Die Wahl des richtigen Rahmens für das Risikomanagement von Drittanbietern

Melissa: Und hier ein paar Vorstellungsrunden. Mein Name ist Melissa. Ich arbeite hier als Kundenbetreuerin. Und heute haben wir ein paar besondere Gäste, darunter auch einige wiederkehrende Gäste. Wir haben den Compliance-Experten Thomas Humphre. Willkommen zurück, Thomas. Thomas: Schön, hier zu sein. Melissa: Und wir haben auch Matt Delman dabei. Er ist unser Produktmarketing-Manager. Hallo, Matt. Matt: Hallo, Melissa. Melissa: Matt wird am Ende dazukommen und darüber sprechen, wie Metate, die Plattform mit Meteor, Ihnen helfen kann, einige Ihrer bestehenden Programme zu optimieren und zu sehen, was es sonst noch gibt. Noch eine kleine organisatorische Anmerkung: Dieses Webinar wird aufgezeichnet, Sie erhalten also kurz nach Ende des Webinars eine Kopie davon. Ähm, Sie sind alle stummgeschaltet, also nutzen Sie bitte das Q&A-Feld für Ihre Fragen während des Webinars. Wir können diese entweder während oder nach dem Webinar beantworten. Und dann werde ich ohne weitere Umstände das Wort an Thomas übergeben, der einige wichtige Überlegungen zur Auswahl des richtigen Risikomanagement-Frameworks für Dritte erläutert. Also, Thomas, Sie haben das Wort.

Thomas: Vielen Dank, Melissa. Und ja, guten Morgen, guten Tag, guten Abend, meine Damen und Herren. Willkommen zu diesem Webinar. Für diejenigen, die mich noch nicht kennen: Mein Name ist Tom Humphre. Ich bin Content Manager bei Prevalent. Mein Hauptaugenmerk liegt auf der Erstellung von Bewertungen und Rahmenwerken innerhalb unserer Plattform. Ich habe mittlerweile über 15 Jahre Erfahrung im Bereich Auditing. Ich habe verschiedene Standards geprüft, nicht zuletzt im Bereich ISO, sowohl in Großbritannien und Singapur als auch weltweit für verschiedene Organisationen. Und ja, heute beschäftigen wir uns mit verschiedenen Risikomanagement-Frameworks von Drittanbietern, verschiedenen Informations- und Cybersicherheits-Frameworks und der Frage, wie wir fundierte Entscheidungen treffen können, um sicherzustellen, dass wir die richtige Bewertung verwenden. Ähm, als Teil unseres TPM-Engagements und der umfassenderen TPM-Reise. Wie Frau ... bereits angedeutet hat, reservieren wir immer Zeit für Fragen und Antworten. Sie sollten also ein Frage- und Antwortfeld in den erforderlichen Tools finden. Bitte laden Sie alle Fragen hoch, die Sie haben, und wir reservieren am Ende immer Zeit, um sie zu beantworten. Also, ohne weitere Umstände, lassen Sie uns beginnen. Ich möchte nur kurz die Tagesordnung erläutern. Wireinige gängige, vielleicht eher weit verbreitete Cybersicherheits-Frameworks betrachten, bevor wir uns eingehender mit den Stärken und Grenzen dieser und anderer allgemeinerer Frameworks befassen, die im TPOM-Bereich verwendet werden, und insbesondere etwas ausführlicher darüber sprechen, wie diese Stärken und Grenzen genutzt werden können, wenn wir sie im positivsten Sinne einsetzen, um uns zu verbessern und fundierte Entscheidungen darüber zu treffen, wie wir mit unseren Drittanbietern zusammenarbeiten und welche wichtigen Kontrollbereiche wir im Auge behalten und sie danach fragen sollten.

Thomas: Wir werden uns einige der gängigen Rahmenwerke auf Branchenebene ansehen und allgemein untersuchen, wie wir unsere eigenen internen Risikoprofile und Risikobewertungsansätze nutzen können und wie sich dies wiederum auf einige unserer Entscheidungen auswirkt, wenn es darum geht, das für uns geeignete Rahmenwerk zu finden, und schließlich einige Schritte durchgehen, um die Praktiken mit unseren eigenen organisatorischen Zielen in Einklang zu bringen, was das Verständnis und die Verwendung der richtigen Rahmenwerke zur richtigen Zeit für die richtigen Arten von Dritten betrifft. Also einige wichtige Cybersicherheits-Rahmenwerke. Ich denke, man kann mit Fug und Recht sagen, dass es Standards-Rahmenwerke für die Informations-Cybersicherheit in allen Formen und Größen und mit unterschiedlicher Komplexität gibt. Es gibt bestimmte Namen, die wir auf dem Bildschirm sehen können und die hoffentlich vielen Menschen sehr vertraut sind. Sicherlich sind solche wie ISO 27.0001, NIST CSF oder Cybersicherheits-Rahmenwerke Beispiele für Top-Standards, die wir als branchenunabhängig betrachten. Sie werden in der Regel von jeder Art von Organisation in jeder Branche und jedem Sektor verwendet. Insbesondere ein Standard wie 27.0001, der nach wie vor eines der am weitesten verbreiteten Frameworks für das Management der Informationssicherheit ist, insbesondere wenn wir sehen, dass Organisationen 27.0001-Kontrollen einsetzen, um Risiken durch Dritte und das Risikomanagement durch Dritte voranzutreiben. Es gibt auch viele und immer mehr sektorspezifische Frameworks. Ich habe auf dem Bildschirm einige Beispiele aufgeführt. HIPPA aus Sicht des US-Gesundheitswesens entwickelt Sicherheits- und Datenschutzregeln für Organisationen, die PHI-Informationen (Public Health Information) oder EPI, wie sie manchmal genannt werden, verwalten. Eines der vielleicht bekanntesten aus Sicht der Sicherheit und des Datenschutzes stammt aus New York. Das NYDFS 23500-Framework, das verwendet wird und auf das wir später noch etwas näher eingehen werden, wird für Finanzorganisationen verwendet, die innerhalb des Staates New York und des Finanzraums von New York, wie er heute existiert, tätig sind. Außerhalb dieser weitreichenderen Rahmenwerke wie ISO und vielen NIST-Standards, darunter auch 27,8 53 für NIST SIG in den USA.

Thomas: Wir stellen natürlich fest, dass es immer einige themenspezifische Rahmenwerke gibt, die sehr stark auf bestimmte Technologien oder Anwendungsfälle ausgerichtet sind. ISO 42.0001 ist ein solches Beispiel, das ISO IEC für das Management von KI-Systemen entwickelt hat. Es geht also um das Design, die Entwicklung und die Anwendung von KI-Systemen, und diese bieten in der Regel Leitlinien und Anforderungen für die Definition und Implementierung von Kontrollen für diese spezifischen Technologiesysteme, in einigen Fällen auch für bestimmte Branchen. Und vergessen wir nicht die ständig wachsende Zahl regulatorischer Anforderungen. Ob es sich nun um Bereiche wie P oder Credential in Großbritannien handelt, die Rahmenwerke für Outsourcing-Vereinbarungen und die gesamte Lieferkette sowie einige der Bereiche entwickelt haben, die sie vorschreiben. Für Finanzinstitute, die innerhalb des Vereinigten Königreichs und darüber hinaus tätig sind, und die EU-Richtlinie NIS-2 oder NIS 2, die für EU-Organisationen gilt und umfassendere Cybersicherheitspraktiken und -erwartungen festlegt, die wiederum nicht allzu unterschiedlich sind, wie wir bei anderen Rahmenwerken sehen. Es gibt also viele verschiedene Rahmenwerke in unterschiedlicher Größe und Komplexität, von denen einige strengere Anforderungen stellen als andere. Ähm, und sicherlich sind diejenigen rund um die ISO, die NIST-Rahmenwerke, ich sage SIGs, CIS und andere wichtige Begriffe oder Akronyme, die Ihnen vielleicht bekannt sind, weitreichender in Bezug auf End-to-End-Cybersicherheits-Governance, Risiken und auch Compliance-basierte Kontrollen. Es gibt also viele verschiedene Frameworks, was natürlich ziemlich beunruhigend ist, denn es kann durchaus ein Dilemma sein, wenn man sich zum ersten Mal damit befasst und herausfinden möchte, welches Sicherheitsframework für uns am besten geeignet ist. Welches Framework sollten wir verwenden, wenn wir mit Dritten zusammenarbeiten und unsere Drittanbieter sowie unsere gesamte Lieferkette bewerten möchten? Schauen wir uns also kurz drei Beispiele für Frameworks an und gehen wir etwas detaillierter darauf ein, wie sie aufgebaut sind und in welchen Anwendungsfällen sie zum Einsatz kommen.

