Die wichtigsten Prioritäten für Cybersicherheitsrisiken von Drittanbietern im Jahr 2024 - und was man dagegen tun kann

Es ist an der Zeit, das Risikomanagement für Dritte zu einer Priorität für Ihr Unternehmen zu machen. Lernen Sie 7 Möglichkeiten kennen, wie Sie Ihr TPRM-Programm im Jahr 2024 richtig starten können.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Januar 15, 2024 5 min gelesen
Decorative image

2023 zeigte, dass Datenschutzverletzungen durch Dritte Unternehmen in allen Branchen betreffen. Die jährliche TPRM-Branchenstudie von Prevalent ergab, dass 41 % der Unternehmen eine Verletzung durch Dritte meldeten, und 71 % betrachten Sicherheitsverletzungen durch Dritte als größte Sorge. Unternehmen aller Arten und Größen beschäftigen sich intensiv mit der Frage, wie sie die wachsende Zahl von Cyberrisiken durch Dritte in den Griff bekommen können. Die Herausforderung wird bis zum Jahr 2024 noch zunehmen.

Es gibt viel, was wir als Sicherheits- und Risikofachleute tun müssen, um den Stand des Risikomanagements für Dritte zu verbessern. Es herrscht nach wie vor Verwirrung darüber, was das Risiko von Drittanbietern ist, welche Kontrollen zu implementieren sind, wie Anbieter zu bewerten sind, wie Anbieter zu verwalten sind, welche Auswirkungen die Einhaltung von Vorschriften hat und vieles mehr. Daher ist es nicht verwunderlich, dass die Beteiligten in den meisten Unternehmen verwirrt (und besorgt) sind, was den Status von Drittanbietervereinigungen angeht. Cybersicherheits- und Risikoteams müssen kohärente, fundierte Pläne entwickeln und umsetzen, die allen Beteiligten helfen, angesichts neuer und wachsender Bedrohungen auf derselben Seite zu stehen.

In diesem Beitrag untersuche ich die wichtigsten Cyber-Risiken für Dritte, die im Jahr 2024 zu beachten sind, und schlage eine Liste mit 7 Prioritäten vor, um diesen Risiken zu begegnen.

Die wichtigsten Cybersecurity-Risiken für Dritte im Jahr 2024

Basierend auf den Trends bei Cybervorfällen mit Dritten im letzten Jahr werden wir 2024 mehr der folgenden Arten von Risiken sehen:

  • Software- und Dienstleistungsausfälle und Verstöße gegen die Lieferkette
  • Privilegierte und kontobasierte Angriffe
  • Malware-Infektionen/Verbreitung
  • Unbefugte Nutzung/Zugang
  • Denial of Service
  • Verstöße und Vorfälle bei Partnern der 3. und 4. Ebene und Anbietern

Ich möchte mich jedoch speziell auf die Risiken in der Software-Lieferkette konzentrieren, da der Trend hier deutlich zunimmt.

Die Software-Lieferkette erstellt und liefert Software von ihrer Konzeption bis zum Endnutzer. Sie umfasst alle Schritte, die an der Erstellung und Lieferung von Software beteiligt sind, von der ersten Idee bis zum Endprodukt. Die Lieferkette kann in drei Hauptabschnitte unterteilt werden:

  • Entwicklung: Die Schritte zur Erstellung einer Software, einschließlich Design, Kodierung, Testen und Fehlerbehebung.
  • Vertrieb: Der Prozess, bei dem die Software zu den Endbenutzern gelangt, einschließlich Verpackung, Marketing und Auslieferung.
  • Verbrauch: Installation und Nutzung der Software nach ihrer Auslieferung

MOVEit ist ein klassisches Beispiel für eine Verletzung der Software-Lieferkette. Im Mai 2023 begann eine Ransomware-Gang namens Cl0p, eine Zero-Day-Sicherheitslücke in Progress Softwares Dateitransferlösung MOVEit Transfer für Unternehmen auszunutzen. Seitdem haben mehr als 2.000 Unternehmen gemeldet, dass sie angegriffen wurden, und Progress Software hat zahlreiche Patches herausgegeben.

