Schulungen zum Sicherheitsbewusstsein bei Drittanbietern
Veröffentlicht am: 11 Okt. 2021
Zuletzt geändert am: 24 Juli 2025
Ein effektiver Weg, um die Schwachstellen von Drittanbietern in den Griff zu bekommen, ist die Durchführung von Sicherheitsschulungen bei Drittanbietern.
Das Anbieter-Ökosystem ist ein integraler Bestandteil vieler Unternehmen und bietet Unterstützung für ein erfolgreiches Geschäft. Diese enge, oft komplexe Beziehung zwischen Anbietern hat zu Schwachstellen geführt, die Hacker ausnutzen. Schulungen zum Sicherheitsbewusstsein bei Drittanbietern sind extrem wichtig.
Das Ausmaß dieser Schwachstellen bei Drittanbietern wurde in einer Umfrage von Opinion Matters aus dem Jahr 2020 erfasst: Die Umfrage untersuchte die Sicherheitsprobleme im Ökosystem von Drittanbietern bei CIOs, CISOs und Chief Procurement Officers. Eines der besorgniserregendsten Ergebnisse des Berichts war, dass etwa 82% der britischen Unternehmen eine Sicherheitsverletzung erlitten haben, die ihren Ursprung im breiteren Ökosystem der Anbieter hat. Die Umfrage zeigte auch, dass Großbritannien den geringsten Überblick über Sicherheitslücken in der Lieferkette hat.
Umgang mit den Sicherheitsimplikationen der Nutzung von Drittanbietern
Die Schulung des Sicherheitsbewusstseins bei Drittanbietern ist ein ganzheitlicher Prozess, bei dem viele Komponenten in Bewegung sind. Aufgrund der Komplexität dieser Systeme führen sowohl die versehentliche Offenlegung von Daten als auch die gezielte Angriffe auf die Cybersicherheit in der Lieferkette zu ernsthaften Sicherheitsbedrohungen und einem erhöhten Unternehmensrisiko.
Unternehmen, die mit Lieferanten und andere Dritte, sind in der Regel für die Folgen eines Cyberangriffs verantwortlich, selbst wenn der Fehler bei einer dritten Partei liegt. Verordnungen wie z.B. ISO27001 und PCI DSS (Payment Card Industry Data Security Standard) haben Anforderungen, die erwarten jede Datenrisiken im Zusammenhang mit Drittanbietern verwaltet werden.
A Eine aktuelle Studie der ENISA hat ergeben, dass 58% der Angriffe darauf abzielen, sich Zugang zu Daten zu verschaffen, wobei 62% der Angriffe davon abhängen, das Vertrauen der Kunden in der Lieferkette zu manipulieren. Der ENISA-Bericht besagt Folgendes:
„Starke Sicherheitsvorkehrungen reichen für Unternehmen nicht mehr aus, wenn die Angreifer ihre Aufmerksamkeit bereits auf die Zulieferer verlagert haben.“
Die Berichterstattung über Vorfälle wurde in dem Bericht ebenfalls als mangelhaft bezeichnet, was sich auf die Sichtbarkeit von Schwachstellen in der gesamten Kette auswirkt.
Angesichts der Tatsache, dass Lieferketten für so viele Cyberangriffe verantwortlich sind, ist es von entscheidender Bedeutung, sich auf die menschliche Seite der Cybersicherheit zu konzentrieren, indem sichergestellt wird, dass sich alle Drittparteien der Herausforderungen der Sicherheit voll bewusst sind. Das menschliche Element in der Gleichung der Cybersicherheitsbedrohungen wird in Form von Sicherheitsschulungen angegangen. Aber wie kann ein Unternehmen Sicherheitsschulungen mit Drittanbietern durchführen?
Wichtige Fragen bei der Durchführung von Sicherheitsschulungen mit Drittanbietern
Die Bewältigung der Sicherheitslücken in der Lieferkette hängt von der Schulung der Mitarbeiter in dieser Kette ab. Das Management der Sicherheitsschulungen für Drittanbieter und Mitarbeiter wirft einige wichtige Fragen auf:
Verfügt der Drittanbieter über ein Sicherheitstraining?