Thomas: Zunächst einmal ist, wie ich bereits sagte, eines der weltweit am häufigsten verwendeten Rahmenwerke nach wie vor das Rahmenwerk der ISO 27.0001 zur Definition, Implementierung und Verwaltung eines Informationssicherheits-Managementsystems. Es unterscheidet sich nicht wesentlich von anderen ISO-Normen. Diese sind so strukturiert, dass sie klare Leitlinien aus Sicht der Unternehmensführung bieten. Es geht also darum, die Führungsrolle festzulegen und Risiken mit einem strukturierten Risikomanagement-Rahmenwerk zu identifizieren und zu verwalten, bevor man sich mit den Kontrollmechanismen befasst, die Unternehmen zur Auswahl stehen, um diese Risiken ebenfalls zu bewältigen. Wie gesagt, es ist international anerkannt. Und es gibt wirklich Unterschiede zwischen den verschiedenen Arten von Unternehmen, ihrer Größe und Komplexität, egal ob es sich um ein Softwarehaus, ein großes Softwareunternehmen in den USA, eine Werbeagentur in Japan oder ein Produktionswerk in Großbritannien handelt. Viele Organisationen übernehmen die Norm 27.000 als anerkannte Best Practice. Sie dient der guten Sicherheit und dem Sicherheitsmanagement. Und natürlich gibt es innerhalb dieser Norm seit jeher, von der älteren bis zur aktuellen Version 2022, sehr klare Kontrollen für das Management von Drittanbietern, Lieferanten und der Lieferkette. Wenn wir also über Vertragsmanagement nachdenken, wenn wir darüber nachdenken, Kontrollen für Ihre unmittelbaren Drittanbieter zu identifizieren und das Management durch Überwachung und Leistungs- und Audit-Fähigkeiten zu verbessern. Es handelt sich also um ein sehr weitreichendes, meiner Meinung nach sehr weit verbreitetes Rahmenwerk. Und es ist natürlich wichtig zu beachten, dass es sich um eine zertifizierbare Norm handelt. Es gibt viele Standards und Rahmenwerke, die Unternehmen verwenden können, die nicht zertifizierbar sind. Sie werden jedoch weiterhin als anerkannte Best Practices verwendet. 27K ist ein Beispiel für einen zertifizierbaren Standard, der durch unabhängige Audits und Validierungsprüfungen zertifiziert wird. Ein vielleicht neueres Beispiel ist NIST CSF. Die zweite Version dieses Frameworks kam Anfang dieses Jahres heraus, ich glaube Ende Januar, Anfang Februar 2024. Es unterscheidet sich nicht allzu sehr von ISO, da es sich um ein umfassendes Cyber-Framework handelt, das eine strukturierte Grundlage für die Identifizierung von Kontrollen bietet, die auf die sogenannten fünf Kernfunktionen aufgeteilt sind.

Thomas: Also Governance, also die Steuerung, ein neuer Bereich, der in Version 2 aufgenommen wurde, und dann identifizieren, schützen, erkennen, reagieren und wiederherstellen, basierend auf Kontrollen. Es handelt sich also um fünf Kernfunktionen, die dann weiter in Governance und in organisatorische und technische oder technologische Kontrollen unterteilt werden. Das umfasst alles von der Verwaltung von Personen und physischer Sicherheit bis hin zu logischem und physischem Zugriff, Kontinuität, Wiederherstellung, Reaktion auf Vorfälle und vieles mehr. Ähnlich wie bei den Kontrollen der ISO 2701 auf Governance-Ebene liegt der Schwerpunkt auch hier auf Dritten und dem Bewusstsein für Dritte und Risiken durch Dritte. Es handelt sich um einen recht pauschalen Ansatz, der jedoch die Anwendbarkeit in vielen Technologie- und Technologieumgebungen ermöglicht, was ebenfalls sehr wichtig ist. Wenn diese Rahmenwerke wie ISO und N CSF veröffentlicht werden, ist eines der Dinge, die sie so attraktiv machen, aber auch einige potenzielle Probleme mit sich bringen können, die Sprache, die sie verwenden, sowie einige Details in vielen der Kontrollen, die so gestaltet sind, dass sie von vielen verschiedenen Organisationen verwendet werden können. Um noch einmal auf das Beispiel eines Fertigungsunternehmens im Vergleich zu einem Softwareentwickler und einer Werbeagentur zurückzukommen: Natürlich gehen diese Unternehmen sehr unterschiedlich mit Cybersicherheit, Risiken und der Zusammenarbeit mit Dritten um, und auch ihre Auffassung von tatsächlichen Risiken unterscheidet sich. Diese Rahmenwerke geben ihnen die Möglichkeit, sie an ihre eigenen Anwendungsfälle anzupassen. Ein ganz anderes Beispiel findet sich in Sock 2. Es gibt also ein weit verbreitetes Rahmenwerk zur Bewertung von Organisationen anhand von fünf Schlüsselkontrollgruppen, die wir unten auf dem Bildschirm sehen. Dabei handelt es sich um Kontrollen in den Bereichen Sicherheit, Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Daten und Systemen. Außerdem gibt es Elemente zum Datenschutz. Auch hier wird eine detaillierte Bewertung der gesamten Betriebs- und Systemfähigkeiten einer Organisation und ihrer Wirksamkeit vorgenommen. Es gibt jedoch einige geringfügige Unterschiede zwischen ISO und Sock 2. Ich würde sagen, dass beide ein Zertifizierungsniveau bieten. Beide können von Wirtschaftsprüfungsgesellschaften unabhängig bewertet werden.

Thomas: Ähm, aber mit Sock 2 haben Unternehmen viel Spielraum, um zu entscheiden, wie viele Kontrollgruppen sie in ihre Sock-Bewertung einbeziehen möchten. Wir stellen fest, dass sich einige Unternehmen nur auf die Sicherheit konzentrieren und sich sehr stark auf bestimmte Produkte und Dienstleistungen oder organisatorische Fähigkeiten beschränken. Andere betrachten alle fünf Schlüsselkontrollgruppen. Und natürlich führt dies zu unterschiedlichen Ebenen der Tiefe und des Verständnisses dafür, wie viel Best Practice diese Organisation einsetzt. Aber dies ist wieder ein weiteres Beispiel dafür, dass, wenn man sich sowohl ISO NIST CSF als auch Sock 2 ansieht, alle drei sehr ähnliche Kontrollen oder Arten von Kontrollen haben, sei es beispielsweise in Bezug auf Zugriffskontrolle, Schulung von Personal, Datensicherheit und Integrität oder Kontinuität. Und obwohl es nur drei von vielen verschiedenen Frameworks gibt, ist es meiner Meinung nach auch beruhigend zu wissen, dass es viele Gemeinsamkeiten in Bezug auf einige der Best Practices und Anforderungen sowie Kontrollanforderungen gibt, die diese Frameworks festlegen. Um etwas genauer darauf einzugehen, wollen wir uns einige der Stärken und Grenzen von Frameworks wie den eben besprochenen ansehen und insbesondere darüber nachdenken, wann wir uns auf den Weg machen, um zu entscheiden, welches Drittanbieter-Framework für uns als Unternehmen das richtige ist. Wo könnten wir also bei der Auswahl des richtigen Standards oder Frameworks scheitern? Es gibt offensichtlich viele potenzielle Fallstricke, die uns einige Sorgen bereiten könnten. Wir haben bereits über die große Anzahl von Standards gesprochen, sei es in Form von Branchenspezifikationen, themenspezifischen oder branchenspezifischen Standards oder eher agnostischen Standards. Natürlich hat jede Bewertung und jedes Framework ihre eigenen Methoden und Interpretationen, wie eine Kontrolle identifiziert oder umgesetzt werden sollte. Es gibt sicherlich leicht unterschiedliche Methoden zur Risikobewertung oder zur Erfassung von Risikobewertungen.

