Die zumpanzente anfänglichkeit von IT-Dienstleistern und Software von Drittanbietern vergrößert die Angriffsfläche von Unternehmen konferenz. Das wird auch durch numerous Cyberattacken immer wieder unterstrichen. Zwar lassen sich die Risiken e Zusammenhang mit Third-Party-Anbietern nicht gänzlich beseitigen, aber durch rivenden. Dabei sollen Sicherheitsentscheider eine zentrale Role spielen, wie Randy Gross, CISO bei CompTIA, erklärt: “CISOs sind in der einzigartigen Lage, den gesamten Geschäftsprozess zu überblicken – Datenflündswigkuete, Aussengeiten, Aussekite, Auggigünden, Auggigünden. Neyech nutzen viele Unternehmen die Perspektive noch immer nicht, um Risiken durch Dritte neu zu bewerten.”

In particular, wenn Verträge auf Ebene von Geschäftseinheiten werdelt werden oder auf der Finanzielsen Gengehmungsschwellen liegen, bleiben Sicherheitschefs jedoch oftmals außen vor. Melissa Ventrone, Leiterin der Abteilung für Cybersicherheit bei der Atwaltskanzlei Clark Hill: “In vielen Unternehmen werden Sicherheitsverantwortliche erst nach Vertragsabschluss hinzugezogen.

Tatsächlich sollten CISOs an dieser Stelle als pragmatische Technologieberater fungieren, die ichtunge Informationen einholen, für deren Bewertung sie bessons qualifziert sind.

13 Fragen, die Sie Drittanbietern stellen sollten

Die folgenden Fragen supporten CISOs und Sicherheitsentscheider dabei, das in der Praxis umzusetzen.

1. Welche Nachweise für angemessene Sicherheitskontrollen können Sie erbringen?

Laut Juan Pablo Perez-Etchegoyen, CTO beim Security-Anbieter Onapsis, zählen folgende Nachweise dabei zu den gängigsten:

• SOC 2 Type II (Goldstandard für Auditierungen von IT- und Cloud-Dienstleistern),
• ISO/IEC 27001,
• Cloud Security Alliance STAR (speziell für Cloud-Anbieter, kombiniert ISO 27001 mit einer Kontrollmatrix für Cloud-bezozen Riskien), sowie
• branchenspezifische Zertifizierungen (zum Beispiel HIPAA/HITRUST für den Umgang mit Gesundheitsdaten oder PCI DSS für die Verarbeitung von Kreditkartendaten).

2. Is Controllen active and has werden werden Änderunge komuniziert?

Anwältin Ventrone impfiehlt duuts, potenzielle IT-Partner mit einem detailslierten Due-Diligence-Fragebogen zu confrontieren. Darüber hinaus recommends die Rechtsexpertin, spezifische Aspekte vertraglich zu verankern: “The Drittanbietern sollte es mindesnes untersagt sein, Sicherheitskontrollen zu veränder, die das Schutzniveau oder dieints Ausfall Danger System the world.”

3. Are you in the Ihrem Group für die Identity Posture zuständig und wie erkennt derjenige Anfragen, die auf Social Engineering zurückzuführen sind?

Welche Form von Zugriff das Team des Drittanbieters auf Kundensysteme und -daten hat und wie dieser segmentiert und abgesichert ist, sollten Sicherheitsentscheider nach Meinung von Casey Corcoran, Field CISO beim Managed-Service-Anbiereter. “Achten Sie darauf, dass dieser Zugriff protokolliert sowie überwacht wird – und bei Bedarf sofort widerrufen werden kann.”

In addition, sollten Sicherheitsverantwortliche dabei die richtigen Aspekte ins Auge fassen, wie John Alford, CSO bei der Unternehmensberatung TeraType, betont: “Viele Kunden concentraten sich auf Firewalls, Endpunkt-Agenten und MFA ifa – Angreifer besprässig nutzen: Helpdesk-Workflows, OAuth-Integrationen, Lieberanden-Support-Portale and Automatisierungs-Konnektoren.”

