Anmerkung der Redaktion: Dieser Artikel, verfasst von Alastair Parr, Senior Vice President, Global Products & Services, wurde ursprünglich in Cybersecurity Insiders veröffentlicht.
Für Unternehmen ist das Management der verschiedenen Risiken, die mit Beziehungen zu Dritten einhergehen, zu einer wichtigen Aufgabe der Organisation und zu einer Frage der Einhaltung gesetzlicher Vorschriften geworden. Allerdings sind Unternehmen noch dabei, die wichtigsten Aspekte eines wirksamen Programms zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) zu ermitteln.
Eine Säule jedes erfolgreichen Programms ist der Fragebogen zur Risikobewertung von Lieferanten, ein Dokument, das erstellt wurde, um die Risiken im Zusammenhang mit Lieferanten und Geschäftspartnern – sowie den Partnern, mit denen diese Geschäfte tätigen – zu bewerten.
Bei der Bewertung von Risiken durch Dritte sollten Unternehmen so viel wie möglich über ihre Partner und Lieferanten in Erfahrung bringen. Der Fragebogen dient dazu, potenzielle Schwachstellen in deren Sicherheits-, Datenschutz- und Compliance-Praktiken aufzudecken, indem Richtlinien, Kontrollen und Belege für diese Kontrollen bewertet werden.
Die Risikobewertung und -minderung beginnt mit der Sammlung von Informationen. Der Fragebogen ist der Schlüssel zu einem umfassenden, vertrauensbasierten Überblick über die Sicherheitslage eines Anbieters. Er hilft einem Unternehmen dabei, wichtige Fragen zu beantworten, wie zum Beispiel:
- Verfügt dieser Anbieter über akzeptable Risikokontrollen?
- Gibt es bei diesem Anbieter Risiken, die behoben werden müssen?
- Gibt es Ausgleichskontrollen für identifizierte Risiken?
Fragebögen mögen nur ein Teil des TPRM-Puzzles sein, aber sie sind ein äußerst nützliches Instrument, um einen detaillierten internen Überblick über Risiken durch Dritte zu erhalten.
Die Wahl des richtigen Fragebogens
Nur wenige Unternehmen verfügen über die Zeit, die Ressourcen oder das Fachwissen, um TPRM-Bewertungsfragebögen von Grund auf neu zu erstellen. Aus diesem Grund entscheiden sich viele für eine branchenübliche Vorlage, beispielsweise den Standard Information Gathering (SIG)-Fragebogen oder den H-ISAC-Fragebogen (für Unternehmen im Gesundheitswesen). Diese Vorlagen bieten einen guten Ausgangspunkt, basieren auf etablierten Rahmenwerken und behandeln wichtige Bereiche wie Datensicherheit, operative Ausfallsicherheit und Einhaltung gesetzlicher Vorschriften.
Obwohl diese Fragebögen variieren, enthalten viele die folgenden Standardbausteine:
- Richtlinien des Anbieters zum Datenschutz.
- Einhaltung von Normen, Gesetzen und Vorschriften.
- Zugriffsverwaltung, Datenschutz, Reaktion auf Vorfälle und andere Sicherheitskontrollen.
- Sicherheitsmaßnahmen in Bezug auf digitale und physische Infrastruktur.
Ein weiterer Vorteil von Fragebögen nach Industriestandard besteht darin, dass die Anbieter – also diejenigen, die die Fragen beantworten – wahrscheinlich bereits mit solchen Fragen vertraut sind und bereit sind, detaillierte Antworten zu geben. Anstatt sich mit einem Standardansatz zufrieden zu geben, der oft mit der Verwendung von Vorlagen einhergeht, sollten Unternehmen diese Vorlagen an die spezifischen Anforderungen ihres Geschäfts anpassen und sie bei Bedarf an die Risikotoleranz, die Branche und die regulatorischen Anforderungen anpassen. Dadurch wird sichergestellt, dass der Fragebogen relevante, genaue und aktuelle Informationen erfasst.
Wie die meisten Dinge, die im Geschäftsleben wichtig sind, bringen jedoch auch die Fragebögen, mit denen ein Unternehmen Risiken einschätzen kann, ihre eigenen Herausforderungen mit sich.
Fragebögen und ihre Herausforderungen
Organisationen müssen eine Reihe von Herausforderungen bewältigen, damit Fragebögen zur Risikobewertung ihr volles Potenzial entfalten können. Fragebögen können beispielsweise:
Arbeitsintensiv: Das Ausfüllen eines Fragebogens kann zeitaufwändig sein, insbesondere wenn eine Organisation zahlreiche Lieferanten hat. Das Erstellen, Verteilen und Auswerten von Fragebögen zur Risikobewertung erfordert spezielle Ressourcen und Fachkenntnisse.
Eine Momentaufnahme, kein Film: Sicherheitsfragebögen bieten nur einen begrenzten Einblick in das Sicherheitsprofil eines Anbieters zu einem bestimmten Zeitpunkt. Die Art der Risiken ändert sich jedoch ständig, und nach dem Ausfüllen und Ablegen eines Fragebogens können neue Schwachstellen auftreten.
