Eine Datenverletzung durch Dritte liegt vor, wenn böswillige Akteure einen Anbieter, Lieferanten, Auftragnehmer oder eine andere Organisation kompromittieren, um Zugriff auf sensible Informationen oder Systeme der Kunden, Klienten oder Geschäftspartner des Opfers zu erhalten.
Datenverstöße durch Dritte werden immer häufiger, da die Technologie die Vernetzung von Unternehmen erleichtert und globale Lieferketten immer komplexer werden. Laut dem aktuellen Data Breach Investigations Report stammen 30 % aller Datenverstöße von Dritten, fast doppelt so viele wie im Vorjahr.
Darüber hinaus gehören Verstöße durch Dritte zu den teuersten Verstößen, von denen sich Unternehmen erholen müssen. Daten aus dem IBM Cost of a Data Breach Report des letzten Jahres zeigen, dass Verstöße durch Dritte der dritthäufigste Faktor für erhöhte Kosten aufgrund von Verstößen sind und die Kosten um 5 % über den Durchschnitt steigen lassen.
Dieser Artikel untersucht, warum Datenverstöße durch Dritte zunehmen, nennt Beispiele bekannter Unternehmen, die durch Dritt-, Viert- oder N-Anbieter kompromittiert wurden, und erklärt, welche Maßnahmen Sie ergreifen können, um das Risiko zu mindern, dass Ihr Unternehmen Opfer eines solchen Vorfalls wird.
Warum Datenverstöße durch Dritte zunehmen
In den letzten zehn Jahren haben viele große Unternehmen stark in Informationssicherheit investiert. Kein System kann vollkommen sicher sein, aber hohe Investitionen in Cybersicherheit machen es böswilligen Akteuren erheblich schwerer, gut ausgestattete Unternehmen zu kompromittieren. Hacker haben zunehmend einen Anreiz, kleinere Subunternehmer ins Visier zu nehmen, um robuste, gut finanzierte Cybersicherheitsprogramme zu umgehen. Es ist viel einfacher, einen kleinen HLK-Anbieter zu kompromittieren und dieses Unternehmen als unwissendes Trojanisches Pferd zu nutzen, als direkt ein Fortune-500-Unternehmen mit einem voll besetzten Security Operations Center und mehreren Ebenen von Sicherheitskontrollen zu kompromittieren.
Kleine Unternehmen hinken bei der Einführung robuster Informationssicherheitsmaßnahmen stets hinterher, obwohl 43 % aller Angriffe auf sie abzielen. Dies ermöglicht es böswilligen Akteuren, kleinere Drittanbieter zu kompromittieren und entweder ihnen anvertraute Daten zu stehlen oder ihren Zugang zu sensiblen Systemen größerer Unternehmen zu kapern. Datenverstöße bei Drittanbietern können extrem schädlich sein und zu Millionenbeträgen an Bußgeldern, Anwaltskosten und Strafen führen – sowie zu einem enormen Reputationsschaden.
Finanzielle und betriebliche Folgen schwerwiegender Datenverstöße durch Dritte
Die Auswirkungen einer schwerwiegenden Datenverletzung durch Dritte reichen weit über den ursprünglichen Kompromiss hinaus und treffen Unternehmen dort, wo es am meisten wehtut: bei ihren Finanzen, ihrem Betrieb und ihrem Ruf. Wenn ein Angreifer einen vertrauenswürdigen Anbieter, Lieferanten oder Technologiepartner als Sprungbrett nutzt, kann der Welleneffekt die gesamte Lieferkette stören – und die Zahlen sprechen für sich.
Finanzielle Folgen
Unternehmen, die von Datenverstößen durch Dritte betroffen sind, sehen sich regelmäßig mit steigenden Kosten für die Reaktion auf Vorfälle, forensische Untersuchungen, rechtliche Schritte, behördliche Strafen und Kundenbenachrichtigungen konfrontiert. In besonders schweren Fällen machen diese Kosten einen erheblichen Prozentsatz des Jahresumsatzes aus und belaufen sich manchmal auf Millionenbeträge. Versicherungsansprüche sind oft nur ein Bruchteil der tatsächlichen finanziellen Belastung, zu der auch Geschäftsausfälle, Marktwertverluste und langfristige vertragliche Folgen gehören.
Betriebsstörungen
Ein kompromittierter Lieferant kann innerhalb weniger Stunden die Produktion zum Erliegen bringen, die Einstellung kritischer Geschäftsabläufe erzwingen und wichtige Projekte zum Scheitern bringen. Es ist nicht ungewöhnlich, dass Unternehmen die Produktion unterbrechen, kundenorientierte Plattformen schließen oder den Netzwerkzugang zu Partnern sperren – selbst wenn dies nur als Vorsichtsmaßnahme geschieht. Für Hersteller und logistikintensive Unternehmen kann selbst eine kurze Unterbrechung die Gewinnmargen gefährden und die Widerstandsfähigkeit der Lieferkette beeinträchtigen.
