Führen Sie eine eingehende Überprüfung durch, die die Einhaltung der Compliance-Vorgaben für alle Lieferanten auf allen Ebenen nachweist.
Kapitel Eins
Einführung
Effektive Kommunikation von TPRM-Risiken gegenüber dem Vorstand
Angesichts der beispiellosen Zunahme von Datenverstößen bei Lieferanten und Störungen in der Lieferkette wünschen sich Vorstände und Unternehmensleiter mehr Transparenz in ihren Ökosystemen mit Drittanbietern.
Das Problem ist, dass nur wenige Sicherheits- und Risikofachleute wissen, wie sie Risiken durch Dritte effektiv kommunizieren können – oft verlassen sie sich auf komplexe, technische und punktuelle Dashboards, die zu Verwirrung und/oder Desinteresse im Vorstand führen.
Wie können CISOs Risiken durch Dritte effektiv gegenüber dem Vorstand kommunizieren?
- Sprechen Sie die Sprache des Vorstands: Risiken und ihre finanziellen Auswirkungen
- Bieten Sie einen prägnanten, umfassenden Überblick über aussagekräftige Kennzahlen nahezu in Echtzeit.
Dieses eBook hilft Ihnen beim Einstieg, indem es Ihnen Folgendes bietet:
- Den Unterschied zwischen KPIs und KRIs verdeutlichen
- Identifizierung von vier Kategorien von Messgrößen zur Messung
- Empfehlung von 25 KPIs und KRIs für die Berichterstattung an den Vorstand und die Geschäftsleitung
- Aufzeigen, welche Arten von Kennzahlen für CISOs, die Unternehmensleitung und den Vorstand am besten geeignet sind
Kapitel Zwei
Der Unterschied zwischen KPIs und KRIs
Beide sind gleichermaßen wichtig für die Bewertung der Dreierkombination Mensch-Prozess-Technologie.
Leistungskennzahlen (KPIs)
die Effektivität von Funktionen und Prozessen messen.
Wichtige Risikoindikatoren (KRIs)
Messen Sie, wie hoch das Risiko für ein Unternehmen ist und welche Risikobehandlungen anzuwenden sind.
Kapitel Drei
Vier wichtige Kennzahlenkategorien
Für das Risikomanagement von Drittanbietern sollte Ihr Unternehmen vier Bereiche messen. Jeder Bereich umfasst KPIs und KRIs.
Risiko-Metriken
| Leistungskennzahl | Was es bedeutet |
|---|---|
| Prozentuale Abdeckung der Lieferantenbasis nach Tier (1, 2, 3, 4) mit Bedrohungsinformationen | Segmentiert die Lieferantenbasis, um ein umfassendes Verständnis der Kritikalität zu vermitteln. |
| Prozentualer Anteil der Lieferanten, die eine erste Onboarding-Risikobewertung durchgeführt haben | Ein niedriger Prozentsatz von Lieferanten in diesem KPI könnte bedeuten, dass das Unternehmen in der frühesten Phase der Geschäftsbeziehung unbekannten Risiken ausgesetzt ist. |
| Anzahl der Lieferanten, die die anfängliche Risikobewertung im Rahmen der Onboarding-Prozesse bestanden/nicht bestanden haben | Eine hohe Anzahl von Lieferanten in diesem KPI gibt Aufschluss darüber, welche Lieferanten das größte Risiko darstellen und eine umfassendere Risikobewertung sowie eine kontinuierliche Überwachung erfordern. |
| Mittlere Zeit bis zum Abschluss der Lieferantenbewertung | Eine lange Dauer der Bewertungen könnte darauf hindeuten, dass sich der Lieferant nicht ausreichend engagiert oder dass die Bewertung für seine Stufe zu kompliziert ist. |
| Wichtiger Risikoindikator | Was es bedeutet |
|---|---|
| Anzahl der Sicherheitsvorfälle der Prioritätsstufe 1, die im letzten Quartal aus der Lieferkette verursacht wurden | Dieser KRI ist eher ein nachlaufender Indikator. Wenn er einen Aufwärtstrend aufweist, müssen Sie möglicherweise den Umfang Ihrer Cybersicherheitsbewertungen erweitern oder eine kontinuierliche Überwachung einführen, um neue Risiken im Blick zu behalten. |
