Was ist Third Party Access und wieso ist der Schutz von externen Zugängen wichtig?
Die Sicherheit an den äußeren Enden der Infrastruktur ist für Unternehmen von entscheidender Bedeutung, um sich vor den, mit Dritten und Dienstleistern verbundenen Risiken zu schützen. Bisher haben Unternehmen in der Regel Zeit und Geld in den Schutz ihrer eigenen Systeme investiert, anstatt sich auf die Sicherheitspraktiken der Anbieter zu konzentrieren. Das muss sich ändern, um Unternehmen vor potenziellen Bedrohungen zu schützen.
Viele Unternehmen arbeiten mit eng mit Dienstleistern zusammen und in vielen Fällen erhalten diese Anbieter autorisierten Zugriff auf Kunden- oder Mitarbeiterdaten oder integrieren Drittanbieterdienste in die Systeme des Unternehmens. Darüber hinaus haben Dienstleister oft ihre eigenen Lieferanten, die zusätzliche Risiken für das Unternehmen darstellen können.
Warum ist die Sicherheit des Zugangs von Dritten und Dienstleistern so wichtig?
Fernwartung von IT- und OT Infrastrukturen
In Folge von COVID-19 haben viele Organisationen eine Politik und Richtlinien zur Telearbeit eingeführt. Diese Umstellung hat erhebliche Probleme für die Cybersicherheit mit sich gebracht. Eine der Hauptschwierigkeiten ist die Überprüfung und Gewährung des Zugangs für externe Anbieter, da ein persönliches Gespräch in dieser neuen Umgebung unmöglich ist. Daher besteht ein dringender Bedarf an Multi-Faktor-Authentifizierungstechniken, streng überwachten Zugangskontrollen und robusten Verfahren zur Generierung und Verwaltung von Passwörtern. Die Verlagerung der Arbeitstätigkeiten ins Internet über E-Mails und Fernwartungslösungen wie z.B. heterogene VPN-Tunnel Infrastrukturen oder RDP-Sitzungen erhöht zudem die Bedrohungen durch Phishing-Angriffe oder die Infektion mit Schadsoftware erheblich. Hinzu kommt, dass sich Drittanbieter mit ihren eigenen privaten Geräten in Unternehmensnetzwerke einklinken, die für einen angemessenen Schutz vor diesen Gefahren nicht sicher genug sein könnten.
Kleine Dienstleistungsunternehmen, die nicht über die nötigen Ressourcen verfügen, um angemessene Sicherheitsmaßnahmen zu ergreifen, stellen eine Gelegenheit für Cyberkriminelle dar, die ihren privilegierten Zugang zu Unternehmenssystemen nutzen können, um die Risiken eine Kompromittierung signifikant zu erhöhen.
Datenschutzverletzungen durch Dritte
Der Ponemon-Bericht über die Kosten von Datenschutzverletzungen im Jahr 2021 ergab, dass die durchschnittlichen Kosten einer Datenschutzverletzung in Großbritannien 3,14 Millionen Pfund betrugen, wobei die Kosten durch Software-Schwachstellen Dritter um 68.000 Pfund stiegen. Die tatsächliche Zahl ist möglicherweise höher, da Angriffe von Drittanbietern sehr ausweichend sind und es Monate oder Jahre dauern kann, bis sie entdeckt werden. Das höchste Bußgeld, dass aufgrund eines Datenschutzverstoßes 2022 in Deutschland verhängt wurde betrug 76.310.455 Euro.
Die durchgeführte Studie ergab, dass 44 % der Unternehmen eine Sicherheitsverletzung erlitten haben, wobei 74 % dieser Fälle auf die Gewährung von zu viel privilegiertem Zugriff an Dritte zurückzuführen sind. Dies ist ein besorgniserregender Trend, gegen den man etwas unternehmen muss.