Datenoffenlegung und Rufschädigung
Diese Verstöße führen häufig zur unbefugten Offenlegung sensibler Informationen – beispielsweise Mitarbeiterdaten, Kundendaten, Krankenakten oder Finanzdaten. Eine öffentliche Bekanntgabe kann das Vertrauen von Kunden, Geschäftspartnern und Aufsichtsbehörden erheblich untergraben und zu einem irreparablen Reputationsschaden führen, der noch lange nach Behebung des Verstoßes nachwirkt.
Langzeitwirkungen
Über die unmittelbaren Kosten und Störungen hinaus können Datenverstöße durch Dritte die Tür für nachfolgende Angriffe öffnen. Kompromittierte Anmeldedaten oder offengelegtes geistiges Eigentum können monatelang oder jahrelang aktiv bleiben, wodurch sich das Risiko erhöht und weitere Investitionen in Abhilfemaßnahmen und Überwachung erforderlich werden.
Angesichts der sich wandelnden Risikolandschaft ist es offensichtlich, dass die finanziellen und betrieblichen Auswirkungen von Datenverstößen durch Dritte dieselbe Aufmerksamkeit und Sorgfalt erfordern wie direkte Cyberbedrohungen. Unternehmen müssen entschlossen handeln, um die Kontrollen nicht nur intern, sondern auch in ihrem gesamten Netzwerk von Partnern und Lieferanten zu verstärken.
Beispiele für schwerwiegende Sicherheitsvorfälle bei Drittanbietern
Datenverstöße durch Dritte sind in den letzten Jahren weitaus häufiger geworden. Mit der zunehmenden Integration der Weltwirtschaft fließen Daten oft durch die gesamten Lieferketten, ohne dass dabei auf ihren Schutz oder ihre Verwaltung geachtet wird. Dies hat zu einem „Wildwest“-Ansatz bei der Anwendung von Informationssicherheitskontrollen geführt, da viele Unternehmen kaum oder gar keine Ahnung haben, wo sich ihre Daten in der gesamten erweiterten Lieferkette befinden, geschweige denn, welche Sicherheitsmaßnahmen zu ihrem Schutz ergriffen werden.
2025 Datenverstöße durch Dritte
700Credit Datenpanne
Im Dezember 2025 gab 700Credit, ein Anbieter von Kredit- und Identitätsprüfungsdiensten für Autohändler, einen Datenverstoß bekannt, der durch unbefugten Zugriff auf eine API eines Drittanbieters verursacht wurde. Der Vorfall, der auf eine Kompromittierung eines Partnersystems im Juli 2025 zurückgeführt und Ende Oktober entdeckt wurde, ermöglichte es Angreifern, auf die Webanwendung von 700Credit zuzugreifen und Datensätze aus der Anwendungsschicht von 700Dealer.com zu kopieren, was sich auf Autohauskunden auswirkte, die auf die Verifizierungstools des Unternehmens angewiesen sind.
Durch den Vorfall wurden personenbezogene Daten von etwa 5,8 Millionen Personen offengelegt, darunter Namen, Adressen, Geburtsdaten und Sozialversicherungsnummern. Obwohl 700Credit angab, dass sein internes Netzwerk nicht kompromittiert worden sei, erforderte der Vorfall umfangreiche Kundenbenachrichtigungen und Kreditüberwachungsdienste. Der Vorfall verdeutlicht die inhärenten Risiken miteinander verbundener Anbieter-Ökosysteme und unterstreicht, dass Sicherheitslücken in Systemen von Drittanbietern interne Kontrollen umgehen und weitreichende Auswirkungen nachgelagerter Prozesse haben können, wenn der API-Zugriff und die Sicherheit von Partnern nicht streng kontrolliert werden.
Salesloft Drift Datenpanne
Mitte August 2025 nutzten Angreifer (UNC6395) ein kompromittiertes Salesloft-GitHub-Konto aus, um AWS-Anmeldedaten und OAuth-Token zu stehlen, die mit dem Live-Chat-Tool Drift AI verknüpft waren. Mit diesen Daten drangen sie zwischen dem 8. und 18. August in zahlreiche Salesforce-Instanzen von Unternehmen ein und entwendeten Daten aus Objekten wie Fällen, Konten, Benutzern und Verkaufschancen. Zu den gestohlenen Daten gehörten hochsensible Anmeldedaten – AWS-Zugriffsschlüssel, Passwörter und Snowflake-Token –, die ein erhebliches Risiko für nachgelagerte Kompromittierungen darstellten.
