Wachstum und Modernisierung von Unternehmen verstärken die Abhängigkeit von Drittanbietern. Von Lohnbuchhaltern und Patentanwälten bis hin zu Softwareanbietern und Logistikpartnern sind diese externen Beziehungen für den Geschäftsbetrieb unerlässlich geworden. Doch jede neue Einbindung eines Anbieters öffnet auch eine neue Tür für Cyber-Risiken – und zu viele dieser Türen bleiben unbewacht.
Das Sicherheitsrisiko durch Dritte ist kein theoretisches Problem, sondern eine eskalierende, unternehmensweite Bedrohung, die zu Betriebsunterbrechungen, Reputationsverlusten und Complianceverletzungen führen kann. Doch trotz des Ausmaßes dieses Problems delegieren viele Organisationen das Management des Risikos durch Anbieter weiterhin an die Beschaffungsteams, deren Ansatz sich allzu oft auf jährliche Checklisten und Fragebögen zur Selbsteinschätzung beschränkt.
Diese Strategie ist nicht nur überholt, sie ist schlichtweg gefährlich.
Eine Studie von PwC zeigt, dass nur 31 % der Unternehmen das Cyber-Sicherheitsrisiko durch Anbieter im Rahmen formeller, unternehmensweiter Prozesse bewerten. Die anderen sind im Blindflug unterwegs. In einer Welt, in der selbst mittelständische Unternehmen oft Dutzende (oder Hunderte) von Anbieterbeziehungen unterhalten – oftmals mit privilegiertem Zugriff auf sensible Systeme und Daten – ist dieser Status quo unhaltbar.
Das Cyber-Sicherheitsrisiko durch Drittanbieter stellt für fast jedes Unternehmen eine existenzielle Bedrohung dar und erfordert dringliche Maßnahmen seitens der Führungsebene.
Wie Risiken durch Drittanbieter zu Cyber-Schwachstellen werden
Es gibt zahlreiche schlagzeilenträchtige Beispiele für anbieterseitige Risiken, die sich zu massiven Cyber-Sicherheitsproblemen entwickelt haben. Der vielzitierte SolarWinds-Angriff von 2020 und der Hackerangriff auf den US-Einzelhandelsriesen Target im Jahr 2013 sind anschauliche Beispiele dafür, was passiert, wenn das Risiko durch Dritte zu einer offenen Hintertür für Ihr Unternehmen wird. Hierbei handelt es sich keineswegs um Einzelfälle. In allen Branchen nutzen Angreifer das schwächste Glied in der digitalen Lieferkette aus – oft mit verheerenden Folgen.
Die Angreifer von heute beschränken sich nicht auf herkömmliche IT-Anbieter. Sie nehmen mit genauso hoher Wahrscheinlichkeit Finanzdienstleister, Cloud- und Telekommunikationspartner sowie Energieversorger ins Visier. Jeder Dritte mit direkter oder indirekter Anbindung an Ihre Systeme ist gefährdet, von Softwareentwicklern, OEMs und Distributoren bis hin zu den Kunden.
Sind Angreifer erst einmal in die Infrastruktur eingedrungen, lassen sie sich meist Zeit. Sie breiten sich im Netzwerk aus und machen Jagd auf vertrauliche Informationen: Kundendaten, geistiges Eigentum und Zugangsdaten. Oftmals betten sie Malware in APIs, Browser-Plug-ins oder Aktualisierungsmechanismen ein und umgehen Schutzmaßnahmen, indem sie vertrauenswürdige Prozesse imitieren.
Die Softwarelieferkette ist besonders gefährdet. Eine Studie der Enterprise Strategy Group zeigt, dass 41 % der Softwarelieferketten von Unternehmen Zero-Day-Angriffe erlitten haben, bei denen neue oder bisher unbekannte Schwachstellen im Code von Drittanbietern ausgenutzt wurden. Zudem gaben 40 % der befragten Unternehmen an, dass sich Angreifer über Fehlkonfigurationen eines Cloud-Dienstes Zugang zu ihren Systemen verschaffen konnten.
Das sind keine Ausnahmefälle, sondern Warnhinweise, die bestätigen, was die meisten CISOs ohnehin schon wissen: Risiken durch Dritte betreffen nicht nur die Cyber-Sicherheit. Sie bedrohen das gesamte Unternehmen und erfordern ständige Wachsamkeit.
Die schwerwiegenden Folgen von Angriffen über Drittanbieter
Angriffe über Drittunternehmen verlaufen oft im Stillen und wenn sie aufgedeckt werden, ist der Schaden bereits angerichtet.
Wenn auch nur ein einziger Partner kompromittiert wird, kann dies weitreichende Folgen haben: von der Offenlegung sensibler Daten bis hin zu Betriebsstörungen. So werden Unternehmen in einen langen Zyklus aus forensischen Untersuchungen, Abhilfemaßnahmen und Wiederherstellungsprozessen gezwungen. Unternehmen haben dann aber nicht nur mit Systemausfällen zu kämpfen, auch das Vertrauen seitens der Kunden, Aufsichtsbehörden, Partner und der Öffentlichkeit wird untergraben.
Allein die regulatorischen Folgen können gravierend sein. Datenschutzregelungen wie die europäische DSGVO, das brasilianische LGPD und der US-amerikanische HIPAA für das Gesundheitswesen nehmen heute Unternehmen für Verstöße in die Verantwortung – unabhängig vom Ursprung der Sicherheitslücke. Finanzielle Sanktionen sind eine Sache, ein langfristiger Imageschaden ist eine andere.