Cloud-Risiken nehmen zu
Da immer mehr Software in die Cloud verlagert wird, steigt das Potenzial für Datenschutzverletzungen, die durch Zwischenfälle bei der Cloud-Konfiguration verursacht werden. Dies haben wir in einer Reihe von öffentlichkeitswirksamen Fällen erlebt, bei denen sensible Daten auf ungesicherten Servern von Drittanbietern gespeichert wurden. Unternehmen müssen mit allen Daten, die sie außerhalb ihrer direkten Kontrolle speichern, sehr vorsichtig umgehen, egal ob sie in der Cloud gespeichert sind oder nicht. Es besteht ein wachsender Bedarf an Lösungen, mit denen die Sicherheit der Cloud überprüft werden kann, da es unmöglich ist, Fehlkonfigurationen in einer sich schnell verändernden, komplexen Cloud-Umgebung zu vermeiden.
Vorschriften zum Datenschutz und zur Informationssicherheit
Unternehmen sehen sich heute einem immensen Druck ausgesetzt, die persönlichen Daten der Verbraucher vor internen und externen Bedrohungen zu schützen. Es ist von entscheidender Bedeutung, dass Unternehmen diese Vorschriften einhalten, nicht nur, um saftige Geldstrafen zu vermeiden, sondern auch, um sicherzustellen, dass sie das Vertrauen der Verbraucher aufbauen und aufrechterhalten. Vorschriften wie GDPR und CCPA bieten einen großartigen Rahmen, um genau das zu tun – und die globale Anwendung dieser Vorschriften wird Organisationen helfen, mit den neuesten Datenschutzbedenken weltweit Schritt zu halten. Die von GDPR und CCPA aufgestellten Regeln haben einen Welleneffekt über die Grenzen ihrer ursprünglichen Gerichtsbarkeit hinaus. Global agierende Unternehmen müssen diese Richtlinien nun berücksichtigen, wenn sie mit den personenbezogenen Daten von Personen in Europa und Kalifornien umgehen – unabhängig davon, ob sie in diesen Regionen physisch präsent sind. Bei Nichteinhaltung drohen saftige Geldstrafen:
Gemäß GDPR können Unternehmen mit Geldstrafen von bis zu 4 % ihres weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) belegt werden, während gemäß CCPA Strafen von bis zu 7.500 US-Dollar pro Verstoß drohen.
Es sind nicht nur die finanziellen Auswirkungen, die Unternehmen befürchten müssen, wenn sie die GDPR oder CCPA nicht einhalten; es besteht auch die Gefahr einer Rufschädigung. In unserem digitalen Zeitalter verbreiten sich Nachrichten schnell und weit, was bedeutet, dass selbst eine kleine Datenschutzverletzung schnell weltweit Schlagzeilen machen kann – wie im Fall von British Airways im vergangenen Jahr, als es Hackern gelang, innerhalb von zwei Wochen die Kundendaten von einer halben Million Buchungen auf der Website zu stehlen. Die britische Aufsichtsbehörde verhängte daraufhin eine Geldstrafe in Höhe von 183 Millionen Pfund, weil sie es versäumt hatte, die persönlichen Daten ihrer Kunden zu schützen. Angesichts der strengen neuen Vorschriften, die auf beiden Seiten des Atlantiks eingeführt wurden, ist es klar, dass Unternehmen es sich nicht länger leisten können, die Einhaltung der Datenschutzbestimmungen zu ignorieren. Unternehmen müssen jetzt Maßnahmen ergreifen, um sicherzustellen, dass sie alle geforderten Standards einhalten – ein Versäumnis könnte sich als kostspielig erweisen, sowohl in finanzieller Hinsicht als auch für den Ruf.
Arten von Third Party Risiken
Aktuelle Arten von Risiken für Dritte, die sich alle durch einen unsicheren Zugang Dritter manifestieren können und derweil beachtung finden sollten, sind die folgenden:
Betriebliche Risiken – Risiken können sich aus der Möglichkeit einer Betriebsunterbrechung aufgrund von Handlungen Dritter ergeben. Wenn die kritischen Systeme eines Unternehmens von einem Lieferanten abhängig sind, stellt jedes Ereignis, das sich auf das Geschäft des Lieferanten auswirkt, ein unmittelbares Risiko dar.