Salesloft entdeckte die Aktivität am 20. August, widerrief den Zugriff und Salesforce sperrte Drift aus seinem AppExchange. Die Gesamtzahl der betroffenen Unternehmen ist zwar nicht bekannt, doch die Breite des Zugriffs lässt auf weitreichende Auswirkungen schließen. Kunden wurden aufgefordert, ihre Anmeldedaten zu ändern und die Protokolle auf möglichen Missbrauch zu überprüfen. Der Vorfall unterstreicht, wie SaaS-Integrationen von Drittanbietern und OAuth-Verbindungen zu wertvollen Angriffsvektoren werden können, und verstärkt die Notwendigkeit einer strengeren Überwachung der Anbieter, einer guten Verwaltung der Anmeldedaten und einer proaktiven Überwachung als Kernelemente der Cybersicherheit in Unternehmen.
Cyberangriff auf United Natural Foods
United Natural Foods, Inc. (UNFI) wurde Anfang Juni 2025 von einem schweren Cyberangriff , der das Unternehmen zwang, seine zentralen IT-Systeme abzuschalten, und sein landesweites Lebensmittelvertriebsnetz lahmlegte. Der am 5. Juni entdeckte Angriff führte am nächsten Tag zu einer vollständigen Abschaltung des Netzwerks, wodurch digitale Bestell- und Rechnungsstellungssysteme lahmgelegt wurden und viele Geschäfte keine rechtzeitigen Lieferungen mehr erhalten konnten. Obwohl UNFI die Art des Angriffs nicht bestätigt hat, deuten Umfang und Schwere der Störung auf Ransomware oder einen ähnlich schädlichen Angriff hin.
Die Folgen waren schnell spürbar und kostspielig: UNFI rechnet mit einem Rückgang des Nettoumsatzes im vierten Quartal um 350 bis 400 Millionen US-Dollar, einem Einkommensverlust von 50 bis 60 Millionen US-Dollar und einem Rückgang des bereinigten EBITDA um 40 bis 50 Millionen US-Dollar. Einzelhändler, darunter Whole Foods, meldeten leere Regale, während UNFI sich bemühte, den Betrieb mit manuellen Prozessen wiederherzustellen. Obwohl die Systeme inzwischen wieder online sind, verdeutlicht der Angriff die starke Abhängigkeit der Lebensmittelindustrie von einzelnen Vertriebsstellen und unterstreicht die wachsenden Risiken, die Cyberangriffe für wichtige Lieferketten darstellen.
2024 Datenverstöße durch Dritte
Microsoft Mitternachtsblizzard-Angriff
Im Januar 2024 entdeckte das Sicherheitsteam von Microsoft einen Angriff auf seine E-Mail-Systeme und identifizierte den Angreifer später als Midnight Blizzard, den vom russischen Staat unterstützten Akteur, bekannt als NOBELIUM. Dieser andauernde Vorfall gefährdete E-Mail-Konten und Daten von US-Regierungsbehörden und Unternehmen. Hacker luden allein aus dem Außenministerium etwa 60.000 E-Mails herunter.
Sie sollten alle wichtigen Updates zu diesem Vorfall im Auge behalten – auch wenn Ihr Konto bzw. Ihre Konten nicht direkt kompromittiert wurden, besteht eine hohe Wahrscheinlichkeit, dass ein Dritter in Ihrem Ökosystem betroffen ist. Microsoft ist so stark in das Technologie-Ökosystem der meisten Unternehmen eingebunden, dass viele keine andere Wahl haben, als dem Unternehmen zu vertrauen.
Hack bei United Health Group
Im Februar 2024 bestätigte UnitedHealth Group, der größte Krankenversicherer der Vereinigten Staaten, dass seine Tochtergesellschaft Change Healthcare, die im Bereich Gesundheitstechnologie tätig ist, Opfer eines Ransomware-Angriffs geworden war, der weiterhin Krankenhäuser und Apotheken im ganzen Land lahmlegte. Change Healthcare bearbeitet fast die Hälfte aller medizinischen Leistungsansprüche in den USA für etwa 900.000 Ärzte, 33.000 Apotheken, 5.500 Krankenhäuser und 600 Labore.
Der Cyberangriff hat den Apothekenbetrieb lahmgelegt und zu weitreichenden Ausfällen und Problemen bei der Bearbeitung von Versicherungs- und Patientenabrechnungen geführt. Der Vorfall verdeutlicht die zunehmende Bedrohung kritischer Dienste durch Ransomware, weshalb Experten dringende staatliche Maßnahmen fordern.
Infosys McCamish Datenpanne
Im Februar 2024 gab die Bank of America bekannt, dass ihre Kundendaten durch einen Cybersicherheitsvorfall bei Infosys McCamish kompromittiert worden waren. Durch diesen Vorfall konnten Unbefugte auf sensible Daten bestimmter Kunden zugreifen, darunter Namen, Adressen, geschäftliche E-Mail-Adressen, Geburtsdaten, Sozialversicherungsnummern und andere Kontoinformationen. Kürzlich gab Infosys McCamish in einer Mitteilung an Investoren bekannt, dass die Daten von etwa 6,5 Millionen Personen Gegenstand eines unbefugten Zugriffs und einer Exfiltration waren.