Komplexität der Lieferkette: Durch die Vernetzung der Lieferketten müssen Unternehmen die Risiken bewerten, die mit Dritt- und Viertanbietern verbunden sind. Dies bedeutet eine zusätzliche Komplexität für den Risikomanagementprozess.
Müdigkeit der Anbieter: Anbieter können das Ausfüllen solcher Fragebögen verzögern oder zurückstellen, da sie aufgrund der Vielzahl der auszufüllenden Fragebögen möglicherweise ermüdet sind. Dies kann den Zeitplan für die Bewertung ihrer Risiken verlangsamen.
Um dieser Ermüdung entgegenzuwirken, können Unternehmen Fragebögen mit KI-Programmen optimieren, die automatisch einen neuen Fragebogen aus einem älteren Fragebogen erstellen oder Details aus Quellen wie SOC2-Berichten oder ISO-Anwendbarkeitserklärungen extrahieren. Die Anpassung der Fragebögen an die spezifische Rolle des Anbieters kann ebenfalls die Belastung verringern und das Engagement steigern. Und die Verwendung eines automatisierten Workflows für Nachfassaktionen kann die Belastung weiter verringern.
Wie man Fragebögen optimal nutzt
Sobald ein Unternehmen die Herausforderungen gemeistert und einen soliden Fragebogen für das Risikomanagement erstellt hat, ist es an der Zeit, diesen einzusetzen. Nachfolgend finden Sie Tipps, wie Sie ihn optimal nutzen können:
Verzichten Sie auf einen festen und starren Fragebogen. Verfallen Sie nicht in eine „Analyseparalyse“, indem Sie versuchen, einen perfekten Fragebogen zu erstellen. Der Einmal-Ansatz reicht angesichts der Dynamik von Risiken nicht aus. Informationen verlieren in dem Moment an Aktualität, in dem ein Fragebogen ausgefüllt wird. Seien Sie sich daher bewusst, dass die Aufrechterhaltung von Echtzeit-Risikowissen und -Bewusstsein eine kontinuierliche Bewertung erfordert.
Seien Sie bereit für Anpassungen. Eine Organisation sollte in der Lage sein, im Laufe des Bewertungsprozesses Elemente zur Überprüfung zu importieren oder zu erstellen und Anpassungsoptionen für das Hinzufügen von Fragen zu nutzen, wenn spezifischere Anforderungen identifiziert werden.
Bewerten Sie Dritte regelmäßig neu. Die Risikobewertung sollte regelmäßig wiederholt werden, insbesondere wenn bestimmte Anbieter zusätzliche Risiken mit sich bringen. Wie oft Sie eine Neubewertung vornehmen, hängt davon ab, wie wichtig der Anbieter für Ihren Betrieb ist und wie sensibel die Daten sind, mit denen er umgeht. Unternehmen müssen ihre Anbieter möglicherweise jährlich oder in stark regulierten Branchen sogar noch häufiger neu bewerten, je nach den geltenden Compliance-Anforderungen.
In unserer digitalen und vernetzten Welt entwickeln sich Risiken rasant weiter, sodass sich die Sicherheitslage eines Anbieters leicht ändern kann, wenn neue Schwachstellen, Vorfälle oder Änderungen in Geschäftsprozessen bekannt werden. Deshalb sind Automatisierung und kontinuierliche Überwachung unerlässlich, um solchen Veränderungen immer einen Schritt voraus zu sein.
Nächste Schritte im Prozess
Ein robustes Risikomanagementprogramm für Dritte beginnt mit einem Fragebogen zur Risikobewertung. Diese Dokumente können mit Echtzeit-Sicherheitsüberwachung, automatisierten Risikomanagementprodukten und kontinuierlicher Lieferantenüberwachung kombiniert werden, um Risiken durch Dritte möglichst effektiv zu verwalten und zu mindern.
Die richtige Kombination aus Tools und Strategien hilft jedem Unternehmen, die Risiken zu mindern, die mit einem großen Ökosystem von Anbietern einhergehen, und sorgt so für die Sicherheit des Geschäftsbetriebs.
Zu den bewährten Verfahren für TPRM sollte immer die Verwendung von Echtzeitüberwachung gehören, um die Leistung von Anbietern kontinuierlich zu bewerten und die Wirksamkeit von Kontrollen „in der Praxis“ zu überprüfen. Außerdem sollten Anbieter regelmäßig neu bewertet werden, um sicherzustellen, dass ihre Sicherheitsmaßnahmen weiterhin wirksam sind, und Ihr Fragebogen sollte angepasst werden, um die besonderen Risiken jedes Anbieters widerzuspiegeln.
Jedes erfolgreiche TPRM-Programm beginnt jedoch mit etwas Einfacherem: dem Fragebogen zur Risikobewertung.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
