Kennen Sie Ihre Anbieter gut genug?

Gefahren lauern überall. Ein Unternehmer installiert eine Videoleinwand und stellt die Rechnung an seinen Kunden über eine ungesicherte WLAN-Verbindung im Café aus– schon sind seine Unternehmensinformationen in Gefahr. Ein Hausmeister reinigt die Büroräume und verliert aus Versehen seinen Arbeitspass, den eine Person mit entsprechender krimineller Energie findet. Ein Techniker hält sich bei der Aktualisierung des mobilen Netzwerks eines Unternehmens nicht an die Sicherheitsprotokolle oder schlimmer noch: Er ist bereits Mitglied eines Hacker-Netzwerks oder – durch infizierte Hardware – zumindest dessen unwissentlicher Gehilfe.

Jede Kette ist nur so stark wie ihr schwächstes Glied. Das gilt auch für Mitarbeiter und Lieferanten sowie Software, Hardware und Netzwerke. Unternehmen überprüfen zwar oft ihre eigenen Mitarbeiter, vergessen jedoch häufiger, ihre Lieferanten gleichfalls zu kontrollieren. Laut Price-Waterhouse Cooper haben 74 Prozent aller Unternehmen keinen umfassenden Überblick über die Drittanbieter, die vertrauliche Daten verwalten. Nur 27 Prozent der Unternehmen verfügen über Prozesse für den Umgang mit Datenschutzverstößen. Dieser Bericht stammt zwar aus dem Jahr 2013 und seitdem hat sich die Situation bereits verbessert, dennoch sind die Bedenken der Branchenexperten bei weitem nicht ausgeräumt.

Zusätzlich wird von Beauftragten für die geschäftliche IT-Sicherheit und von IT-Managern eine immer weitergreifende Überwachung der Lieferkette erwartet. Tritt dennoch ein Schreckensszenario ein, ist dafür letztendlich das Führungsgremium verantwortlich. Glücklicherweise können Führungsgremien die die Risikobewertung von Anbietern als Priorität für die gesamte Unternehmenskultur festschreiben. Mit den im Folgenden aufgeführten Maßnahmen können Sie viele Sicherheitsrisiken vermeiden:

1. Risikobewertung innerhalb Ihres eigenen Netzwerks
Laut TechNewsWorld stehlen Hacker, die sich mit verschärften Netzwerkkontrollen konfrontiert sehen, nun Anmeldedaten über Lieferanten oder Drittanbieter; mithilfe dieser Daten können Sie sich dann in die entsprechenden Systeme einschleichen. Eine große Datenpanne des amerikanischen Einzelhändlers Target im Jahre 2013 war teilweise auf den Diebstahl der Anmeldedaten bei einem für einige Projektmanagement- und Abrechnungsdienstleistungen verantwortlichen Drittanbieter zurückzuführen. Ein Jahr später war wiederum ein Drittanbieter das Einfallstor, durch das sich Schadsoftware im Netzwerk von Home Depot verbreiten konnte.

Ernsthafte Sicherheitsrisiken drohen Unternehmen aber auch durch Insider, und das schon seit Langem. Dennoch sind sich Mitarbeiter oftmals der großen Risiken durch ein nicht abgemeldetes E-Mail-Konto, durch das Verwenden des gleichen Passworts für unterschiedliche Accounts und Dienstleistungen oder durch das offene Verwahren von Unterlagen im Büro-Schreibtisch nicht bewusst. Ähnliche Risiken entstehen auch durch Drittanbieter und Dienstleister, wenn diese auf Netzwerke zugreifen können und so Schwachstellen freilegen.

2. Kennen Sie Ihre Lieferanten und Drittanbieter gut genug?
Bei der Entscheidung für die Zusammenarbeit mit einem neuen Anbieter sollte Sicherheit oberste Priorität haben. Es ist einfach zu riskant, davon auszugehen, dass ein Anbieter ausreichende Sicherheitsmaßnahmen implementiert hat, ohne dies selbst zu kontrollieren. Überprüfen Sie den Anbieter gründlich; nur so stellen Sie sicher, dass er über Sicherheitsmaßnahmen, Zertifikate und Protokolle verfügt, die mindestens denen Ihres Unternehmens entsprechen.

Um zu gewährleisten, dass die Bewertung von Sicherheitsrisiken bei allen Anbieterentscheidungen eine große Rolle spielt, sollten Sie zum Beispiel bei dem von ihnen beauftragten Gebäudereinigungsunternehmen nachfragen, ob es Hintergrundüberprüfungen durchführt. Die gleiche Frage sollten Sie Technikern und anderen Anbietern oder Dienstleistern stellen. In dem Sie Anbieter zu seinen Sicherheitsmaßnahmen oder zu entsprechenden Freigaben und Schulungen befragen – und zwar vor der Auftragsvergabe –, können Sie schnell die Spreu vom Weizen trennen: Sie erkennen recht rasch, ob ein Anbieter Ihre Sicherheitsbedürfnisse respektiert – oder eben nicht.

3. Denken Sie an alle Anbieter!
Natürlich sollte jedes Unternehmen klare Richtlinien für interne und externe Sicherheitsüberprüfungen sowie die Zertifizierung aller Anbieter definieren. Wenn Sicherheit aber wirklich die höchste Priorität genießen soll, dann müssen Sie eine eindeutige, vollständige und stets aktuelle Anbieterliste erstellen, damit Ihre IT-Abteilung das Risikopotenzial jedes Anbieters genau bewerten kann. Das klingt einfach – doch genau dieses Mehr an Due Diligence verhindert vielleicht eine Katastrophe mit Millionenschaden.