Wir tauchen ein in die Welt der Cybersicherheit und des Risikomanagements und konzentrieren uns dabei auf die Entschlüsselung eines komplexen Phänomens, das die Unternehmenswelt derzeit stark beeinflusst: die Statistiken zu Drittparteienrisiken. Tatsächlich sind Cybersicherheitsbedrohungen durch Dritte nicht nur zu einem erheblichen Problem geworden, sondern haben auch zu enormen finanziellen und Reputationsschäden geführt.
Um die Dynamik dieser Risiken zu verstehen, müssen wir zunächst klären, was der Begriff „Drittanbieter“ im Kontext der Cybersicherheit bedeutet. Ein Drittanbieter kann ein Lieferant, ein Auftragnehmer, ein Partner oder jede andere Organisation sein, die direkt oder indirekt Zugriff auf die Informationen oder Datennetzwerke Ihres Unternehmens hat. Drittanbieterrisiken bezeichnen die potenziellen Bedrohungen, die von diesen Organisationen ausgehen, wenn ihnen die notwendigen Datensicherheitsmaßnahmen fehlen oder sie böswillige Absichten verfolgen.
Die Zahlen im Überblick
Einer Studie von Soha Systems zufolge lassen sich über 60 % aller Datenschutzverletzungen auf Drittanbieter zurückführen. Noch alarmierender ist, dass laut einer Studie von Deloitte zum Drittanbieter-Risikomanagement 87 % der Befragten in den letzten zwei bis drei Jahren mit einem schwerwiegenden Vorfall im Zusammenhang mit Drittanbietern konfrontiert waren. Bemerkenswerterweise weist das Ponemon Institute darauf hin, dass Datenschutzverletzungen durch Drittanbieter seit 2018 um 27 % zugenommen haben.
Kurz gesagt, die Zahlen sind besorgniserregend. Die steigende Zahl von Cyberbedrohungen und Sicherheitsvorfällen mit Beteiligung Dritter beweist, dass Unternehmen dem Management von Drittparteirisiken mehr Aufmerksamkeit widmen müssen.
Drittparteienrisiken aus verschiedenen Blickwinkeln
Die Risiken im Zusammenhang mit Drittanbietern zu verstehen, bedeutet nicht nur, den Anteil der von Datenschutzverletzungen betroffenen Unternehmen zu ermitteln. Vielmehr müssen wir die verschiedenen Arten von Drittanbieterrisiken betrachten, die Unternehmen potenziell gefährden können. Um dies genauer zu analysieren, können wir drei Hauptrisikokategorien unterteilen: Compliance-Risiko, operationelles Risiko und Reputationsrisiko.
Die Ursache
Die Gründe für den alarmierenden Anstieg der Drittparteienrisiken sind vielfältig. Von mangelnder Sorgfaltspflicht bis hin zu unzureichender kontinuierlicher Überwachung dieser Drittparteien tragen verschiedene und teils miteinander verflochtene Faktoren zu diesen Risiken bei. Insbesondere die rasante digitale Transformation spielt in diesem Zusammenhang eine bedeutende Rolle.
Hin zu einem besseren Risikomanagement
Die Implementierung eines soliden Programms zum Management von Drittparteirisiken (TPRM) ist nicht länger optional, sondern unerlässlich. Ein solches Programm umfasst Maßnahmen wie die Durchführung von Due-Diligence-Prüfungen, die kontinuierliche Überwachung der Beziehungen zu Drittparteien, die Erstellung eines Notfallplans und Investitionen in Technologien zur Bewertung von Drittparteirisiken.
In Anerkennung der Notwendigkeit, Drittparteirisiken besser zu managen, haben verschiedene staatliche und nichtstaatliche Institutionen Richtlinien zu diesem Thema eingeführt. Beispielsweise verfügt das Office of the Comptroller of the Currency (OCC) über spezifische Richtlinien für das Management von Risiken in Beziehungen zu Drittparteien.
Zusammenfassend lässt sich sagen, dass die Statistiken, die den erheblichen Beitrag von Drittanbietern zu Cyberbedrohungen und -angriffen belegen, alarmierend sind. Die zunehmende Abhängigkeit von Drittanbietern in verschiedenen Geschäftsprozessen, gepaart mit der rasanten digitalen Transformation, vergrößert das Spektrum der Schwachstellen für Unternehmen. Daher sollte es darum gehen, die Komplexität und Tragweite der Drittanbieterrisiken zu verstehen und ein robustes Drittanbieter-Risikomanagementsystem zu implementieren. Es geht nicht nur um die Zahlen, sondern auch darum, wie wir diese Zahlen interpretieren und daraus lernen.