Was das Risiko durch Dritte so gefährlich macht, ist die Tatsache, dass es sich parallel zum Unternehmenswachstum vergrößert. Jeder neue Anbieter, jede zusätzliche Integration und jeder Vorstoß in einen neuen Markt vergrößert die Angriffsfläche, die ohne Echtzeiteinblicke in die Ökosysteme der Partner zu einem Bereich voller toter Winkel wird – und Angreifer werden immer besser darin, diese zu finden und auszunutzen.
Was Unternehmen JETZT tun sollten
Die Zunahme der Risiken durch Dritte macht mehr als nur neue Prozesse erforderlich. Sie verlangt nach einem Umdenken. Herkömmliche Ansätze wie statische Audits, Anbieterfragebögen und einmalige Compliancechecks reichen in einer Zeit, in der sich die Angriffsfläche durch externe Beziehungen ständig vergrößert, nicht mehr aus.
Folgendes muss sich ändern:
- Klassifizierung von Anbietern nach geschäftlicher Kritikalität: Nicht alle Risiken durch Drittanbieter sind gleichwertig und Ihre Erwartungen an die Cyber-Sicherheit sollten das widerspiegeln. Unternehmen sollten ein mehrstufiges Modell einführen, das die Anbieter je nach ihrer Wichtigkeit für die Organisation und dem Grad ihres Systemzugriffs in Risikokategorien einteilt. Setzen Sie bei geschäftskritischen Anbietern die kompromisslose Einhaltung von Richtlinien nach dem Zero-Trust-Prinzip durch, einschließlich strenger Identitätsprüfung, Segmentierung und kontinuierlicher Überwachung. Bei Lieferanten mit mittlerem oder geringem Risiko reicht es, sicherzustellen, dass die Mindestanforderungen an die Sicherheit nach einem proportional gestaffelten Ansatz erfüllt werden.
- Risikobewertung in Echtzeit anstelle von Momentaufnahmen: Drittanbieterumgebungen können sich ändern. Was heute sicher ist, kann schon morgen zur Gefahr werden. Entsprechend müssen sich auch Risikobewertungen weiterentwickeln. Die regelmäßige Überprüfung langjähriger Beziehungen zu Anbietern ist ebenso wichtig wie die Kontrolle neuer Beziehungen.
- Unternehmensweite Durchsetzung des Zero-Trust-Prinzips: Ein Zero-Trust-Modell sollte für das gesamte Unternehmen gelten, auch für Anbieter. Wenn der Partnerzugriff nicht segmentiert ist, Identitäten nicht an jedem Eintrittspunkt überprüft werden und die Infrastruktur nicht auf anomales Verhalten überwacht wird, dann ist Ihre Verteidigung nur so stark wie Ihr schwächster Punkt.
- Ausweitung Ihrer eigenen Richtlinien auf Anbieter: Es ist davon auszugehen, dass die Sicherheitsansätze Ihrer Partnerunternehmen weniger strikt sind als Ihre eigenen. Daher sollten Sie darauf bestehen, dass Ihre Lieferkette sich ausnahmslos an Ihre internen Richtlinien hält – vom Umgang mit Daten bis hin zu Incident-Response-Prozessen.
- Moderne Threat-Intelligence- und Automatisierungsansätze: Es ist heutzutage durchaus möglich, sich Einblick in die Risiken durch Drittanbieter zu verschaffen. Allerdings erfordert dies Investitionen in intelligente Lösungen. AI- und ML-gestützte Funktionen können Schwachstellen aufdecken, bevor sie ausgenutzt werden, insbesondere wenn sie kontinuierlich und in Echtzeit mit Telemetrie und Threat Intelligence versorgt werden.
- Proaktives Teilen von Threat Intelligence mit geschäftskritischen Partnern: Unternehmen müssen nicht nur ihre eigene Infrastruktur schützen, sondern auch die kollektive Sicherheit ihrer Ökosysteme stärken. Eine Mindestanforderung ist der bidirektionale Informationsaustausch mit geschäftskritischen Anbietern, insbesondere in Branchen wie Energieversorgung, Gesundheitswesen und Einzelhandel, die keine so strikten Sicherheitspraktiken wie der Finanzsektor haben. Schließlich geht ein Sicherheitsverstoß in Ihrer Lieferkette auf Ihre Kosten.
- Ausdehnung der Verantwortlichkeit auf das gesamte Ökosystem: Ihre Verbindung zu einem Drittanbieter ist mehr als eine reine Geschäftsbeziehung – sie stellt eine Erweiterung Ihres digitalen Umfelds dar. Und das ist mit Verantwortung verbunden. Deshalb muss die kontinuierliche Sicherheitsüberwachung ein integraler Bestandteil Ihres Beschaffungsprozesses sein und kein Nachgedanke.
Letztendlich geht es nicht um die Frage, ob Ihre Anbieter und Partner ein Risiko darstellen. Wichtig ist vielmehr, risikobehaftete Beziehungen zu identifizieren und zu wissen, wie Sie diese Risiken mindern können. Die zunehmende Kontrolle durch Aufsichtsbehörden und die immer raffinierter werdenden Cyber-Angriffe lassen keinen Platz für Mutmaßungen oder einen Vertrauensvorschuss.
Ein strikteres Vorgehen gegen Risiken durch Dritte zielt nicht nur darauf ab, die nächste Sicherheitsverletzung zu vermeiden. Es geht darum, das Unternehmen zu schützen, das Sie in harter Arbeit aufgebaut haben, und seinen Ruf zu wahren, den Sie nicht verlieren dürfen.
Haben Sie Interesse an weiteren Beiträgen von Haider Pasha? Dann werfen Sie hier einen Blick auf seine anderen Artikel.
1„How SOC reporting can help assess cybersecurity risk management in third-party relationships—and beyond“, PwC, 2022.
2„The growing complexity of securing the software supply chain“, Enterprise Strategy Group, Mai 2024.
