Der Versuch, die Datensicherheit von Lieferanten, die Informationssicherheit und allgemeine Risiken durch Dritte zu verwalten, kann eine gewaltige Aufgabe sein. Die Implementierung eines effektiven Programms zur Überwachung von Dritten (Third-Party Monitoring, TPM) reduziert das Risiko erheblich und ermöglicht Ihnen gleichzeitig eine sichere Verwaltung Ihrer Lieferanten.
Die Überwachung von Dritten gewinnt zunehmend an Bedeutung. Bedrohungsakteure haben begonnen, Organisationen in der Cyber-Lieferkette massiv ins Visier zu nehmen, um sowohl vor- als auch nachgelagerte Unternehmen zu kompromittieren. Gleichzeitig nehmen geopolitische Risiken, ESG-Risiken und Compliance-Anforderungen weiter zu.
Jedes Risikomanagementprogramm für Dritte sollte eine kontinuierliche Überwachungslösung für Dritte umfassen, um eine Risikoanalyse und Reaktion in Echtzeit zu gewährleisten. Ein umfassendes Überwachungsprogramm für Dritte kann Ihnen dabei helfen, die Auswirkungen von Datenverstößen bei Lieferanten, Unterbrechungen der Lieferkette und negativer Presseberichterstattung auf Ihr Unternehmen zu mindern. In diesem Artikel geben wir einen Überblick über die Methodik der Risikoüberwachung für Dritte und wichtige Begriffe. Außerdem diskutieren wir die vielen Vorteile der Implementierung eines effektiven Programms.
Was ist die Überwachung von Risiken durch Dritte und wie funktioniert sie?
Die Überwachung von Risiken durch Dritte ist die Praxis der kontinuierlichen Erfassung und Analyse extern beobachtbarer Daten zur Cybersicherheit, Geschäftsethik, Finanzlage und geopolitischen Situation von Lieferanten, um potenzielle Risiken in der Lieferkette zu identifizieren. Die Überwachung von Dritten ist unerlässlich, um ein stabiles Lieferanten-Ökosystem zu erhalten und die Datensicherheit zu gewährleisten, insbesondere in risikoreichen Bereichen wie dem Gesundheitswesen oder Finanzdienstleistungen.
Unternehmen und Interessengruppen können sich einen kontinuierlichen Überblick über die Compliance-Situation von Lieferanten verschaffen, indem sie umfassende Sicherheitsdatenerfassung und -analyse mit einem Ansatz zum Risikomanagement von Drittanbietern kombinieren, die Verteidigung interner Systeme unterstützen, Vor-Ort-Besuche durchführen und Aufzeichnungen überprüfen.
Warum ist die Überwachung von Risiken durch Dritte wichtig?
Da internationale Lieferketten immer stärker vernetzt sind, haben die Risiken durch Dritte exponentiell zugenommen. Die aktive Überwachung von Dritten hinsichtlich Cybersicherheit, finanzieller, ethischer, reputationsbezogener und operativer Risiken ist entscheidend für die Stabilität und Widerstandsfähigkeit der Lieferkette Ihres Unternehmens. Die Überwachung von Dritten gewährleistet Nachhaltigkeit, Vertrauen und Transparenz in einer Lieferantenbeziehung. Im Folgenden finden Sie einige prominente Beispiele dafür, wie eine verbesserte Überwachung von Dritten Unternehmen dabei helfen könnte, Probleme zu vermeiden.
- Marriott-Datenschutzverletzung – Im Jahr 2018 kam es bei Marriott aufgrund der Fusion mit Starwood zu einer Datenschutzverletzung. Anfang 2020 gab Marriott bekannt, dass eine weitere Datenschutzverletzung zum Verlust von 5,2 Millionen Kundenkonten geführt hatte, darunter Adressen, Geburtstage, Telefonnummern und Informationen zu Kundenkarteninhabern. Diese Datenschutzverletzung wurde durch zwei Marriott-Franchisenehmer verursacht, deren Unternehmenszugang zu den Systemen gehackt worden war. Selbst im Falle eines engen, vertrauenswürdigen Partners wie einem Franchisenehmer empfehlen wir, alle Dritten, die Zugriff auf Ihre Unternehmensinfrastruktur haben, genau im Auge zu behalten. Diese Franchisenehmer haben oft nicht die gleichen Cybersicherheitsstandards wie ihre Muttergesellschaften, was zu Schwachstellen für das gesamte Unternehmen führt.