Thomas: Wenn man beispielsweise an ISO denkt, hat 27.01 einen sehr klar strukturierten Ansatz dafür, wie man Informationssicherheitsrisiken identifiziert, verwaltet, darauf reagiert und mit ihnen umgeht, und sie haben ihre eigenen Risikorahmenwerke wie ISO 31000, während NIST NIST ein eigenes Rahmenwerk namens NIST RMF oder Risikomanagement-Rahmenwerk hat und sogar themenspezifische Rahmenwerke wie das NIST AI-Risikomanagement-Rahmenwerk oder ISO 4201, diegibt es leichte Abweichungen, die wichtig zu berücksichtigen sind, wenn man versucht, ein Rahmenwerk auszuwählen und es an den eigenen aktuellen Ansatz anzupassen, auch in Bezug darauf, wie man Risiken verwaltet, identifiziert und benennt. Und natürlich ist die Terminologie immer ein potenzieller Bereich, auf den man besonders achten muss, insbesondere wenn es subtile Unterschiede zwischen den Bezeichnungen verschiedener Themenbereiche in verschiedenen Organisationen gibt und es leichte Abweichungen bei den verwendeten Begriffen gibt. Was bedeutet das oder was könnte das bedeuten? Nun, wenn wir natürlich sehr enthusiastisch vorgehen und vielleicht ein Framework auswählen, ohne die erforderliche Sorgfalt walten zu lassen und uns wirklich mit den Zielen dieses Frameworks auseinanderzusetzen, kann dies zu einer gewissen Unvertrautheit in einigen Bereichen führen. Es gibt einige Frameworks wie NIST 853, die weit verbreitet sind und in vielerlei Hinsicht für ihre Tiefe und Komplexität geschätzt werden. Wenn man bedenkt, dass es in 853 über 900 Kontrollen gibt, gegenüber den 93 bis 95 Sicherheitskontrollen, die in 27.01 erfasst sind, kann man wirklich sehen, wie tief ein Standard wie Liste 853 gehen kann. Das kann natürlich dazu führen, dass sowohl intern als auch extern, wenn man sich an Anbieter wendet und ihnen wichtige Fragen zu diesen Frameworks stellt, eine gewisse Unvertrautheit entsteht. Und wenn Sie sich für eine sehr gründliche Bewertung entscheiden und sich nicht mit 20, 30 oder 40 Fragen, sondern vielleicht mit 200 oder 300 Fragen befassen, ist das möglicherweise zu viel Information und Sie können nicht die richtige Tiefe in diesen Kontrollanforderungen erfassen, die für Sie als Unternehmen wichtig sind.

Thomas: Es geht also darum, zu verstehen, worauf diese Rahmenwerke abzielen, welche Anforderungen sie stellen, aber auch, wie man sie anpassen kann, um zu wissen, worauf man achten muss, wenn man mit Dritten zusammenarbeitet. Und natürlich könnte dies zu einer unzureichenden Abdeckung führen, wenn es kritische Risikobereiche gibt, die Sie unbedingt untersuchen möchten. Aber vielleicht könnte es aufgrund der Unvertrautheit mit dem Bereich oder der Komplexität der Fragen in den Umfragen oder Bewertungen zu Fehlinterpretationen aus Sicht des Anbieters kommen. Was sollten wir also fragen, wenn es darum geht, zu verstehen, wie unser Rahmenwerk unsere Anforderungen erfüllen kann? Ich denke, die erste Frage lautet: Ermöglicht das Rahmenwerk eine Bewertung über alle unsere Ebenen hinweg? Heutzutage haben viele Unternehmen offensichtlich mehrere Drittanbieter, aber diese Drittanbieter sind sehr unterschiedlich, sei es, dass es sich um sehr große globale Unternehmen handelt oder um kleine Familienbetriebe, wie sie in den Vereinigten Staaten genannt werden, kleine und mittlere Unternehmen, sehr kleine Organisationen mit vielleicht fünf Mitarbeitern, die im Homeoffice-Modell arbeiten, was sich stark von einem großen Rechenzentrumsanbieter unterscheidet. Wir möchten also sicherstellen, dass das von uns verwendete Framework es uns ermöglicht, diese Bewertungen auf der Grundlage der verschiedenen Ebenen und der Art und Weise, wie wir unsere einzelnen Drittanbieter profiliert und in Ebenen eingeteilt haben, anzupassen. Wird es uns die Möglichkeit geben, für diese Tier-1- oder kritischen Anbieter oder Drittanbieter zu sagen, dass wir Ihnen möglicherweise die vollständigen End-to-End-Anforderungen mitteilen müssen? Aber auch, wenn wir eine einzelne Bewertung betrachten oder mehrere Rahmenwerke verwenden, können wir dies so tun, dass wir die richtige Menge und Komplexität der Fragen auf der Grundlage der richtigen Stufe stellen können. Wird das Framework natürlich zu einem skalierbaren TPRM passen? Nun, natürlich ist das TPRM keine einmalige Angelegenheit. Es handelt sich um einen regelmäßigen Prozess, der in einigen Fällen wöchentlich, sicherlich aber monatlich überprüft werden sollte. Also auch auf jährlicher Basis.

Thomas: Und natürlich bedeutet dies, dass wir im Laufe der Zeit, wenn wir uns neue und aufkommende Technologien in unserem eigenen Unternehmen und unseren Betriebsabläufen ansehen, möglicherweise den Umfang dieser Rahmenwerke und die Art der beteiligten Dritten erweitern müssen. Insbesondere, wenn es darum geht, neue Anforderungen und Vorschriften zu prüfen, die beispielsweise auf der Ausrichtung des Unternehmens basieren. Und natürlich stellt sich daraus die Frage, ob das Rahmenwerk auf dem neuesten Stand ist. Ist es so konzipiert, dass es bei neuen und aufkommenden Trends, Bedrohungen und neuen Technologien in der Lage ist, diese zu bewältigen, oder müssen wir uns andere Bereiche ansehen? Wenn wir uns beispielsweise mit künstlicher Intelligenz, Quantencomputern und anderen Betriebstechnologien befassen und das von uns verwendete Rahmenwerk diesen Anforderungen nicht gerecht wird, wo können wir dann noch suchen? Können wir etwas in unser bestehendes Rahmenwerk integrieren oder müssen wir eine Erweiterung in Betracht ziehen, um uns an diese neuen Trends oder Bedrohungen oder andere Bereiche, die wir als Risiken ansehen, anzupassen? Was können wir also noch tun, um eine fundierte Entscheidung darüber zu treffen, welches Rahmenwerk oder welcher Standard am besten geeignet ist, um unsere Drittanbieter zu bewerten? Lassen Sie uns einen Schritt zurücktreten und uns ansehen, was die typischen Treiber von TPRM in seiner heutigen Form sind. Da sind natürlich nicht zuletzt die Regulierungsbehörden und die Gesetzgebung, und wir sehen immer mehr Branchen und Sektoren, in denen dies zu einer Priorität wird. Ich habe bereits P in Großbritannien erwähnt, im Finanzsektor, ob in den USA, Kanada, Großbritannien oder Europa, ist dies ein Beispiel dafür, dass die Erwartungen an die Art und Weise, wie Unternehmen auf Lieferanten, Lieferketten und ausgelagerte Praktiken reagieren und diese verwalten, stetig gestiegen sind. Das gilt natürlich auch für die Art der Berichterstattung an die Regulierungsbehörden, da Ihre eigenen Kunden immer versierter und vorsichtiger gegenüber einigen der größeren Bedrohungen und Probleme werden, die sich in der gesamten Lieferkette stellen. Wir müssen uns nur die letzten zwei bis drei Jahre ansehen, um zu sehen, wie viele Ransomware-Vorfälle und andere Vorfälle kleine Teile oder große Teile der Lieferketten betroffen haben.

