Beschreibung
Die Identifizierung und Minderung von Cybersicherheits- und Compliance-Risiken ist unerlässlich, aber dies sind nicht die einzigen Risiken, denen Anbieter und Lieferanten Ihr Unternehmen während der gesamten Dauer der Lieferantenbeziehung aussetzen. Geopolitische Störungen, Insolvenzen, Reputationsprobleme und Sicherheitsrückrufe können für Ihr Unternehmen ebenso schädlich sein wie Ransomware-Angriffe oder Compliance-Verstöße. Was übersieht Ihr Programm zum Management von Risiken durch Dritte (TPRM)?
In diesem On-Demand-Webinar führt Bryan Littlefair, ehemaliger Global CISO der Vodafone Group und Aviva, Sie durch vier wesentliche Risikokategorien, die in Ihrem TPRM-Programm fehlen – und erklärt, wie Sie diese überwachen und mindern können.
Begleiten Sie Bryan, wenn er:
- Untersucht die Arten von operationellen Risiken, die zu berücksichtigen sind, von geografischen bis hin zu operativen Risiken.
- Definiert und erläutert die Bedeutung von ESG- und Reputationsrisiken in der Lieferkette.
- Untersucht die finanziellen und rechtlichen Risiken im Zusammenhang mit Dritten
- Beschreibt die Sicherheit und Zuverlässigkeit von Drittanbietern als Risikokategorie.
- Teilt Strategien, um diese Risikokategorien als Teil Ihres TPRM-Programms zu integrieren.
Das Umfeld der Risiken durch Dritte wird immer komplexer – aber eine ganzheitliche Betrachtung der verschiedenen Risikoarten verschafft Ihrem Team einen besseren Überblick über Anbieter und Lieferanten, sodass Sie Risiken besser mindern können. Sehen Sie sich jetzt das Webinar an und lernen Sie von einem Experten!
Redner
Bryan Littlefair
Ehemaliger Global CISO der Vodafone Group und AvivaVP für Risiken durch Dritte
Abschrift
Matt: Lassen Sie uns mit einer Vorstellungsrunde beginnen. Ähm, mein Name ist Matt. Ich arbeite hier hauptsächlich in der Geschäftsentwicklung und heute haben wir einen wiederkehrenden Gast, Brian Littlefair. Er ist der CEO von Cambridge Cyber Advisors. Ähm, er hat auch Erfahrung als ehemaliger CISO der Vodafone Group und von A Viva. Ähm, willkommen zurück, Brian.
Brian: Danke, Matt. Hey, schön, euch alle zu sehen.
Matt: Und zu guter Letzt ist heute auch Scott Lang bei uns. Scott ist unser Vice President of Product Marketing und wird am Ende der Sitzung näher darauf eingehen, wie wir Ihr TPRM-Programm weiterentwickeln können. Danke, Scott.
Scott: Hey Matt, wie geht's dir?
Matt: Schön, Sie zu sehen. Schön, Sie zu sehen. Okay, nur eine kurze organisatorische Anmerkung: Dieses Webinar wird aufgezeichnet. Sie erhalten die Aufzeichnung und die Folien kurz nach dem Webinar. Zu guter Letzt: Sie sind alle stummgeschaltet, bitte nutzen Sie daher die Q&A-Funktion, wenn Sie während des Webinars Fragen haben. Und ohne weitere Umstände übergebe ich nun das Wort an Brian, der Ihnen die größten Risiken vorstellen wird, die Ihr TPRM-Programm möglicherweise übersieht. Bitte, Brian.
Brian: Danke, Matt. Vielen Dank für die Vorstellung. Hallo zusammen. Wie Matt bereits gesagt hat, ich bin Brian. Ich freue mich darauf, Ihnen heute dieses Thema vorzustellen. Zunächst ein paar organisatorische Hinweise. Ich bin etwas erkältet, daher werde ich Wasser trinken. Ich habe leichte Halsschmerzen, aber wir werden dieses Thema gerne durchgehen. Wie Matt bereits sagte, werden wir heute über die größten Risiken sprechen, die Ihr TPM-Programm möglicherweise übersieht oder übersehen könnte. Wir werden uns dabei auf die nicht IT-bezogenen Risiken konzentrieren, richtig? Wie Sie wissen, neigen wir Sicherheitsexperten, die wahrscheinlich die Mehrheit der Teilnehmer dieser Telefonkonferenz ausmachen, dazu, uns auf Informationen, Daten, Cyberrisiken usw. zu konzentrieren. Ich werde jedoch einige andere Risiken und Blickwinkel betrachten, die meiner Meinung nach für ein umfassendes TPLR-Programm berücksichtigt werden müssen und die wir vielleicht noch nicht alle berücksichtigt haben. Richtig? Also, ein paar Worte zu meiner Person. Da ist mein Foto. Sie können es sehen. Bevor wir loslegen, noch ein paar Folien zur Situation. Aus Statistiken wissen wir, dass die meisten Unternehmen ihre eigenen Überprüfungen und Fragebögen usw. durchführen. Aber ebenso wissen wir, dass im Bereich des Risikomanagements von Drittanbietern die Verantwortung für die Durchführung von TPRM traditionell häufig oder in den meisten Fällen bei der Sicherheitsfunktion liegt, wie auch immer diese Funktion genannt wird. Daher ist es, wie ich bereits sagte, unsere Priorität, uns auf diese Cyber- und Informationssicherheitsrisiken zu konzentrieren, aber wir sind nicht die einzigen Empfänger dieser Daten und wir sind nicht die einzigen, die zu dem Datensatz beitragen sollten, der im Auftrag unserer Kundenbasis gesammelt und analysiert wird. den Datensatz beitragen sollten, der im Auftrag unserer Kundenbasis gesammelt und analysiert wird. Ich glaube also immer noch, dass sich dieser Trend fortsetzen wird. Das Sicherheitsteam unter dem CISO wird weiterhin die Hauptnutzer sein. Aber um ein vollständiges Bild der Risiken zu erhalten, wissen wir – ich habe bereits in einem Webinar darüber gesprochen, wie wichtig es ist, mit der Beschaffungsabteilung zusammenzuarbeiten –, dass wir auch die Rechtsabteilung, die Risikomanagementabteilung und die Compliance-Abteilung haben, die alle ein Interesse an den Daten haben, die in Ihrem TPRM-Programm enthalten sein sollten.
Und ehrlich gesagt verfügen sie alle über unterschiedliche Fachkenntnisse, die die Sicherheitskompetenzen ergänzen und wirklich dazu beitragen können, ein umfassendes Bild davon zu erstellen, wie risikobehaftet dieser Lieferant für unser künftiges Geschäft ist. Wir alle wissen um die Regulierung. Ob man sie nun liebt oder hasst, sie ist nicht mehr wegzudenken. Und ich denke, dass das Ausmaß der Regulierung, das wir alle erleben werden, natürlich abhängig von der Branche, in der man tätig ist, nur noch zunehmen wird. Ich habe später eine Folie zum Thema Regulierung, aber seit ich vor langer Zeit in der IT/Sicherheit angefangen habe, hat sich die Anzahl der Vorschriften, die damals subjektiv waren, um das 10- bis 20-fache erhöht. Ich denke also, dass sich dieser Trend fortsetzen wird. Im aktuellen Verizon-Bedrohungsbericht heißt es, dass 62 % der Systemkompromittierungen über den Partner- und Lieferantenkanal erfolgten. Ich denke, wir alle wissen aus unseren Bedrohungsinformationen, dass Aktivistengruppen usw. sich definitiv auf die Lieferkette konzentrieren, da diese ihr lukrativster Angriffsvektor ist, wobei Phishing das am häufigsten verwendete Mittel ist. Aber warum sollte man sich auf eine bestimmte Organisation konzentrieren und all seine Anstrengungen darauf richten, wenn man einen großen Lieferanten ins Visier nehmen und Tausende oder Zehntausende seiner Kunden erreichen kann, die mit dessen Plattformen und Systemen verbunden sind? Das ist also eine sehr reale Bedrohung, keine Scareware oder Angst, Unsicherheit und Zweifel, wie es manchmal genannt wird. Es ist etwas sehr Reales, und wir müssen uns darauf einstellen und verstehen, wie wir das in Zukunft möglicherweise abmildern können. Das wissen wir heute alle, oder? Wir verstehen das. Wir verstehen, worauf wir uns konzentrieren müssen, aber wie gesagt, heute werden wir uns auf die Bereiche konzentrieren, die wir im Alltag wahrscheinlich nicht im Blick haben, nämlich die Nicht-IT-Bereiche und ihre Bedeutung für die Gewährleistung unserer ganzheitlichen Cyber-Risikostrategie. Wie sieht dieser ganzheitliche, geschäftsorientierte Ansatz konkret aus?