- Magecart – Magecart, eine Gruppe von Cyberkriminellen, hat seit 2015 zahlreiche Angriffe auf große Einzelhändler weltweit durchgeführt. Die jüngsten Angriffe auf Ticketmaster, British Airways, Newegg, Feedify und andere Unternehmen werden dieser Gruppe zugeschrieben. Magecart-Hacker infizieren in der Regel Webserver von Drittanbietern, die von ihren Opfern genutzt werden, um sensible Informationen wie Kreditkartendaten zu stehlen.
- Sicherheitsverletzung bei Atrium Health – Im Jahr 2018 kam es bei Atrium Health zu einer Datenverletzung, bei der vertrauliche Daten von über 2,65 Millionen Patienten offengelegt wurden. Ursache für die Datenpanne war eine Kompromittierung der Server, die vom Abrechnungsdienstleister von Atrium Health, AccuDoc Solutions, genutzt wurden.
- Datenpanne bei Amazon – Im Jahr 2020 kam es zu einer schweren Datenpanne bei Amazon, eBay, Shopify und PayPal. Eine Datenbank eines Drittanbieters mit rund acht Millionen Online-Käufen aus Großbritannien wurde veröffentlicht. Dies ist nicht das erste Mal, dass Amazon Opfer eines Vorfalls durch einen Drittanbieter geworden ist. Im Jahr 2017 hackten Angreifer zahlreiche mit Amazon verbundene Drittanbieter und nutzten deren Konten, um gefälschte Angebote zu veröffentlichen.
- Datenpanne bei General Electric (GE) – GE gab 2020 eine Datenpanne bekannt, die durch ihren Dienstleister Canon Business Process Services verursacht wurde. Durch einen gehackten E-Mail-Server wurden öffentlich zugängliche Informationen über aktuelle und ehemalige Empfänger und Mitarbeiter von GE offengelegt.
- Betriebsstilllegung bei Toyota – Im Februar 2022 stellte Toyota den Betrieb in Japan ein, nachdem bei Kojima Industries, einem wichtigen Kunststoffzulieferer, eine Datenpanne aufgetreten war. Kojima hatte Fernzugriff auf die Produktionsstätten von Toyota, was das Risiko für Toyota erheblich erhöhte. Infolge der vorübergehenden Betriebsstilllegung erlitt Toyota finanzielle und betriebliche Verluste.
TPM-Methodik
Um Risiken durch Dritte genau bewerten zu können, ist es unerlässlich, regelmäßige „Inside-Out”-Lieferantenbewertungen durch eine kontinuierliche „Outside-In”-Bedrohungsüberwachung zu ergänzen. Diese Risikobewertungen, Fragebögen und die Überwachung durch Dritte ermöglichen es Unternehmen, auch in Zukunft auf ihre Beziehungen zu Dritten vertrauen zu können.
Inside-Out-Bewertung durch Dritte
Dieser TPM-Ansatz konzentriert sich auf Fragebögen zum Lieferantenrisiko, Due Diligence und die vom Lieferanten bereitgestellten Unterlagen. Eine genaue Prüfung der Sicherheitsunterlagen und des Sicherheitsansatzes des Lieferanten kann für TPM-Programme von unschätzbarem Wert sein. Stellen Sie sicher, dass die Sicherheitsrichtlinien des Lieferanten mit seinen Antworten im Bewertungsfragebogen und den Compliance-Anforderungen übereinstimmen. Darüber hinaus sollten Sie nicht nur das Drittunternehmen, sondern auch die 4. und N. Partei, mit denen es zusammenarbeitet, überprüfen.
Outside-In-Risikoüberwachung durch Dritte
Es ist auch wichtig, eine Organisation aus der Außenperspektive zu betrachten. Sind ihre Zugangsdaten im Dark Web öffentlich zugänglich? Handelt es sich um ein großes Unternehmen, gibt es öffentlich zugängliche Finanzberichte, anhand derer sich Ihre Organisation ein Bild von dessen Zahlungsfähigkeit machen kann? Führen Sie eine gründliche Due-Diligence-Prüfung durch, einschließlich der Verwendung von TPRM-Tools und öffentlich zugänglichen Informationen.