Thomas: Aber unsere eigenen Kunden und sogar die gesamte Branche beobachten uns viel genauer und fragen, wie wir uns anpassen, wie wir vorgehen, wenn wir Dritten Systeme zur Verfügung stellen, die möglicherweise sensible Informationen oder sensible Daten enthalten. Und dann gibt es natürlich wie immer diese neuen und aufkommenden Bedrohungen und Schwachstellen. Wenn wir also noch einmal über einige der bemerkenswertesten Bedrohungen der letzten zwei bis drei Jahre nachdenken, dann waren es einige dieser Bedrohungen, die dazu beigetragen haben, dass Branchenverbände oder Aufsichtsbehörden mehr Beweise fordern. Wir brauchen mehr Verantwortlichkeit nicht nur bei der Verwaltung von Drittanbietern, sondern auch in der gesamten Lieferkette. Und Beweise dafür, dass, wenn es beispielsweise einzelne Fehlerquellen gibt oder wenn es wichtige Bereiche gibt, die die gesamte Lieferkette stören könnten, wie das Unternehmen damit umgeht, sei es aus Sicht der Kontinuität und Wiederherstellung. Natürlich ist auch Wissen sehr wichtig. Sie denken, wir haben eine recht große Bandbreite an Rahmenwerken, aber sicherlich, wenn wir intern Standards, internes Wissen und Fähigkeiten für bestimmte Bewertungsrahmenwerke nutzen,das wird natürlich unsere Entscheidung beeinflussen, aber es auch etwas einfacher machen, zu verstehen, welches Rahmenwerk für uns am besten geeignet ist. Wenn ein Unternehmen bereits zertifiziert ist, sagen wir nach 27.01, dann verwendet es bereits Sock 2 und hat sich bereits selbst auditiert, zum Beispiel verwendet es vielleicht NIST 853, um seine eigenen Best Practices für Cybersicherheit voranzutreiben. Aber wenn wir dieses Wissen und diese Fähigkeiten und dieses Verständnis intern im Unternehmen bereits haben, ist es natürlich viel einfacher, diese Fähigkeiten anzuwenden und zu verstehen, wie man diese Standards am besten nutzt, welche Schlüsselkontrollen wir benötigen und wie wir diese auf unsere Drittanbieter übertragen oder Drittanbietern Fragen zu diesen Standards stellen können. Insbesondere als Einstieg, um sich mit der Erstellung eines Risikorahmens für Dritte und einem Ansatz zu befassen und natürlich auch einen Blick auf die breitere Landschaft der Dritten zu werfen. Also noch einmal: Wir haben mehrere Arten von Dritten erwähnt.

Thomas: Ähm, Sie haben vielleicht Berater, wir haben vielleicht Callcenter, wir haben vielleicht Systementwickler oder Software- oder Hardwareentwickler, wir haben vielleicht Hersteller einzelner Komponenten. Ähm, in der Regel stellen wir fest, dass Unternehmen mit vielen verschiedenen Arten von Drittanbietern zu tun haben. Und natürlich kann dies dabei helfen, zu verstehen, welche Tiefe und Komplexität die Bewertung haben muss, die wir uns ansehen müssen. Müssen wir uns auf Frameworks konzentrieren, die eine gute Stärke in der System- und Softwareentwicklung und der Betriebstechnologie haben, insbesondere wenn Sie mit vielen Fertigungsunternehmen und -kapazitäten zu tun haben? Wenn wir also über diese Produkt- und Dienstleistungserbringung nachdenken, kann das sicherlich dazu beitragen, etwas Klarheit hinsichtlich der Art der Bewertung zu schaffen, die wir vornehmen, und natürlich auch hinsichtlich der Bedeutung dieser Bewertungen von Drittanbietern für das Unternehmen, insbesondere wenn wir uns die breitere Landschaft der Drittanbieter ansehen, die ebenfalls wächst. Nehmen wir das Beispiel der NYDFS: Wenn wir als Teil unserer Geschäftstätigkeit im Finanzsektor tätig sind, unsere Geschäftstätigkeit ausweiten und beispielsweise nach New York und in den Bundesstaat New York expandieren oder wenn wir anfangen, Anbieter zu nutzen, die in diesem Bereich tätig sind. Dann wird die NYDFS sehr wichtig für das, was wir betrachten, und für die Art von Kontrollen und Kontrollbewertungen, die wir auch unseren Dritten auferlegen müssen. Kommen wir nun zu den gängigen Rahmenwerken für die Branche und zu umfassenderen Risikoprofilen. Ich möchte dabei besonders darauf eingehen, wie regulatorische oder branchenspezifische Anforderungen entweder mit einem bestehenden Rahmenwerk, mit dem wir möglicherweise arbeiten, verwendet werden können oder ob sie erweitert werden müssen, um sie an einige dieser neuen Anforderungen anzupassen. Ich habe bereits NYDFS erwähnt. Es gibt es nun schon seit vielen Jahren, und von Zeit zu Zeit aktualisiert die NYDFS selbst das Rahmenwerk, ähnlich wie andere Bewertungsstellen. Der Schwerpunkt liegt jedoch weiterhin auf Cybersicherheitsanforderungen, die Kundendaten und IT-Systeme schützen. Es gibt dort viele Kontrollen, die nicht allzu sehr den ISO- und NIST-Standards ähneln.

Thomas: Es gibt also einen starken Fokus auf Sicherheitsrichtlinien, das Management von Datensicherheit und Datenschutz sowie Zugriffskontrolle, logischen Zugriff auf Autorisierung, Authentifizierung und so weiter. Auch wenn es sich um einen sehr speziellen Anwendungsfall für diese Organisationen handelt, also Finanzinstitute, die in New York tätig sind, gibt es dennoch viele Gemeinsamkeiten mit anderen bestehenden Best-Practice-Frameworks, was Informations- und Cybersicherheit angeht. Eines der bemerkenswerten Merkmale von Branchen-Frameworks und insbesondere von Vorschriften und Gesetzen im Gegensatz zu Bereichen wie 27.0001 oder NIST CSF oder 853 ist, dass Verstöße oder die Nichtumsetzung eines Frameworks oder von Teilen davon zu Strafen und Geldbußen führen können. Dies haben die NY DFS und der NY Superintendent in den letzten drei bis vier Jahren durchgesetzt. Daher müssen Unternehmen noch mehr darauf achten, wenn sie eine Vorschrift zum ersten Mal anwenden, was sie wissen müssen, insbesondere wenn sie mit einem Dritten zusammenarbeiten, und sie müssen wissen, wie dieser Dritte diese bestimmte Vorschrift anwendet, ob er seine Sorgfaltspflicht erfüllt, wenn es um die Meldepflicht geht, um die Reaktion auf Vorfälle, zum Beispiel sicherlich in Bezug auf Risiken durch Dritte. Dies ist ein Bereich, den die NYDFS sehr klar erfasst, und sie hebt die Identifizierung und Risikobewertung von Drittanbietern sowie die Mindest-Sicherheitspraktiken hervor, die von solchen Drittanbietern erfüllt werden müssen. Auch dies unterscheidet sich nicht allzu sehr von ISO, NIST, C, SIG und vielen anderen. Daher müssen Organisationen darüber nachdenken, ob wir die Risiken basierend auf der Art der Dritten, mit denen wir zusammenarbeiten, berücksichtigt haben. Was sind die Mindestanforderungen, die wir berücksichtigen müssen, insbesondere im Hinblick auf vertragliche Vereinbarungen mit unseren Dritten, sowie die Festlegung der besten Bewertungsrahmen, um die Einhaltung von Vorschriften und Branchenstandards nachzuweisen?

