Wie man Threat Intelligence nutzt, um Risiken durch Dritte zu reduzieren

Erweitern Sie den Umfang Ihres TPRM-Programms mit diesen erstklassigen Quellen für Informationen zu Risiken durch Dritte.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter Juni 22, 2023 6 min gelesen
Decorative image

Ein wirksames Risikomanagementprogramm für Dritte umfasst mehr als nur die Durchführung regelmäßiger interner Kontrollbewertungen von Anbietern und Lieferanten – es muss auch kontinuierliche Risikoinformationen einbeziehen
, um Lücken zwischen diesen Bewertungen zu schließen und das Vorhandensein und die Wirksamkeit von Kontrollen zu überprüfen. Für viele Unternehmen ist das Risikomanagement für Dritte (TPRM) jedoch eine Entweder-oder-Entscheidung.

In diesem Beitrag untersuchen wir:

  • Die wichtigsten Arten von Bedrohungsinformationen – und die besten Datenquellen –, die Sie in Ihr TPRM-Programm aufnehmen sollten
  • Wie die Nutzung von Bedrohungsinformationen dazu beiträgt, Risiken durch Dritte zu mindern
  • Bewährte Verfahren zur Optimierung von Risikodaten von Drittanbietern

Die wichtigsten Arten und Quellen von Risikodaten von Drittanbietern

Wenn Sie die Integration von Bedrohungsinformationen in Ihre regelmäßigen Bewertungen der Sicherheitskontrollen Ihrer Lieferanten in Betracht ziehen, sollten Sie die folgenden Arten einbeziehen.

Cyber-Bedrohungsinformationen von Anbietern

Cyber-Bedrohungsinformationen sind häufig die gängigste Art von externen Anbieter-Einblicken und bieten einen Einblick in die Sicherheitsleistung, Schwachstellen und die Geschichte von Sicherheitsverletzungen eines Drittanbieters. Diese Einblicke können Ihnen dabei helfen, zu verstehen, ob der Drittanbieter über angemessene Sicherheitskontrollen verfügt.

Zu den gängigen Quellen für diese Daten zählen kriminelle Foren, Onion-Seiten, Foren mit speziellem Zugang zum Dark Web, Threat Feeds, Paste-Seiten für durchgesickerte Anmeldedaten, Sicherheits-Communities, Code-Repositorys, Schwachstellen-Datenbanken und Datenbanken mit der Historie von Datenverstößen.

Betriebsaktualisierungen des Anbieters

Wirtschaftsnachrichten, Fusionen und Übernahmen (M&A), Veränderungen im Management und in der Führung, Wettbewerbsnachrichten und neue Angebote können Ihnen Aufschluss darüber geben, ob es sich bei dem Drittanbieter um ein gut geführtes Unternehmen mit einer tragfähigen langfristigen Strategie handelt.

Informationen zu diesen Themen können Sie aus öffentlichen und privaten Quellen für operative Informationen, Nachrichten-Feeds, Wirtschaftsnachrichten-Datenbanken und Unternehmenswebsites beziehen.

Finanzielle Einblicke für Anbieter

Informationen über die finanzielle Leistungsfähigkeit, den Umsatz, die Gewinn- und Verlustrechnung, das Eigenkapital, die Bonität, die Zahlungshistorie, Insolvenzen und Investitionen eines Anbieters zeigen, dass der Dritte ein fortgeführtes Unternehmen ist, finanziell gesund ist und seinen Verpflichtungen nachkommen kann. Schlechte Finanzergebnisse könnten auf Budgetkürzungen hindeuten, die sich auf die Sicherheitsmaßnahmen auswirken können.

Kreditratingagenturen, Websites für Finanzberichterstattung und Nachrichtenagenturen sind gängige Quellen für diese Informationen – und ein Großteil davon ist kostenlos.

Einblicke in die Reputation von Anbietern

Ein altes Sprichwort lautet: Man ist nur so gut wie die Gesellschaft, in der man sich bewegt. Einblicke in die Reputation, wie beispielsweise negative Medienberichte und Berichterstattung, regulatorische und rechtliche Sanktionen, Geschäfte mit staatlichen und regierungsnahen Unternehmen sowie die Zusammenarbeit mit politisch exponierten Personen, können Ihrem Unternehmen helfen, potenziell schädlichen Beziehungen zuvorzukommen.

Die Quellen für Informationen zur Reputation sind vielfältig. Sie können diese aus Nachrichtenberichten, Sanktionslisten (z. B. dem Amt für die Kontrolle ausländischer Vermögenswerte (OFAC) des US-Finanzministeriums, der Sanktionsliste des Vereinigten Königreichs, der konsolidierten Sanktionsliste der EU) und Gerichtsakten, PEP-Datenbanken (wie FFIEC und LexisNexis) und vielen anderen Quellen beziehen.

Der Nachteil einer kontinuierlichen Überwachung von Risiken durch Dritte besteht darin, dass es keine zentrale Anlaufstelle für Bedrohungsinformationen gibt, sodass viele Unternehmen gezwungen sind, diese Daten auf etwas unzusammenhängende Weise zu sammeln und zu analysieren.

Vier Wege, wie Threat Intelligence dazu beiträgt, Risiken durch Dritte zu mindern

Es gibt vier wesentliche Möglichkeiten, wie externe Bedrohungsinformationen dazu beitragen können, Risiken durch Dritte zu mindern.

