„Der Aufwand ist in unser aller Sinne“
Beim„Third Party Risk Management“sollten Unternehmen mit einem simplen Prozess und einer selektiven Auswahl der kritischsten Lieferanten starten.
(PresseBox) - Die meisten Standards in der Informationssicherheit, so auch der aktuelle Regierungsentwurf zum NIS2-Umsetzungsgesetz, beinhalten ausdrücklich den Grundsatz der Angemessenheit von Sicherheitsniveau und Risiko. Bei der Angemessenheit von Maßnahmen sollen auch Umsetzungskosten berücksichtigt werden. Es wird also niemand gezwungen, immer überall Security zu optimieren. Und es geht auch nicht darum, bei allen Lieferanten flächendeckend Security-Audits durchzuführen, „sondern darum, reale Risiken für Unternehmen und öffentliche Stellen pragmatisch und wirtschaftlich zu vermeiden“ betont Jannis Stemmann, CEO von CyberCompare.
Herr Stemmann, können Sie Tipps und Tricks aus der Praxis nennen?
Es sollten wichtige Fragen grundsätzlich geklärt sein: Wer kümmert sich um die Nachverfolgung von Punkten, die sich aus Prüfungen von Lieferanten ergeben? Beispielsweise um die Bewertung von Rückmeldungen aus externen Scans und Fragebögen, und der Abstimmung zwischen verschiedenen Abteilungen? Wir empfehlen in denmeisten Fällen, erstmal mit einem simplen Prozess und einer selektiven Auswahl der kritischsten Lieferanten zu starten. Ansonsten wird das eigene Team schnell überrollt von der zusätzlichen Arbeitslast.
Wie sollte der Prozess für die Cyber-Risikobewertung eines neuen kritischen Lieferanten aussehen?
Das hängt von der Ausgangslage und den möglichen Auswirkungen eines möglichen Cyberangriffs auf den Lieferanten ab. Bei einem mittelständischen Betrieb wird meist die einzig praktikable Option sein, sich in den Verträgen die Konformität mit Cyber Resilience Act, NIS2, eine Zertifizierung gem. ISO 27001 oder ähnlichem bestätigen zu lassen – bis hin zu aufwendigeren Nachweisen in Form eines BSI C5 oder SOC2 Testats. Für DORA-regulierte Finanzinstitute oder Organisationen im Verteidigungssektor kann das hingegen eine individuelle Bedrohungsanalyse, Erfassung von Selbstauskünften, Schwachstellenscans bis hin zu Tests der Wirksamkeit von Maßnahmen über Audits, Pen Tests, Purple Teamings und gemeinsamen Notfallübungen bedeuten. Die durchgeführten Kontrollen und Stresstests müssen dokumentiert werden, um den aufsichtsrechtlichen Berichtspflichten nachzukommen.
Betreiber kleinerer kritischer Infrastrukturen wie kommunale Versorger, Kliniken oder Transportbetriebe werden einen Mittelweg der beschriebenen Alternativen im Rahmen ihrer Budgets wählen. Ich denke aber, dieser teils erhebliche Aufwand ist in unser aller Sinne, schließlich geht es dabei um den Schutz lebenswichtiger Einrichtungen.
Und wie sollte ein Unternehmen reagieren, wenn sich das Risiko eines Lieferanten dramatischändert?
Wenn ein Unternehmen rechtzeitig erkennt, dass das Risiko durch einen Cyberangriff bei einem Lieferanten tatsächlich gestiegen ist, bevor dies zu merklichen Konsequenzen geführt hat, ist das ja erstmal ein großer Erfolg des Monitorings und der präventiven Systeme. Auch in dieser Situation hängt es stark von den regulatorischen Vorgaben ab, welche Maßnahmen notwendig sind. In jedem Fall macht es auch für nichtregulierte Unternehmen Sinn, bei kritischen Dienstleistungen und Systemen die Auswirkungen eines Ausfalls auf den Geschäftsbetrieb zu durchdenken, damit man beim Ernstfall nicht bei Null startet. Für mich ist eine logische Herangehensweise die gemeinsame Festlegung vonRecovery Time mit der Geschäftsleitung.
Weitere Informationen unter:www.cybercompare.com
Contentway ist eine führende, preisgekrönte Content-Marketing-Agentur, die spezialisierte medienübergreifende Kampagnen erstellt. Die Kampagnen werden mit den führenden Tageszeitungen sowie online auf unseren Nachrichten- und Partner-Webseiten verbreitet.
Unsere Aufgabe ist es, dafür zu sorgen, dass die Inhalte unserer Kunden ihr Zielpublikum erreichen und beeinflussen. Um ein Maximum an Aufmerksamkeit und Ergebnissen zu erzielen, werden alle unsere Kampagnen von Grund auf mit einem hohen Maß an journalistischer Qualität und strengen redaktionellen Richtlinien erstellt. Alle Kampagnen werden von uns intern produziert und über führende europäische Medien wie Tageszeitungen, Zeitschriften und viele der führenden Nachrichten- und Branchen-Websites verbreitet.
Contentway ist eine führende, preisgekrönte Content-Marketing-Agentur, die spezialisierte medienübergreifende Kampagnen erstellt. Die Kampagnen werden mit den führenden Tageszeitungen sowie online auf unseren Nachrichten- und Partner-Webseiten verbreitet.
Unsere Aufgabe ist es, dafür zu sorgen, dass die Inhalte unserer Kunden ihr Zielpublikum erreichen und beeinflussen. Um ein Maximum an Aufmerksamkeit und Ergebnissen zu erzielen, werden alle unsere Kampagnen von Grund auf mit einem hohen Maßan journalistischer Qualität und strengen redaktionellen Richtlinien erstellt. Alle Kampagnen werden von uns intern produziert undüber führende europäische Medien wie Tageszeitungen, Zeitschriften und viele der führenden Nachrichten- und Branchen-Websites verbreitet.
Datum: 10.11.2025 - 14:39 Uhr
Sprache: Deutsch
News-ID 2210812
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Manh Nam Nguyen
Stadt:
Hamburg
Telefon: +49 40 8740 7411
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 4 mal aufgerufen.
Der Fachartikel mit dem Titel:
"„Der Aufwand ist in unser aller Sinne“"
steht unter der journalistisch-redaktionellen Verantwortung von
Contentway GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).