Ich bin ein großer Befürworter einer geschäftsorientierten Ausrichtung. Ich denke, wenn Sie CISO oder Sicherheitschef sind, egal wie Ihre Position heißt, und Sie sich nicht vollständig hinter Ihrer Geschäftsstrategie versammeln, dann wissen Sie, dass Sie in einem Silo arbeiten, und Silos helfen niemandem wirklich weiter. Es geht also darum, nicht nur Ihre TPRM-Strategie, sondern Ihre gesamte Informations-/Cybersicherheitsstrategie vollständig auf das Unternehmen auszurichten, das Sie schützen möchten. Dazu müssen Sie das Unternehmen wirklich verstehen: Welche Produkte bietet es an, in welchen Regionen ist es tätig, wie sieht sein Ansatz für die Belieferung seiner Kunden aus? Handelt es sich um ein Direktvertriebsunternehmen oder um eine B2B-Organisation? Denn all dies verändert letztendlich Ihr Risikoprofil. Sie müssen also entscheiden, welche Ergebnisse Sie dem Unternehmen liefern müssen, damit es sinnvolle Grundsatzentscheidungen für die zukünftige Strategie treffen kann, wenn Sie eine effektive TPRM-Funktion ausüben wollen. Und genau das ist letztendlich der Zweck dieses Programms, nicht wahr? Es versteht, welche externen Lieferanten für den Betrieb des Unternehmens erforderlich sind und welche Risiken sie für die Kontinuität der Dienstleistungen und möglicherweise für den Ruf des Unternehmens darstellen, und wie wir sicherstellen können, dass dies auch in Zukunft so bleibt. Ich bin schon lange genug im Sicherheitsbereich tätig, als es noch keine großartigen Tools wie Prevalent gab. Ich habe definitiv angefangen, als Microsoft Excel das einzige Tool war, das uns zur Verfügung stand, und wir hatten riesige, lange, komplexe Tabellen, in denen wir versucht haben, die Abhilfemaßnahmen bei Tausenden von verschiedenen Lieferanten zu verfolgen, und ich weiß, dass einige von Ihnen vielleicht heute noch in dieser Welt leben, und es ist definitiv eine Herausforderung, ein effektives TPRM-Programm mit Microsoft Excel durchzuführen. Einige der coolen Tricks, wie Echtzeit-Updates zur Leistung von Lieferanten oder die Aspekte der Bedrohungserkennung, kann man mit Microsoft Excel einfach nicht umsetzen. Es wurde offensichtlich nicht dafür entwickelt, Funktionen von Drittanbietern auszuführen, und deshalb wurden Tools wie Prevalent entwickelt. Ja, wir müssen unbedingt sicherstellen, dass wir das richtige Tool haben. Wir müssen sicherstellen, dass wir über die richtigen Ressourcen in Bezug auf Personal verfügen.
Ich habe noch nie eine Organisation besucht und mir deren TPRM-Funktion angesehen und gedacht: Wow, da sind viel zu viele Leute damit beschäftigt. Ich gehe oft in Unternehmen und sehe zwei oder drei Leute, die mit manuellen Prozessen versuchen, die wichtigsten strategischen Risiken für das Unternehmen in den Griff zu bekommen, und ehrlich gesagt haben sie damit zu kämpfen, weil sie entweder nicht qualifiziert genug sind oder weil sie nicht über die richtigen Tools verfügen, um das voranzutreiben. Wir müssen also erkennen, dass wir hier eine sehr reichhaltige Datenquelle sammeln. Wir müssen sicherstellen, dass wir all diese Daten zusammenführen. Wir erhalten so einen einheitlichen Überblick über die Risiken im gesamten Unternehmen. Ich spreche darüber auch in meinen anderen Webinaren für Prevalent. Das Thema Silos ist nicht nur organisatorischer Natur. Es macht keinen Sinn, all diese Daten zu sammeln und sie nur innerhalb der Sicherheitsfunktion zu speichern, und ebenso macht es keinen Sinn, zwei unterschiedliche Sichtweisen auf das Risiko zu haben, das ein Lieferant für Ihr Unternehmen darstellt. Wenn also die Sicherheitsabteilung eine Sichtweise hat und die Beschaffungsabteilung vielleicht eine andere Sichtweise auf ein anderes System, das sie verwendet, dann haben wir offensichtlich zwei unterschiedliche Sichtweisen innerhalb desselben Unternehmens, und das macht keinen Sinn. Eine Konsolidierung und Zusammenarbeit aller verschiedenen Geschäftsbereiche mit einem wirklich professionellen Tool wird sich also auszahlen, wenn es darum geht, die Risiken innerhalb Ihres Unternehmens zu managen. Lassen Sie uns also über den Umfang und die Segmentierung sprechen, denn diese sind wirklich entscheidend, um Ihr Risiko innerhalb Ihrer Lieferantenbasis tatsächlich bewerten zu können. Wir können nicht jedem einzelnen Lieferanten, der Produkte oder Dienstleistungen an unser Unternehmen liefert, die gleiche Aufmerksamkeit und den gleichen Fokus widmen. Allzu oft sind TPRM-Programme meiner Meinung nach nicht wirklich global ausgerichtet. Ich besuche große multinationale Unternehmen und sehe dort einen wirklich effektiven Prozess in ihrem Heimatland oder ihrer Heimatregion. Und dann fragt man sich: Wie läuft dieser Prozess in Asien ab? Wie wird dieses Programm in Europa oder Amerika usw. umgesetzt?
Es ist nicht immer dasselbe Niveau, was die Unternehmensführung angeht, nicht immer dasselbe Niveau, was Standards und solche Dinge angeht. Es geht also wirklich darum, sicherzustellen, dass Sie, wo immer möglich, einen globalen Prozess haben, wo immer möglich ein globales Tool, und dafür gibt es einen wichtigen Grund, denn wenn Sie diese Frage umdrehen und aus der Perspektive des Lieferanten betrachten, dann haben diese natürlich einen Anreiz, so viel wie möglich von ihren Produkten und Dienstleistungen zu verkaufen, und sie werden eine Organisation aufteilen und erobern. Ich habe das schon oft gesehen, sogar in Organisationen, die ich selbst geleitet habe, wenn mannicht die richtige Governance über diesen Lieferanten und keine Kontrolle über seine Interaktion innerhalb Ihrer Organisation haben, gibt es nicht wirklich unterschiedliche Servicelevels und unterschiedliche Risiken. Sie haben auch unterschiedliche Preise und unterschiedliche SLAs usw. auf der ganzen Welt. Daher ist es wirklich sinnvoll, überall zu verstehen, wo dieser Lieferant tätig ist und mit Ihrer Organisation interagiert. Und um das zu tun, müssen Sie natürlich wirklich global sein. Ähm, Sie wissen, dass es in diesem Bereich definitiv Vorschriften gibt. Ähm, es wäre großartig, wenn die Regulierungsbehörden beginnen würden, ihren Ansatz zu standardisieren. Ich habe viel Zeit mit Regulierungsbehörden verbracht und festgestellt, dass es weltweit große Überschneidungen bei einigen Vorschriften gibt, aber jedes einzelne Land oder jede Nation usw. möchte seine eigenen individuellen Regulierungsstandards haben, die für verschiedene Sektoren innerhalb seines Zuständigkeitsbereichs gelten. Auch wenn sie sich ziemlich ähneln, gibt es doch Nuancen und Unterschiede zwischen ihnen. Daher ist es wichtig, dass wir sie vollständig verstehen und wissen, was sie sind. Darauf werde ich später noch etwas näher eingehen, aber ich möchte auch noch einmal auf Prevalent hinweisen. Ich sollte vielleicht erwähnen, dass ich in meiner beruflichen Laufbahn für große multinationale Unternehmen gearbeitet habe und mich für Prevalent ausspreche, weil ich das Tool intensiv genutzt habe. Ich verstehe den Wert, den es einem Unternehmen definitiv bieten kann. Daher ist es wirklich unerlässlich, dass unser Programm auch den gesamten Lebenszyklus eines Lieferanten abdeckt. Allzu oft konzentrieren wir uns zu sehr auf diesen Aufwand und diese Ressourcen.
Wir haben also einen neuen Lieferanten in unserem Unternehmen. Wir geben natürlich alles, um das Eigentumsmodell zu verstehen, zu erfahren, wo sie tätig sind usw. Aber wir halten diese Bemühungen nicht immer aufrecht. Wenn es sich um einen Tier-1- oder kritischen Lieferanten für unser Unternehmen handelt, und natürlich auch um einige Tier-2-Lieferanten, müssen wir sicherstellen, dass wir dieses Unternehmen ständig überwachen. Und noch einmal für diejenigen unter Ihnen, die Microsoft Excel oder sogar einen manuellen Prozess zum Versenden von Fragebögen verwenden: Wenn Sie darüber nachdenken, erhalten Sie eigentlich nur alle 12 Monate eine Aktualisierung. Sie haben keinen Echtzeit-Einblick in das, was in diesem Unternehmen vor sich geht, wie es um seine Finanzlage steht, ob es einen Verstoß gegeben hat usw. Und manchmal könnten Sie überrascht sein, dass einer Ihrer Lieferanten einen schweren Vorfall hatte. Ihre leitenden Stakeholder in der Organisation wissen davon, aber Sie vielleicht nicht. Sie möchten also als Erster davon erfahren und das Unternehmen beraten, nicht umgekehrt. Um dies effektiv tun zu können, was hoffentlich unser aller Wunsch ist, müssen wir sicherstellen, dass wir einen ganzheitlichen Überblick über alles haben, wofür wir verantwortlich sind. müssen wir sicherstellen, dass wir einen ganzheitlichen Überblick über alles haben, wofür wir verantwortlich sind. Und diese Unterteilung in Ebenen ist ebenfalls sehr wichtig. Und wir kommen auch zum n-ten. Viele Leute schauen sich das n-te nicht an, aber ich halte das für sehr wichtig. Mit n-tem meine ich die Lieferanten Ihrer Lieferanten. Sie vergeben vielleicht einen Auftrag an einen Ihrer Lieferanten. Dieser könnte den Auftrag an andere Lieferanten weitervergeben, die Ihnen möglicherweise nicht bekannt sind. In regulierten Branchen, in denen es um personenbezogene Daten geht, ist es jedoch wirklich entscheidend, dass Sie den gesamten Weg dieser Daten kennen. Darauf werden wir später noch etwas näher eingehen. Schauen wir uns also die Aktivitäten an, auf die wir uns konzentrieren werden, denn meiner Meinung nach sind die Nicht-IT-Risiken, die wir meiner persönlichen Ansicht nach kritisch sind, etwas, das wir in Zukunft überwachen müssen.