Arten der Überwachung von Risiken durch Dritte
Bewertung und Überwachung von Cybersicherheitsrisiken
In der Online-Community gibt es zahlreiche Cyber-Herausforderungen. Es vergeht keine Woche ohne Nachrichten über schwerwiegende Datenverstöße, von denen einige monatelang unentdeckt bleiben, bevor sie aufgedeckt werden. Cyber-Angreifer werden immer raffinierter in ihren Methoden, um Zugang zu persönlichen und geschäftlichen Informationen zu erhalten, indem sie sich auf den schwächsten Zugangspunkt konzentrieren: die Drittanbieter des Unternehmens. Drittanbieter können über IT-Systeme oder Integrationen miteinander verbunden sein und es kann sich dabei um SaaS-Anbieter oder Datenverarbeiter handeln. Diese Drittanbieter verfügen möglicherweise nicht über das gleiche Maß an Cyber-Schutz wie ihre Kunden, was sie zu einem leichteren Ziel für Hacker macht. Prevalent liefert Cyber-Risikoinformationen zu über 550.000 Unternehmen, indem es mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Foren mit speziellem Zugang, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Seiten für durchgesickerte Anmeldedaten sowie mehrere Sicherheits-Communities, Code-Repositorys und Schwachstellen-Datenbanken überwacht.
Risikobewertung und Überwachung der Vielfalt
In einer sozialbewussteren Welt bedeutet die Zusammenarbeit mit Dritten, dass Lieferanten nicht nur die nationalen Arbeitsgesetze und -standards einhalten, sondern auch sicherstellen, dass ihre Belegschaft die Gesellschaft als Ganzes genau widerspiegelt. Die meisten Produkte zur Risikobewertung von Dritten konzentrieren sich hingegen in erster Linie auf Cybersicherheitsbedrohungen und ignorieren Probleme der Vielfalt und Inklusion, was zu negativer Presse und Rufschädigung führen kann. Die Prevalent Third-Party Risk Management Platform bietet Tools zur Bewertung der Rekrutierungsrichtlinien von Dritten hinsichtlich Vielfalt und Inklusion. Sie verfügt außerdem über eine integrierte Anbindung an aktuelle Reputations- und Regulierungsinformationen, mit denen Sie Ihre Bewertungsergebnisse überprüfen können.
Überwachung von Reputations- und Finanzrisiken
Schwachstellen bei Drittanbietern umfassen weit mehr als nur Fragen der Cybersicherheit. Finanzielle Unsicherheiten können beispielsweise die Fähigkeit eines Lieferanten beeinträchtigen, Teile und Dienstleistungen bereitzustellen. Ein Besuch der OSHA kann zur Schließung einer Einrichtung führen. Ein ungünstiges Ergebnis einer behördlichen oder ethischen Überprüfung kann die Aufmerksamkeit des Managements ablenken und Ihr Unternehmen gefährden. Obwohl es wichtig ist, alle Vorfälle im Blick zu behalten, die Lieferanten gefährden, überschatten Cybersicherheitsverletzungen in den Nachrichten oft andere Arten von Risikoereignissen. Es ist kein Wunder, dass die meisten Risikomanagementsysteme für Dritte ihren Kunden keine wichtigen finanziellen und reputationsbezogenen Informationen liefern. Die Third-Party Risk Management Platform von Prevalent verfolgt kontinuierlich öffentliche und private Datenbanken zu Reputationsrisiken und Finanzdaten und liefert die Erkenntnisse, Überwachungsdaten und Berichte, die erforderlich sind, um möglichen Lieferantenausfällen zuvorzukommen.
