Das Verständnis von Drittanbieterrisiken im Bereich der Cybersicherheit ist im heutigen digitalen Zeitalter von größter Bedeutung. Da Unternehmen zunehmend auf Drittanbieter angewiesen sind, um wichtige Aspekte ihrer Dienstleistungen zu erbringen, nehmen die damit verbundenen Cyberrisiken stetig zu. Im heutigen Vortrag liegt der Fokus darauf, die Natur dieser Risiken zu analysieren und aus Beispielen realer Drittanbieterrisiken zu lernen.
Ein Cyberrisiko durch Dritte entsteht, wenn Ihre Daten oder die Daten Ihrer Kunden aufgrund von Sicherheitslücken in der IT-Sicherheit eines Drittanbieters offengelegt werden. Im Folgenden werden wir diese Szenarien genauer betrachten, um diese Risiken besser zu verstehen.
Beispiel 1: Der Datendiebstahl bei Target Corporation
Eines der prominentesten Beispiele für Risiken durch Dritte, die zu schwerwiegenden Cybersicherheitsvorfällen führen, ist der Datendiebstahl bei der Target Corporation im Jahr 2013. Hacker drangen über einen HLK-Lieferanten in das Netzwerk von Target ein, was zum Abfluss von Kredit- und Debitkarteninformationen von 40 Millionen Kunden führte.
Dieser Sicherheitsvorfall war nicht nur auf eine Schwachstelle bei einem externen Dienstleister von Target zurückzuführen, sondern auch auf mangelnde Trennung und Kontrolle des internen Netzwerkzugriffs. Nach Abzug der Versicherungsleistungen entstand ein geschätzter Schaden von 162 Millionen US-Dollar. Er verdeutlicht das Ausmaß der Folgen, die ein Cyberrisiko durch Dritte haben kann – sowohl hinsichtlich finanzieller Verluste als auch des Reputationsschadens.
Beispiel 2: Der Facebook-Cambridge-Analytica-Skandal
Der Datenskandal von Facebook im Jahr 2018 um Cambridge Analytica war einer der bekanntesten Fälle von Datenmissbrauch durch Dritte. Cambridge Analytica, ein politisches Beratungsunternehmen, erlangte die persönlichen Daten von rund 87 Millionen Facebook-Nutzern und nutzte diese ohne deren ausdrückliche Zustimmung für politische Werbung. Facebook gewährte hier Drittanbieter-Anwendungen kollektiven Zugriff auf riesige Mengen an Nutzerdaten, was zu einem massiven Eingriff in die Privatsphäre führte.
Dieser Vorfall unterstreicht die Notwendigkeit für Unternehmen, die von ihren Drittanbietern abgerufenen Daten zu kontrollieren und sicherzustellen, dass diese über strenge Sicherheits- und Vertraulichkeitsmaßnahmen verfügen. Die Überwachung der Aktivitäten von Drittanbietern ist unerlässlich, um Risiken zu minimieren.
Beispiel 3: Der Cloud-Hopper-Angriff
Cloud Hopper war eine 2016 aufgedeckte Cyber-Spionagekampagne, die es auf Managed-IT-Service-Provider (MSPs) abgesehen hatte, um sich Zugang zu deren Kundennetzwerken zu verschaffen. Nach dem Eindringen konnten die Hacker Informationen von verschiedenen MSP-Kunden abrufen und stehlen. Dies verdeutlichte die Risiken von Cloud-Diensten Dritter und die Notwendigkeit robuster Cybersicherheitsmaßnahmen.
Der Vorfall unterstreicht die Wichtigkeit einer sorgfältigen Prüfung und kontinuierlichen Überwachung von Drittanbietern für Cloud-Dienste. Er erinnert uns zudem daran, dass nicht alle Angreifer auf unmittelbaren finanziellen Gewinn aus sind – manche betreiben stattdessen Wirtschaftsspionage und Diebstahl geistigen Eigentums.
Beispiel 4: Der SolarWinds-Angriff
Der Cyberangriff auf SolarWinds im Jahr 2020 ist ein Beispiel für einen Lieferkettenangriff und dient Unternehmen als Weckruf hinsichtlich der Gefahren durch Sicherheitslücken von Drittanbietern. Eine Gruppe mit fortgeschrittenen, persistenten Bedrohungen (APT), die mutmaßlich staatlich gefördert wurde, schleuste Schadcode in Software-Updates für das Orion-Produkt von SolarWinds ein.
Infolgedessen luden rund 18.000 Organisationen das manipulierte Update herunter und installierten es, was zu schwerwiegenden Sicherheitslücken führte, unter anderem bei US-Regierungsbehörden und anderen globalen Konzernen. Dies verdeutlicht, wie eine scheinbar unbedeutende Schwachstelle in einer Drittanbietersoftware verheerende Folgen haben kann.
Zusammenfassend lässt sich sagen, dass das Verständnis von Drittanbieterrisiken und deren realen Auswirkungen entscheidend für ein effektives Cybersicherheitsmanagement ist. Auch wenn Sie keinen Einfluss auf die Cybersicherheitsmaßnahmen von Drittanbietern haben, können Sie sehr wohl selbst entscheiden, mit wem Sie zusammenarbeiten, welchen Netzwerkzugriff Sie ihnen gewähren und wie Sie deren Aktivitäten überwachen. Die Erfahrungen von Target, Facebook, Cloud Hopper und SolarWinds ebnen den Weg für ein besseres Risikomanagement und proaktive Schutzstrategien.