Zum einen geht es darum, sicherzustellen, dass unsere Partner und Lieferanten in der Lage sind, die von uns bei ihnen bezogenen Produkte oder Dienstleistungen weiterhin bereitzustellen. Wir müssen sicherstellen, dass ihre Geschäftskontinuität, ihre Notfallwiederherstellung und eine ganze Reihe anderer Maßnahmen den Anforderungen entsprechen, denn wenn ihnen etwas zustößt, trifft das automatisch auch uns, und wie können wir dieses Risiko möglicherweise absichern? Dann gibt es natürlich noch den Bereich Compliance, mit dem wir in der Welt der Cybersicherheit sehr vertraut sind, der aber natürlich über die Informations- und Cybersicherheit hinausgeht. Es gibt viele andere Compliance-Vorschriften, die wir ebenfalls beachten müssen. Und dann gibt es je nach Standort die CSR-/ESG-Anforderungen – wir alle wollen schließlich gute Weltbürger sein. Wir alle wollen sicherstellen, dass unsere Produkte und Dienstleistungen hervorragend sind. Absolut. Aber wir wollen niemanden ausbeuten, um dieses Ziel zu erreichen. Wie können wir also sicherstellen, dass wir bei der Auslagerung oder Verlagerung in weit entfernte Länder das gleiche Maß an Governance und Kontrolle über das, was wir erreichen wollen, haben? Und dann finanziell, wissen Sie, äh, sicherstellen, dass die Liquidität dieser Organisation stark ist, sicherstellen, dass sie nicht morgen in Konkurs geht, was uns wieder, ähm, wissen Sie, in die Unfähigkeit versetzen würde, unsere Kunden zu bedienen, wenn ein wichtiger Lieferant in Konkurs geht. Ich werde also auf jeden dieser Bereiche etwas näher eingehen. Ich werde natürlich einige Beispiele nennen, aber wie Matt zu Beginn gesagt hat, können Sie gerne Fragen im Chat stellen, und ich werde auch darauf eingehen. Schauen wir uns also das operative Risiko an. Dazu gibt es einige Beispiele, auf die ich ebenfalls eingehen werde. Da wäre natürlich COVID. Wir haben also eine globale Pandemie, die Probleme verursacht. Wir haben politische Instabilität. Wir haben die Russland-Ukraine-Krise. Wir haben die Möglichkeit einer Invasion Taiwans durch China. Und dann haben wir auch noch logistische Herausforderungen.
Das hat also nicht unmittelbar mit Cyber zu tun, kann aber durchaus Auswirkungen auf die Fähigkeit unserer Organisation haben, ihr Geschäft zu betreiben. Globale Ereignisse können also, wie wir gesehen haben, offensichtlich Auswirkungen auf Ihre Organisation haben. Und ich glaube nicht, dass das operative Risiko oft die Bedeutung oder Ernsthaftigkeit erhält, die es aufgrund der Auswirkungen, die es auf Ihre Organisation haben kann, verdient. Wir haben ja gesehen, was bei globalen Konflikten zwischen Nationen passieren kann. Sie haben den globalen Handel sowohl physisch als auch virtuell erheblich gestört. Es handelt sich also nicht nur um ein logistisches Problem. Viele Menschen hatten Unternehmen, die sowohl in Russland als auch in der Ukraine tätig waren. Die Beziehungen zu Russland mussten abgebrochen werden. Viele Arbeitnehmer in der Ukraine mussten zu den Waffen greifen usw. So verschwanden Arbeitskräfte und Angestellte über Nacht. Es muss also nicht unbedingt um physische Vermögenswerte gehen, die Sie beschaffen. Wenn die Ressource verschwindet, wenn Sie also Programmierer oder Entwickler usw. einsetzen und diese nicht mehr verfügbar sind, dann ist auch dieser digitale Vermögenswert gestört. Und operative Herausforderungen können leicht dazu führen, dass auch bekannte Namen in Konkurs gehen. Ich habe das Beispiel von Revlon angeführt, und es ist wirklich interessant, dass sie in ihrem Insolvenzantrag in den USA tatsächlich die Unfähigkeit, ausreichend Produkte herzustellen, und die von Großhändlern verhängten Strafen als Grund für die Insolvenz angegeben haben. Ihre Lieferkette war also unterbrochen. Der Zugang zu Rohstoffen war unterbrochen. Sie hatten ihren Lieferanten zugesagt, jeden Monat eine bestimmte Menge an Einheiten zu liefern. Diese Verpflichtungen konnten sie nicht einhalten. Die Strafen für die Muttergesellschaft waren erheblich, und das hatte einen Schneeballeffekt, sodass schließlich ein so bekannter Name wie Revlon Insolvenz anmelden musste und die Lieferkette als Hauptproblem anführte. Aber es gibt auch viele Branchen, die, wie wir gerade erwähnt haben, auf Produkte und Dienstleistungen sowohl aus der Ukraine als auch aus Russland angewiesen sind. Entschuldigung.
Wenn wir uns also die Getreideproduktion der Ukraine ansehen, ist es allgemein bekannt, dass sich in der Ukraine riesige Getreidevorräte stapeln und dass nur ein sehr kleiner Prozentsatz der Schiffe, die normalerweise dieses Getreide außerhalb der Organisation transportieren würden, zur Verfügung steht, aber tatsächlich wurden 80 % dieses Getreides vom Welternährungsprogramm der Vereinten Nationen aufgekauft, was enorme Auswirkungen auf Entwicklungsländer und Hilfsbedürftige hat, da dies eine enorme Störung der Lieferkette darstellt. Wenn wir uns Russland ansehen, so waren wir in Europa natürlich stark von Erdgas abhängig, das über große Pipelines aus Russland in mehrere Länder geliefert wurde, was dann von einem Tag auf den anderen eingestellt wurde, was massive Auswirkungen auf die Gas- und Ölpreise hier in Großbritannien hatte, die ohnehin schon hoch waren, aber auf ein exponentielles Niveau stiegen. Aber nicht nur für Benzin, sondern für so ziemlich alle Erdölderivate, was zu enormen Herausforderungen in der Lieferkette führte. Wir müssen uns wirklich überlegen, ob das auch für Russland und die Ukraine gilt, ob China in Taiwan einmarschieren würde und ob die gleichen Sanktionen, die wir gegen Russland verhängt haben, auch gegen China verhängt würden. Und denken Sie an unsere Abhängigkeit von Produkten, Waren, Dienstleistungen, Outsourcing an chinesische Unternehmen und chinesische Dienstleistungen usw. Selbst Dinge wie Logistik und Versand, die ja so ziemlich die Magnaten in diesem Bereich sind, hätten massive Auswirkungen auf so ziemlich alle unsere Organisationen, entweder direkt oder indirekt. Wir müssen also auf der Grundlage vergangener Ereignisse Modelle erstellen. Was wissen wir also über die Ereignisse der Vergangenheit und wie können wir vorhersagen, was in Zukunft passieren könnte? Betrachten wir unsere Lieferanten: Sind sie vielleicht an einem bestimmten Standort übermäßig exponiert, der potenziell von politischen Unruhen betroffen sein könnte? Wenn Sie Intel oder AMD oder ein ähnliches Unternehmen sind und sich die Ukraine ansehen, die 54 % Ihres weltweiten Halbleiter-Neons produziert, dann würden Sie hoffen, dass sie einen Plan A, Plan B, Plan C und Plan D haben.
Um das zu ersetzen, wissen Sie, fast 55 % des Neons, das sie aus der Ukraine bezogen hätten, denn das war und ist erheblich gestört, und als wir dann die Invasion und den Kriegsausbruch sahen, war ihre Halbleiterindustrie sicherlich davon betroffen. Schauen wir uns also die Compliance-Risiken an. Ich habe erwähnt, dass jeder einzelne Standort wirklich nur die Compliance in Bezug auf die Datensicherheit betrifft, die mit ihren eigenen Angelegenheiten einhergeht. Es gibt also viele individuelle Vorschriften und Schwerpunkte, und diese nehmen exponentiell zu. Der afrikanische Kontinent wird meiner Meinung nach bis zum nächsten Jahr oder so ziemlich vollständig erschlossen sein. Es gibt also viele individuelle Ansätze, wie Daten verwaltet werden müssen. Wenn Sie eine nationale Organisation sind, die in einem einzigen Land ansässig ist, müssen Sie sich natürlich nur um die Bürger dieses Landes kümmern. Wenn Sie jedoch ein globales multinationales Unternehmen sind, das in 60 oder 70 verschiedenen Ländern tätig ist, dann wird das für Sie sehr komplex zu verwalten. Entschuldigen Sie, ich gehe einfach zur nächsten Folie über. Die Leute denken oft, sie könnten ihre Probleme auslagern. Ich spreche mit vielen Organisationen, die sagen, dass das für sie kein Problem sei, weil sie diesen Outsourcer nutzen. Das ist aber nicht der Fall. Sie können Ihre Probleme nicht auslagern, wenn es um Compliance geht. Die Probleme sind nicht verschwunden. Sie bleiben weiterhin der Eigentümer der Daten. Wenn Ihr Lieferant ein Problem mit Ihren Daten hat, ist das immer noch Ihr Problem. Die Compliance-Landschaft für multinationale Unternehmen ist, wie ich bereits erwähnt habe, heute komplex. Sie wird mit der Zeit nur noch komplexer werden. Ein Tool wie Prevalent kann Ihnen wirklich helfen, Ihre individuellen Compliance-Anforderungen an einzelnen Standorten zu verstehen und beispielsweise bei internen oder externen Audits zu unterstützen, indem es Berichte darüber erstellt, wie die Dinge in verschiedenen Regionen funktionieren und ähnliches. Ich denke, das gemeinsame Thema, das ich gerade angesprochen habe, ist, dass Sie diese 60 verschiedenen Anforderungen haben und das Einzige, was ihnen allen gemeinsam ist, ist, dass Sie weiterhin verantwortlich sind.