Risikobewertung und Überwachung moderner Sklaverei
Regierungen auf der ganzen Welt bekämpfen aktiv moderne Formen der Sklaverei, darunter Menschenhandel und Zwangsarbeit von Erwachsenen und Kindern. Der britische Modern Slavery Act von 2015, der australische Modern Slavery Act und der kalifornische Transparency of Supply Chains Act sind ebenfalls Beispiele für Gesetze, die darauf abzielen, moderne Formen der Sklaverei zu beenden. Unternehmen müssen die Rechenschaftspflicht in den Arbeitsrichtlinien ihrer Lieferketten sicherstellen, um diese Vorschriften einzuhalten, da ihnen sonst Geldstrafen, gerichtliche Sanktionen und negative Presseberichte drohen. Unternehmen müssen auf der Grundlage von Umfragen in der Lieferkette Bewertungen der Kontrollen ihrer Lieferanten durchführen, Systeme überwachen und die Ergebnisse durch kontinuierliche externe Überwachung ihrer tatsächlichen Praktiken validieren.
Überwachung geopolitischer Risiken
Die Überwachung geopolitischer Risiken gewinnt im Jahr 2023 weiter an Bedeutung. Die Beziehungen zwischen den USA und China verschlechtern sich weiter, während die Spannungen mit Ländern wie Russland, Iran und Nordkorea zunehmen. Mit den zunehmenden Spannungen steigt auch das Risiko plötzlicher Geschäftsunterbrechungen aufgrund von Handelsmaßnahmen, APTs und anderen Ereignissen. Die im Herbst 2022 gegen China ergriffenen Handelsmaßnahmen zeigen, dass es aufgrund staatlicher Aktivitäten zu plötzlichen Lieferunterbrechungen kommen kann. Eine robuste Überwachung geopolitischer Risiken kann frühzeitig vor potenziellen Handelsmaßnahmen, Zöllen, rechtlichen Schritten und anderen geopolitisch bedingten Risiken warnen.
ESG-Risikoüberwachung
ESG-Risiken stehen für viele Unternehmen im Jahr 2023 im Mittelpunkt. Neue ESG-Vorschriften, wie der Entwurf einer europäischen Richtlinie zur Sorgfaltspflicht von Unternehmen und das deutsche Sorgfaltspflichtgesetz für Lieferketten, verpflichten Unternehmen dazu, ihre Lieferketten im Hinblick auf ESG-Belange zu überprüfen. Diese stehen im Gegensatz zur vorherigen Generation von ESG-Gesetzen, die von Unternehmen lediglich verlangten, über ergriffene ESG-Maßnahmen zu berichten. Bei der Überwachung von ESG-Risiken ist es unerlässlich, über Dritte hinauszugehen und die gesamte erweiterte Lieferkette zu überwachen. Viele Unternehmen haben in den letzten Jahren enormen Reputationsschaden erlitten, weil sie es versäumt haben, erhebliche ESG-Schäden aus nachgelagerten Bereichen effektiv zu identifizieren. Viert- und N-Partei-Lieferanten.
Kontinuierliche Überwachung durch Dritte
In der Zeit zwischen den Risikobewertungen von Lieferanten kann viel passieren. Deshalb ist es wichtig, einen kontinuierlichen Überblick über die Risiken von Lieferanten zu haben. Externe Risiken für Dritte werden vom Vendor Threat Monitor von Prevalent ständig verfolgt und analysiert. Der Ansatz sucht nach Cyberrisiken und Schwachstellen im Internet und im Dark Web sowie in öffentlichen und privaten Strömen von Reputationsinformationen und Finanzdaten. Das Modul Vendor Threat Monitor wird mit der Inside-Out-Lieferantenrisikobewertung als Teil der Third-Party Risk Management Platform von Prevalent kombiniert. Die Erfassungs- und Auswertungsdaten für jeden Anbieter werden in einem einzigen Risikoregister zusammengefasst, sodass Sie die Ergebnisse leicht vergleichen und die Risikoanalyse, Berichterstattung und Reaktionsmaßnahmen optimieren können.
Vierte Parteien und darüber hinaus
Lieferanten, Einzelhändler, Investoren und andere, die mit einem Unternehmen Geschäfte machen, gelten als Dritte. Es gibt jedoch noch eine weitere Dimension, die alle Unternehmen beachten müssen: die Partner und Lieferanten ihrer Dritten, auch als Vierte bezeichnet. Vierte Partner (oder „N-te Parteien“, wie sie in der Lieferkette genannt werden) sind nicht vertraglich an ein Unternehmen gebunden, sondern an dessen Dritte.