Zahlreiche Berichte zu Bedrohungsinformationen deuten darauf hin, dass Infosys vor dem Ransomware-Angriff möglicherweise über unzureichende Sicherheitsvorkehrungen verfügte und eine stark exponierte Angriffsfläche nach außen bot. Dies unterstreicht die Notwendigkeit, führende Lieferanten und Anbieter dazu zu drängen, sich an bekannte Best Practices im Bereich Sicherheit zu halten.
Datenpanne bei American Express
Im März 2024 gab American Express bekannt, dass ein Drittanbieter für Zahlungsabwicklung (dessen Name noch nicht bekannt ist) von einem Cybersicherheitsvorfall betroffen war. Durch diesen Verstoß gegen die Datensicherheit wurden sensible Kundendaten offengelegt, darunter aktuelle oder zuvor ausgestellte American Express-Kartennummern, Namen und andere Karteninformationen wie beispielsweise das Ablaufdatum der Karten.
Das Zahlungskarten-Ökosystem ist riesig und umfasst viele miteinander verbundene Parteien, was potenziell zu Verstößen gegen den Schutz sensibler Finanzdaten führen könnte. Verbraucher und Unternehmen sollten wachsam sein und darauf vorbereitet sein, ihre Zahlungskartendaten schnell zu aktualisieren.
Verstoß gegen den Datenschutz im Bereich Gesundheitsgerechtigkeit
Im Juli 2024 gab HealthEquity, ein Anbieter von Gesundheitssparkonten (HSA) mit Sitz in Utah, einen Datenverstoß bekannt, von dem 4,5 Millionen Kunden landesweit betroffen waren. Laut einem Sprecher war der Verstoß auf einen Hackerangriff auf ein von einem Drittanbieter verwaltetes Datenrepository zurückzuführen.
Die kompromittierten personenbezogenen Daten umfassten verschiedene Angaben zur Anmeldung für Sozialleistungen, darunter Namen, Adressen, Telefonnummern, Mitarbeiter-IDs, Arbeitgeber, Sozialversicherungsnummern und Angaben zu unterhaltsberechtigten Personen. Das zugegriffene Repository, das von einem externen Cloud-Anbieter gehostet wurde, befand sich außerhalb der Kernsysteme von HealthEquity.
2023 Datenverstöße durch Dritte
AT&T-Lieferanten-Datenschutzverletzung
Im Januar 2023 kam es zu einer Datenpanne bei einem ehemaligen Cloud-Anbieter von AT&T, von der 8,9 Millionen Mobilfunkkunden betroffen waren. Durch die Verletzung wurden Kundendaten wie die Anzahl der Anschlüsse pro Konto, Rechnungsbeträge und Tarifdetails offengelegt. Zwar wurden keine hochsensiblen Daten kompromittiert, doch hätten die offengelegten Daten bereits sechs Jahre zuvor gelöscht werden müssen. Infolgedessen erklärte sich AT&T bereit, eine Geldstrafe in Höhe von 13 Millionen US-Dollar an die FCC zu zahlen, die Verwaltung von Kundendaten zu verbessern und strengere Datenverarbeitungsrichtlinien für seine Anbieter durchzusetzen, um künftige Verstöße zu verhindern.
Dieser Verstoß ereignete sich Jahre nach Vertragsende und unterstreicht, wie wichtig es ist, ein gründliches Risikomanagement für Dritte in die Offboarding-Verfahren zu integrieren, einschließlich einer kontinuierlichen Überwachung der Lieferanten nach Vertragsende.
Progress Software MOVEit-Sicherheitsverletzung
Am 31. Mai 2023 gab Progress Software eine Sicherheitslücke bekannt, die es nicht authentifizierten Akteuren ermöglicht, auf dieMOVEit® Transfer-Datenbank zuzugreifen und SQL-Anweisungen auszuführen, um Informationen zu ändern oder zu löschen. MOVEit Transfer ist eine Managed-File-Transfer-Software, die Teil der Progress MOVEit-Cloud-Plattform ist, welche alle Dateiübertragungsaktivitäten in einem System konsolidiert.
Seit der Bekanntgabe hat die Cyberkriminellenbande Clop die Schwachstelle ausgenutzt, um verschiedene Organisationen in zahlreichen Branchen und Regionen anzugreifen, darunter den HR-Softwareanbieter Zellis, die BBC, die Regierung von Nova Scotia und viele andere.
Datenverstoß durch Dritte bei Okta
Im Oktober 2023 gab Okta bekannt, dass ein Anbieter im Gesundheitswesen Informationen von 5.000 Okta-Mitarbeitern offengelegt hatte. Im ersten Vorfall stahlen Angreifer Anmeldedaten, um auf das Support-Fallmanagementsystem zuzugreifen und von Kunden hochgeladene Sitzungstoken zu stehlen. Anfang November informierten sie ihre Kunden darüber, dass die Sicherheitsverletzung alle Nutzer des Okta-Kundensupportsystems betraf.
