Eine wirksame Methode zur Behebung von Schwachstellen bei Drittanbietern ist die Durchführung von Sicherheitsschulungen bei Drittanbietern.
Das Anbieter-Ökosystem ist ein integraler Bestandteil vieler Unternehmen und trägt zum Erfolg eines Unternehmens bei. Diese enge, oft komplexe Beziehung zwischen Anbietern hat zu Schwachstellen geführt, die Hacker ausnutzen. Die Schulung des Sicherheitsbewusstseins bei Drittanbietern ist äußerst wichtig.
Das Ausmaß dieser Schwachstellen bei Drittanbietern wurde in einer Umfrage von Opinion Matters aus dem Jahr 2020 erfasst: Die Umfrage untersuchte Sicherheitsfragen im Ökosystem von Drittanbietern bei CIOs, CISOs und Chief Procurement Officers. Eines der besorgniserregendsten Ergebnisse des Berichts war, dass rund 82 % der britischen Unternehmen von einer Sicherheitsverletzung betroffen waren, die ihren Ursprung im breiteren Ökosystem der Anbieter hatte. Die Umfrage zeigte auch, dass das Vereinigte Königreich den schlechtesten Überblick über die Sicherheitsschwachstellen in der Lieferkette hat.
Bewältigung der Sicherheitsauswirkungen des Einsatzes von Drittanbietern
Die Schulung des Sicherheitsbewusstseins bei Drittanbietern ist ein ganzheitlicher Prozess, der viele bewegliche Teile umfasst. Aufgrund der Komplexität dieser Systeme führen sowohl die versehentliche Offenlegung von Daten als auch die gezielte Angriffe auf die Cybersicherheit in der Lieferkette zu ernsthaften Sicherheitsbedrohungen und einem erhöhten Unternehmensrisiko.
Unternehmen, die auf Zulieferer und andere Dritte zurückgreifen, sind in der Regel für die Folgen eines Cyberangriffs verantwortlich, selbst wenn der Fehler bei einer dritten Partei liegt. Vorschriften wie ISO27001 und PCI DSS (Payment Card Industry Data Security Standard) enthalten Anforderungen, die erwarten, dass alle Datenrisiken im Zusammenhang mit Drittanbietern gehandhabt werden.
Eine kürzlich von der ENISA durchgeführte Studie ergab, dass 58 % der Angriffe darauf abzielen, Zugang zu Daten zu erlangen, und 62 % der Angriffe darauf beruhen, das Vertrauen der Kunden in der Lieferkette zu manipulieren. Der ENISA-Bericht besagt Folgendes:
"Einstarker Sicherheitsschutz reicht für Unternehmen nicht mehr aus, wenn Angreifer ihre Aufmerksamkeit bereits auf Zulieferer verlagert haben."
Auch die Berichterstattung über Vorfälle wurde in dem Bericht als unzureichend bezeichnet, was sich auf die Sichtbarkeit von Schwachstellen in der gesamten Kette auswirkt.
Angesichts der Tatsache, dass Lieferketten für so viele Cyberangriffe verantwortlich sind, ist es von entscheidender Bedeutung, sich auf die menschliche Seite der Cybersicherheit zu konzentrieren, indem sichergestellt wird, dass sich alle Dritten der Herausforderungen der Sicherheit voll bewusst sind. Das menschliche Element in der Gleichung der Cybersicherheitsbedrohungen wird in Form von Schulungen zum Sicherheitsbewusstsein angesprochen. Aber wie kann ein Unternehmen die Sicherheitsschulung mit Drittanbietern durchführen?
Wichtige Fragen bei der Durchführung von Sicherheitsschulungen mit Drittanbietern
Die Bewältigung der Sicherheitslücken in der Lieferkette hängt von der Schulung der Mitarbeiter in dieser Kette ab. Bei der Durchführung von Sicherheitsschulungen für Drittanbieter und Mitarbeiter stellen sich mehrere wichtige Fragen:
Verfügt die Drittpartei über eine Sicherheitsschulung?
