7 wichtige Quellen für Informationen zu Risiken durch Dritte

Kontinuierliche, externe Risikoinformationen von Drittanbietern können dazu beitragen, Lücken zwischen regelmäßigen internen Lieferantenbewertungen zu schließen. Hier sind sieben wichtige Möglichkeiten, um eine Außenperspektive auf Lieferantenrisiken zu erhalten.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Oktober 1, 2020 7 min gelesen
Decorative image

Ganzheitliche Programme zum Risikomanagement bei Dritten (TPRM) kombinieren regelmäßige, interne Bewertungen der internen Kontrollen von Lieferanten mit einer kontinuierlichen, externen Überwachung ihrer externen Bedrohungen. Durch die Ergänzung der Ergebnisse der Lieferantenbewertung mit externen Informationen erhalten Sie ein umfassenderes Verständnis der potenziellen Risiken, die jeder Lieferant für Ihr Unternehmen darstellt.

Wenn Sie die Überwachung in Ihr Risikomanagementprogramm für Dritte integrieren, sollten Sie darauf achten, dass Sie auf umfassende und fundierte Quellen für Lieferanteninformationen zurückgreifen. Dieser Beitrag gibt Ihnen einen ersten Überblick über einen Anwendungsfall für die kontinuierliche Überwachung und stellt wichtige Quellen für Informationen zu Risiken durch Dritte vor. Außerdem werden bewährte Verfahren für den Erfolg vorgestellt.

Ein Anwendungsfall für kontinuierliche Überwachung

Durch die Einbindung von Echtzeit-Cyber- und Geschäftsüberwachungsdaten in Ihre Aktivitäten zur Risikobewertung von Lieferanten wird Ihr TPRM-Programm kontinuierlicher und weniger reaktiv. Sie können beispielsweise die Überwachung nutzen, um das Dark Web nach Schwachstellen, Sicherheitsverletzungen und durchgesickerten Anmeldedaten eines Lieferanten zu durchsuchen. Anschließend können Sie diese Daten mit den Informationen aus den Fragebögen zur Lieferantenbewertung abgleichen, um Unstimmigkeiten bei der Passwort- und/oder Patch-Verwaltung aufzudecken.

Eine leistungsstarke TPRM-Lösung übernimmt nicht nur diese Analyse, sondern umfasst auch Regeln und Automatisierungen, die Folgebewertungen auslösen. Dieser Ansatz schließt den Kreis beim Risiko durch Dritte und wandelt punktuelle Bewertungen in eine kontinuierliche Risikoüberwachung um.

Risikoinformationsquellen von Drittanbietern

Fundierte, risikobasierte Entscheidungen zu treffen bedeutet, Daten aus vielen unterschiedlichen Quellen zu konsumieren und zu normalisieren. Es kann sehr zeitaufwendig sein, die Daten hinter der Sicherheitslage Ihrer Lieferanten zu finden, zu zentralisieren und zu interpretieren. Deshalb ist es wichtig, eine TPRM-Lösung in Betracht zu ziehen, die in der Lage ist, Informationen von Dritten auf praktikable Weise zu aggregieren und zu berichten.

Unabhängig davon, ob Sie Lösungen zur Risikoüberwachung evaluieren oder einen manuellen Ansatz verfolgen, sollten Sie unbedingt diese Quellen für Risikoinformationen von Drittanbietern berücksichtigen:

1. Öffentliche Quellen

Gängige Quellen für öffentlich zugängliche – und wahrscheinlich kostenlose – Bedrohungsinformationen von Drittanbietern liefern allgemeine Branchennachrichten, Trends und aktuelle Informationen zu Sicherheitsverletzungen:

