Blog von ISPIN

Drittpartei-Risiken: Wie ein Elefant im digitalen Laden

/ Kategorie: CISO
Erstellt von Reto Zeidler

Obwohl die Schweiz bei der Digitalisierung zu den führenden Ländern gehört, haben erst rund ein Drittel der Unternehmen mit der Realisierung ihrer Digitalstrategie begonnen. Ein Grund für die Zurückhaltung liegt in den Cyberrisiken. Dabei spielt das Thema Drittpartei-Risiko eine unterschätzte Rolle.

Drittpartei-Cyberrisiko

Zunächst eine gute Nachricht: Gemäss IMD Digital Competitive Ranking 2019 liegt die Schweiz auf Platz 5 von 58 bewerteten Volkswirtschaften. Das lässt darauf schliessen, dass bei uns die Rahmenbedingungen für die Umsetzung von digitalen Geschäftsmodellen ausgezeichnet sind. Bei der tatsächlichen Umsetzung der Digitalisierungspläne hingegen sieht es anders aus. Erst 35 % der Unternehmen in der Schweiz haben bereits mit der Realisierung begonnen. Zu diesem Schluss kommt die IDC Swiss ICT Studie 2020. In der gleichen Studie nennen die Unternehmen, neben fehlendem Know-how, vor allem Cyberrisiken als grössten Hinderungsfaktor. Bei diesen Risiken denken wir in erster Linie an den Schutz von Anwendungen und Identitäten gegen Angriffe von aussen. Das ist ohne Frage eine der Herausforderungen, deckt aber einen relevanten Aspekt nicht ab − diesen häufig übersehenen Risikofaktor: Das Drittpartei-Risiko, im Englischen bekannt als Third Party Risk Management oder kurz TPRM. 

«Ohne Berücksichtigung des Drittpartei-Risikos kann es keine echte Cyber Security geben»

Digitalisierung bedeutet automatisch auch die Einbindung von Partnern und Lieferanten in das eigene digitale Ökosystem. Erst durch diese Vernetzung entsteht der eigentliche Nutzen für Unternehmen, Kunden und Partner. Gleichzeitig entstehen aber leider auch neue Risiken – Risiken, derer sich viele Unternehmen zu wenig bewusst sind. Einer der wohl spektakulärsten Fälle ereignete sich 2018, als der Missbrauch von Facebook-Daten durch dessen Kunde Cambridge Analytica bekannt wurde. Tatsächlich sind solche Cyber-Zwischenfälle, bei denen der Schaden nicht durch das Unternehmen selbst, sondern durch einen Partner, Lieferanten oder Kunden verursacht wird, recht häufig. Gemäss Schätzungen gehen fast die Hälfte der Datenschutzverletzungen auf das Konto solcher Drittpartei-Risiken. Das eigentliche Problem dabei liegt bereits im Namen. Auch Haftungsklauseln und Gerichtsverfahren ändern meist wenig. Am Ende trägt das betroffene Unternehmen den grössten Schaden davon. Im regulierten Finanzsektor ist das Problem seit längerem ein intensives Thema. Bereits 2008 hat die FINMA dazu erstmals einschlägige Richtlinien erlassen. Diese wurden seither kontinuierlich präzisiert. In den übrigen Industriesektoren steht man diesbezüglich weiterhin vor grossen Herausforderungen.

Trotz seiner zunehmenden Bedeutung wird das Drittpartei-Risiko in vielen Organisationen überraschend stiefmütterlich, manchmal schon fast fahrlässig behandelt. Und dies, obwohl davon ausgegangen werden kann, dass mittlerweile die meisten Unternehmen über ein systematisches Risikomonitoring ihrer Lieferketten verfügen. Nur leider allzu oft unter Ausschluss der Cyberrisiken. 

«Der umsichtige Umgang mit Cyberrisiken wird in Zukunft ein entscheidender Wettbewerbsfaktor sein»

An den Grundlagen und Methoden kann es kaum liegen. Es gibt mittlerweile eine Vielzahl von TPRM-Modellen für die verschiedensten Industrien. Diese beziehen auch oder insbesondere Drittpartei-Cyberrisiken mit ein. Es scheint daher vielmehr an der praktischen Komplexität zu liegen. Ein effizientes TPRM setzt voraus, dass die vielfältigen Beziehungen eines Unternehmens zu Lieferanten, Partnern und Kunden nach quantitativen und qualitativen Kriterien in verschiedene Risikoklassen unterteilt und entsprechend beurteilt werden. Für diese Risikokategorien werden dann entsprechende Anforderungen und Massnahmen definiert, die dann schlussendlich auch in einem geeigneten Intervall überprüft werden müssen.

Allein für den ersten Schritt, die Risikoqualifizierung, fehlt häufig das erforderliche Know-how. Nicht selten aber fehlt die notwendige Transparenz darüber, wer auf welche Daten zugreift. Aber auch die Bestimmung der für die Risikoklassen angemessenen Massnahmen erfordert spezifisches Fachwissen. Denn in den meisten Fällen handelt es sich um eine Mischung von administrativen und technischen Massnahmen. Kurzum, TPRM ist ein Thema, welches weder die Rechtsabteilung, die IT- oder die Informationssicherheitsverantwortlichen alleine umsetzen können. 

Man muss sich auch darüber im Klaren sein, dass sich die zunehmende Bedeutung eines sorgfältigen Drittpartei-Risikomanagements bereits aus der technischen Entwicklung erklärt. Unter Cyberrisiken hatten wir in der Vergangenheit in erster Linie den Schutz von Informationen vor Augen. Hingegen beziehen viele digitale Transformationsprojekte auch «Dinge» mit ein, welche unsere physische Welt ansteuern. Man denke dabei an Connected Cars, die Möglichkeit von Ärzten, aus der Ferne Operationen durchzuführen oder auch an Roboter-gesteuerte Logistik. Zwischenfälle in diesen digitalen Ökosystemen haben das Potential, Menschen ernsthaft in Gefahr zu bringen.

Pflicht oder Chance: Die zwei Seiten der Medaille des Dritt-Partei-Risikos

Ob ein Unternehmen die digitale Transformation erfolgreich umsetzen kann oder nicht, hängt also nicht zuletzt von der Fähigkeit ab, mit Drittpartei-Risiken erfolgreich umgehen zu können. Das ist ohne Zweifel eine grosse Herausforderung. Diese Herausforderung lässt sich auch andersherum betrachten. Im Rahmen der fortlaufenden Digitalisierung sind Unternehmen darauf angewiesen, dass ihre Partner und Lieferanten die entsprechenden Standards einhalten. Der Druck auf die Lieferketten wird daher deutlich zunehmen. 

Unternehmen, die jederzeit nachweisen können, dass sie einen umsichtigen Umgang mit Cyberrisiken pflegen und über die notwendige Cyber-Resilienz verfügen, sind klar im Vorteil. Damit besteht die Chance, aus einem Risiko einen Wettbewerbsvorteil zu machen, der ausserdem in Zukunft deutlich an Bedeutung zunehmen wird.

Zusammen. Sicher.

Welches Security-Niveau hat Ihr Unternehmen? Kennen Sie Ihre Elefanten im digitalen Raum? Möchten Sie wissen wie Sie sich vor Drittpartei-Risiken schützen können?
Wir unterstützen Sie gerne. Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.

Reiner Höfinger

Marketing & Communications

Kontakt

ContactKontaktNewsletterGo to top