Die Ursache für die Sicherheitsverletzung war wahrscheinlich ein kompromittiertes persönliches Google-Konto eines Okta-Mitarbeiters, der seine Anmeldedaten für das Servicekonto in seinem Konto gespeichert hatte. Diese jüngste Sicherheitsverletzung in der Support-Abteilung im Oktober ist die zweite bedeutende Sicherheitsverletzung innerhalb der letzten zwei Jahre, von der die Daten von Okta-Kunden betroffen sind.
Londoner Stadtpolizei
Im August 2023 wurde die Londoner Polizei Opfer eines offensichtlichen Ransomware-Angriffs auf einen IT-Dienstleister, Digital ID. Dabei wurden sensible Daten von fast 47.000 Polizeibeamten und Mitarbeitern, darunter auch verdeckte Ermittler und Anti-Terror-Beamte, offengelegt. Zu den kompromittierten Informationen gehörten sensible Daten wie Namen, Fotos, Dienstgrade, Sicherheitsüberprüfungsstufen und Identifikationsnummern von Beamten und Mitarbeitern.
2022 Datenverstöße durch Dritte
Okta LASPSUS$-Angriff
Im März 2022 gab die in den USA ansässige Identitäts- und Zugriffsmanagement-Plattform Okta bekannt, dass ein Angriff auf einen von ihnen beauftragten Drittanbieter zu einer Datenpanne geführt hatte, von der etwa 2,5 % ihrer Kunden betroffen waren. Laut Okta beschränkte sich der Schaden auf die Berechtigungen von Support-Technikern des Drittanbieters auf ihrer Plattform. Die für den Angriff verantwortliche Ransomware-Gruppe LAPSUS$ hatte potenziell Zugriff auf:
-
JIRA-Tickets
-
Benutzerlisten
-
Passwörter zurücksetzen
-
Mehrstufige Authentifizierung zurücksetzen
Angriffe auf wichtige Akteure im Lieferketten-Ökosystem haben in den letzten Jahren zugenommen, da böswillige Akteure zunehmend versuchen, einen erfolgreichen Angriff zu nutzen, um Unternehmen entlang der gesamten Software-Lieferkette zu schädigen. Cybersicherheitsunternehmen können aufgrund ihres privilegierten Zugriffs auf die IT-Umgebungen anderer Organisationen besonders gefährdet sein.
LastPass-Datenpanne
Am 22. Dezember 2022 gab das Passwortverwaltungsunternehmen LastPass bekannt, dass ein unbekannter Angreifer Informationen aus einem Sicherheitsvorfall im August 2022 genutzt hat, um auf einen Cloud-basierten Speicherdienst eines Drittanbieters zuzugreifen, den LastPass zur Speicherung archivierter Backups nutzt.
Angriff auf die Lieferkette von Toyota
Am 28. Februar 2022 gab Toyota bekannt, dass das Unternehmen den Betrieb aller 28 Produktionslinien in 14 Fertigungswerken in Japan für einen Tag aufgrund eines Systemausfalls bei einem Zulieferer, Kojima Industries, einstellt. Auch andere Partner von Toyota, darunter Hino Motors und Daihatsu Motor, waren von der Schließung betroffen. Die Ursache für den Systemausfall bei Kojima war offenbar ein Cyberangriff, der die Kommunikation mit Toyota und den Produktionsüberwachungssystemen unterbrach.
Frühere Datenschutzverletzungen durch Dritte
Log4J-Sicherheitslücke
Im Dezember 2021 entdeckten Sicherheitsforscher CVE-2021-44228, eine Schwachstelle in der Java-basierten Logging-Bibliothek Apache Log4j. Die Log4j-Schwachstelle ermöglicht die Ausführung von nicht authentifiziertem Remote-Code und den Zugriff auf Server – eine vollständige Übernahme anfälliger Systeme. Log4J eröffnete ein massives Risiko für das gesamte Ökosystem von Drittanbietersoftware.
Kaseya-Ransomware-Angriff auf die Lieferkette
Angriffe auf Fernüberwachungs- und -verwaltungssoftware sind für viele IT-Teams und Managed Services Provider zu einem Hauptanliegen geworden. Am 2. Juli 2021 gab Kaseya bekannt, dass Angreifer eine Schwachstelle in der VSA-Software des Unternehmens ausgenutzt hatten, um einen Ransomware-Angriff auf die Kunden von Kaseya zu starten. Dutzende von IT-Dienstleistern und Hunderte von nachgelagerten Kunden waren davon betroffen, was zu Schäden in Millionenhöhe führte.
Wie der SolarWinds Orion-Hack und andere aktuelle Cybersicherheitsvorfälle bei Drittanbietern ist dies ein weiteres Beispiel für die potenziell exponentiellen Auswirkungen von Angriffen auf die erweiterte Lieferkette.