  • Websites zum Thema Datenmissbrauch überprüfen die Auswirkungen aktueller Verstöße (z. B. Data Breach Today).
  • Unternehmenswebsites veröffentlichen Pressemitteilungen, die auf potenzielle Risiken hinweisen könnten (z. B. Entlassungen, Finanznachrichten usw.).
  • Produkt- und Unternehmensbewertungswebsites bieten Einblicke in die Meinung der Kunden zu den Produkten eines Unternehmens (z. B. G2).
  • Jobbörsen und Websites mit Mitarbeiterbewertungen geben Aufschluss über die Arbeitsweise eines Unternehmens und weisen auf mögliche Störungen hin (z. B. Glassdoor).
  • Fachzeitschriften und Branchenwebsites berichten über Trends, die sich auf die Geschäftstätigkeit eines Unternehmens auswirken können (z. B. Manufacturing Today).
  • Blogs und Social-Media-Beiträge bieten aktuelle Informationen zu Unternehmensnachrichten, einschließlich Sicherheitsvorfällen (z. B. Recorded Future).
  • Zertifizierungsstellen, die das Sicherheitsniveau eines Unternehmens angeben (z. B. SOC)
  • Newsfeeds liefern kontinuierlich Schlagzeilen.

2. Private Quellen

Zu den privaten Quellen für Informationen über Risiken durch Dritte zählen kostenpflichtige Datendienste und Websites, die möglicherweise schwer zu finden oder gefährlich zu navigieren sind. Diese Quellen können detailliertere Informationen über geschäftliche und Cyber-Risiken Ihrer Drittanbieter liefern.

  • Kreditauskunfteien stellen eine Bewertung bereit, die die finanzielle Bonität eines potenziellen Partners angibt (z. B. Experian).
  • Finanzbewertungsseiten diskutieren Erträge und Risiken (z. B. Motley Fool)
  • Websites für Rechtsstreitigkeiten überprüfen Klagen, die sich negativ auf die Geschäftsbeziehungen und die Leistungsfähigkeit eines Anbieters auswirken können (z. B. ClassAction.org).
  • Bedrohungs-Feeds bieten kontinuierliche Updates zu Schwachstellen und Risiken (z. B. ThreatConnect).
  • Paste-Websites enthalten Code, der zum Ausnutzen der Sicherheitsvorkehrungen eines Unternehmens verwendet werden kann (z. B. Pastebin.com).
  • Code-Repositorys ähneln Paste-Seiten (z. B. Bitbucket.org).
  • Hackerforen, in denen Cyberkriminelle illegal über Angriffsziele diskutieren und Informationen austauschen*
  • Dark-Web-Foren, in denen Sie gestohlene Zugangsdaten und andere schädliche Unternehmensinformationen finden können*

Zuverlässige Anbieter dieser Informationen verfügen über ein globales Forschungsteam, das mithilfe mehrerer Partner im Bereich Risikoinformationen kontinuierlich nach Risiken von Anbietern sucht. Dieser Ansatz kann besonders umfassende und tiefgreifende analytische Erkenntnisse liefern.

*Die Überwachung von Hackerforen und Dark-Web-Seiten sollte man am besten professionellen Sicherheitsforschern überlassen!

3. Aufsichtsbehörden

Branchen- und Regierungsaufsichtsbehörden sind wichtige Quellen für Informationen zu Risiken durch Dritte. Viele veröffentlichen Informationen über Durchsetzungsmaßnahmen und Verstöße, die zu Geldstrafen oder Gerichtsverfahren führen können, die sich auf die Geschäftstätigkeit eines Anbieters auswirken.

Ihre Organisation kann auch gesetzlich verpflichtet sein, sicherzustellen, dass ihre Drittanbieter die Compliance-Anforderungen erfüllen. Dies kann durch die Durchführung von Lieferantenbewertungen und deren Validierung durch kontinuierliche Überwachung erreicht werden.