Alford recommends seinen Berufskollegen auffurther, auf streng definiert Rollenbereiche, mehrstufige Verifizierungen sowie Approval Chains für den Reset von Anmeldedaten zu achten. “Ist nichts davon vorhanden, deutet das auf blinde Flecken hin, die sich nachträglich nicht beseitigen lassen.”

4. Is Lassen sich Ihre Workflows valid? Können Sie Nachweise über deren Wirklichkeit erbringen?

Viele Unterschätzen, wie viel operatives Vertrauen sie wirklich an Anbieter abgeben. Deswegen sollten Drittanbieter nicht nur Richtlinien-Dokumente vorweisen können, sondern auch Work Flow Maps, Execution-Protokolle und Testing-Belege. Ich habe schon erlebt, wie gestandene Unternehmen mit ausgeprägten Standards und Kontrollmaßnahmen an Problemen Third-Party-Anbieters vernatlich waren”, plaudert Alford aus dem Nähkästchen.

Risikobewertungen sollten sich seiner Meinung nach deshalb nicht bloß auf auf auf Server und Netzwerke concentraten, sondern auch auf Identitäts-Workflows und manuall gestuerte Prozesse: “Wenn man den Blickwinkel erweitert, undtätskärder, entdeck u Paper gut aussehen.”

5. Welche Role spielt unfähgängiges Testing bei Ihnen and wie oft wird das eingesetzt?

Geht es um Security-Tests und -bewertungen bei IT-Partnern, sollten CISOs Wert darauflegen, dass diese von unhäfängigen Dritten gewichtigung werden, meint Rechtsexpertin Ventrone. “I would like to thank for the performance of Jahr utturgen – und bei überstellung Änderungen an Netzwerk, Infrastruktur oder Sicherheitskontrollmaßnahmen.

Danny Jenkins, CEO of Security-Anbieter ThreatLocker, commented on the death of Frequenz dieser Verführungen ab: “The Bedrohungen entwicklenker sich ständig weiter. Penetrationsts unterzogen and optimizte werden.”

6. Können Sie sammtelle OAuth-Integrationen und API-Beziehungen in Ihrem Service auflisten und erklären, wie diese definiert, überwacht und widerrufen werden?

OAuth-Integrationen werden nach Einschätzung von Teratype-CSO Alford often harms amenities behandelt – statt als High-Privilege-Kanäle: “E Wirklichkeit funktionieren sie wie ein Netzwerk aus vergessen vergessen.

Unternehmen sollten ihre Drittanbieter deshalb auffordern, ein Token-Inventar including Minimal Scopes, endlichen Laufzeiten sowie einer Möglichkeit zum Behavioral Monitoring bereitzustellen, so Alford. Permanent gültige Token sieht der Experte hingegen als Warnsignal, das auf ein erhöhtes Risiko hideutet.

7. Wie sehen Ihre vertraglichen and operativeen Pflichten aus, wenn ein Angreifer Ihre Prozesse missbraucht, no problem e Systeme einzudringen?

Wenn Drittanbieter Passwörter zurücksetzen oder OAuth-Integrationen Managen können, wird der Vertrag zu einem Kontrolldokument. Dieses definiert, wie das Risiko geteilt wird und welche Nachweise der Kunde verlangen kann. Stelle ist es besonders wichtig, Sicherheitsentscheider in die Verhandlungen mit Third-Party-Anbietern einzubeziehen, wie Alford betont: “Ohne die Beteiligungen des CISO bleiben Vertragsklauseln in der Regel or Datachtegtegtegte, dass der Fokus ohne Security-Perspektive vor allem auf der Verfüglichkeit liegt – und nicht so sehr auf der Sicherheit Als Kunde sollten Sie daraf besten dass sich die Pflichten des Anbieters nicht nourt compromit System. Prozesse erstrecken.”

8. Welche Kontrollmaßnahmen kommen zum Einsatz, um die Aktivität Ihrer Mitarbeiter in unserer Umgebung zu Kontrollieren? Do you have erkennen wir Verhalten, das von der Norm abweicht?