Sie können Verantwortung auslagern, aber Sie können nicht die Rechenschaftspflicht auslagern. Sie können jemanden beauftragen, einen Prozess durchzuführen oder Ihre Daten in Ihrem Namen zu verarbeiten oder ein Callcenter zu betreiben und Zugriff auf Ihre Kundendaten zu haben, aber letztendlich bleiben Sie in den Augen der Aufsichtsbehörde und der Rechtssysteme in den meisten Ländern für diese Daten verantwortlich, unddaher ist es wirklich sehr wichtig, dass Sie Ihre ENT-Risiken kennen, wenn Sie einen Vertrag mit einer einzelnen Organisation abgeschlossen haben. Hat diese Organisation den Auftrag an jemand anderen ausgelagert? Das ist wirklich wichtig, wenn es um personenbezogene Daten geht. Was können wir also in diesem kritischen Umfeld tun? Natürlich sollten Sie ein Tool wie Prevalent verwenden, das für Sie sehr nützlich sein wird. Wenn Sie einen Datenverstoß haben, gelten an verschiedenen Standorten sehr unterschiedliche zeitliche Rahmenbedingungen für die regulatorischen Anforderungen. Ich habe den größten Teil meines Lebens in der Finanzdienstleistungsbranche und in der Telekommunikation gearbeitet. Daher kenne ich die regulatorischen Rahmenbedingungen in diesen beiden Sektoren sehr gut. Und ich weiß, dass meine Reaktionszeiten bei einer Verletzung in Singapur im Vergleich zu einer Verletzung in Indien deutlich unterschiedlich sein müssen. Die Art und Weise, wie ich den Vorfall katalogisiere, muss sehr unterschiedlich sein. Wem ich davon erzähle und wer sich damit befasst, ist ebenfalls sehr unterschiedlich. Man muss das also vollständig verstehen und es in Zukunft im Hinterkopf behalten. Nun, es gibt zwei Dinge, die absolut sicher sind. Komplexität und Unsicherheit sind meine Schlagworte. Sie sind die Feinde der Sicherheit. Wenn etwas sehr komplex ist, ist es sehr schwer zu sichern. Und wenn Sie eine unsichere Umgebung haben, in der sich viele Faktoren ändern, ist es auch sehr schwer, dort Sicherheit durchzusetzen. Und das hängt wirklich von Ihrem TPRM-Prozess sowie Ihrer allgemeinen Sicherheitsstrategie ab. In einer solchen Welt müssen Verträge und Arbeitsweisen absolut klar und eindeutig sein. Sie wissen, wer der Dateneigentümer ist, Sie haben eine kleine Ahnung, dass Sie das immer selbst sind, wie ich bereits gesagt habe, Sie können das nicht auslagern. Wenn Sie das erkennen, spielt es keine Rolle, welchen Vertrag Sie abschließen.
Es spielt keine Rolle, wer die täglichen Aktivitäten ausführt. Sie bleiben der Dateninhaber, der tatsächlich mit den Daten interagiert und sie verarbeitet. Und wenn es um wirklich sensible Informationen wie Zahlungsaufzeichnungen usw. geht, müssen Sie sich mit den einzelnen Namen befassen. Sie müssen in der Lage sein, aus der Ferne zu verwalten, wer täglich Zugriff auf Ihre Informationen hat. Wie sieht der Prozess für neue Mitarbeiter und ausscheidende Mitarbeiter aus? Wenn jemand das Unternehmen verlässt, wird sein Zugriff dann sofort gesperrt? Und wenn neue Mitarbeiter hinzukommen, die Zugriff auf sensible Informationen haben, haben wir dann auch die richtigen Sicherheitsüberprüfungen durchgeführt? Welche Compliance-Anforderungen gelten für die Daten einzelner Bürger in einzelnen Ländern? Denn das ist unterschiedlich. In einigen Ländern muss beispielsweise selbst bei Outsourcing jemand aus diesem Land tatsächlich auf diese Daten zugreifen. Das ist entweder zu schwierig, sodass es nicht umgesetzt wird, aber man muss dennoch berücksichtigen, dass dies eine Anforderung ist. Ein guter Weg, um hier voranzukommen, ist es, herauszufinden, wie die perfekte Lösung aussieht. Ich habe festgestellt, dass man, wenn man sich auf neues Terrain begibt oder so etwas macht, sicherstellen muss, dass man herausfindet, wie das Ideal aussieht. Wenden Sie sich an andere Organisationen in Ihrer Branche. Ich habe selten erlebt, dass Menschen in Bezug auf Cyber- oder Informationssicherheit miteinander konkurrieren. Ich glaube, dass die Menschen bereit sind, gegenüber Menschen, denen sie vertrauen, oder in Vertrauenskreisen wirklich offen und transparent zu sein, was ihre Arbeit und ihre Prozesse angeht. Nehmen Sie also an Diskussionsgruppen und Foren teil und achten Sie darauf, dass Sie sich ein Bild davon machen, wie andere Leute vorgehen, und dann sorgen Sie dafür, dass Sie ähnliche Prozesse einführen. Sie müssen hier nicht bei Null anfangen. Schauen wir uns also die ESG- und CSR-Risiken an. Ähm, je nachdem, wo Sie sich befinden, wie auch immer Sie es nennen wollen, wie ich schon sagte, wollen wir gute Bürger sein.
Wir möchten sicherstellen, dass wir aus organisatorischer Sicht das Richtige tun. Wir alle möchten großartige Produkte und Dienstleistungen anbieten, aber wir müssen uns bewusst sein, dass die Welt sehr groß ist und nicht immer so funktioniert, wie wir es aus unseren Heimatländern kennen. Ob es nun darum geht, die Abkürzungen zu erweitern, also die soziale Verantwortung von Unternehmen, oder darum, dass wir sicherstellen wollen, dass wir das Richtige tun, oder um ESG, dass wir sicherstellen wollen, dass wir die Umwelt schützen, dass wir die richtigen sozialen Aspekte berücksichtigen und dass wir die richtige Unternehmensführung haben usw. Einer der Trends, den wir alle erkennen, ist Offshoring und Outsourcing. Einer der wichtigsten Treiber dafür ist die Kostensenkung. Eine der wichtigsten Maßnahmen ist daher, dass wir uns in Regionen der Welt mit niedrigeren Kosten begeben. Die Qualifikationen sind immer noch hoch, aber die Preise sind niedriger, sodass wir die Betriebskosten für diese Dienstleistung senken können, was sich wiederum auf die Rentabilität unseres Unternehmens auswirkt. Wir müssen jedoch erkennen, dass nicht alle Orte gleich sind und nicht alle Länder das gleiche Niveau an Unternehmensethik haben, wie wir es vielleicht gewohnt sind. An einigen Standorten ist es offensichtlich, dass die Mitarbeiter immer noch ausgebeutet werden, aber dasist eine Tatsache, der wir uns in einigen anderen Ländern einfach stellen müssen. In meiner Vergangenheit hatte ich sicherlich schon mit dieser Situation zu tun, mit der Zahlung von Bestechungsgeldern, um sozusagen die Räder zu schmieren oder hochkomplexe Bürokratien über Nacht verschwinden zu lassen. Das ist seit Generationen gang und gäbe. Wissen Sie, für manche Menschen an einigen dieser Standorte ist das eine ganz normale Arbeitsweise, aber wissen Sie, ich würde sagen, für die meisten von uns in dieser Telefonkonferenz – natürlich kenne ich nicht alle Regionen, aus denen wir uns einwählen –, aber ich würde sagen, für die meisten von uns gibt es einige gesetzliche und andere Compliance-Vorschriften, die festlegen, dass es für unser Unternehmen illegal ist, auf diese Weise zu arbeiten.
Wir stehen also vor der Herausforderung, dass wir unsere Arbeitsweise, unsere Ethik, unser Glaubenssystem und unsere Kultur durchsetzen müssen. Ich würde sagen, wir müssen sie „auferlegen“, denn das ist ein starkes Wort, abermeine ich, wir müssen diese Arbeitsweise in einer weit entfernten Region durchsetzen, und es spielt keine Rolle, wie dort traditionell gearbeitet wurde, wenn sie mit unserer Organisation zusammenarbeiten und unser Geschäft haben wollen, sind dies die Standards, die wir durchsetzen werden. Dann stehen wir vor der Herausforderung, sicherzustellen, dass dies überhaupt umgesetzt wird, aber ebenso sicherzustellen, dass wir die richtige Kontrolle darüber haben, damit dies auch nach der Vergabe der Aufträge so bleibt. Wir alle haben in den Nachrichten und Zeitungen usw. von solchen Themen gehört. Wir haben zum Beispiel gesehen, wie Ölverschmutzungen die Umwelt schädigen. Wir haben gesehen, wie Turnschuhehersteller Kinderarbeit einsetzen. Wir haben gesehen, wie Kaffeehersteller ihren Mitarbeitern einen bemerkenswerten Lohn zahlen. Und wir alle wissen, wie viel eine Tasse Kaffee heutzutage kostet, oder? Die Margen müssen also immens sein. Es ist für die meisten Unternehmen wirklich wichtig, sicherzustellen, dass die Menschen, die das Produkt tatsächlich anbauen, rösten und die Kaffeebohnen pflücken, einen fairen Lohn für ein faires Produkt erhalten. Und das sind nur einige Beispiele. Das gilt sogar für Menschen, die in Callcentern arbeiten usw. Es geht also wirklich darum, sich zu überlegen: Was macht mein Unternehmen? Wo lagern wir aus? Was sind unsere Verpflichtungen, unsere ethischen Grundsätze, unsere Compliance- und gesetzlichen Vorschriften in diesem Umfeld, und wie stellen wir sicher, dass wir einen effektiven Governance-Prozess dafür haben? Es geht wirklich darum, sicherzustellen, dass wir als Sicherheitsexperten – aber das geht über die Sicherheit hinaus – alles in unser TPRM-Programm einfließen lassen. Wir müssen sicherstellen, dass wir die gesamte Kontrollkette innerhalb der Lieferkette vollständig verstehen. Und dann gibt es noch das finanzielle Risiko, nicht wahr? Wir haben das bei der globalen COVID-Pandemie gesehen, und Sie wissen, dass das für uns alle eine große Überraschung war.