Die 7 wichtigsten Prioritäten des Cyber-Risikomanagements für Dritte im Jahr 2024

Im Jahr 2024 müssen Sicherheitsteams dem Cyber-Risikomanagement durch Dritte Priorität einräumen, um potenziellen Angriffen auf die Software-Lieferkette zuvorzukommen. Hier sind sieben Ansatzpunkte für den Anfang:

  1. Durchführung einer gründlichen Überprüfung der Prozesse des Beschaffungsteams im Hinblick auf eine bessere Steuerung durch Dritte. Versuchen Sie, Fragen wie diese zu beantworten:
    • Wie wird die Überprüfung des Lieferanten eingeleitet?
    • Wie werden die Vertragsbedingungen definiert und überprüft?
    • Welche Möglichkeiten haben Sie, wenn ein Produkt eines Anbieters zu einem Verstoß oder einer Sicherheitslücke führt?
    • Wie oft wird der Anbieter nach Vertragsabschluss überprüft?
    • Wie werden die Prüfungen durch Dritte dokumentiert?
  2. Setzen Sie Prioritäten bei den Risikoprüfungen. Die Risikoprüfungen durch Dritte sollten mit der Festlegung der Kontrollen beginnen, deren Einhaltung der Dritte nachweisen muss. Anschließend ist die Häufigkeit der Sicherheitsüberprüfungen festzulegen. Schließlich sollten Sie ein Verfahren zur Behebung und Schlichtung von Risiken Dritter festlegen.
  3. Nutzen Sie Risiko-Rankings. Nutzen Sie Risikolösungen von Drittanbietern, die Risikobewertungen oder Rankings von Lieferanten im Vergleich zu anderen Branchenorganisationen anbieten. Die Überwachung der Gesamtrisikobewertungen von Drittanbietern gibt Aufschluss darüber, wie die Branche die Sicherheitslage einschätzt.
  4. Verbessern Sie die Kommunikation mit Dritten bei Sicherheitsverletzungen. Setzen Sie sich mit dem betroffenen Anbieter in Verbindung und ermitteln Sie Ihr potenzielles Risiko sowie alle vertraglichen Service Level Agreements (SLAs).
  5. Isolieren Sie den Zugang und die Systeme, wenn ein Verstoß vorliegt. Nutzen Sie lokale Host-Beschränkungen, Netzwerk-Zugriffskontrollen, Privilegienbeschränkungen und Kontenentfernung/-sperrung.
  6. Beheben Sie Risiken. Während Sie den "Explosionsradius" einer Sicherheitsverletzung durch Dritte kontrollieren, sollten Sie die betroffenen Daten identifizieren und klassifizieren und die Auswirkungen auf die Compliance untersuchen.
  7. Kontinuierliche Überwachung auf Verletzungen durch Dritte. Überwachen Sie das interne Verhalten der betroffenen Software/Plattformen, den Zugang zu/von Anbietern und anderen Parteien sowie Reputations- und Threat Intelligence-Dienste, um die Auswirkungen auf Ihr Unternehmen zu ermitteln.

Risikomanagement für Drittparteien: Wo man im Jahr 2024 anfangen sollte

In Gesprächen mit Cybersicherheits- und Risikomanagementteams wird deutlich, dass wir Prioritäten setzen müssen, um TPRM bis 2024 auf den Weg zu bringen, aber viele Entscheidungsträger sind sich nicht sicher, wo sie anfangen und welche Prioritäten sie setzen sollen.

Um die wichtigsten TPRM-Prioritäten für 2024 zu verstehen, sehen Sie sich das Webinar an, das ich mit Prevalent aufgezeichnet habe.

Dieses Webinar bietet Einblicke und einen Fahrplan, der Ihnen hilft, der Cybersicherheit in Ihrem Risikomanagementprogramm für Dritte im Jahr 2024 Priorität einzuräumen. Es handelt sich um eine schnelllebige und sich rasch verändernde Landschaft, aber es gibt einige zentrale Lektionen, die wir in den letzten Jahren gelernt haben, und einige großartige Schritte, die Sie bereits jetzt unternehmen können, um das Risikomanagement für Dritte im Jahr 2024 und darüber hinaus in die richtige Richtung zu lenken.

Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihnen dabei helfen kann, ein flexibles und umfassendes Risikomanagementprogramm für Dritte im Jahr 2024 zu entwickeln und zu implementieren, fordern Sie noch heute eine Demonstration an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.