Thomas: Und so ist einer der Bereiche, den wir besonders berücksichtigen müssen, wenn wir einen stärkeren Anstieg der Anforderungen und Richtlinien der Industrie oder der Regulierungsbehörden in Bezug auf Informations- und Cybersicherheit sowie Lieferkettenmanagement beobachten, der Bereich, in dem sie insbesondere Kontrollanforderungen formulieren, der jedoch in engem Zusammenhang mit dem steht, was wir möglicherweise bereits tun. Wir haben hier auf dieser Seite ein Beispiel dafür. Die OSI mit Sitz in Kanada, die der NYDFS nicht unähnlich ist, ist eine Regulierungsbehörde, die sich auf Finanzdienstleistungen und die Finanzindustrie in Kanada konzentriert. Im Jahr 2023 hat sie eine Richtlinie namens B13 entwickelt, die sich auf Technologie- und Cyber-Risikomanagement konzentriert, und wirhaben hier einige Beispiele aufgeführt, in denen sie als Teil dieser Anforderungen von Unternehmen verlangen, Standards und Verfahren für die Verwaltung von Technologie-Assets festzulegen und ein aktuelles und umfassendes Asset-Management-System oder ein Inventar zu führen, in dem Technologie-Assets während ihres gesamten Lebenszyklus katalogisiert werden. Es besteht also die Notwendigkeit, über gute Asset-Management-Programme, Asset-Management-Systeme und Asset-Inventare zu verfügen. Wenn wir also erneut aufgefordert werden, eine branchenübliche, behördliche oder gesetzliche Praxis für die Informations-Cybersicherheit zu übernehmen, und wenn wir bereits ein Rahmenwerk wie ISO oder NIST CSF, sogar SOCK 2, SIG und andere verwenden, dann decken sich natürlich alle diese Rahmenwerke mit denselben Erwartungen und Anforderungen. Nun, all diese Rahmenwerke decken die gleichen Erwartungen und Anforderungen ab. Sie alle enthalten Anforderungen, dass ein Unternehmen ein Bestandsverzeichnis entwickeln sollte, das Hardware, Software und Datenbestände sowie alle anderen Formen von Informationsbeständen umfasst, und dass es diese während des gesamten Lebenszyklus der Bestände überwachen sollte, vom Onboarding bis zur Entsorgung der Bestände. Wenn wir also bereits über ein etabliertes Framework wie 27,01 verfügen, wenden wir uns natürlich an Anbieter und stellen ihnen relevante Fragen dazu. Müssen wir es jetzt abschaffen, weil diese neue B13-Richtlinie oder -Vorschrift in Kraft tritt? Nun, eigentlich nicht.

Thomas: Weil wir wissen, dass es bereits viele enge Zusammenhänge zwischen vielen der Kontrollen gibt, nach denen B13 in diesem Fall fragt, und Standards wie 27.0001, die auch durch Standard-Mapping erfasst werden. Ähm, wenn wir die von B13 geforderten Kontrollen in unser 27.000-Framework oder CSS-Framework abbilden können, können wir unseren Kunden oder anderen wichtigen Stakeholdern zeigen, dass wir tatsächlich immer noch die Anforderungen erfüllen und immer noch dieselben Anforderungen an unsere Lieferanten stellen, in diesem Fall in Bezug auf das Asset Management und die Bestandsaufnahme sowie die Verwaltung. Natürlich gibt es auch Fälle, in denen die Art der erforderlichen Kontrollen sehr spezifisch für diese Richtlinie, Vorschrift oder diesen Industriestandard ist. Wenn wir wieder an OSI denken, gibt es dort auch eine zweite Richtlinie namens B10, die sich mit dem Risikomanagement von Dritten befasst. Eine der Anforderungen, die sie an Unternehmen stellen, ist, dass sie das Konzentrationsrisiko sowohl vor Abschluss eines Vertrags als auch fortlaufend mit ihren Dritten bewerten sollten. Wir haben bereits erwähnt, dass sowohl die ISO als auch das NIST und die SIGs weltweit Erwartungen an das Lieferkettenmanagement, das Lieferkettenrisikomanagement und das Risikomanagement von Dritten haben und dass sie alle Anforderungen zur Ermittlung und Identifizierung von Risiken stellen, die für Dritte relevant sind oder die Anlass zur Sorge geben und dass das Unternehmen Kontrollen und Richtlinien zur Minderung dieser Risiken durchsetzen muss. Es geht jedoch nicht so weit, dass Konzentrationsrisiken als ein Schlüsselrisiko angesehen werden sollten, das das Unternehmen bewerten muss. Denken Sie also an 27.000 oder nur CSF. Dies ist ein Beispiel dafür, dass einige dieser Richtlinien über das hinausgehen können, was Ihr bestehendes Risikomanagement-Framework oder Ihre Lieferantenbewertung abdeckt. Ähnlich verhält es sich mit der NYDFS: Dort gibt es Kontrollen, die speziell für die Art und Weise gelten, wie Unternehmen Vorfälle und Cybersicherheitsereignisse melden, ähnlich wie bei der DSGVO, wo es Datenschutzverletzungen gibt und von Unternehmen erwartet wird, dass sie diese ebenfalls an die zuständigen Datenschutzbehörden melden.

Thomas: Und dann sehen wir innerhalb der NIDFS auch Beispiele für umfassendere Kontrollgruppen, die in diesem Fall bestimmte Arten der Authentifizierung verlangen. Es gibt einen ganzen Abschnitt, der sich mit Multi-Back-Authentifizierung befasst, und wenn man sich wieder ISO und NIST ansieht, gibt es viele Kontrollen, die sich mit der Reaktion auf Vorfälle und dem Management von Vorfällen befassen und auch die Authentifizierung von Benutzern betreffen, egal ob es sich um interne Benutzer, Auftragnehmer oder externe Benutzer Ihrer Netzwerke und Informationssysteme handelt, aber sienicht immer auf die gleiche Ebene heruntergebrochen, dass Sie auch eine Multi-Faktor-Authentifizierung haben sollten, sondern wieder weiter gefasst, zurückgehend auf ISO, die besagt, dass Authentifizierung und geeignete Authentifizierungstechniken implementiert werden müssen. Wenn wir also davon ausgehen, dass wir ein sehr klar strukturiertes Rahmenwerk haben, anhand dessen wir unsere Drittanbieter bewerten, wie können wir dann diese zusätzlichen Kontrollen, die für diese branchenbezogenen regulatorischen oder gesetzlichen Anforderungen einzigartig sind, übernehmen und implementieren? In einigen Fällen müssen wir möglicherweise zusätzliche Fragen hinzufügen, um sicherzustellen, dass wir eine 100-prozentige Abdeckung haben. Wenn wir bereits Fragen an Dritte stellen, wie sie mit Cybersicherheitsvorfällen und der Reaktion auf Vorfälle sowie Kontinuitätsereignissen umgehen, die wir auch durch Notizen, durch das Hochladen von Dokumenten um genau zu erfassen, wie sie diese Ereignisse den zuständigen Behörden wie dem NYDFS-Superintendent melden würden, oder ob sie Risiken von Drittanbietern verwalten und identifizieren, ob sie Konzentrationsrisiken berücksichtigen und planen, wenn es beispielsweise Lieferanten aus einer einzigen Quelle gibt. Es gibt also verschiedene Techniken, die wir anwenden können, bevor wir zu dem Schluss kommen, dass wir ein völlig neues Rahmenwerk schaffen müssen. Natürlich kann es in einigen Fällen, wenn es sich um einen sehr speziellen Fall handelt, erforderlich sein, zusätzliche Fragen hinzuzufügen, um sicherzustellen, dass wir alle Aspekte abdecken. Aber hier zeigt sich natürlich, wie wichtig es ist, die Fähigkeit zu haben, Lücken zu bewerten und diese Standards zusammen abzubilden, was die Sache erheblich vereinfachen kann.