| Anzahl der Lieferanten innerhalb der Lieferkette mit einer hohen Risikobewertung | Als Frühindikator ermöglicht Ihnen dieser KRI, die Due Diligence bei den risikoreichsten Lieferanten zu priorisieren. |
| Anzahl der Lieferanten, die nach erfolgreicher Einführung weiterhin ein hohes Risiko darstellen | Eine hohe Zahl würde darauf hindeuten, dass die Lieferanten die empfohlenen Abhilfemaßnahmen nicht umgesetzt haben. Das Unternehmen könnte dann im Vertrag nach Durchsetzungsmaßnahmen suchen, Ausgleichskontrollen in Betracht ziehen oder das Risiko akzeptieren. |
| Mittlere Zeit bis zum Abschluss der Lieferantenbewertung | Hilft bei der Ermittlung, welche Sicherheitsbereiche über die grundlegenden Kontrollmaßnahmen hinaus weitere Sorgfaltspflichten und Überwachungsmaßnahmen erfordern. |
| Restrisiko (nach Anwendung von Kontrollen) aus jeder Sicherheitsbereichskategorie (z. B. Zugangskontrolle, Vermögensverwaltung, physische Sicherheit usw.) innerhalb der Lieferkette | Ein hohes Restrisiko könnte das Unternehmen dazu veranlassen, Ausgleichsmaßnahmen in Betracht zu ziehen, das Risiko zu akzeptieren oder sich um eine Vertragsauflösung zu bemühen. |
Metriken zur Bedrohung
| Leistungskennzahl | Was es bedeutet |
|---|---|
| Prozentuale Abdeckung der Lieferantenbasis nach Tier (1, 2, 3, 4) mit Bedrohungsinformationen | Ein geringer Prozentsatz der von Threat Intelligence überwachten Top-Lieferanten (z. B. Tier 1) bedeutet, dass einige Ihrer wichtigsten Lieferanten nur periodisch (z. B. jährlich) bewertet werden, was zu einer riskanten Lücke in den Lieferanteninformationen führt. |
| Durchschnittliche Zeit bis zum Ergreifen von Maßnahmen (MTTA) für den Risikoverantwortlichen nach Auslösen eines Bedrohungsalarms | Ein hoher MTTA-Wert könnte darauf hindeuten, dass der Risikoverantwortliche mit Störsignalen überfordert ist, was es schwierig macht, die Ereignisse zu finden, die untersucht werden müssen. Es könnte sich auch um eine Qualifikationslücke oder eine komplexe Bedrohung handeln, die untersucht werden muss. |
| Genauigkeit der Bedrohungsdatenquelle, gemessen an der Anzahl der Falschmeldungen/Anzahl der Warnmeldungen (in %) | Ein hoher Prozentsatz an Fehlalarmen würde eine Anpassung der Alarmschwelle oder eine weitere Untersuchung der Quelle der Bedrohungsinformationen erfordern. |
| Wichtiger Risikoindikator | Was es bedeutet |
|---|---|
| Prozentualer Unterschied zwischen der Selbstauskunft des Anbieters und den Bedrohungen, die auf nachrichtendienstlichen Quellen beruhen | Ein hoher Prozentsatz an Erkenntnissen, die im Widerspruch zu den Antworten der Bewertung stehen, könnte darauf hindeuten, dass der Lieferant nicht korrekt auf die Bewertungen reagiert. Dies könnte eine Neubewertung oder eine zusätzliche Bewertung erforderlich machen, für die weitere Belege vorgelegt werden müssen. |
| Anzahl der Tier (1,2,3,4) Lieferanten mit aktiven "hohen" Bedrohungsindikatoren | Eine hohe Zahl könnte darauf hindeuten, dass Ihre Lieferantenbasis anfällig für Cyberangriffe ist oder bereits aktiv angegriffen wird. Empfehlen Sie gezielte zusätzliche Risikobewertungen, um die Wirksamkeit der internen Kontrollen Ihrer Lieferanten zur Abwehr solcher Angriffe zu messen. |