Die meisten Fachleute für Informationssicherheit wissen, dass man, wenn man sich bei NIST oder ISO oder ähnlichen Organisationen anmeldet, immer eine globale Pandemie-Grippe-Richtlinie in seinem Arsenal hatte, aber die meisten Leute hätten gedacht, dass dies ziemlich unrealistisch ist, und hätten nie gedacht, dass es jemals zum Einsatz kommen würde, aber tatsächlich ist es so gekommen, und wir alle haben gesehen, dass die Organisationen, die darunter gelitten haben, nicht über die geeignete IT-Infrastruktur verfügten, damit ihre Mitarbeiter sofort von zu Hause aus arbeiten konnten. Sie waren nicht in der Lage, ihre Arbeitsweise oder die Lieferung von Produkten und Dienstleistungen an ihre Kunden schnell umzustellen und Dinge wie physische Räumlichkeiten schnell online zu verlagern. Das hatte erhebliche Auswirkungen auf das Geschäftsergebnis und die Bilanz mehrerer Organisationen. Und dann kommt noch hinzu, dass wir gerade dabei sind, diese Welt hinter uns zu lassen, aber wenn man sich derzeit auf der ganzen Welt umschaut, sieht man Folgendes: Wir haben eine Mischung aus steigender Inflation, steigenden Zinsen und einer erhöhten Kreditaufnahme durch Regierungen auf der ganzen Welt. Hinzu kommt, dass wir die höchste Rate an Krypto-Malware haben, die wir je gesehen haben. Sie wissen schon, Angriffe auf Organisationen, bei denen deren Daten buchstäblich verschlüsselt und gegen Lösegeld zurückgehalten werden. Wenn sie also nicht über die richtige Versicherung verfügen, kann das, wie wir bei mehreren Organisationen auf der ganzen Welt gesehen haben, die tatsächlich einen Krypto-Malware-Vorfall hatten, dazu führen, dass ihre Finanzen dem nicht standhalten können. Sie waren nicht versichert oder ihre Police deckte die Zahlung nicht ab. Sie waren nicht in der Lage, die Organisation schnell wiederherzustellen und gingen tatsächlich unter. Das kann so ziemlich jeder Organisation passieren, wenn sie nicht die richtigen Pläne hat. Wir müssen also proaktiv sein und all das durchdenken. Wir müssen Fragen stellen, die nicht nur die Cyber- und Informationssicherheit betreffen, sondern auch die Liquidität der Organisation. Wie gut sind ihre Finanzen in der Lage, einige der Dinge zu verkraften, die wir gerade besprochen haben?
Und wie stabil ist es? Könnte es bei einigen Beispielen möglicherweise über Nacht ins Wanken geraten? Was können wir also tun? Wie sieht der Trend bei den einzelnen Lieferanten aus? Die meisten großen Unternehmen veröffentlichen ihre Finanzberichte, sodass wir diese Informationen nutzen und verstehen können, wie der Trend aussieht. Verfügen sie über mehr freien Cashflow innerhalb des Unternehmens? Zahlen sie ihre Schulden zurück? Oder haben sie weniger Cashflow und häufen mehr Schulden an? Wird es von Jahr zu Jahr riskanter? Oder nimmt das Risiko ab? Haben sie sich gegen mögliche Auswirkungen auf ihr Unternehmen abgesichert? Nicht nur aus Sicht der Cyberrisiken, sondern auch aus Sicht der geschäftlichen Auswirkungen. Sind sie also gegen Verluste versichert, die ihnen entstehen könnten, wenn sie ihre Lieferanten nicht bedienen können? Wenn man sich zum Beispiel Revlon ansieht: Haben sie sich gegen dieses potenzielle Risiko abgesichert und es über den Versicherungsmarkt abgedeckt oder nicht? Und wo haben sie eigentlich ihren Sitz? Wo befinden sich ihre Standorte weltweit? Wo ist ihr Hauptsitz? Können sie von korrupten Regierungen manipuliert oder herausgefordert werden? Sind sie potenziell politischer Instabilität ausgesetzt? All diese Dinge spielen also eine Rolle, und es ist wirklich wichtig, genaue Informationen zu erhalten. Aber wie ich zu Beginn gesagt habe, ist es genauso wichtig, sicherzustellen, dass wir all diese Informationen zur Hand haben und sie innerhalb unserer Organisationen an die Menschen weitergeben können, die sie benötigen, um risikobasierte Entscheidungen für die Zukunft treffen zu können. Bevor ich nun an Scott übergebe, möchte ich noch sagen: Was können wir anders machen, was würde wirklich einen Unterschied bewirken? Ich denke, wir müssen zusammenarbeiten, wir sind oft und ichbin da auch nicht anders, wir sind Fachleute für Cyber- und Informationssicherheit, und es gibt vielleicht noch viele andere Fachbereiche, die an diesem Gespräch teilnehmen, aber wie ich schon sagte, je mehr aktive Nutzer dieses Tools, dieser Technologie und dieses Prozesses es gibt, desto besser.
Als Fachleute für Informationssicherheit müssen wir uns bewusst sein, dass wir nicht alle Antworten haben. Wir haben eine bestimmte Denkweise und eine bestimmte Sichtweise, wie wir Probleme angehen. Wir müssen innerhalb unserer Organisation umfassend zusammenarbeiten. Wie ich bereits sagte, schauen Sie sich bitte mein Webinar über die Zusammenarbeit mit der Beschaffungsabteilung an. Sie werden feststellen, dass der CISO und der Leiter der Beschaffungsabteilung oder der Chief Procurement Officer wirklich überlappende Verantwortlichkeiten haben, wenn es um Risiken geht. Und viele der Leistungsindikatoren sind gemeinsam. Stellen Sie also sicher, dass Sie diese verschiedenen Funktionen mit den unterschiedlichen Fachkenntnissen nutzen. Arbeiten Sie also mit der Personalabteilung, der Rechtsabteilung und der Finanzabteilung zusammen, um sicherzustellen, dass wir die richtigen KPIs festgelegt haben, damit wir erkennen können, wenn etwas schief läuft. Was wir nicht wollen, ist, erst dann zu erfahren, wenn es schon zu spät ist. Es gibt Früh- und Spätindikatoren, anhand derer wir erkennen können, wann sich Probleme ankündigen, und wenn wir diese sehen, können wir uns überlegen, wie wir darauf reagieren sollen. Die meisten reifen Unternehmen würden nicht alles auf eine Karte setzen und sich auf einen einzigen wichtigen Lieferanten verlassen. Sie würden also bereits über diese Widerstandsfähigkeit verfügen, wenn Sie beispielsweise Rohstoffe von zwei oder drei verschiedenen Lieferanten beziehen, die geografisch weit verstreut sind. Wenn es also zu Auswirkungen kommt, dann ist das für Sie natürlich kein großes Problem. Sie stellen dann natürlich sicher, dass Sie über Ihre gesamte Lieferantenbasis hinweg ganzheitlich arbeiten. Wie ich bereits sagte, haben die meisten Unternehmen, die ein Tool wie Prevalent verwenden, die Möglichkeit, dies zu tun. Sie haben die Möglichkeit, zu programmieren, wo Ihre Lieferanten Ihnen weltweit Produkte und Dienstleistungen anbieten. Wenn Sie jedoch einen manuellen Prozess verwenden, könnte dies eine Herausforderung darstellen, insbesondere wenn Sie ein multinationales Unternehmen sind, in dem Ihre Lieferanten mit Ihrer Organisation interagieren.