SolarWinds
Die SolarWinds-Lieferkettenverletzung, über die erstmals im Dezember 2020 berichtet wurde, betraf über 18.000 Nutzer des Netzwerkmanagementprodukts Orion. Die SolarWinds-Lieferkettenverletzung verursacht weiterhin Chaos bei Orion-Kunden weltweit, da diese weiterhin damit beschäftigt sind, die Risiken zu identifizieren und zu mindern. Zu den betroffenen Unternehmen zählen wichtige US-Behörden und Firmen:
-
Ministerium für Energie
-
Finanzministerium
-
Handelsministerium
-
Staatliche und lokale Behörden
-
Außenministerium
-
Ministerium für Innere Sicherheit
-
Nationale Gesundheitsinstitute
-
Das Verteidigungsministerium
Zu den von der Sicherheitsverletzung betroffenen privaten Unternehmen zählen Microsoft und FireEye. Dieser Sicherheitsvorfall versetzte der nationalen Sicherheit der USA einen schweren Schlag und deckte erhebliche Mängel in der Cybersicherheit auf. In Anbetracht der potenziell schädlichen Auswirkungen auf den Geschäftsbetrieb von Unternehmen veröffentlichte Prevalent kurz nach Bekanntwerden der Sicherheitsverletzung eine kostenlose Bewertung des Ereignis- und Vorfallmanagements für seine Kunden.
Kapital eins
Im Jahr 2019 meldete Capital One einen Datenverstoß, von dem über 100 Millionen Kunden betroffen waren und der Daten aus einem Zeitraum von zehn Jahren betraf. Das Office of the Comptroller of the Currency führte als eine der Hauptursachen für den Verstoß das Versäumnis an, vor der Verlagerung der IT-Infrastruktur und der Daten in die öffentliche Cloud „wirksame Risikobewertungsprozesse einzurichten”. Capital One wurde für den Verstoß mit einer Geldstrafe von über 80.000.000 US-Dollar belegt.
GE
Der Datenverstoß bei GE im Jahr 2020 zeigt, dass ein Sicherheitsvorfall nicht nur die Kundenbeziehungen, sondern auch die Beziehungen zu den Mitarbeitern und das Vertrauen in das Unternehmen schädigen kann. Der Anbieter von Dokumentenmanagement-Lösungen für die Personalabteilung von General Electric, Canon Business Process Service, wurde Anfang 2020 Opfer eines Datenverstoßes. Dabei wurden sensible Daten von über 200.000 aktuellen und ehemaligen Mitarbeitern offengelegt, darunter Informationen zu Sozialleistungen und zum Gesundheitszustand (PHI) sowie weitere Daten. Auch Sterbeurkunden, medizinische Unterhaltsverfügungen, Steuerabzugsformulare, Formulare zur Benennung von Begünstigten und Anträge auf Leistungen wie Altersrente, Abfindungen und Sterbegeld mit zugehörigen Formularen und Dokumenten wurden offengelegt.
Adobe
Im Jahr 2019 wurden über 7 Millionen Adobe Creative Cloud-Benutzerdatensätze offengelegt, weil eine interne Elasticsearch-Datenbank ohne Passwortschutz online zugänglich war. Die Informationen umfassten Benutzernamen und Kundenkontoinformationen, jedoch keine Finanzdaten oder Benutzerkennwörter. Obwohl die Sicherheitsverletzung keine Benutzeranmeldedaten wie Namen, Kennwörter oder Finanzinformationen betraf, stellte der Vorfall dennoch eine Gefahr für die Benutzer dar. Hacker, die Spear-Phishing-Techniken einsetzen, können E-Mails an hochwertige Konten senden, Kennwörter abgreifen und diese im Dark Web verkaufen. Jede Verletzung von Kundendaten, egal wie geringfügig sie auch sein mag, kann enorme Risiken mit sich bringen.
Marriott
Als Marriott 2016 Starwood übernahm, erbte das Unternehmen eine kompromittierte Reservierungssystemplattform, die nach Bekanntwerden des Vorfalls im Jahr 2018 zu Rechtsstreitigkeiten und Reputationsschäden führte. Böswillige Akteure hatten seit 2014 direkten Zugriff auf die Netzwerke und Systeme von Starwood. Die Angreifer behielten den Zugriff auf die Starwood-Systeme bis zur Entdeckung und Offenlegung des Vorfalls im Jahr 2018. Die böswilligen Akteure stahlen sensible Informationen von bis zu 500 Millionen Gästen, darunter Kontaktdaten, verschlüsselte Kreditkartendaten, Passnummern und Reiseverläufe.