Finden Sie heraus, ob Ihr Lieferant bereits ein Schulungspaket für das Sicherheitsbewusstsein anbietet? Denken Sie jedoch daran, dass nicht alle Pakete für das Sicherheitsbewusstsein gleich sind. Das Niveau der Schulung muss den Erwartungen Ihres Unternehmens entsprechen. Stellen Sie sicher, dass die Schulungen in regelmäßigen Abständen durchgeführt werden. Ein schlechtes Trainingspaket, das keine interaktiven und ansprechenden Schulungsmaterialien verwendet, wird möglicherweise nichts ändern schlechtes Sicherheitsverhalten der Mitarbeiter.
Setzt der Anbieter Phishing-Simulationen und andere Maßnahmen zur Sensibilisierung für Phishing ein?
In einem Umfrage von Thales aus dem Jahr 2021 rangiert Phishing auf Platz 3 der zehn größten Datenbedrohungen. Malware und Ransomware, die oft durch Phishing ausgelöst werden, lagen auf Platz 1 bzw. 2.
Phishing-Simulationen führen einen Mitarbeiter durch sorgfältig konfigurierte automatisierte Phishing-Simulationsübungen. Mit der Zeit gewinnen die Mitarbeiter so das Vertrauen, dass sie wissen, wie sie die Anzeichen von Phishing erkennen und die Bedrohung melden können. Erkundigen Sie sich bei Ihrem Anbieter, ob er Phishing-Simulationen einsetzt, und wenn nicht, helfen Sie ihm, ein Programm zu entwickeln, das typische Phishing-Betrügereien simuliert, die Ihre Branche betreffen.
Bewerten Sie jede bestehende Schulungskampagne zum Thema Sicherheitsbewusstsein mit Drittanbietern
Sobald Sie sich vergewissert haben, dass der Anbieter über ein Schulungsprogramm für das Sicherheitsbewusstsein verfügt, können Sie dessen Wirksamkeit überprüfen:
- Belege für die Schulung, z. B. die Teilnahme der Mitarbeiter an den Schulungen, die Art der von den Teilnehmern gestellten Fragen usw.
- Metriken zur Effektivität der Schulungen, z. B. wie viele Mitarbeiter waren in der Lage, eine Phishing-Nachricht zu erkennen und sie zu melden?
Metriken helfen dabei, gezielte Änderungen an einem Programm vorzunehmen, die zu noch besseren Trainingsergebnissen führen.
Was ist, wenn Ihr Drittanbieter keine Sicherheitsschulungen durchführt?
Es wird immer wichtiger, das menschliche Element des Cyber-Risikos zu berücksichtigen. Eine weitere Der ENISA-Bericht ergab, dass 95 % der Phishing-E-Mails menschliches Eingreifen erfordern, um eine Malware-Infektion auszulösen. Darüber hinaus muss auch die Bedrohung durch versehentliche Insider in Betracht gezogen werden; die Verizon Data Breach Investigations Report, 2021, der feststellt, dass 22% der Sicherheitsvorfälle Insider betreffen.
Die Mitarbeiter von Lieferanten müssen in Bezug auf die Sicherheit genauso geschult werden wie die Mitarbeiter Ihres Unternehmens. Um dies zu bewerkstelligen, muss das Service Level Agreement (SLA) zwischen Ihrem Unternehmen und Ihrem Lieferanten das von Ihnen erwartete Niveau der Schulungen widerspiegeln. Diese rechtliche Vereinbarung sollte vorschreiben, dass die Details des Sicherheitstrainingsprogramms nach Ihren eigenen Standards genehmigt werden. Eine SLA, die eine Klausel für die Bereitstellung von Sicherheitsschulungen enthält, zeigt, dass sich der Anbieter sowohl für seine als auch für Ihre Sicherheit einsetzt.
Großartige Drittanbieter sichern einen Wettbewerbsvorteil, aber Sicherheitslücken können einen großartigen Anbieter in eine Belastung verwandeln.
Cyberkriminelle suchen nach dem schwächsten Glied in der Kette, dem Lieferanten und seinen Mitarbeitern. Um sicherzustellen, dass diese Schwachstellen in der Kette beseitigt werden, sollten Sie dafür sorgen, dass die Sicherheitsschulungen bei Drittanbietern sorgfältig durchgeführt werden, damit sie den Erwartungen und Standards entsprechen, die Sie erwarten.
