Die Reaktion auf Vorfälle bei Dritten ist der Prozess, der zur Identifizierung, Untersuchung und Reaktion auf Datenverstöße, Naturkatastrophen oder andere externe Ereignisse verwendet wird, die sich über Lieferanten oder andere Geschäftspartner auf ein Unternehmen auswirken. Das Ziel der Reaktion auf Vorfälle bei Dritten ist es, den Betrieb aufrechtzuerhalten – oder zumindest schnell wiederherzustellen –, wenn es zu Betriebsunterbrechungen im Lieferantenumfeld oder in der Lieferkette kommt, mit anderen Worten: die operative Widerstandsfähigkeit zu erhalten.
Incident Response vs. Incident Management
Die Begriffe „Incident Response“ und „Incident Management“ werden oft verwechselt oder synonym verwendet. Viele Behörden, wie beispielsweise das britische National Cyber Security Centre, definieren Incident Response als Teilbereich des Incident Managements. Aus dieser Sicht konzentriert sich Incident Response eher auf die technischen Aspekte eines Vorfalls, darunter Triage, Analyse, Schadensbegrenzung, Behebung und Wiederherstellung. Incident Management ist ein ganzheitlicheres Programm, das Incident Response mit umfassenderen Vorbereitungen, Kommunikations- und Berichtsprozessen verbindet.
Incident Management als Grundlage für die Reaktion auf Vorfälle
Der Prozess des Incident Managements (IM) lässt sich anhand des Leitfadens „Computer Security Incident Handling Guide, SP 800-61” des National Institute of Standards and Technology (NIST) in folgende Schritte unterteilen:
- Vorbereitung des Vorfallmanagementprozesses
- Verfahren zur Erkennung, Meldung und Berichterstattung von Vorfällen
- Vorfallstriage und -analyse
- Eindämmung und Behebung von Vorfällen
- Nachbereitung nach einem Vorfall, einschließlich gewonnener Erkenntnisse
Wenn es um Verstöße durch Lieferanten, die Offenlegung geschützter Daten, Unterbrechungen der Lieferkette oder andere Ereignisse geht, konzentrieren sich die meisten Unternehmen auf reaktive Maßnahmen wie die Priorisierung von Vorfällen, die Analyse der Ursachen, die Eindämmung und die Wiederherstellung (d. h. die Reaktion auf Vorfälle). Ich habe jedoch festgestellt, dass Unternehmen ihre Vorfallbereitschaft am meisten in den Bereichen des IM verbessern können, die sich auf Vorbereitung, Kommunikation und gewonnene Erkenntnisse konzentrieren.
Warum das Vorfallmanagement im Risikomanagement von Drittanbietern wichtig ist
Effektives Incident Management und Third-Party Risk Management (TPRM) gehen Hand in Hand. Die Identifizierung Ihrer dritten, vierten und N-ten Parteien ermöglicht ein effektives Incident Management, da bis zu die Hälfte aller Vorfälle ihren Ursprung bei Lieferanten haben.
Verträge mit Drittanbietern und Subunternehmern müssen Anforderungen zur Benachrichtigung über IM/Verstöße innerhalb eines festgelegten Zeitraums (in der Regel 24 Stunden, aber so schnell wie möglich) nach Feststellung eines schwerwiegenden Vorfalls enthalten. Die Validierung Ihrer IM-Prozesse und -Kontakte bei Drittanbietern sowie regelmäßige Tests, einschließlich Telefonketten, gewährleisten die operative Bereitschaft, auf Vorfälle zu reagieren und diese zu beheben.
Ressourcen für ein effektives Incident Management
Vorfälle bei Dritten können Ihre Fähigkeit beeinträchtigen, Produkte und Dienstleistungen an Ihre Kunden zu liefern. Ein Plan für die Reaktion auf Vorfälle ist zwar entscheidend, um Störungen in der Hitze des Gefechts zu minimieren, doch die Verbesserung der allgemeinen Vorfallmanagementsysteme und -prozesse Ihres Unternehmens hilft Ihnen, besser auf Vorfälle vorbereitet zu sein, wenn diese auftreten.
