Third Risk Party Management wird in Zeiten von Globalisierung und unübersichtlichen Lieferketten immer wichtiger. Die EU hat darauf bereits reagiert und die Regularien zum Beispiel durch die Verabschiedung von DORA und NIS2 verschärft. Das ist die Konsequenz davon, dass es immer mehr Einbrüche in die Sicherheitsstrukturen der Unternehmen gibt – mit schlimmen Folgen. Viele Unternehmen erleben solche Angriffe mindestens einmal pro Woche. Hinzu kommt eine große Interkonnektivität – so gehen heute allein 35 Prozent der globalen Wertschöpfungsketten nach China. Das zeigt eindringlich, wie vernetzt Unternehmen heute sind und welche Abhängigkeiten für ihre IT-Sicherheitsstrukturen auf diese Weise entstehen. Ein erfolgreicher Cyberangriff kann sich dadurch sehr schnell fortpflanzen. Das ist neben den regulatorischen und verpflichtenden Aspekten der Hauptgrund, weshalb Unternehmen kontinuierlich für ihre IT-Sicherheit sorgen sollten, erklären Tobias Löhr, Head of Cybersecurity der P3 Group, und Matthew McKenna, President of International Sales von SecurityScorecard.

Herr Löhr, Herr McKenna, welche Bedeutung haben denn erfolgreiche Angriffe über Schwachstellen bei Drittanbietern?
McKenna: Das Ausnutzen von konkreten Schwachstellen macht bis zu 40 Prozent aus. Die potenzielle Angriffsfläche ist sehr breit. Die Opfer sind häufig kleinere Unternehmen, die über die verschiedenen Stufen der Lieferkette immer kleiner werden. Solche Unternehmen haben möglicherweise gar nicht das Budget, um die notwendige Resilienz aufzubauen, die sie eigentlich bräuchten. Das macht auch die großen Partner-Unternehmen anfälliger.
Löhr: Große Player können diesen kleineren Partnern Hilfestellung geben.
Das übt zugleich auch Druck aus, aktiv zu werden. Wir werden beispielsweise von großen Automobilherstellern zu Lieferanten geschickt, um dort Verbesserungsmaßnahmen einzuleiten.

Erschwert es die Kontrolle, dass Unternehmen heute in vielen verschiedenen Ländern tätig sind?
McKenna: Ja, das ist ein echtes Problem. Unsere großen Kunden haben Lieferanten in der ganzen Welt und müssen sich auf verschiedene Level bei den IT-Skillsets einstellen. In der EU haben wir fast einen Überfluss an Regulierungen, in anderen Ländern gibt es deutlich weniger davon. Hinzu kommen die verschiedenen Sprachen und die unterschiedlichen Kulturen der jeweiligen Länder.

Welche Rolle spielt die Sorgfaltspflicht der Unternehmen?
Löhr: Gerade bei börsennotierten Unternehmen existiert die Verpflichtung, generell Risiken zu managen und darüber zu berichten. Dazu zählt auch das Thema Cybersecurity. Sowohl in der EU als auch in den USA gibt auch entsprechende rechtliche Vorschriften.

Aber wie hat ein Unternehmen den Blick darauf, dass bei einem Lieferanten die IT-Sicherheitsstruktur gut ausgebaut und auf dem aktuellen Stand ist?
Löhr: Die Kontrolle läuft bei vielen Unternehmen derzeit noch über Zertifikate, Audits oder Fragebögen – aber davon wollen wir weg. Unser Anliegen ist es, zu einer kontinuierlichen Überwachung anhand von bestimmten Sensorwerten zu kommen. Wir wollen tages- und sogar stundenaktuell die Bedrohungslage der gesamten Lieferkette überwachen, denn das sehen wir als einzige erfolgreiche Antwort auf externe Risiken zu reagieren.
McKenna: Denken Sie zum Beispiel an die Auto-Industrie, in der viele Komponenten mit dem Internet verbunden sind. Hier muss unbedingt die Sicherheit gewährleistet sein. Wir erfassen die Schwachstellen und beheben das Risiko. Und dann erfassen wir alles aus der Perspektive Dritter. Zum Glück gibt es heute eine Menge von Tools, die Unternehmen helfen, die Angriffsflächen zu minimieren.

Aber bleibt nicht der Mensch das größte Einfallstor?
McKenna: Ja, der menschliche Faktor bleibt ein großes Risiko. Ich kenne Unternehmen, die diesbezüglich sehr strenge Anforderungen haben. Die Unternehmen nehmen das heute sehr ernst.

Fakt ist jedoch auch, dass der Aufbau einer kontinuierlichen Überwachung der IT-Sicherheit viel Geld kostet, oder?
McKenna: Das ist richtig, aber die Kosten bei einem erfolgreichen Angriff sind ungleich höher. Nehmen Sie nur die Bußgelder, die in der EU und den USA im Falle eines erfolgreichen Angriffs gezahlt werden müssen. Sie können zwei Prozent des weltweiten Jahresumsatzes betragen oder zehn Millionen Dollar. Das ist viel mehr als für die Implementierung einer guten Sicherheitsinfrastruktur nötig ist.
Löhr: Hinzu kommt ja der direkte Schaden. Und dann haben wir noch gar nicht über die Schadenersatzforderungen Dritter gesprochen. Das alles kann ein Unternehmen schnell an den Rand der Existenz bringen. Interessant für Unternehmen ist, dass SSC und P3 das Thema Third Party Risk Management als Partnerschaft im Markt anbieten, wobei SSC die Technologie und P3 Beratung und den Managed Service liefert. Und diese Lösung können wir weltweit bereitstellen.

Wenn Sie einen Blick in die Zukunft werfen, was sehen Sie dann?
Löhr: Die Bedrohungslage ist sehr dynamisch und das wird sich noch verstärken. Daher werden Security Operations und die Governance externer Partner mehr und mehr verschmelzen, wenn es darum geht, Dritte als Teil der Angriffsfläche zu betrachten.

P3 steht an der Schnittstelle, an der technologische Expertise auf visionäres Denken trifft, um nachhaltigen Impact zu schaffen. www.p3-group.com

SecurityScorecard unterstützt TPRM- und SOC-Teams dabei, Risiken von Anbietern in ihrem gesamten Lieferanten-Ökosystem in großem Maßstab zu erkennen, zu priorisieren und zu beheben. www.securityscorecard.com