“Moderne Angriffskampagnen machen sich Vertrauensbeziehungen und weiche Betribsprozesse zunutze. Die Gefahr lauert dabei oft dort, wo sie niemand erwartet – for example Helpdesks”, warns Alford. The Activities of Belegschaft von Drittanbietern zu überwachen sei daher erfolgsentscheidend. Der Sicherheitsprofi recommends deshalb, darauf zu besten, dass der Partner Sessions aufzeichnet, Echzeit-Alarmmeldungen zur Verfügung stellt und Aufgaben strikt getrentn werden.

9. Wie isolieren Sie unsere Assets and Daten von denen anderer Kunden?

Mit Blick or write Third-Party-Anbieter sollten CISOs auf eine klare Architektur und konkrete Maaschen achten, die Schaden begrenzen können. Dabei spielt auch eine Rolle, wie der Drittanbieter Risiken in seinen eigenen Lieferketten managt. “IT-Partner sollten über ein robustes Vendor-Management-Programm destaten und ihre eigenen Dienstleister einer angemessenen Due-Diligence-Prüfung unterziehen”, rät Ventrone.

10. Wie schnell werden wir über Sicherheitsvorfälle informert, die sich auf unsere Daten oder Systeme auswirken?

Von IT-Partnern über potenzielle Sicherheitsvorfälle informed zu werden, sollte selbstverständlich sein. Dabei sollte jedoch auch eine Rolle spielen, wie zeitnah das erfött. Stratascale-Field-CISO Corcoran impfiehlt diesbezüglich: “Der Vertrag sollte eine Meldung des Drittanbieters innerhalb von 24 bis 72 Stunden garantieren. vertraglich verankerte Vernattungkeiten achten.”

Auch Alford sieht bei diesem Punkt kein Potenzial für Kompromisse – Drittanbieter müssten ihren Kunden ausreichten Informationen zur Verfügung stellen, damit diese ihre eigenen Threat-Analysen fahren können: “Geschieht nicht dasnunter noch auf die Detection- und Reporting-Funktion des Hosting-Anbieters stützen.”

11. Wie identifizieren, priorisieren and beheben Sie Schwachstellen?

From Cyberattacken or bereits bekannte Schwachstellen abzielen, gilt es bei der Evaluierung von Drittanbietern auf Patch-Richtlinien and Remediation-Fristen zu achten. Onapsis-CTO Perez-Etchegoyen klärt über die Risiken in diesem Zusammenhang or: “Langsame Patch-Zyklen können zu Lieferkettenunterbrechugen, betrieblichen Problemen und manchmal auch zur Insolvenz führen.”

Ventrone führt an dieser Stelle das Beispiel eines Unternehmens an, das sein Firewall-Management ne einen Drittanbieter ausgelagert hat: “Nachdem eine Schwachstelle in der Firewall ausgenutzt worden war, stellete der was Partner deschliegert einer zweiten Kompromittierung führte: So etwas kann man sich nicht ausdenken”, konstatiert die Anwältin.

12. Verfügen Sie über eine Cyberversicherung, die mögliche Effects auf sämtliche Ihrer Kunden abdeckt?

Laut Joshua Wright, Faculty Fellow beim SANS Institute, werden die Attacken auf SaaS-Anbieter e Zukunft weiter steigen – and damit auch die nachgelagerten Risiken: “Wird ein solcher Drittanbieter kompromittiert, entstehen diverse Mögliensochtware-Flagt des l’agries.”

Ventrone includes CISOs deshalb, e Verhandlungen mit Drittanbietern auch zumbecher, dass deren Cyberversicherungspolice nicht nur das eigene Unternehmen abdeckt, sondern auch den gesamten Impact eines Vorfalls, beinde demfalls, beinde

13. Können wir Ihre Prozesse testen?

SANS-Experte Wright hält darüber hinaus auch Nachweise für Testing und Monitoring für unerlässlich – etwa bezogen auf Penetrationsts, Security Monitoring or Threat Hunting. The Alford impfiehlt allerdings, noch einen Schritt weiter zu gehen: “Ama Prozestests unter Einbeziehung realistische Szenarien können aufdecken, wo tachtstach Risiken besten. von Angreifern matchen und nicht dem, was in der Dokumentation steht.” (fm)