Kompromittierung eines Dienstleisters oder Lieferanten

Die Sicherheit Ihrer bei Dienstleistern und Lieferanten gespeicherten Daten hängt davon ab, wie gut deren IT-Sicherheit und Risikomanagement ist.  Wenn ein Cyberkrimineller Daten stiehlt, sind Sie als Dateneigentümer möglicherweise gesetzlich verpflichtet, die betroffenen Personen zu benachrichtigen, auch wenn kein Zugriff auf Ihre eigenen Systeme erfolgt ist. Von Dienstleistern oder Lieferanten verursachte Datensicherheitsverletzungen können in jeder Branche vorkommen, sind aber besonders häufig im Gesundheitswesen und bei Finanzdienstleistungen, wo Dienstleister häufig Daten über Patienten oder Zahlungen speichern oder verarbeiten.

Unternehmen gewähren Dienstleistern und Lieferanten häufig Zugang zu ihren Computersystemen. Wenn ein Cyberkrimineller ein Partnersystem kompromittiert, kann er über dessen Login auf Ihr System zugreifen.  Diese Art von Vorfällen tritt besonders häufig bei Managed-Services-Providern (MSPs) auf, wenn die Zugangsschlüssel nicht sicher verwaltet werden. Noch wichtiger ist, dass dieses Verhalten schwer zu erkennen ist, da der Cyberkriminelle gültige Anmeldeinformationen verwendet und von einem vertrauenswürdigen Ort aus agiert.

Cyberkriminelle haben es zunehmend auf Softwareunternehmen abgesehen, um Malware in legitimer Software zu verstecken. Wenn ein Unternehmen dann Updates für seine Software herausgibt, kann sich Malware auf den Systemen seiner Kunden ausbreiten und wird möglicherweise nicht entdeckt, weil die Quelle als vertrauenswürdig gilt. Es wird erwartet, dass derartige Angriffe häufiger werden, und die Schäden, die sie verursachen, können weitreichend sein.

Ihre Dienstleister und Lieferanten haben selbst Zulieferer, und ein Cybervorfall bei einem dieser Zulieferer kann sich auch auf Ihr Unternehmen auswirken.

Ermitteln Sie, welche Dienstleister und Lieferanten Zugang zu Ihrem Netzwerk haben. Erzwingen Sie eine starke MFA und beschränken Sie den Zugriff nach dem Prinzip des geringsten Privilegs. Protokollieren, überwachen und prüfen Sie den Zugriff von Dienstleistern und Lieferanten auf Ihre Systeme. Die Verwendung von EDR-Tools (Endpoint Detection and Response), die obligatorisch ständig aktiviert sind, kann helfen, ungewöhnliches Verhalten zu erkennen, das auf einen kompromittierten Dienstleister oder Lieferanten zurückzuführen ist

Beurteilen Sie die Sicherheitspraktiken Ihrer Dienstleister und Lieferanten und stellen Sie sicher, dass die Verträge mit ihnen eine angemessene Sicherheit für die erbrachten Leistungen vorsehen. Verlangen Sie, dass ein Anbieter Sie über tatsächliche oder vermutete Datensicherheitsvorfälle innerhalb eines vereinbarten Zeitrahmens informiert, der es Ihnen ermöglicht, Ihre eigenen Mitteilungspflichten zu prüfen. Definieren Sie die Verantwortung für die Benachrichtigung von Aufsichtsbehörden oder Einzelpersonen und die Übernahme der Kosten für diese Benachrichtigungen im Vertrag.

Softwareprodukte enthalten oft Code aus einer Vielzahl von Quellen. Neue Tools erleichtern die Erstellung einer Software-Stückliste (Software Bill of Materials, SBOM), mit deren Hilfe Sie Elemente Ihrer Software identifizieren können, die bekannte Schwachstellen aufweisen.

Die Entwicklung eines soliden Risikomanagements für die Lieferkette ist der beste Weg, um Risiken durch Dienstleister und Lieferanten zu verringern. Für kleinere Unternehmen kann dies eine Herausforderung sein, aber Sie könnten damit beginnen, Ihre Dienstleister und Lieferanten anhand des Risikos zu identifizieren und zu klassifizieren. Konzentrieren Sie sich zunächst auf diejenigen, die die größten Risiken darstellen, und fahren Sie von dort aus fort.