Wenn möglich, sollten Sie also diesen globalen Prozess schaffen und sicherstellen, dass Sie diesen einen Prozess weltweit anwenden. Dann sollten Sie sicherstellen, dass Sie diese End-to-End-Beziehungen in Ihrem gesamten Unternehmen wirklich gut durchdacht haben, und dann sollten Sie natürlich Szenarien modellieren, bevor COVID zuschlägt. Ein guter CISO, den ich kenne, hat mit seinem Vorstand eine Übung zu einer globalen Grippepandemie durchgeführt, und alle fanden das wirklich gut. Ich glaube, der CEO hat ihn danach zur Seite genommen und gesagt: „Können wir uns das nächste Mal ein Szenario aussuchen, das etwas wahrscheinlicher ist?“ Aber dann, ein paar Monate später, kam es ja bekanntlich zu so etwas wie COVID. Es ist wirklich eine sinnvolle Investition, sich mit den verschiedenen Stakeholdern zusammenzusetzen und tatsächlich zu modellieren, was passieren würde, wenn der Suezkanal wieder blockiert würde und wir unsere Waren nicht zu unseren Kunden transportieren könnten oder unsere Rohstoffe nicht bekommen würden. Was würde passieren, wissen Sie, äh, welche Auswirkungen hätte es auf unser Unternehmen, wenn die Houthis derzeit im Roten Meer 200 Milliarden Dollar an Handelsgütern umleiten und die Transitzeit zu einigen Ländern und Orten um Wochen verlängern würden? All diese Dinge haben Auswirkungen, und es ist sehr wertvoll, einige dieser Szenarien zu modellieren. Also ja, machen Sie die traditionellen Cyber-Szenarien, aber denken Sie auch weiter und verstehen Sie tatsächlich gut, was sich tatsächlich auf unser Unternehmen auswirken könnte, denn es handelt sich nicht immer um einen Cyberangriff. Und ich denke, wenn wir für diesen Risikoprozess verantwortlich sind, müssen wir in der Lage sein, das Unternehmen effektiv zu führen, und das bedeutet natürlich, über den Tellerrand des Cybers hinauszuschauen. Und dann muss man am Puls der Zeit bleiben. Natürlich muss man über diese Echtzeit-Feeds mit Bedrohungsinformationen verfügen. Auch das ist etwas, was man mit einem manuellen Prozess nicht erreichen kann. Man kann seine kritischen Lieferanten eingeben. Man kann so ziemlich in Echtzeit überwachen, was vor sich geht. Man kann sehen, was andere über sie herausgefunden haben. Und das ist wirklich entscheidend, dass man in Bezug auf die Verwaltung und Überwachung der Lieferantenpräsenz nahezu in Echtzeit agieren kann.
Als es, wie ich bereits erwähnt habe, bei der Chip-Herstellung Probleme mit Neon gab, gab es tatsächlich einen Mitarbeiter bei IBM, der ziemlich auf Zack war und erkannte, dass dies ein großes Problem sein würde, und der Millionen Tonnen davon auf Vorrat kaufte, um sicherzustellen, dass es bei diesem Unternehmen nicht zu Betriebsunterbrechungen kommen würde. Nicht alle Unternehmen hätten diese Echtzeitinformationen gehabt-time intel nicht alle Unternehmen hätten reagieren können, weil dieser Mann im Voraus wusste, dass er Rückendeckung hatte, um so etwas tun zu können, also arbeiten Sie das wirklich durch und stellen Sie sicher, dass es in Ihren globalen Prozess integriert ist, denn wie es unten steht, wissen Sie, wenn Sie ein wirklich effektives Lieferantenrisikoprogramm betreiben, haben Sie wohl so ziemlich alles durchdacht, was in Ihrer Lieferkette passieren kann, was uh, Sie wissen schon, den Betrieb Ihrer Produkte und Dienstleistungen stören könnte. Und dann kommt es auf die Kostenperspektive an. Wie viel sind Sie bereit zu investieren, um dieses Risiko abzusichern? Geht es an einen Versicherungsanbieter? Nehmen Sie ein paar andere Lieferanten in Ihre Bücher auf, die das gleiche Produkt und die gleiche Dienstleistung anbieten können? Nur um sicherzustellen, dass Sie dieses Risiko für die Zukunft abgesichert haben. Gut. Ich hoffe, Sie finden das nützlich, und es gibt viele Fragen an mich. Ich werde jetzt an Scott übergeben, der ein paar Folien zeigen wird, und dann kommen wir zur Fragerunde. Also, Scott, bitte übernehmen Sie.
Matt: Super. Vielen Dank, Brian. Äh, und Sie können mit der nächsten Folie fortfahren, wenn Sie möchten.
Scott: Ähm, wissen Sie, eine der Erkenntnisse, die ich aus Brians Ausführungen mitgenommen habe, ist, dass wir uns dieser sehr vielfältigen Risikotypen bewusst sein müssen, und wir sind alle in diese Falle getappt, in der man sich in erster Linie um die Cybersicherheitsrisiken sorgt, die ein Anbieter oder Lieferant auf zwei Arten in das Unternehmen einbringt. Eine Möglichkeit ist ein Risiko in der Software-Lieferkette. Man macht Geschäfte mit einem Anbieter oder kauft eine Software, die man im Unternehmen einsetzt. Das führt zu einer Situation, in der man entweder handeln oder aufgeben muss. Der Code wird kompromittiert. Plötzlich befindet sich dieser Code in Ihrer Umgebung. Nun, dieser Code könnte sich auch in den Umgebungen Ihrer Drittanbieter befinden. Und wenn diese Ihre Daten verwalten oder Verbindungen zu Ihren Systemen haben, ist das wiederum ein Weg in Ihr Unternehmen. Das zweite Cyberrisiko ist das Risiko einer Sicherheitsverletzung, richtig? Eine PJNA-Situation, in der beispielsweise ein Anbieter von medizinischen Abrechnungsdienstleistungen, der Ihre Kundendatenbank verwaltet, um medizinische Rechnungen auszustellen, angegriffen wird. Ihre Kundendaten werden kompromittiert und plötzlich werden sie irgendwo im Dark Web zum Verkauf angeboten, und das ist Ihre Verantwortung. Das sind die Dinge, die in der Presse groß herausgebracht werden. Aber wie Brian bereits in seiner Präsentation gesagt hat, sind es einige dieser hinterhältigeren, weniger greifbaren, eher qualitativen Risiken, die im Hintergrund lauern können, die wir wirklich im Auge behalten müssen, um zu vermeiden, dass sie sich in Zukunft zu einer Art Störung für uns entwickeln. Sie wissen schon, Auswirkungen auf die Lieferkette, Störungen in der Lieferkette, jemand wird übernommen oder es gibt eine Fusion oder Übernahme bei einem Lieferanten, und plötzlich hat das strategische Auswirkungen auf Ihr Ökosystem. Wie auch immer, aus Sicht des Risikomanagements von Drittanbietern sehen wir, dass Unternehmen vor allem mit drei Dingen zu kämpfen haben, wenn sie versuchen, das Programm in den Griff zu bekommen, also dieses Programm aufzubauen, und das ist erstens manuelle Prozesse.
Wissen Sie, wir führen jedes Jahr eine Umfrage in der Branche durch, und eine der Fragen, die wir in dieser Umfrage stellen, lautet: Verwenden Sie Tabellenkalkulationen oder welche Tools verwenden Sie, um ein Programm zum Management von Risiken durch Dritte zu verwalten? Fast die Hälfte, 48 % der Befragten, gaben an, dass sie sich ausschließlich auf Tabellenkalkulationen verlassen, um ihr Programm zum Management von Risiken durch Dritte zu verwalten. Ich weiß, dass viele von Ihnen heute am Telefon sind. Das ist in Ordnung. Es gibt immer einen guten Zeitpunkt, um mit der Abschaffung Ihrer Tabellenkalkulationen zu beginnen, und heute könnte der richtige Tag dafür sein, diese Entscheidung zu treffen. Es handelt sich um einen sehr manuellen Prozess. Sie kennen die Risiken, die mit manuellen Prozessen verbunden sind. Es ist schwierig, sie auf dem neuesten Stand zu halten. Es ist schwierig, Echtzeitinformationen zu erhalten. Es ist schwierig, Kontrollen in einer Tabelle sehr effektiv abzubilden, um Abhilfemaßnahmen zu ergreifen und das Problem des Risikos durch Dritte tatsächlich zu lösen. Zweitens hat die Studie gezeigt, dass etwa 20 % der Unternehmen Risiken in mindestens einer Phase des Lebenszyklus des Risikos durch Drittanbieter verfolgen. 20 %, also zwei von zehn, verfolgen Risiken über diesen Lebenszyklus hinweg. Das ist problematisch. Ich denke, es liegt in unserer Natur, eine ziemlich gründliche Due-Diligence-Prüfung durchzuführen, wenn wir einen Lieferanten an Bord holen oder wenn wir einen Lieferanten bewerten, um zu sehen, ob wir mit ihm Geschäfte machen wollen. Wir schauen uns seine Cyber-Sicherheit, seine Wettbewerbsposition, seine Finanzlage, seine ESD-Werte, seine Reputation und so weiter an. Und wenn das erledigt ist, machen wir weiter. Wir fühlen uns wohl. Sie entsprechen der Risikobereitschaft des Unternehmens. Wir arbeiten mit ihnen zusammen. Und dann führen wir regelmäßig Neubewertungen durch. Aber dann vergeht die Zeit, und dann neigen wir, wie es in der Natur des Menschen liegt, dazu, uns auf das nächste große Problem zu konzentrieren, und vielleicht haben wir einige Lieferanten, die wir schon seit einer Weile im Lebenszyklus haben. Wir machen Geschäfte mit ihnen, die uns weiterhin einige Risiken bereiten. Und die Daten würden zeigen, dass nur wenige Unternehmen die Risiken wirklich von Anfang bis Ende betrachten.