Thomas: Und das ist etwas, was wir oft bei vielen Unternehmen beobachten, die mit einem einzigen Rahmenwerk wie ISO, NIST oder SIG beginnen, aber dann weitere Zuordnungen hinzufügen, um sicherzustellen, dass sie bestimmte Vorschriften oder andere wichtige Anforderungen von Stakeholdern vollständig abdecken. Neben der Überprüfung eines oder mehrerer Frameworks müssen wir natürlich auch darauf achten, wie diese im Vergleich zu den für uns wichtigen Risikobereichen und Schwachstellen abschneiden, die wir als kritisch identifiziert haben, und wo es bemerkenswerte Erweiterungen, Änderungen oder neue Bedrohungen gibt. Wir haben natürlich neue und sich weiterentwickelnde Technologien erwähnt. KI wächst seit vielen Jahren und erreicht nun ein Stadium, in dem immer mehr Unternehmen Dritte zu ihrer Nutzung von KI-Technologie befragen möchten, sei es in Bezug auf Open-Source-KI-Plattformen oder die Entwicklung eines gewissen Maßes an KI-Fähigkeiten als Teil ihrer Produkte und Dienstleistungen. Wenn wir also auf diese Standard-Frameworks zurückblicken, müssen wir natürlich darüber nachdenken, wie sich dies auf unsere derzeitige Arbeit auswirkt. Haben wir ein Framework entwickelt, das diese Fähigkeiten im Zusammenhang mit neuen und aufkommenden Technologien oder Überlegungen zu diesen Technologien bereits erfasst? Wie bereits erwähnt, gibt es aus rechtlicher und regulatorischer Sicht sicherlich immer mehr Aufsicht darüber, wie Unternehmen ihre Drittanbieter, ihre Lieferkette und ihre Lieferkettenkapazitäten verwalten. Diese Überwachung durch Risiko- und Drittanbieter-Profiling ist wichtig, um wirklich zu verstehen, wie wir unsere Drittanbieter verwalten, wie wir sie profilieren und identifizieren und welche Mindestanforderungen Gesetze wie OCB10 oder P SS221 stellen und wie sich dies wiederum auf das von uns verwendete Rahmenwerk auswirkt.

Thomas: Nun, natürlich gibt es eine Identifizierung kritischer Kontrollen durch Verträge und Vereinbarungen, und es ist völlig in Ordnung, eine Reihe von Standardkontrollen zu fordern, beispielsweise in Bezug auf das sofortige Management der Geschäftskontinuität und die Berichterstattung zur Wiederherstellung, die Zugriffskontrolle, aber man muss auch darauf achten, wo wir Risiken und Schwachstellen identifiziert haben, die für uns als Organisation kritisch sind, wenn es darum geht, Fragen zu diesen Bereichen zu stellen. Wie überprüfen wir diese? Wie überwachen wir sie? Wie verwalten wir den Behebungsprozess, wenn diese kritischen Kontrollen tatsächlich als Risiken identifiziert werden, wenn ein Dritter diese Bewertung durchführt? Und natürlich gibt es diese weitere Erwartung seitens der Rechts- und Regulierungsbehörden hinsichtlich einer laufenden Überprüfung, sei es durch Vor-Ort- oder virtuelle Audits, um nachzuweisen, dass unser Programm für Dritte erfolgreich ist und nachgewiesen werden kann. Nachdem wir all das gesagt haben und die verschiedenen Arten von Rahmenwerken untersucht haben, wobei es einige Rahmenwerke gibt, die eher durch Regulierung oder die Industrie vorangetrieben werden, stellen wir uns natürlich umso mehr Fragen dazu, was wir von der Bewertung erwarten, was wir von unserem Rahmenwerk erwarten, ob es skalierbar ist und ob es sich an neue und aufkommende Bedrohungen und Technologien anpassen kann. Bietet es alles, was wir in Bezug auf die wichtigsten Kontrollbereiche oder die Tiefe und Komplexität auf der Grundlage unserer Drittanbieter benötigen? Wie können wir all dies in Bezug auf unser umfassenderes TPRM-Programm und den umfassenderen Lebenszyklus zusammenführen? Nun, wenn wir das Stadium erreicht haben, in dem wir auf der Grundlage unserer eigenen Branchenkenntnisse und anderer wichtiger Kriterien feststellen konnten, welche Rahmenwerke für unser Unternehmen am besten geeignet sind. Wenn wir uns den gesamten Prozess ansehen, gibt es wichtige Fragen, die wir nutzen können, um kritische Kontrollbereiche zu verbessern und zu nutzen. Wenn wir also über die Identifizierung der Bewertung nachdenken, ist es wichtig zu beachten, dass dies natürlich ein sich wiederholender Prozess ist, bei dem wir immer die Bewertung anfordern, die wir an unsere Tier-1-, Tier-2- und Tier-3-Anbieter senden. Sind die Kriterien immer zweckmäßig? Stellen wir die richtigen Fragen?

Thomas: Decken wir die richtigen Bereiche ab, basierend auf den Aktivitäten unserer Drittanbieter? Und dabei spielt natürlich auch das Konzept eine Rolle, wie wir unsere Drittanbieter profilieren und einstufen. Wir müssen also zunächst einmal feststellen, um welche Art von Drittanbietern es sich handelt und wie wichtig sie für das Unternehmen sind. Sind sie der einzige Lieferant? Liefern sie kritische oder sensible Komponenten oder Dienstleistungen, die wiederum den Kontext beeinflussen? Können wir unsere Bewertung auf der Grundlage der Qualität dieser Profilierung und Einstufung gestalten? Natürlich ist das Reaktionsmanagement wichtig. Sobald wir also festgelegt haben, welches Rahmenwerk wir verwenden, oder wenn Sie ein gemischtes Rahmenwerk verwenden, übernehmen wir die besten Praktiken aus mehreren Rahmenwerken. Wie binden wir diesen Dritten ein? Es wird natürlich einfacher, wenn wir einen sehr klar strukturierten Ansatz haben, welches Framework und welche Bewertung wir verwenden und wie oft die Bewertung stattfindet, damit wir dies dann dem Dritten mitteilen können, um sicherzustellen, dass er während des gesamten Prozesses so weit wie möglich eingebunden ist. Und wenn wir das Rahmenwerk festgelegt haben, sind wir hoffentlich an einem Punkt angelangt, an dem wir die für uns kritischen Kontrollen identifizieren können. Gibt es verbindliche Kontrollanforderungen, die wir erwarten? Gibt es beispielsweise Mindestanforderungen an die Art der Verschlüsselung, die wir von diesen Dritten erwarten? Wie schließen sie vertragliche Vereinbarungen mit ihren Lieferanten oder unseren vierten oder fünften Parteien ab? Sobald wir diesen Rahmen festgelegt haben und die kritischen Kontrollbereiche oder obligatorischen Kontrollen kennen, wenn es um das Management auf Risikoniveau geht, wenn Risiken auftreten und wenn Risiken als Ergebnis der Fertigstellung dieses Rahmens wiederkehren, kann dies den Prozess und diesen Teil des TPM erheblich vereinfachen, da man weiß, was zu priorisieren ist. Und schließlich, was die Berichterstattungsfähigkeit angeht, wenn wir ein einheitliches Rahmenwerk für alle unsere Drittparteien verwenden, vielleicht mit unterschiedlichem Umfang und unterschiedlicher Größe, aber dennoch dasselbe Rahmenwerk.

Thomas: Wenn es darum geht, Backups im gesamten Unternehmen und bis hin zur Geschäftsleitung zu melden, kann es sicherlich hilfreich sein, die Einhaltung bestimmter Rahmenbedingungen oder Standards nachzuweisen und zu erklären, insbesondere wenn wir beginnen, Trends und Trendanalysen auf der Grundlage der Art der Risiken zu erkennen, die von unseren jeweiligen Drittanbietern ausgehen. Was sagen diese Standards, Vorschriften und Richtlinien nun konkret in Bezug auf Drittanbieter in der Lieferkette? Offensichtlich hat jeder Standard, wie wir wissen, Vorschriften und Richtlinien, seine eigene Agenda in Bezug auf die Strukturierung der Klauseln. Es gibt viele Gemeinsamkeiten, wenn wir uns Dritte ansehen, und wir sehen dies nicht nur bei ISO, NIST und SIGs weltweit, sondern auch bei einigen dieser Gesetze. Wir haben bereits OVI und P und viele im Finanzsektor erwähnt. Auch im Gesundheitswesen sehen wir, dass es, wenn es um Anforderungen an Dritte in Bezug auf die gesamte Lieferkette geht, hohe Erwartungen daran gibt, wie Unternehmen ihre Lieferanten identifizieren und kennen. Das gilt sowohl für den Beginn des Beschaffungsprozesses für die Lieferkette als auch für die Identifizierung von Risiken in der Lieferkette und die Einrichtung eines Prozesses zur Erfassung dieser Risiken. Formelle Ansätze für das Risikomanagement in der Lieferkette, Verträge und Vertragsbedingungen sind ebenfalls sehr verbreitet. Das sehen wir in allen diesen Rahmenwerken. Wie Verträge mit Dritten oder Lieferkettenverträge identifiziert werden und welche Kontrollen in diesen Verträgen festgelegt sind, und sogar auf der Kontrollebene stellen wir eine große Übereinstimmung fest. So sind beispielsweise Kontrollen für die Reaktion auf Vorfälle oder Ereignisse zur Aufrechterhaltung des Geschäftsbetriebs Beispiele für Mindestkontrollen, die wir sehen, wenn wir uns das breite Spektrum der Rahmenwerke ansehen, und auch eine Form der Verwaltung und Überwachung von Lieferanten ist etwas, das wir immer wieder sehen, nicht zuletzt, wenn es um einige dieser regulatorischen Rahmenwerke geht, die derzeit entwickelt werden.