| Durchschnittliche Zeit bis zur Behebung (MTTR) für Bedrohungsindikatoren der Stufen (1, 2, 3, 4) | Ähnlich wie beim oben genannten MTTA-KPI kann ein hoher MTTR auf Qualifikationslücken oder komplexe Bedrohungen hinweisen, die untersucht werden müssen. Ein hoher MTTR kann die Hinzuziehung externer Sicherheitsspezialisten oder eine Überprüfung der Lieferantenverträge erforderlich machen, um sicherzustellen, dass diese die geeigneten Verfahren zur Minderung von Bedrohungen befolgen. |
Metriken zur Einhaltung der Vorschriften
| Leistungskennzahl | Was es bedeutet |
|---|---|
| Anzahl der Lieferanten, die in den Geltungsbereich eines Compliance-Programms fallen (z. B. SOX, PCI, GDPR) | Eine hohe Anzahl von Lieferanten, die spezifische Konformitätsbewertungen erfordern, zeigt, wie viel Aufmerksamkeit der betreffenden Verordnung, beispielsweise dem Datenschutz, gewidmet werden sollte. |
| Qualität der Rückmeldungen von Lieferanten nach Stufe (1,2,3,4) | Ein hoher Prozentsatz unbeantworteter oder falsch beantworteter Fragen (z. B. geringe Qualität) kann die Bewertungsfristen und Nachbesserungen verlängern. Möglicherweise sind zusätzliche Bewertungen erforderlich, die spezifische Nachweise oder Kontrollen zur Validierung durch einen externen Prüfer erfordern. |
| Wichtiger Risikoindikator | Was es bedeutet |
|---|---|
| Anzahl der Lieferanten außerhalb der Stufe 1 mit Einhaltungsverpflichtungen | Tier-1-Lieferanten werden in der Regel einer strengeren Prüfung unterzogen, aber eine große Anzahl von Nicht-Tier-1-Lieferanten mit Compliance-Verpflichtungen erfordert möglicherweise zusätzliche regulatorische Bewertungen, um die Einhaltung der Anforderungen zu messen. |
| Anzahl der Lieferanten auf allen Ebenen, bei denen noch keine Erkenntnisse über Bedrohungen oder Kontrollmängel vorliegen, die nicht wirksam gehandhabt werden | Eine hohe Zahl weist auf ein hohes Risiko hin. Offene Kontrollmängel und Erkenntnisse aus der Bedrohungsanalyse sollten entsprechend den Prioritäten und Risikotoleranzschwellen behandelt werden. |
Metriken zum Erfassungsbereich
| Leistungskennzahl | Was es bedeutet |
|---|---|
| % Abdeckung der Lieferkette weltweit | Ein geringer Prozentsatz von Lieferanten, die von den Organisationen aktiv verwaltet, bewertet oder überwacht werden, deutet auf ein höheres Risiko für das Unternehmen hin. Alle Lieferanten sollten entsprechend eingestuft, kategorisiert und verwaltet werden. |
| Anzahl der Lieferanten, die Zahlungen erhalten und keinen Onboarding-Status haben | Eine hohe Zahl hier deutet auf eine Lücke in der Sorgfaltspflicht des Lieferanten hin (oder darauf, dass es gar keine Sorgfaltspflicht gibt). Ohne ordnungsgemäße Einarbeitung – einschließlich einer inhärenten Risikobewertung – ist das Unternehmen Sicherheits-, Betriebs-, Vertrags- und Finanzrisiken ausgesetzt. |
| Mean Time to Onboard (MTTO) - die Zeit, die von der Beauftragung bis zum Abschluss der ersten Due-Diligence-Risikobewertung eines neuen Lieferanten vergeht | Eine kurze Bearbeitungszeit für die Bewertung eines neuen Lieferanten könnte bedeuten, dass der Fragebogen nicht umfassend genug ist und Ihnen wichtige Risikokennzahlen entgehen. Andererseits könnte eine lange Bearbeitungszeit für die erste Due Diligence darauf hindeuten, dass die Bewertung zu komplex ist. Überprüfen Sie die Bewertung, um sicherzustellen, dass die richtigen Informationen für die Einordnung des Lieferanten in den Lebenszyklus von Drittanbietern erfasst werden. |
Kapitel Vier
Die richtigen Kennzahlen mit den richtigen Stakeholdern teilen
Verwenden Sie diese Anleitung, um den richtigen Stakeholdern die richtigen Kennzahlen zu präsentieren.