Drittens gibt es diese verrückte Situation, in der in vielen Unternehmen jeder seine Finger im Spiel hat, wenn es um das Risikomanagement von Drittanbietern geht. 71 % der Unternehmen geben an, dass das Infosc-Team für das Risiko durch Dritte zuständig ist, aber 63 % sagen, dass das Beschaffungsteam für die Beziehung zuständig ist. Ich stelle Ihnen also diese Frage: Ist das auch in Ihrem Umfeld so? Richtig? Wenn Sie also vielleicht im Sicherheits-, Compliance- oder Risikomanagementteam für Dritte tätig sind, sind Sie wahrscheinlich dafür zuständig, den Bewertungsprozess zu verwalten oder zu verstehen, welche Art von Informationen Sie in Bezug auf Dritte verwalten müssen. Aber eigentlich ist es das Beschaffungsteam, das den täglichen Kontakt zu ihnen hat oder zumindest die Rechnungen bezahlt. Deshalb muss es auf dem Laufenden gehalten werden. Diese Dichotomie, diese Zuständigkeit – wenn sie nicht angemessen gehandhabt wird, wenn Sie nicht allen beteiligten Stakeholdern die richtigen Erkenntnisse liefern, kann das zu Konflikten oder im schlimmsten Fall zu einer heiklen Situation führen, in der niemand wirklich die Beziehung verwaltet. Nächste Folie, bitte, Brian. Letztendlich haben wir aus 20 Jahren Erfahrung gelernt, dass Unternehmen mit ihren Risikomanagementprogrammen für Dritte drei Dinge erreichen wollen. Erstens wollen sie die Daten erhalten, die sie benötigen, um bessere Entscheidungen zu treffen. Wir haben darüber gesprochen, wie manuell dieser Prozess ist. Wir haben darüber gesprochen, wie unterschiedliche Datenquellen dazu führen, dass man vielleicht nicht wirklich in Echtzeit vorgehen kann oder dass man nicht das gesamte Risiko über den gesamten Lebenszyklus betrachtet. Zweitens geht es darum, die Effizienz des Teams zu steigern und Silos abzubauen. Wenn Ihr IT-Sicherheitsteam eine Bewertung durchführen muss, um die Sicherheitslage eines potenziellen Anbieters oder Lieferanten zu verstehen. Das Beschaffungsteam möchte wissen, wie es um deren finanzielle Gesundheit steht. Können sie ihre Rechnungen bezahlen? Hat er eine gute Bonität? Vielleicht möchte das Compliance- oder Risikomanagementteam wissen, ob es Probleme mit der Reputation gibt. War er in den Nachrichten? Gibt es Probleme mit der Produktqualität, über die man sich Sorgen machen muss? Solche Dinge. Am Ende haben Sie drei verschiedene Zielgruppen, die ein wenig über diesen Dritten wissen möchten.
Und nur sehr selten finden wir in Unternehmen jeder Größe die Fähigkeit, all diese Dinge zusammenzuführen, sodass man einen Überblick über diesen Dritten hat, unabhängig von der Art des Risikos, das man managen möchte. Und drittens muss man sein Programm im Laufe der Zeit weiterentwickeln und skalieren. Ich verstehe das. Es ist eine Herausforderung, nicht wahr? Man muss auf neue Dritte vorbereitet sein, auf die Stilllegung von Anbietern, mit denen man keine Geschäfte mehr macht. Und man braucht eine gewisse Flexibilität in seinen Prozessen und Lösungen, um das zu ermöglichen, und man weiß, dass manuelle Prozesse mit Tabellenkalkulationen hier einfach nicht ausreichen. Nächste Folie bitte, Brian. Wir versuchen, Risiken ganzheitlich zu betrachten, und zwar über die gesamte Beziehung zu einem Drittanbieter oder Lieferanten hinweg. Wir sind uns bewusst, dass Risiken in jeder Phase dieser Beziehung bestehen, von dem Zeitpunkt, an dem Sie sich für einen neuen Anbieter entscheiden, ihn auswählen und einbinden, bis zu dem Zeitpunkt, an dem der Vertrag ausläuft und Sie kein Interesse an einer Verlängerung haben und den Anbieter ausbinden und den Vertrag und die Beziehung beenden möchten. Jede dieser Phasen birgt einzigartige Risiken, und diese einzigartigen Risiken betreffen mehrere verschiedene Teams im gesamten Unternehmen, sei es, dass Sie keine wirklich guten risikobasierten Einblicke in einen potenziellen Anbieter haben, den Sie auswählen möchten. Es ist eine Sache, festzustellen, dass das Angebot eines Anbieters oder Lieferanten für den Zweck geeignet ist, aber passt es auch zum Risikoprofil Ihres Unternehmens? Traditionelle RFX-Prozesse lösen dieses Problem in der Regel nicht. Zweitens stellen wir fest, dass der Vertragsprozess bei der Einbindung tendenziell nicht sehr gut in die Risikoanalyse oder den Risikominderungsprozess integriert ist. Wäre es nicht großartig, wenn es eine Möglichkeit gäbe, das Management von KPIs, KRIs, SLAs und Leistungskennzahlen in einem Vertrag zu vereinheitlichen und sie als Risiken der Nichterfüllung oder verfehlter Erwartungen oder als Cyberrisiken oder ähnliches zu behandeln, um diese Art von Dingen insgesamt zu verwalten? Eine dritte große Herausforderung, die wir sehen, sind all die manuellen Prozesse, die zur Messung des inhärenten Risikos erforderlich sind.
Sie wissen, dass Sie nicht wirklich wissen, wie der nächste Schritt aussehen sollte, wenn Sie keinen Ausgangspunkt haben, um zu sagen: Okay, diese bestimmte Gruppe von Anbietern hat in diesem Bereich ein hohes Risikoprofil. Wir müssen hier etwas tiefer gehen, um beispielsweise herauszufinden, wie ihre Richtlinien zum Datenschutz aussehen. Drittens: Bewertung und Behebung. Wir haben darüber gesprochen, Tabellenkalkulationen und manuelle Prozesse und solche Dinge abzuschaffen, aber ich denke, ein entscheidender Erfolgsfaktor für Sie in einem Bewertungsprozess ist eine Bibliothek mit Fragebögen oder Fragen, die sich mit den Risiken befassen, über die verschiedene Abteilungen in Ihrem Unternehmen mehr wissen möchten. Wie ich bereits sagte, möchte das Finanzteam dies wissen, das Beschaffungsteam möchte dies wissen, das IT-Team möchte dies wissen. Wenn Sie also einen manuellen, auf Tabellenkalkulationen basierenden Prozess durchführen oder vielleicht einen Fragebogen ausfüllen, wird das in der Regel niemanden glücklich machen. Überwachung und Validierung sind sozusagen der fünfte Schritt in diesem Prozess, und hier sehen wir, wie diese Art von Informationssilos auseinandertreten. Man erhält einen Cyber-Score, einen ESD-Score, eine Finanz- oder Kreditbewertung oder etwas in der Art. Was macht man nun mit all diesen Informationen? Wenn man beispielsweise für die Verwaltung der Beziehung zuständig ist oder weiß, mit wem man diese Informationen teilt, wie teilt man sie dann, in welchem Format und wie wirkt sich das auf die Entscheidung aus?– das Erstellen von Dritt-SLAs und die Leistung. Wir haben über die Integration zwischen Vertragsabschluss und Risikomanagement gesprochen, und schließlich kommt man an den Punkt, an dem man weiß, dass es Zeit ist, diese Beziehung zu beenden. Was wir sehen, ist, dass viele Unternehmen keinen sehr präskriptiven Onboarding-Prozess haben, der zentralisiert ist, mit einer Priorisierung der Aufgaben, die es Ihnen ermöglicht, sehr sicher zu sagen: „Okay, wir sind hier fertig und alle Punkte wurden abgehakt. Wir können weitermachen.“ Nächste Folie, bitte, Brian. Um dieses Problem anzugehen, kombinieren wir drei Dinge.
Nummer eins ist, wissen Sie, wir haben eine Plattform für das Risikomanagement von Drittanbietern, die von unserem internen Managed-Services-Team genutzt wird, wenn Sie sich für diesen Weg entscheiden. Äh, aber wir werden alle Maßnahmen zum Risikomanagement von Drittanbietern in Ihrem Namen durchführen. Dazu gehören die Einbindung von Anbietern, die Durchführung von inhärenten Risikobewertungen, die Erstellung von Bewertungen, die Analyse, die Abgabe von Empfehlungen zur Behebung von Mängeln, die Unterstützung bei Verträgen, Sie wissen schon, was auch immer. Wir decken den gesamten Lebenszyklus des Drittanbieterrisikos ab. Wenn Sie das selbst machen möchten, ist das auch in Ordnung, denn wir haben die Plattform, um das zu tun. Der zweite Teil der Gleichung sind Daten. Ich würde unsere Plattform mit jeder anderen Plattform in der Branche vergleichen. Was die Menge und Qualität der Informationen angeht, die wir in die Plattform importiert haben und Ihnen dann in sehr intelligent aussehenden Scorecards und auch in zentralen Risikoregistern präsentieren, um die Existenz bestimmter Kontrollen zu validieren, und diese Daten sind wichtig für gute Entscheidungen, und drittens habe ich die Plattform erwähnt, also die Fähigkeit, den gesamten Workflow, die Fragebögen, die Risiken, die Berichterstattung, die Compliance-Rahmenbedingungen und mehr in einer einzigen Plattform unterzubringen, um Ihnen zu helfen, die Zeit und den Aufwand für die Korrektur Ihrer Risikobewertungen zu reduzieren. Nächste Folie, bitte, Brian. Ähm, wissen Sie, der Kern der heutigen Präsentation ist, dass wir dies für eine Vielzahl unterschiedlicher Arten von Risiken tun, und ich habe hier auf der Folie gerade sechs Kategorien davon aufgelistet. Und all die kleinen Aufzählungspunkte sind die Informationen oder Fragebögen, die wir in der Plattform haben, um Ihnen zu helfen, diese Informationen zu sammeln. Natürlich Cyber, Geschäftstätigkeit, Finanzen, ESG, Reputation und Compliance. Und noch einmal: Wir zentralisieren diese Informationen in der Plattform, um Ihnen zu helfen, fundierte risikobasierte Entscheidungen darüber zu treffen, ob Sie mit einem bestimmten Anbieter Geschäfte machen oder weiterhin Geschäfte mit einem Anbieter machen möchten oder ob Sie Abhilfemaßnahmen empfehlen möchten, um einen Punkt zu erreichen, an dem Sie mit einer Restrisikobewertung zufrieden sind, die mit dem Rest des Unternehmens übereinstimmt.