Im Jahr 2020 gab Marriott einen zweiten Datenverstoß bekannt, von dem über 5 Millionen Kundenkonten betroffen waren und bei dem Adressen, Geburtstage, Telefonnummern und Kundenkarteninformationen kompromittiert wurden. Dieser Datenverlust durch Dritte wurde dadurch verursacht, dass zwei Marriott-Franchisenehmern der Unternehmenszugang zu Systemen gestohlen wurde. Es ist wichtig, alle Dritten zu überwachen, die Zugriff auf Ihre Unternehmensinfrastrukturinformationen haben, auch wenn es sich um eine Partnerorganisation wie einen Franchisenehmer handelt. Franchisenehmer halten sich häufig nicht an die gleichen Cybersicherheitsanforderungen wie ihre Muttergesellschaft, wodurch das gesamte Unternehmen einem Risiko ausgesetzt wird.
Ziel
Im Jahr 2013 wurde der große Einzelhändler Target von Cyberangreifern gehackt, die die Daten von über 70 Millionen Verbrauchern kompromittierten. Während dieses bahnbrechenden Verstoßes durch Dritte wurde einer der HVAC-Auftragnehmer von Target Opfer eines Spear-Phishing-Angriffs, bei dem Kreditkartennummern, Sicherheitscodes, Telefonnummern und vollständige Namen offengelegt wurden.
Die Hacker verschafften sich mit gestohlenen Zugangsdaten Zugang zum Unternehmensnetzwerk von Target und installierten Malware auf den POS-Geräten von Target. Die installierte Malware sammelte zwischen November und Dezember 2013 sensible Kundendaten. Der Hackerangriff auf Target ist ein deutliches Beispiel dafür, wie selbst die besten Informationssicherheitsprogramme durch Sicherheitslücken in Produkten und Dienstleistungen von Drittanbietern leicht kompromittiert werden können.
Bewährte Verfahren zur Verhinderung von Sicherheitsverletzungen durch Dritte während des gesamten Lieferantenlebenszyklus
Ein effektives Risikomanagement entlang der gesamten Lieferkette kann insbesondere für große Unternehmen schwierig sein. Es gibt jedoch mehrere Maßnahmen, mit denen Sie Ihr Risikoumfeld besser verstehen und die Auswirkungen potenzieller Risiken durch Dritte mindern können. Hier sind die Empfehlungen von Prevalent, um das Risiko einer Datenverletzung durch Dritte während des gesamten Lieferantenlebenszyklus zu mindern.
Berücksichtigen Sie die Informationssicherheit bei der Beschaffung und Auswahl
Da Ihre IT-Infrastruktur zunehmend mit Dritten und Vierten integriert wird, ist es von entscheidender Bedeutung, bei der Beschaffung und Auswahl von Anbietern die Informationssicherheit zu berücksichtigen. Bei der Auswahl von Anbietern mit einem hohen Risikoprofil aufgrund ihres Zugriffs auf sensible Daten und Systeme Ihres Unternehmens sollten Sie solchen Anbietern den Vorzug geben, die nachweislich über eine ausgereifte Informationssicherheit verfügen. Es lohnt sich, folgende Fragen zu stellen:
- Arbeitet der Anbieter mit anderen Unternehmenskunden zusammen, die komplexe Anforderungen an die Informationssicherheit haben?
- Verfügt der Anbieter über die erforderlichen Sicherheitskontrollen, um die Anforderungen Ihres Unternehmens zu erfüllen? (z. B. HIPAA, CMMC, DSGVO)
- Wie sieht die Erfolgsbilanz des Anbieters im Bereich Informationssicherheit aus? Gab es mehrere öffentlich bekannt gewordene Datenverstöße oder Compliance-Verstöße?
Erwägen Sie den Einsatz von Risikomanagement-Software von Drittanbietern oder Vendor-Risk-Intelligence-Netzwerken, um Ihren Beschaffungs- und Auswahlprozess mit vorinstallierten Cybersicherheits-Risikodaten zu unterstützen.
Legen Sie klare vertragliche Erwartungen hinsichtlich der Speicherung und Übertragung von Daten fest.
Viele Unternehmen versäumen es, ihre Prozesse zum Lieferantenvertragsmanagement unter Berücksichtigung des Lieferantenrisikomanagements aufzubauen. Ihr Unternehmen sollte über klare Richtlinien verfügen, wann personenbezogene Daten, Kundendaten oder andere sensible Informationen an Dritte weitergegeben werden dürfen. Beispielsweise sollten Sie klare Bestimmungen darüber aufnehmen, wann vertrauliche Informationen an vierte Parteien und darüber hinaus weitergegeben werden dürfen.
Führen Sie eine kontinuierliche Überwachung von Dritten durch, die Zugriff auf sensible Daten oder Systeme haben.
Anbieter sollten auf unbefugten Zugriff auf personenbezogene Daten oder andere geschützte Informationen überwacht werden. Selbst wenn der Anbieter nicht böswillig handelt, könnten seine IT-Systeme kompromittiert worden sein, was zur Verbreitung von Malware auf den Systemen Ihres Unternehmens führen könnte. Jeder Anbieter, der Zugriff auf Ihre IT-Ressourcen hat, sollte während der gesamten Dauer des Zugriffs überwacht werden.