CISO
-
-
Präsentieren Sie eine detaillierte Analyse der Bedrohungsinformationen, in der die inhärenten und verbleibenden Risiken für jeden Lieferanten auf allen Ebenen aufgeführt sind.
-
Priorisieren Sie Maßnahmen und Abhilfemaßnahmen für alle identifizierten Probleme.
Geschäft
-
Zeigen Sie Geschäftsanwendern eine nahezu Echtzeit-Bedrohungs-/Risikoanalyse für ihre Lieferanten.
-
Führen Sie proaktive Tiefenanalysen für Tier-1- und kritische Tier-2-Lieferanten durch, um die Lieferantenbeziehungen zu verbessern.
-
Identifizieren Sie einen klaren Aktionsplan, um die Behebung und Lösung aller identifizierten Probleme voranzutreiben.
Vorstand
-
Präsentieren Sie eine konsolidierte Übersicht über die aktuellen Risiken für das Unternehmen aus der Lieferkette.
-
Kommunizieren Sie den aktuellen Status wichtiger Lieferanten, die die wesentlichen Unternehmensaktivitäten unterstützen.
-
Zeigen Sie inhärente und verbleibende Risiken aus Bedrohungsinformationsquellen auf, um den Fortschritt bei der Risikominderung im Laufe der Zeit zu demonstrieren.
-
Identifizieren Sie, wo Unterstützung durch die Geschäftsleitung erforderlich ist.
Kapitel Fünf
Erste Schritte mit KPIs und KRIs für das Risikomanagement von Drittanbietern.
Um Risiken durch Dritte wirksam zu reduzieren, muss man verstehen, wie Menschen, Prozesse und Technologien im Vergleich zu den Erwartungen abschneiden. Herkömmliche Produkte für das Lieferantenrisikomanagement sind jedoch nicht in der Lage, die erforderliche Transparenz zu bieten, um die Leistung und Risiken über den gesamten Lebenszyklus eines Lieferanten hinweg zu verwalten und zu verfolgen.
Mitratech kann dazu beitragen, die Messung von Risiken und die Wirksamkeit von Programmen zu vereinfachen, indem es:
- Identifizierung von KPIs und KRIs, die während des gesamten Lieferantenlebenszyklus als Teil des anfänglichen Vertragsprozesses zu verwalten sind
- Erkennen von Schwellenwertüberschreitungen und Senden von Warnmeldungen
- Bereitstellung von Sanierungsleitlinien und Verfolgung des Lösungsprozesses
- Bereitstellung anpassbarer Berichte für mehrere Interessengruppen
Laden Sie unseren TPRM-Metrik-Leitfaden herunter, um mit der Anpassung von KPIs und KRIs für Ihr Programm zu beginnen.
Haben Sie ein Projekt im Sinn?
Wenden Sie sich an unser Expertenteam, um zu erfahren, wie Mitratech Ihnen dabei helfen kann, Ihr Lieferantenrisikomanagement zu optimieren und zu skalieren.
Demo anfordern
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.