Nächste Folie, bitte, Brian. Und ich denke, das ist alles, was ich Ihnen heute mitteilen wollte, nämlich wie wir Ihnen helfen können, das Problem der vielfältigen Risikotypen in der Umgebung anzugehen, und wie wir dies in einer einzigen Lösung zusammenfassen können, um Ihnen bei der Analyse, der Berichterstellung und der Behebung von Problemen zu helfen, damit Sie dieses Risiko letztendlich langfristig mindern können. Das ist alles, was ich Ihnen heute mitteilen wollte. Matt, ich denke, wir geben jetzt wieder an Sie zurück und öffnen die Fragerunde.
Matt: Alles klar, vielen Dank, Scott. Okay, sehen Sie hier. Jetzt wäre ein guter Zeitpunkt für Sie alle, weitere Fragen in das Q&A-Feld einzutragen. Ich starte jetzt die letzte Umfrage auf dem Bildschirm, während ihr das macht, damit wir euch bezüglich aller TPRM-Projekte, die ihr im Blick habt, weiterverfolgen können. Im Grunde genommen geht es darum, ob ihr eine Rückmeldung von Prevalent wünscht, um die Verbesserung eures TPRM-Programms zu besprechen. Seid bitte ehrlich, denn wir werden euch wirklich weiterverfolgen. Ich starte jetzt schnell die Umfrage für euch. Ja, genau. Die Umfrage läuft, und wir haben anscheinend etwas mehr Fragen als Zeit, Brian. Ich werde Ihnen also einen ersten Blick darauf gewähren, falls Sie Fragen haben, die Ihnen sofort ins Auge springen. Ansonsten kann ich gerne eine auswählen, und wir können einige durchgehen. Nein, Sie sind anscheinend stummgeschaltet.
Brian: Ja, ich werde dir kurz ein paar Informationen von Matt geben, wenn das okay ist. Wir haben also Fragen dazu, welche Unterlagen wir benötigen, um Subunternehmer zu überwachen. Also, um das zu Ende zu bringen, worüber wir vorhin gesprochen haben: Man muss ihnen eigentlich dieselben Fragen stellen, die man auch seinem Hauptlieferanten stellen würde, oder? Wenn sie also Zugriff auf die Daten haben, müssen Sie auch alles über sie wissen. Standort und Eigentumsverhältnisse, Produkte, Dienstleistungen, Standorte usw. Es handelt sich also um eine Erweiterung. Es ist also nichts Zusätzliches. Es ist eine Wiederholung dessen, was Sie Ihren bestehenden Lieferanten fragen würden, und das übertragen Sie dann auch auf diese Leute. Ein paar Fragen zu ESG, wissen Sie, äh, mir ist die Beziehung zwischen ESG und den Herausforderungen, die es für Ihre TPRM-Funktion darstellt, nicht klar. Stellen Sie sich einfach vor, einer Ihrer wichtigsten Lieferanten wäre, wissen Sie, in Kinderarbeit oder erhebliche Verstöße gegen Gesundheits- und Sicherheitsvorschriften usw. verwickelt. Äh, und natürlich bekommen die Zeitungen Wind davon und berichten, dass Unternehmen X Kinderarbeit einsetzt usw. Das ist nichts, womit Sie Ihre Marke in Verbindung bringen möchten. Das sind also die Zusammenhänge, richtig? Und man muss sich bewusst sein, dass es regulatorische und rechtliche Vorgaben gibt, um sicherzustellen, dass so etwas nicht passiert. Ich denke, Sie wissen, dass die meisten Unternehmen eine Verantwortung haben, diese Vorgaben in ihrer Lieferkette durchzusetzen, um sicherzustellen, dass so etwas nicht passiert. Ähm, Scott, ich glaube, ich war für Sie von Patrick, dass die aktuelle SIG auf das gängige Tool portiert wird.
Scott: Ja. Ja. Die Frage ist, ob die aktuelle SIG in das gängige Tool importiert werden kann, um die inhärenten und verbleibenden Risikobewertungen zu ermitteln und diese dann mit der Risikobereitschaft des Unternehmens zu vergleichen. Die Antwort darauf lautet ja. Wir haben SIG 2024 bereits in die gängige Plattform importiert. Dann können Sie frühere Antworten aus dem Jahr 2023 und davor in die neue Version migrieren, bevor Sie mit der Bewertung Ihrer Lieferanten anhand von 2024, also diesem Jahr, beginnen. Dazu gehören die Analyse der inhärenten Restrisiken, die Zuordnung zu den Geschäftsrisiken und die Zuordnung zum Compliance-Rahmenwerk.
Brian: Großartig. Und dann haben wir noch eine Frage: Was sind die drei wichtigsten Punkte, auf die man sich konzentrieren sollte, wenn man eine TPRM-Organisation ausbauen möchte? Nein, ich meine jede Frage zur Cybersicherheit, richtig? Menschen, Prozesse, Technologie. Und ich habe gesehen, dass Scott auf seiner Folie 19 eine Personendatenplattform hatte. Das ist also ziemlich ähnlich, oder? Wir müssen also sicherstellen, dass Sie die richtigen Leute haben, also qualifizierte Mitarbeiter, die die Ergebnisse des Tools erkennen und die richtigen Maßnahmen in Ihrer Organisation ergreifen können. Sie benötigen globale Prozesse und gute Datensätze, um sicherzustellen, dass Sie ein gutes Gesamtbild erhalten. Und wie Scott bereits gesagt hat und wie ich in diesem Webinar schon mehrfach erwähnt habe: Wenn Sie heute noch manuelle Prozesse einsetzen, ist das meiner Meinung nach ein guter Anfang, aber die Welt hat sich definitiv weiterentwickelt. Ich denke, Sie wissen, was ein Tool wie Prevalent für Sie leisten kann, und erkennen die Veränderung in Ihrer Fähigkeit, Risiken für Ihr Unternehmen zu bewältigen. Es gibt noch einen weiteren Punkt: Gibt es einen Grund, warum die Geschäftseinheit, die den Service in Anspruch nimmt oder beauftragt, nicht die Beziehung zum Kunden besitzt? Ich denke, das hängt von den einzelnen Unternehmen ab. Ich habe sicherlich für Unternehmen gearbeitet, die keine zentralisierte Beschaffung hatten und die die Beziehung zum Endverbraucher besitzen. Ich denke, dass es darum geht, es so einzurichten, dass es kooperativ ist. Ich denke, solange Sie diese einheitliche Sichtweise haben, ist das wirklich entscheidend. Sie wollen nicht, dass die Beschaffung eine Sichtweise auf den Kundenstamm hat und Sie eine andere, denn dann leiten Sie beide das Unternehmen offensichtlich auf unterschiedliche Weise. Ich denke also, dass das wirklich sehr wichtig ist. Äh, Scott, möchten Sie das übernehmen? Äh, können wir uns bei Prevalent für eine bestimmte Kategorie von Risikoinformationen entscheiden, zum Beispiel nur für Finanzdaten?
Scott: Ja, auf jeden Fall. Ähm, die kurze Antwort auf die Frage lautet also „Ja“. Wenn Sie nur das finanzielle Risiko von Lieferanten überwachen möchten, können Sie das mit einer gängigen Plattform durchaus tun. Der größte Vorteil dieser Plattform besteht jedoch darin, dass Sie Risiken ganzheitlich über verschiedene Arten hinweg und aus Sicht verschiedener interner Unternehmensteams betrachten können. Ja, es gibt Tools wie D&B oder Credit Safe, die Ihnen Finanzberichte für Lieferanten liefern, aber entscheidend ist, was Sie mit den Daten machen. Der Mehrwert, den wir bieten, besteht darin, dass wir die Daten erfassen, sie mit potenziellen Risiken, Warnungen und Hinweisen abgleichen und Ihnen ermöglichen, darauf zu reagieren.
Brian: Gut. Und die letzte Frage ist auch für dich, Scott.
Scott: Ja. Ja. Die Frage ist: Wenn ich das Tool verwende, um die SIG als Fragebogen zu versenden, mein Lieferant mir die SIG jedoch per E-Mail zurücksendet, kann ich dann seine Antworten in den von mir versendeten Fragebogen hochladen? Die Antwort lautet: Ja, das können Sie tun. Und dann können Sie diesen Lieferanten anrufen und ihn am Telefon dafür zur Rede stellen.
Brian: Gut, Matt. Wir haben es geschafft.
Matt: Alles klar. Okay. Großartig. Vielen Dank, Brian, und natürlich auch Scott. Und danke an alle für die vielen Fragen. Wenn Sie also über TPRM auf dem Laufenden bleiben möchten, können Sie uns gerne auf LinkedIn kontaktieren. Und zum Schluss hoffe ich, einige von Ihnen in Ihren Posteingängen und vielleicht sogar bei einem unserer zukünftigen Webinare wiederzusehen. Nochmals vielen Dank an alle und machen Sie's gut.
Brian: Vielen Dank euch allen. Prost.
Scott: Macht's gut, Leute. Tschüss. Cheers.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.