Darüber hinaus sollten Sie eine proaktive, externe Überwachung aller Anbieter durchführen, die mit Ihren vertraulichen Informationen umgehen. Unternehmen ändern ihre Informationssicherheitsprogramme im Laufe der Zeit, sodass Angaben, die ursprünglich in ihrem Fragebogen zur Risikobewertung von Lieferanten gemacht wurden, einige Monate später möglicherweise nicht mehr zutreffen. Darüber hinaus kann Ihnen ein proaktiver Überwachungsansatz dabei helfen, potenzielle Datenverstöße zu erkennen, bevor sie auftreten. Durch die Überwachung des Dark Web, von Pastebin und anderen Bereichen, in denen gestohlene Anmeldedaten veröffentlicht werden, können Sie feststellen, ob einer Ihrer Lieferanten kompromittiert wurde.
Beachten Sie die gesetzlichen Anforderungen
Die Vorschriften zur Informationssicherheit und zum Datenschutz wurden in den letzten zehn Jahren drastisch verschärft. Allein in den letzten Jahren wurden die DSGVO, der CCPA, der NY Shield Act und Dutzende weiterer Compliance-Anforderungen eingeführt. Es ist sehr wahrscheinlich, dass die behördliche Kontrolle weiter zunehmen wird, da immer neue Verstöße durch Dritte auftreten.
Verlangen Sie von Anbietern, dass sie ihre Praktiken zur Informationssicherheit unabhängig überprüfen lassen.
Fragebögen zur Risikobewertung von Drittanbietern können äußerst hilfreich sein, um festzustellen, ob Anbieter angemessene Maßnahmen zur Informationssicherheit ergreifen. In einigen Fällen kann es jedoch sinnvoll sein, potenzielle Anbieter zu verpflichten, sich nach einem Informationssicherheitsstandard zertifizieren zu lassen. Beispielsweise hat das US-Verteidigungsministerium kürzlich die Cybersecurity Maturity Model Certification eingeführt. Diese Vorschrift verlangt von Auftragnehmern, die mit dem Verteidigungsministerium zusammenarbeiten, dass sie sich nach einem vom Verteidigungsministerium festgelegten 5-stufigen Standard zertifizieren lassen, der sich nach der Art der Informationen richtet, mit denen der Auftragnehmer arbeitet.
Ihr Unternehmen kann einen ähnlichen Ansatz verfolgen, wenn es um die Cybersicherheit von Lieferanten geht. Für viele Lieferanten, insbesondere solche, die nicht mit großen Mengen vertraulicher Daten umgehen, könnte ein einfacher Fragebogen zur Risikobewertung von Lieferanten ausreichend sein. Für Lieferanten, die Zugriff auf geschützte Daten und Systeme benötigen, sollten Sie jedoch möglicherweise die Einhaltung eines externen Standards wie SOC 2 oder NIST CSF verlangen.
Erhalten Sie Einblick in die erweiterte Lieferkette
Der erste Schritt jedes Cybersicherheitsprogramms besteht darin, sich einen Überblick über die IT-Ressourcen zu verschaffen. Das Gleiche gilt für Risiken durch Dritte. Sie müssen nicht nur wissen, welche Drittanbieter im gesamten Unternehmen eingesetzt werden, sondern auch, wer ihre Lieferketten bis hin zu Viert- und N-Partei-Anbietern bildet. In der Regel gilt: Je kritischer der Anbieter ist oder je mehr Daten er hat, desto mehr Transparenz benötigen Sie in Bezug auf seine erweiterten Lieferketten. Die Angriffe auf Kaseya und SolarWinds sind anschauliche Beispiele dafür, wie sich die Sicherheitspraktiken von Viertparteien auf die gesamte Lieferkette auswirken können.
Überprüfen Sie Ihren Offboarding-Prozess
Ein effektives Offboarding von Lieferanten ist eines der wichtigsten Elemente eines Risikomanagementprogramms für Dritte und unerlässlich, um Datenverstöße durch Dritte zu verhindern. Die meisten Unternehmen verfügen über einen Offboarding-Prozess für Dritte und Auftragnehmer, der jedoch in einem geschäftigen Unternehmensumfeld leicht übersehen werden kann. Bemühen Sie sich, die Offboarding-Prozesse für Drittanbieter regelmäßig in mehreren Abteilungen zu überprüfen. Stellen Sie sicher, dass Berechtigungen und Zugriffsrechte in allen Abteilungen vollständig widerrufen werden, um die Unternehmensrichtlinien und gesetzlichen Vorschriften einzuhalten.
Nächste Schritte zur Verhinderung von Datenverstößen durch Dritte
Sie fragen sich, wie gut Ihr Unternehmen auf Datenverstöße durch Dritte vorbereitet ist? Sie möchten wissen, wie Mitratech Ihnen helfen kann? Lesen Sie mehr über unsere Lösung für das Risikomanagement bei Dritten und unsere Dienstleistungen zur Risikobewertung von Anbietern oder fordern Sie eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