Beispiele für wichtige Vorschriften und Aufsichtsbehörden, die im Zusammenhang mit dem Risikomanagement von Drittanbietern eine Rolle spielen, sind:

  • CCPA – Kalifornisches Verbraucherschutzgesetz
  • DSGVO – EU-Datenschutz-Grundverordnung
  • HIPAA – Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen – Sicherheits- und Datenschutzbestimmungen
  • NYDFS – New York Department of Financial Services (Finanzdienstleistungsbehörde des Staates New York), Teil 500
  • OCC – US-Behörde für die Überwachung des Bankwesens
  • PCI – Datensicherheitsstandard der Zahlungskartenindustrie

Eine Tabelle mit Vorschriften, die eine Lieferantenbewertung und/oder -überwachung erfordern, finden Sie in unserem Abschnitt zur Compliance.

4. Industriepartnerschaften

Wenn Ihre Branche über ein Informationsaustauschzentrum (ISAC) verfügt, sollte die Mitgliedschaft in dieser Organisation für Sie obligatorisch sein. Beispiele hierfür sind:

5. Technologieintegrationen

Wahrscheinlich verwenden Sie mehrere verschiedene Produkte, um Risiken in Ihrem Unternehmen zu managen. Wenn Ihre Lösungen isoliert voneinander arbeiten, sollten Sie untersuchen, wie Integrationen Ihre Risikodatenerfassung von Drittanbietern verbessern können. Beispielsweise nutzen viele Unternehmen Ticketing- und Betriebsmanagementlösungen (z. B. ServiceNow) in Verbindung mit Lösungen zur Überwachung von Lieferantenrisiken. In diesem Fall kann die Verknüpfung von Ticketing mit Risikodaten dazu beitragen, die Entscheidungsfindung zu beschleunigen und Abhilfemaßnahmen zu erleichtern.

6. Antworten zur Lieferantenbewertung

Wenn Sie Antworten aus abgeschlossenen Bewertungen sammeln, sollten Sie diese idealerweise in einem zentralen Risikoregister erfassen und dokumentieren. Während die Informationsbeschaffung durch Dritte in der Regel auf individueller Basis erfolgt, kann die Zentralisierung der Daten für nachfolgende Aktivitäten über Gruppen von Branchenanbietern hinweg hilfreich sein.

Zu den gängigen branchenüblichen Bewertungen gehören:

Hier kommt der oben erwähnte Anwendungsfall ins Spiel. Mit automatisierten Regeln können Sie Schwachstellen, die durch kontinuierliche Überwachung entdeckt wurden, mit Bewertungsergebnissen abgleichen und die Ergebnisse nutzen, um Folgebewertungen auszulösen.

7. Risikomanagement-Netzwerke für Lieferanten

Bibliotheken mit abgeschlossenen Lieferantenbewertungen können Ihnen Basisbewertungen und Risikobewertungen für Tausende von Unternehmen liefern. Sie sind besonders hilfreich für die Durchführung von Sourcing- und Beschaffungs-Due-Diligence-Prüfungen potenzieller Lieferanten. Außerdem können sie Ihrem Sicherheitsteam einen Vorsprung bei der Risikoanalyse Ihrer wichtigsten Lieferanten verschaffen. Achten Sie darauf, einen Dienst auszuwählen, der über die Bereitstellung von Bewertungsergebnissen hinausgeht und mindestens externe Cybersicherheitsbewertungen umfasst. Dies hilft Ihnen, die Lücken zwischen Lieferantenbewertungen und Aktualisierungen der Bibliothek zu schließen.

Nächste Schritte für die Risikoanalyse von Drittanbietern

Mehr Informationen führen zu besseren, fundierteren Entscheidungen. Prevalent bietet eine Reihe vonSoftware, Netzwerken und Dienstleistungen für das Lieferantenrisikomanagement
, die Bewertung und Überwachung integrieren, um einen 360-Grad-Überblick über Risiken durch Dritte zu bieten.

Erfahren Sie mehr über unseren bewährten 5-stufigen Ansatz für das Risikomanagement von Lieferanten in unserem Leitfaden für bewährte Verfahren oder fordern Sie noch heute eine Demonstration an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.