der Geschäftsleitung oder den Vorstandsmitgliedern Fortschritte zu vermitteln, insbesondere in Fällen mit hoher öffentlicher Aufmerksamkeit.

Diese Herausforderungen erhöhen den Zeit- und Kostenaufwand für die Erkennung und Behebung von Sicherheitsverletzungen. Im Durchschnitt kosten Sicherheitsverletzungen durch Dritte 11,8 % mehr und ihre Behebung dauert 12,8 % länger, wobei sich der Lebenszyklus einer Sicherheitsverletzung auf 307 Tage verlängert. Schnellere Erkennungs- und Reaktionszeiten sind entscheidend für die Schadensminderung, da längere Verzögerungen den Angreifern mehr Zeit geben, Systeme auszunutzen. Daher müssen Risikomanagementprogramme für Dritte, ebenso wie interne Sicherheitsprogramme, für eine schnelle Reaktion auf neue Bedrohungen optimiert werden.

Sechs Schritte, die in den ersten 24 Stunden nach einer Sicherheitsverletzung zu ergreifen sind

Die folgenden Schritte sind eine kurze Liste von Maßnahmen, die Sie ergreifen sollten, wenn Ihr Unternehmen von einer Sicherheitsverletzung durch Dritte betroffen ist. Die Art oder das Ausmaß einer Sicherheitsverletzung hat Einfluss auf die konkreten Maßnahmen, die Sie in den einzelnen Schritten ergreifen.

Bitte beachten Sie: Diese Schritte sollten nicht als umfassende Anleitung zum Vorfallsmanagement angesehen werden. Wenden Sie sich unbedingt an Ihr Security Operations Center (SOC)-Team, Ihre Auditoren und andere interne Stellen.

1. Kommunizieren

Sobald ein Vorfall erkannt wird, nehmen Sie sofort Kontakt mit der betroffenen dritten Partei auf. Es ist von entscheidender Bedeutung, dass Sie im Rahmen Ihres gesamten Vorfallreaktionsprogramms über einen vorab festgelegten Kommunikationsplan verfügen. Verschaffen Sie sich zunächst einen Überblick über den Umfang und die Auswirkungen des Angriffs, insbesondere wenn personenbezogene oder sensible Daten betroffen sind, die gesetzlichen Vorschriften unterliegen. Besprechen Sie alle Service Level Agreements (SLAs) oder vertraglichen Verpflichtungen und konzentrieren Sie sich darauf, einen ruhigen, konstruktiven Dialog aufrechtzuerhalten.

Wichtiger Hinweis: Integrieren Sie einen Kommunikationsentscheidungsbaum in Ihren Notfallplan, in dem Sie festlegen, welche Informationen auf der Grundlage Ihres aktuellen Wissensstands und des Zeitpunkts Ihrer Erkenntnisse weitergegeben werden sollen, einschließlich konkreter Zeitrahmen für die zu erbringenden Leistungen.

2. Informationen sammeln

Sobald der Kontakt hergestellt und der Umfang der Sicherheitsverletzung bekannt ist, sammeln Sie detaillierte Informationen über den Vorfall. Behandeln Sie diese Phase wie eine Mini-Bewertung nach der Sicherheitsverletzung. Stellen Sie Fragen, um zu klären, was passiert ist, auf welche Daten zugegriffen wurde, welche potenziellen Risiken bestehen und wie die Wiederherstellungspläne aussehen. Es ist wichtig, den Zeitplan für die Wiederherstellung zu kennen, insbesondere wenn die Sicherheitsverletzung zu einem Ausfall geführt hat.

Wenn ein Sicherheitsverstoß durch Dritte auftritt, helfen Ihnen die richtigen Fragen dabei, die Auswirkungen auf Ihr Unternehmen zu verstehen und effizient zu mindern.

Empfohlene Fragen (die je nach den Besonderheiten des Vorfalls angepasst werden sollten):

  • Hat eine Sicherheitsverletzung Auswirkungen auf den Anbieter gehabt oder hat der Anbieter ein Produkt/eine Dienstleistung verwendet, das/die von einer Sicherheitsverletzung betroffen war? (Ja/Nein)
  • Wie stark sind die Auswirkungen auf den Anbieter? (Hohe/mittlere/geringe Auswirkungen auf Systeme, Anwendungen und/oder Daten)
  • Hat der Vorfall Auswirkungen auf wichtige Dienste, die für Ihr Unternehmen erbracht werden? (Ja/Nein)
  • Hat der Anbieter die folgenden Abhilfemaßnahmen ergriffen? (Empfohlene Maßnahmen auflisten, z. B. Patchen oder Aktualisieren der betroffenen Systeme)
  • Hat der Anbieter bestehende Kontrollen geändert oder neue Kontrollen eingeführt, um die Auswirkungen der Sicherheitsverletzung zu beheben und zu mindern? (Identifiziert und bereits umgesetzt; identifiziert und in der Umsetzung; nicht identifiziert und/oder nicht umsetzbar)
  • Wenn Kontrollen nicht umgesetzt werden können, welche Ausgleichskontrollen oder Workaround-Methoden werden dann eingesetzt?
  • Wer ist der Ansprechpartner für weitere Fragen?