Vorteile einer kontinuierlichen Überwachung von Risiken durch Dritte
1. Informieren Sie die Beschaffungsabteilung über die Sorgfaltspflicht
Eine vor der Zusammenarbeit durchgeführte Risikoanalyse von Dritten kann bei der Auswahl von Lieferanten helfen und Aufschluss über mögliche zukünftige Probleme geben. Sie kann auch Aufschluss darüber geben, ob zusätzliche Bewertungen erforderlich sind, um weitere Informationen über die Sicherheitskontrollen, Compliance-Initiativen und andere Faktoren von Lieferanten zu sammeln, die sich auf die Arbeitsabläufe Ihres Unternehmens auswirken können. Vorabinformationen können viel Zeit und Geld sparen, insbesondere wenn Ihr Unternehmen über eine komplexe Lieferkette mit zahlreichen Lieferanten verfügt.
2. Reputationsrisiken minimieren
Durch kontinuierliche Überwachung erhalten Sie Echtzeitinformationen über den Reputationsrisikostatus Ihrer Drittanbieter. Informationen zu Finanzberichten, Verstößen gegen ethische Grundsätze, behördlichen Strafen, Umweltproblemen und Gerichtsverfahren können Ihnen dabei helfen, negativer Presse in Ihrer Lieferkette und einer möglichen „Sippenhaftung“ Ihres Unternehmens zuvorzukommen.
3. Risiken von Datenverstößen reduzieren
Durch kontinuierliche Überwachung können Cybersicherheitsteams schnell genaue und aktuelle Daten zu Schwachstellen von Drittanbietern, gestohlenen Anmeldedaten und anderen Risiken sammeln. Diese Informationen können Ihrem Team dabei helfen, Abwehrmaßnahmen zu verstärken, Beschränkungen festzulegen und/oder Warnungen auszugeben, wenn eine Website kompromittiert wurde oder eine Sicherheitsverletzung vorliegt. So können Sie sofort handeln, um Ihre sensiblen Systeme und Kundendaten zu schützen.
4. Bewertungen priorisieren
Eine kontinuierliche Überwachung kann dabei helfen, Lieferantenprofile zu erstellen und deren inhärentes Risiko zu bestimmen. Diese Informationen können Ihnen dabei helfen, den Umfang und die Häufigkeit regelmäßiger, fragebogenbasierter Risikobewertungen entsprechend dem potenziellen Risiko und der Kritikalität jedes einzelnen Drittanbieters für Ihr Unternehmen zu priorisieren. Darüber hinaus kann die Überwachung zusätzliche Ad-hoc-Bewertungen auslösen, wenn ein schwerwiegender Sicherheitsvorfall oder ein organisatorisches Ereignis festgestellt wird.
5. Bewertung der Antworten validieren
Die Überwachung der Cybersicherheitsmaßnahmen und Geschäftspraktiken Ihrer Drittanbieter kann Ihnen dabei helfen, die Richtigkeit der Bewertungsantworten zu überprüfen und die Risikoanalyse zu vervollständigen. Führen sie regelmäßig Malware-Scans durch und patchen sie ihre Systeme? Befolgen sie ethische Einstellungsverfahren? Eine kontinuierliche Überwachung ist eine hervorragende Möglichkeit, um festzustellen, ob Ihre Drittanbieter Ihre Sicherheits-, Compliance- und Ethik-Anforderungen einhalten.
Aufbau Ihres Programms zur Überwachung von Risiken durch Dritte
Angesichts der zunehmenden Cyberangriffe durch Dritte und der durch Datenschutzprobleme vorangetriebenen neuen Gesetze ist es wichtiger denn je, sicherzustellen, dass Ihre Lieferanten vertrauliche Daten sicher behandeln können. Die manuelle Erfassung, Verwaltung und Überprüfung des Risikostatus ist hingegen unzuverlässig, fehleranfällig und kostspielig. Durch unsere einzige, integrierte Plattform für das Risikomanagement bei Dritten (Third-Party Risk Management, TPRM) macht Prevalent die Durchsetzung und Risikoprävention einfacher und schneller. Fordern Sie eine Demo an, um zu sehen, ob Prevalent für Sie geeignet ist.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