Thomas: Ähm, ob es sich dabei speziell um Audits und Audit-Fähigkeiten handelt, ob vor Ort oder aus der Ferne, oder ob es sich um andere Formen der Leistungsüberwachung und Berichterstattung zwischen dem Lieferanten und Ihnen selbst oder zwischen Ihrem Drittanbieter und dessen Drittanbieter, Ihrem Viertanbieter und der gesamten Lieferkette handelt. Es gibt also viele Gemeinsamkeiten, wenn es darum geht, wie viele dieser Rahmenwerke das Risikomanagement in der Lieferkette und bewährte Verfahren erfassen und erfordern. Also bewährte Verfahren und Erfolgskriterien, die wir innerhalb unseres TP RM nutzen können, um das umfassendere Drittanbieterprogramm voranzutreiben, insbesondere im Hinblick auf Rahmenwerke. Aber es beginnt natürlich damit, dass innerhalb des Unternehmens klare Lenkungs- oder Arbeitsgruppen und Arbeitsgruppenausschüsse eingerichtet werden. Wie wir beim Risikomanagement für Dritte wissen, gilt natürlich: Je mehr Menschen wir innerhalb der Organisation einbeziehen können, desto mehr Zustimmung können wir erzielen und desto größer sind die Erfolgskriterien, wenn es um den Umgang mit Lieferanten und die Bewältigung von Risiken geht, die sich aus dem Prozess und dem TPM-Programm ergeben. Wie wir wissen, könnte dies bei einigen Unternehmen dieselbe Gruppe von Personen sein, bei sehr kleinen Unternehmen, in viel größeren Organisationen könnten es verschiedene Leiter von Geschäftsbereichen sein, die möglicherweise mit Dritten zusammenarbeiten müssen.

Thomas: Ob es nun um Beschaffung und Akquisition, um den Betrieb, um die IT oder um viele andere Bereiche des Unternehmens geht, in denen Dritte eine Rolle spielen, ist es natürlich wichtig, im Rahmen Ihres TPM-Programms zu ermitteln, was erforderlich ist. Wenn Sie dies in einer frühen Phase tun, ist das natürlich sehr hilfreich, wenn Sie das Rahmenwerk identifizieren und wissen, wie es umgesetzt werden soll, wie oft essowie die KPIs und KIS festgelegt werden. So wissen Sie, welche Erfolgskriterien wir anlegen, wenn wir dieses Rahmenwerk unseren Dritten zur Verfügung stellen, und wir erhalten Rückmeldungen zu Risiken und betrachten insbesondere langfristige-term um Trendanalyse und ob wir durch KPIs und KISS um und andere Leistungskennzahlen eine Verringerung des Volumens von, sagen wir, kritischen Risiken um als Teil des TPRM-Programms uh die eigentliche Richtlinie selbst und ein umfassenderes Richtlinien- und Risikomanagementprogramm in Bezug auf den Umgang mit unseren Dritten ist ein wichtiger erster Schritt, und auch hier müssen Lenkungsausschüsse, Arbeitsausschüsse und Vorstandsmitglieder zusammenkommen und sagen, dass dies unser formeller Ansatz ist, strategischer Ansatz für den Umgang mit unseren Dritten. Ähm, und dann ist natürlich auch die interne Schulung und das interne Marketing ebenso wichtig. Sobald Sie den Rahmen festgelegt haben, den wir verwenden werden, den wir versenden, und die Häufigkeit, mit der wir diesen Rahmen an Organisationen versenden, müssen wir sicherstellen, dass wir diejenigen schulen, die beteiligt sein werden und die möglicherweise Risiken ausgesetzt sind. Ähm, und auch die Risikoanforderungen. Und was müssen sie tun? Wie wird das verwaltet? Ist es eine Plattform oder ein Tool, das sie verwenden werden, um Risikomaßnahmen und Risikota Und natürlich, da es sich um einen zyklischen Ansatz handelt, bei dem es um ein kontinuierliches Programm zur kontinuierlichen Verbesserung geht, wie können wir das, was wir derzeit tun, verbessern? Und wieder insbesondere im Hinblick darauf, wo wir unsere Rahmenbedingungen erweitern und diese Art von Rahmenbedingungen auswählen und diese Rahmenbedingungen anpassen, um uns an neue und aufkommende Technologien, Risiken und Bedrohungen anzupassen. Ich möchte das nun an Matt weitergeben. Matt: Danke, Thomas.

Matt: Das war immer gut, wenn Sie aufhören könnten, das zu teilen. Vielen Dank. Wir werden darüber sprechen, wie das Muterek-Programm zum Management von Risiken durch Dritte Ihnen bei Ihrem Risikomanagement durch Dritte helfen kann. Das Erste, was Sie verstehen müssen, ist, dass das traditionelle TPRM zum Großteil auf Tabellenkalkulationen basiert. Wir sehen, dass etwa 50 % der Unternehmen in gewisser Weise Tabellenkalkulationen verwenden und sich ausschließlich auf diese verlassen, um ihre Risikoprüfung und -kontrollen durch Dritte zu verwalten. Dazu gehören Bewertungen, die Anpassung an Rahmenbedingungen und so weiter. Nur etwa ein Drittel der Lieferanten wird aktiv verwaltet, und das gilt für die gesamte Lieferantenlandschaft. Letztendlich führt dies dazu, dass nur 29 % der Unternehmen Risiken über den gesamten Lebenszyklus von Drittanbietern oder Lieferanten hinweg verfolgen, von der Aufnahme und Einarbeitung bis hin zur Entlassung und Kündigung. Und das ist wirklich ein Problem, denn ohne Transparenz über den gesamten Lebenszyklus des Lieferantenrisikos riskieren Sie, wie oft kann ich „Risiko” in einem Satz sagen? Ähm, etwas auszulassen. Leider stellen wir letztendlich fest, dass das Ziel eines TPRM-Programms darin besteht, die Daten zu erhalten, die Ihr Team benötigt, um bessere risikobasierte Entscheidungen zu treffen, die Effizienz zu steigern und Silos aufzubrechen. Das Risiko von Drittanbietern muss durch verschiedene Stakeholder in der Organisation gemanagt werden. Das kann die Beschaffung sein, das kann die IT-Sicherheit sein, das kann das Finanzteam sein. Bei einem echten Risikomanagement für Dritte versucht eine geeignete Lösung, diese Silos aufzubrechen, und hilft Ihnen wirklich dabei, Ihr TPRM-Programm im Laufe der Zeit weiterzuentwickeln und zu skalieren. Die Art und Weise, wie wir dies hier mit der weit verbreiteten Plattform für Risiken durch Dritte tun, ist wirklich ein beschreibender Ansatz, der sich über den gesamten Lebenszyklus eines Lieferanten erstreckt. Angefangen bei der Beschaffung und Auswahl mit Automatisierung, Intelligence und RFX-Prozessen über die Rationalisierung bis hin zur Bereitstellung von Risikobewertungen für Lieferanten. Jemand hat nach anderen Frameworks mit operativen, finanziellen und ähnlichen Aspekten gefragt. Tatsächlich sind viele davon bewertungsorientiert und nicht unbedingt rechtskräftig, aber wir unterstützen mehrere verschiedene Bewertungen.