3. Isolieren

Die Eindämmungsstrategien variieren je nach Art der Sicherheitsverletzung und dem Zugriffsniveau des Anbieters. Wenn der Anbieter beispielsweise Zugriff auf Ihre Daten, aber nicht auf Ihre Infrastruktur hat, können Sie die Nutzung des Dienstes oder der Plattform möglicherweise einstellen, bis mehr bekannt ist. Wenn der Anbieter jedoch in irgendeiner Weise Zugriff auf Ihre IT-Umgebung hat, sollten Sie den Zugriff sofort unter Quarantäne stellen und isolieren.

Isolieren Sie nach Möglichkeit betroffene Systeme und Zugangspunkte, um weiteren unbefugten Zugriff zu verhindern. Implementieren Sie lokale Host-Einschränkungen, Netzwerkzugriffskontrollen, Berechtigungsbeschränkungen und gegebenenfalls die Entfernung oder Sperrung von Konten. Ein vorab festgelegtes Isolierungs-Playbook für Anbieter, Dienstleister und Software vereinfacht diesen Prozess. Ohne einen umfassenden Plan für die Reaktion auf Vorfälle könnte es Ihrem Team schwerfallen, schnell zu reagieren, was das Risiko weiterer Schäden erhöht.

4. Beheben

Die Abhilfemaßnahmen müssen schnell und wirksam sein. Der Ansatz hängt davon ab, wo die Sicherheitsverletzung aufgetreten ist. Wenn interne Systeme kompromittiert wurden, müssen Sie die Schwachstellen so schnell wie möglich beheben oder mindern, um den „Explosionsradius“ zu kontrollieren. Wenn die Sicherheitsverletzung auf den Dritten beschränkt ist, konzentrieren Sie sich darauf, die betroffenen Daten zu verstehen, Benachrichtigungen über die Sicherheitsverletzung zu versenden und die Einhaltung der einschlägigen Vorschriften sicherzustellen.

5. Verhalten überwachen

Überwachung ist unerlässlich, um die Auswirkungen der Sicherheitsverletzung zu erkennen und zu verstehen und weiteren unbefugten Zugriff zu verhindern. Behalten Sie interne Aktivitäten auf betroffenen Plattformen oder in betroffenen Softwareprogrammen im Auge. Ungewöhnliche Aktivitäten, wie unerwartete Netzwerkverbindungen, sollten Alarm auslösen. Überwachen Sie Fernzugriffsaktivitäten zwischen Ihrem Unternehmen und dem Drittanbieter, um Anomalien zu erkennen. Versuchen Sie, sich über potenzielle Bedrohungen oder Schwachstellen, die ähnliche Unternehmen oder Technologien betreffen, auf dem Laufenden zu halten.

6. Bedrohungsinformationen überprüfen

Nutzen Sie Bedrohungsinformationen, um die Auswirkungen der Sicherheitsverletzung besser zu verstehen und zu mindern. Unternehmen, die Bedrohungsinformationen nutzen, können Sicherheitsverletzungen etwa 28 Tage schneller erkennen als Unternehmen, die dies nicht tun. Identifizieren Sie interne Indikatoren für Kompromittierungen (IOCs) sowie Taktiken, Techniken und Verfahren (TTPs). Bewerten Sie die Art der potenziell offengelegten Daten, um zu entscheiden, wie Sie eine gezielte Reaktion formulieren und die betroffenen Parteien angemessen benachrichtigen. Überwachen Sie außerdem die Auswirkungen auf den Ruf und verfolgen Sie öffentliche Informationen über die beteiligten Dritten, um Einblicke in die weiterreichenden Auswirkungen der Sicherheitsverletzung zu gewinnen.

Ein Vorfall durch Dritte kann schwerwiegende Auswirkungen auf Ihr Unternehmen haben. Um diese Auswirkungen zu mindern, sind sofortige, fundierte und entschlossene Maßnahmen unerlässlich. Diese sechs Schritte helfen dabei, den Schaden zu begrenzen und die Grundlage für einen gründlichen Wiederherstellungsprozess zu schaffen.

Nächste Schritte zur Vorbereitung auf Sicherheitsverletzungen durch Dritte

Es ist klar, dass Verstöße und Vorfälle durch Dritte erhebliche Auswirkungen auf die Abläufe Ihres Unternehmens haben können. Seien Sie vorbereitet, indem Sie Risiken durch Dritte in Ihrem Incident-Response-Plan berücksichtigen. Legen Sie fest, wen Sie kontaktieren, welche SLAs gelten, welche Fragen Sie stellen und wie Sie angesichts der Antworten vorgehen werden. Da Incident-Response-Programme von Natur aus reaktiv sind, kann die Umsetzung proaktiver Maßnahmen als Teil Ihres gesamten Risikomanagementprogramms für Dritte dazu beitragen, Bedrohungen abzuwehren, bevor sie sich auf Ihr Unternehmen auswirken.

Weitere Informationen finden Sie in meinem On-Demand-Webinar zum Thema Cybersicherheitsvorfälle bei Drittanbietern. Wenden Sie sich noch heute an Prevalent, um eine Demonstration der Funktionen des Unternehmens zur Reaktion auf Vorfälle bei Drittanbietern zu erhalten.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.