Finden Sie heraus, ob Ihr Lieferant bereits ein Schulungspaket für das Sicherheitsbewusstsein anbietet. Bedenken Sie jedoch, dass nicht alle Pakete für das Sicherheitsbewusstsein gleich sind. Das Niveau der Schulung muss den Erwartungen Ihres Unternehmens entsprechen. Überprüfen Sie, ob die Schulungen in regelmäßigen Abständen durchgeführt werden. Ein mangelhaftes Schulungspaket, das keine interaktiven und ansprechenden Schulungsmaterialien verwendet, kann das schlechte Sicherheitsverhalten der Mitarbeiter nicht ändern.
Setzt der Anbieter Phishing-Simulationen und andere Maßnahmen zur Sensibilisierung für Phishing ein?
In einer Umfrage von Thales aus dem Jahr 2021 rangiert Phishing auf Platz 3 der zehn größten Bedrohungen für Daten. Malware und Ransomware, die häufig durch Phishing initiiert werden, lagen auf Platz 1 bzw. 2.
Bei Phishing-Simulationen durchläuft ein Mitarbeiter sorgfältig konfigurierte automatisierte Phishing-Simulationsübungen. Mit der Zeit gewinnen die Mitarbeiter so das Vertrauen, dass sie wissen, wie sie die Anzeichen von Phishing erkennen und die Bedrohung melden können. Erkundigen Sie sich bei Ihrem Anbieter, ob er Phishing-Simulationen einsetzt, und wenn nicht, helfen Sie ihm, ein Programm zu entwickeln, das typische Phishing-Betrügereien simuliert, von denen Ihre Branche betroffen ist.
Bewertung einer bestehenden Schulungskampagne zum Thema Sicherheitsbewusstsein mit Drittanbietern
Sobald Sie festgestellt haben, dass der Anbieter über ein Schulungsprogramm für das Sicherheitsbewusstsein verfügt, können Sie dessen Effektivität bewerten, indem Sie sich informieren:
- Belege für die Schulung, z. B. die Teilnahme der Mitarbeiter an den Schulungen, die Art der von den Schulungsteilnehmern gestellten Fragen usw.
- Messgrößen für die Wirksamkeit der Schulungen, z. B. wie viele Mitarbeiter waren in der Lage, eine Phishing-Nachricht zu erkennen und sie dann zu melden?
Metriken helfen dabei, gezielte Änderungen an einem Programm vorzunehmen, die zu noch besseren Schulungsergebnissen führen.
Was ist, wenn Ihr Drittanbieter keine Sicherheitsschulungen durchführt?
Es wird immer wichtiger, das menschliche Element des Cyberrisikos zu bekämpfen. In einem anderen ENISA-Bericht wurde festgestellt, dass 95 % der Phishing-E-Mails menschliches Eingreifen erfordern, um eine Malware-Infektion auszulösen. Darüber hinaus muss auch die Bedrohung durch versehentliche Insider in Betracht gezogen werden; der Verizon Data Breach Investigations Report, 2021 fand heraus, dass 22 % der Sicherheitsvorfälle von Insidern verursacht wurden.
Die Mitarbeiter der Zulieferer müssen in Bezug auf das Sicherheitsbewusstsein genauso geschult werden wie die Mitarbeiter Ihres eigenen Unternehmens. Um dies zu bewerkstelligen, muss die Dienstleistungsvereinbarung (SLA) zwischen Ihrem Unternehmen und Ihrem Lieferanten das von Ihnen erwartete Schulungsniveau widerspiegeln. Diese rechtliche Vereinbarung sollte vorschreiben, dass die Details des Sicherheitstrainingsprogramms nach Ihren eigenen Standards genehmigt werden. Eine SLA, die eine Klausel für die Bereitstellung von Sicherheitsschulungen enthält, zeigt, dass sich der Lieferant sowohl für seine als auch für Ihre Sicherheit einsetzt.
Gute Drittanbieter sichern einen Wettbewerbsvorteil, aber Sicherheitslücken können aus einem guten Anbieter eine Belastung machen.
Cyberkriminelle suchen nach dem schwächsten Glied in der Kette, dem Lieferanten und seinen Mitarbeitern. Um diese Schwachstellen in der Kette zu beseitigen, sollten Sie sicherstellen, dass die Sicherheitsschulungen mit Drittanbietern sorgfältig durchgeführt werden, damit sie den Erwartungen und Standards entsprechen, die Sie erwarten.