Matt: Ich glaube, bei der letzten Zählung hatten wir 750 verschiedene Fragebogenvorlagen in der Plattform in irgendeiner Form, und wir ermöglichen eine kontinuierliche Validierung durch kontinuierliche Überwachung der in die Plattform eingegebenen Daten, die Ihnen dabei helfen, alle möglichen Dinge zu tun, wie z. B. die Effektivität von Lieferanten durch die Analyse von KPIs und KIS zu messen, und wir verwalten auch den Offboarding- und Kündigungsprozess, wenn Sie einen Vertrag mit einem Lieferanten kündigen. Das sind also die Risikobereiche, die das Risikomanagement für Dritte hier bei Meteorch tatsächlich abdeckt. Wir haben sechs Hauptkategorien. Da ist zum einen die Cybersicherheit, einschließlich Themen wie Dark Web, Überwachung des Missbrauchs von Infrastruktur, Schwachstellen und Fehlkonfigurationen, ESG wie Gesundheit und Sicherheit sowie moderne Sklaverei. In Großbritannien, der EU und Kanada gibt es eine Reihe von Vorschriften zu moderner Sklaverei und Zwangsarbeit, und wir nehmen diese Daten in die Plattform auf. Hinzu kommen geschäftliche und operative Risiken, Reputationsrisiken sowie finanzielle und Compliance-Risiken. Wir tun dies also wirklich mit einer Kombination aus Menschen, Daten und Plattform. Wir bieten Managed Services für das Risikomanagement von Drittanbietern an. Unser Risk Operations Center, unser Fels in der Brandung, ist eines der besten Teams der Welt. Alle Mitarbeiter sind zertifizierte Fachleute für das Risikomanagement von Drittanbietern. Sie übernehmen die tägliche Arbeit der Verwaltung Ihres Risikomanagementprogramms für Drittanbieter, holen Bewertungen ein und mahnen Anbieter, die diese nicht ausgefüllt haben. Wir übernehmen die Bewertung, Behebung und Verwaltung – also alles, was dazu gehört – vollständig ausgelagert. Außerdem verfügen wir über rund 500.000 ständig aktualisierte Lieferantenprofile mit On-Demand-Zugriff auf Informationen zu Risiken von Drittanbietern in verschiedenen Risikobereichen. Unsere Plattform unterstützt Sie dabei, all diese Aufgaben an einem Ort zu zentralisieren, auf den das gesamte Unternehmen zugreifen kann. Dies ist nur eine Komponente der branchenweit führenden Plattform für Unternehmensrisikomanagement. Sie wissen schon, mit ESG-Management, Business-Continuity-Planung, Cybersicherheits-Richtlinienmanagement, Ethik-Hotline und Compliance-Schulungen, also wirklich dem kompletten Spektrum von GRC, dem Unternehmensrisikomanagement. Ich möchte auch alle unsere Kunden zu Interact Dallas einladen, der großen Kundenkonferenz.

Matt: Ähm, das findet im April im Gaylord Austin statt und bietet wirklich viele Möglichkeiten, sich über GRC zu informieren und weiterzubilden, und man kann dort wirklich viele tolle Gespräche führen. Das war's. Das war mein Teil. Jetzt kommen wir zu den Fragen, die Melissa sortieren wird.

Melissa: Verstanden. Danke. Matt, ja, wie du gesagt hast, stell eine Frage im Q&A. Ich werde unsere letzte Umfrage starten. Ich bin neugierig, möchtest du deine aktuellen TPRM-Prozesse erweitern oder etablieren? Vielleicht arbeitest du noch mit diesen Tabellenkalkulationen. Ähm, bereit, auszusteigen. Ich weiß, 2025, neues Jahr, neues Ich. Vielleicht möchten Sie hier eine Plattform einrichten. Ähm, wissen Sie, wir werden das weiterverfolgen, also antworten Sie bitte ehrlich. Und ich glaube, wir haben in ein paar Minuten ein paar Fragen. Also, Thomas, ähm, gibt es eine, die Ihnen mehr auffällt als die anderen? Ich kann sie vorlesen, wenn Sie möchten.

Thomas: Er ist stummgeschaltet. Du bist stummgeschaltet. Oh, entschuldige. Entschuldige bitte. Ich habe nicht gesagt, dass ich noch stummgeschaltet bin. Okay. Ähm, ja, schauen wir mal. Also, ähm, mit Schwerpunkt auf Cybersicherheits-Frameworks, aber auch auf finanzieller Gesundheit, operativer Ausfallsicherheit, Verträgen, SLAs und Compliance. Dies sollte auch für TPRM überprüft und überwacht werden. Welche Frameworks könnten alle Bereiche abdecken? Ja, das ist eine interessante Frage, denn obwohl wir uns heute auf Cybersicherheit konzentriert haben, gibt es so viele andere Bereiche, die für ein TPR-Programm wichtig sind. Es gibt nicht allzu viele Rahmenwerke, die sich mit allem befassen. Es gibt einige, die versuchen, einen viel breiteren Ansatz zu verfolgen, der nicht nur Informations- und Cybersicherheit umfasst, sondern auch Bereiche wie Compliance und Datenschutz sowie andere, vielleicht eher traditionelle GRC-basierte Fähigkeiten. Und auch einige Aspekte der Widerstandsfähigkeit. SIG ist ein gutes Beispiel dafür, wo sie zwar Cybersicherheit und Informationssicherheit haben, aber spezielle Bereiche haben, die sich nur auf die breite Lieferkette konzentrieren. Die Einhaltung gesetzlicher Vorschriften umfasst Bereiche wie Betrug und Korruptionsbekämpfung und sogar neuere Themen rund um künstliche Intelligenz. Es gibt also einige Rahmenwerke, die so eingerichtet sind, dass sie so viel wie möglich erfassen. Es ist auch erwähnenswert, dass wir hier zwar auf Einzelheiten rund um ISO 27K und NIST CSF eingegangen sind, aber wir stellen fest, dass einige Unternehmen ein erweitertes Framework entwickeln, das so viele verschiedene Komponenten wie möglich erfasst, und das ist etwas, das wir auch zunehmend beobachten. Es gibt also einige wenige, ich meine, SIG ist ein gutes Beispiel, ich denke, vielleicht das beste Beispiel, das ich nennen kann, wo es viele Erwartungen und Möglichkeiten gibt. Die zweite Frage, wie Sie mit Ihrer eigenen Organisation umgehen, die einen bestimmten Sicherheitsstandard einführt, während Ihre Vertragspartner einen anderen einführen, ist etwas, das wir immer wieder sehen.wir immer wieder sehen, um, Sock ist ein gutes Beispiel, die Anzahl der Organisationen, die mit einem bestimmten Rahmenwerk wie SIG um zu ihren Anbietern gehen und dann am Ende ein Sock zurückbekommen, um, oft mit einem „Ist das gut genug?”, um, eine der besten Möglichkeiten, damit umzugehen, ist durch, äh, Daten und Standards Mapping, je mehr wir tun können, um zu sagen, wie sehr Sock zum Beispiel mit unseren Sync-Kriterien oder ISO-Kriterien übereinstimmt, bedeutet, dass wir die Lücke sehr schnell schließen können, und wenn es erhebliche Lücken gibt, sagen wir, Sock deckt nicht den gesamten Bereich ab, den wir auf der Grundlage unseres SIG-Kernrahmens verlangen, dann kennen wir jetzt die Differenz, mit der wir zu diesem Anbieter zurückkehren und sagen können, dass es zusätzliche Fragen und Themenbereiche gibt, die Sie noch beantworten müssen. Aber das ist etwas, das wir ziemlich oft sehen, wenn wir vom Anbieter verschiedene Dokumentationen und Frameworks erhalten, die nicht vollständig mit dem Framework übereinstimmen, das Sie und Ihre Organisation möglicherweise implementieren.

Melissa: Perfekt. Danke, Thomas. Ähm, und danke für all eure Einblicke heute, sowohl dir als auch Matt. Äh, danke euch allen für eure Fragen. Das war super und damit sind wir am Ende der Stunde angelangt. Ich bin mir sicher, dass ich einige von euch in euren Posteingängen sehen werde, vielleicht bei einem unserer zukünftigen Webinare. Und das war's. Ich wünsche euch noch einen schönen Tag und Abend und hoffe, wir sehen uns bald wieder. Macht's gut. Thomas: Danke. Matt: Danke euch allen. Danke.