Hier finden Sie einige zusätzliche Ressourcen, die Sie zum Benchmarking und zur Verbesserung Ihres Incident-Management-Programms nutzen können:
- NIST 800-61R2: Leitfaden zum Umgang mit Computersicherheitsvorfällen
- ISO/IEC 27035-1: Management von Vorfällen der Informationssicherheit – Teil 1: Grundsätze des Vorfallmanagements
- ISO/IEC 27035-2: Management von Informationssicherheitsvorfällen Teil 2: Leitfaden zur Planung und Vorbereitung des Vorfallmanagements
- OCC 2021-55: Endgültige Regelung zur Meldung von Bank vorfällen, veröffentlicht am 23.11.2021
- OCC2022-8: Ansprechpartner für die Meldung von Computersicherheitsvorfällen bei Banken, herausgegeben am 29.03.2022
Drei Prozesse zum Vorfallmanagement zur Verbesserung
1. Prozessvorbereitung
Um einen effektiven Prozess für das Vorfallsmanagement zu implementieren, müssen Sie zunächst die Verantwortlichkeiten identifizieren und den richtigen Stakeholdern zuweisen – sowohl innerhalb Ihres Unternehmens als auch entlang Ihrer gesamten Lieferkette.
Durch Tabletop-Übungen, bei denen Vorfälle simuliert werden, um alle Beteiligten mit dem IM-Prozess und ihren Rollen und Verantwortlichkeiten vertraut zu machen, wird sichergestellt, dass die erforderlichen Ressourcen und Fähigkeiten bei Bedarf verfügbar sind. Zusammen mit regelmäßigen Tests Ihrer Verfahren und der Überprüfung Ihrer Kontaktlisten gibt Ihnen dies die Gewissheit, dass Sie im Ernstfall – nicht „falls“, sondern „wenn“ – reagieren können.
2. Verfahren zur Erkennung, Kommunikation und Meldung
Cyber Intelligence hilft Ihrem Unternehmen, Vorfälle zu verhindern, indem es kontinuierlich tatsächliche Ereignisse und Anzeichen für mögliche zukünftige Ereignisse überwacht. Erkennungsprozesse stellen sicher, dass Sie potenzielle Vorfälle rechtzeitig erkennen und darauf reagieren können, wodurch potenzielle Risiken und Schäden begrenzt werden.
Im Rahmen dieses Prozesses müssen Sie wichtige Stakeholder informieren, darunter – je nach Schweregrad des Vorfalls – Ihre Geschäftsleitung und Ihren Verwaltungsrat sowie alle Aufsichtsbehörden. Dies ist für die operative Widerstandsfähigkeit und die Vermeidung negativer Auswirkungen auf den Ruf, die Finanzen und die Regulierung von entscheidender Bedeutung. Die Kommunikation spielt daher eine wichtige Rolle in Ihrem IM-Prozess, sowohl um die Auswirkungen eines Vorfalls zu beheben als auch um wichtige interne und externe Stakeholder auf dem Laufenden zu halten, was zu einer schnelleren Lösung des Vorfalls führt.
3. Nachbereitung nach einem Vorfall, einschließlich gewonnener Erkenntnisse
Aus Fehlern und Erfolgen zu lernen, ist ein weiterer wichtiger Aspekt des Vorfallmanagementprozesses. Indem Sie untersuchen, was zu einem Vorfall in Ihrem Unternehmen oder Ihrer Lieferkette geführt hat, können Sie sicherstellen, dass Fehler nicht wiederholt werden, und das Risikomanagement für eventuell auftretende Folgevorfälle stärken. Die Nachverfolgung ist entscheidend, um zu überprüfen, ob Korrekturmaßnahmen und Programmverbesserungen ordnungsgemäß umgesetzt werden.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