1. Überprüfen Sie die Wirksamkeit der vom Anbieter gemeldeten internen Kontrollen.

Wenn ein Drittanbieter in seiner Sicherheitsbewertung oder in einer Sicherheitszertifizierung (z. B. ISO oder SOC 2) angegeben hat, dass er starke Passwörter verlangt, externe Bedrohungsinformationen jedoch zeigen, dass Benutzer-IDs, Passwörter oder Administratoranmeldedaten dieses Anbieters im Dark Web zum Verkauf angeboten werden, können Sie davon ausgehen, dass die Passwortrichtlinien des Anbieters nicht streng genug sind (oder dass möglicherweise sogar seine Phishing- oder Sicherheitsbewusstseinsprogramme verbessert werden müssen).

2. Verschaffen Sie sich frühzeitig einen Überblick über das Risikoprofil eines potenziellen Anbieters.

Mithilfe von Bedrohungsinformationen können Sie sich ein Bild von den Risiken machen, die ein potenzieller Anbieter für Ihre Umgebung mit sich bringt. Beispielsweise können Sie während der Beschaffungs- und Auswahlphase einer Beziehung zu einem Drittanbieter oder Lieferanten Informationen über frühere Datenverstöße, Sicherheitsvorfälle, Compliance-Probleme, Sanktionen usw. einholen, um fundierte Entscheidungen bei der Lieferantenauswahl zu treffen. Ein Anbieter mit einer niedrigen Sicherheitsbewertung entspricht möglicherweise nicht der Risikotoleranz Ihres Unternehmens.

3. Lücken zwischen regelmäßigen Bewertungszyklen füllen

Wenn Ihr Unternehmen eine jährliche Sicherheitsbewertung seiner Drittanbieter durchführt, können externe Bedrohungsinformationen die Lücken zwischen diesen jährlichen Bewertungen schließen, sodass Sie keine potenziell kritischen Bedrohungen übersehen, sobald diese auftreten.

4. Führen Sie eine Basisprüfung für nicht kritische Lieferanten durch.

In den meisten Unternehmen gibt es eine Untergruppe von Lieferanten, die als kritisch eingestuft werden. Ihr Unternehmen sollte regelmäßig umfassende Sicherheitsbewertungen dieser Lieferanten durchführen. Bei Lieferanten, die als nicht kritisch oder weniger wichtig eingestuft werden, müssen jedoch manchmal nur die grundlegenden Maßnahmen durchgeführt werden. Anhand einer Profilierung und Einstufung können Sie festlegen, wie Sie mit Lieferanten umgehen, je nachdem, ob sie beispielsweise für den Betrieb Ihres Unternehmens kritisch sind oder mit sensiblen Kundendaten umgehen.

Bewährte Verfahren zur Optimierung der Risikoinformationen von Drittanbietern

Zentralisieren zur Normalisierung

Ein gängiger Ansatz besteht darin, alle Informationen isoliert zu betrachten, was jedoch die Vorteile der Sammlung all dieser Informationen zunichte macht. Stattdessen sollten alle diese Quellen für Bedrohungsinformationen in einem einzigen Risikoregister zentralisiert werden, um die Daten zu normalisieren und in aussagekräftige Ergebnisse umzuwandeln. Dieser Ansatz ermöglicht die Quantifizierung und Kontextualisierung von Risiken – beispielsweise durch Zuordnung zu verschiedenen Sicherheitsframeworks und Compliance-Kontrollen –, um Risiken und daraus resultierende Abhilfemaßnahmen zu priorisieren. Dieser einheitliche Ansatz ermöglicht auch eine Korrelation mit den Bewertungsergebnissen. Dadurch werden die Initiativen zur Risikoprüfung, -analyse, -berichterstattung und -reaktion erheblich rationalisiert.

Sanierung ist unerlässlich

Wie wir aus der Studie zum Risikomanagement durch Dritte aus dem Jahr 2023 erfahren haben, besteht eine erhebliche Lücke zwischen der Anzahl der Unternehmen, die Risiken verfolgen, und denen, die sie beheben. Der Wert der Nutzung von Risikoinformationen in Ihrem TPRM-Programm hängt also von der Risikobereitschaft und der Behebung ab. Wenn die Bedrohung Ihres Unternehmens durch einen Lieferanten zu einer hohen Risikobewertung führt, müssen Sie bestimmte Abhilfemaßnahmen empfehlen (oder verlangen), die umgesetzt werden müssen, um die Geschäftsbeziehung mit diesem Lieferanten fortzusetzen. Oder Sie müssen die Einführung spezifischer Ausgleichskontrollen verlangen. Unabhängig vom Ansatz ist ein wechselseitiger Dialog für die Risikominderung unerlässlich.

Nächste Schritte für Third-Party Risk Intelligence in Ihrem TPRM-Programm

Risikoinformationen von Drittanbietern werden immer wichtiger, um mit den sich ändernden regulatorischen Anforderungen und einer sich entwickelnden Bedrohungslandschaft Schritt zu halten. Wenn Sie mehr darüber erfahren möchten, wie fortschrittliche Analysen und maschinelles Lernen eingesetzt werden können, um unvorhergesehene Risiken zu identifizieren, die derzeit in Ihren Lieferketten lauern, fordern Sie noch heute eine Demo an.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.