Third Party Risk Management: Das Risiko lauert überall
Thomas Neuwert, neto consulting
Die Achtsamkeit in Sachen Informationssicherheit, IT-Security und Datensicherheit wächst vor dem Hintergrund sich häufender IT-Angriffe. Das ist eine gute Nachricht. Bedenklich findet Gastautor und Sicherheitsexperte Thomas Neuwert von neto consulting, dass die Security-Maßnahmen meist vor der eigenen Unternehmenshaustür enden. Die größten Risiken lauern aber bei Drittparteien.
Vor rund zwei Jahren führte uns eine Havarie im Suez-Kanal vor Augen, wie verletzlich Lieferketten und damit die gesamte Weltwirtschaft sein können. Damals stellte sich das 400 Meter lange, fast 60 Meter breite und mehr als 32 Meter hohe Containerschiff „Ever Given“ in der bedeutsamen Meeresverbindung quer – und plötzlich kollabierten weltweit über Tage, Wochen, Monate die Lieferketten. Nichts ging mehr auf der bekannten Meeresschnellstraße. Die Containerschiffe stauten sich– und mussten riesige Umwege in Kauf nehmen. Das Beispiel „Ever Given“ zeigte eines exemplarisch: Ketten reißen meist dort, wo das schwächste Glied liegt – in dem Fall der enge Kanal. Und sie reißen immer dann, wenn es niemand erwartet. Und die Folgen sind in einer immer stärken vernetzten und verzweigten Wirtschaft immens.
Was die Schiffshavarie mit IT-Risiken verbindet
Der Fall „Ever Given“ ist zwar ein singuläres Ereignis. Aber eines, das sich übertragen lässt auf andere Bereiche – allen voran der sichere Umgang mit Daten und die IT Infrastruktur. Der beste Schutz, das beste Konzept für Logistikabläufe oder IT-Sicherheit nützen nichts, wenn nicht auch die Business-Partner entsprechende Sorgfalt walten lassen. Im Fall der „Ever Given“ waren viele deutsche Mittelständler die Leidtragenden, weil ihre Zulieferungen stockten. Im Fall von IT-Verstößen von Drittparteien sind es auch die Hauptunternehmen, die mit in den Negativstrudel gezogen werden.
Viel Luft nach oben beim Third Party Risk Management
Um es klar zu formulieren: Beim Thema Third Party Risk Management steht es in der deutschen Wirtschaft nicht zum Besten. Die höchsten eigenen Sicherheitsstufen nützen nichts, wenn im Umgang mit Datenrisiken gerade bei Servicepartnern etwa in der Cloud schlampig umgegangen wird. Kein Unternehmen kann es sich heute noch leisten, sich so abzuschotten von der Welt wie vielleicht noch das Regime in Nordkorea. Es muss Datenwege in Unternehmen hinein und aus Unternehmen herausgeben – für Kundinnen und Kunden, Mitarbeiterinnen und Mitarbeiter oder die zahlreichen Lieferanten und Business-Partner. Und es muss möglich sein, aus Effizienz- und Kostengründen Daten und Services mit Drittparteien zu teilen oder bei ihnen vor allem in der Cloud zu parken.
Doch damit wachsen zugleich die Angriffspunkte. Wenn Drittanbieter ins Spiel kommen, können sich Unternehmen nicht auf die Selbsteinschätzung dieser Anbieter verlassen. Jeder Verstoß bei den Third Parties kann zu erheblichen finanziellen Einbußen und Reputationsschäden führen.
Partnerschaften mit Drittanbietern managen und überwachen
Die Partnerschaften mit Drittanbietern müssen kontinuierlich gemanagt werden. Sie sind mit gravierenden Geschäftsrisiken verbunden und verlagern Kontrollaspekte über die Grenzen eines Unternehmens hinaus.
Nach Angaben des Global Cybersecurity Outlook 2022 (PDF) des Weltwirtschaftsforums in Davos sind indirekte Cyberangriffe – also gelungene Einbrüche in Unternehmensnetzwerke über den Umweg bei Drittanbietern – in den vergangenen Jahren von 44 auf 61 Prozent gestiegen. Immer häufiger werden Unternehmen nicht direkt angegriffen, sondern über Drittparteien, deren IT-Dienste, Soft- oder Hardware kompromittiert werden. In Deutschland waren bereits große Namen wie Audi, Volkswagen oder Mercedes-Benz betroffen – und es werden auch im Mittelstand mehr. Neben den IT-Partnern in der Cloud sollten sich Unternehmen im eigenen Sicherheitsinteresse auch sehr genau mit der Data Security bei ihren Lieferanten und Partnern beschäftigen. Und im Fall des Falles muss sichergestellt sein, dass eine Third Party die anderen im Netzwerkverbund umgehend über die Attacke und ggf. getroffene Maßnahmen informiert. Das sollte bereits im Vorfeld vertraglich abgesichert sein. Dennoch sollte jedes Unternehmen sichergehen und diese kritischen IT-Schnittstellen selbst im Auge behalten und überprüfen.
Titel-Bild: Freepik
—
Über den Autor
Thomas Neuwert ist Geschäftsführer des Beratungshauses neto consulting in Rosenheim. Das Unternehmen bietet Beratung für Governance, Risk und Compliance aus einem Guss. Für eine automatisierte Lösungen setzt neto consulting als Kernprodukt auf „embedded GRC“ von GORISCON: Es ermöglicht Firmen durch IT-gestützte Abläufe eine effiziente und ressourcenschonende Umsetzung in unterschiedlichen Bereichen – von der Informationssicherheit über den Datenschutz bis zum Risikomanagement