Unzureichende Cyberhygiene – Die heutigen Angreifer haben es mehr als alle anderen auf Dritte und deren Zugänge zu Unternehmensinfrastrukturen abgesehen. Sie können in die Lieferkette eindringen, unbemerkt Systeme und Geräte infizieren und dann die dritte Partei als Ausgangspunkt für Angriffe auf höherwertige Ziele nutzen und im Nachhinein ist dieser dafür verantwortlich.
Compliance-Risiken können dadurch entstehen, dass ein Dritter keine Sicherheitskontrollen einrichtet, was zu Datenverlusten führt. Dies kann zu Datenschutzverletzungen, Haftung und Compliance-Strafen für große Unternehmen führen. Verstöße gegen Umwelt- oder Arbeitsgesetze durch Dritte können ebenfalls ein Compliance-Risiko darstellen.
Finanzielle Risiken – Dritte können die Finanzen eines Unternehmens gefährden, indem sie z. B. fehlerhafte Materialien oder Produkte in einen Prozess einbringen, was sich auf den Umsatz und die Einnahmen auswirkt. Wenn Lieferanten nicht pünktlich liefern und ihren vertraglichen Verpflichtungen nicht nachkommen, kann dies ebenfalls zu finanziellen Verlusten führen. Strategische Risiken können auftreten, wenn Dritte mit der Geschäftsstrategie des Kundenunternehmens kollidieren. Beispielsweise könnte ein Lieferant sein privilegiertes Wissen und seinen Zugang nutzen, um mit dem Geschäft des Unternehmens zu konkurrieren.
Best Practices für das Management von Risiken durch Dritte und Dienstleister (Technical Third Party Risk Management)
Befolgen Sie diese Best Practices, um den Zugriff Dritter zu verwalten und Risiken zu verringern.
Zugriff beschränken und nur Just in Time erteilen
Setzen Sie eine Lösung zur Verwaltung privilegierter Zugriffe ein, um sicherzustellen, dass nur autorisierte Benutzer auf die sensiblen Daten Ihres Unternehmens zugreifen können. Schützen Sie Ihre kritischen Daten mit einer Zwei-Faktor-Authentifizierung (2FA). Dieser Ansatz erschwert es Angreifern, Ihr Netzwerk zu kompromittieren, selbst wenn sie die Anmeldedaten einer Person gestohlen haben. Manuelle Zugriffsgenehmigungen und Einmalpasswörter können Angreifer ebenfalls daran hindern, auf Ihr Netzwerk zuzugreifen.
Sicherheitsrichtlinien für Anbieter aufstellen
Legen Sie Regeln für die Cybersicherheit Ihrer Drittanbieter und aller Mitarbeiter fest, die mit ihnen zusammenarbeiten. Erstellen Sie eine interne Richtlinie, die die Verantwortlichkeiten aller Beteiligten und die Standardmaßnahmen für verschiedene Fälle und Verfahren festlegt. Machen Sie Ihre Unterauftragnehmer und Mitarbeiter mit diesen Regeln vertraut.
Sorgen Sie für eine ständige Überwachung der Benutzeraktivitäten.
Gesetze, IT-Vorschriften und Standards erfordern eine regelmäßige Überwachung der Benutzeraktivitäten. Verfolgen Sie, was Ihre Drittanbieter in Ihrem Netzwerk tun, damit Sie wissen, wer auf Ihre wichtigen Ressourcen zugreift, wofür sie diese nutzen und wann dies geschieht.
Planen Sie die Reaktion auf Vorfälle bei Drittanbietern
Es ist wichtig, auf jeden Vorfall vorbereitet zu sein, der bei einem Subunternehmer auftreten kann. Durch eine Analyse der Risiken und Bedrohungen im Bereich der Cybersicherheit können Sie entscheiden, welche Risiken für Ihr Unternehmen relevant sind, und dann formelle Verfahren zur Minderung dieser Risiken einrichten. Eine spezielle Lösung zur rechtzeitigen Erkennung von Cybersecurity-Ereignissen ist von entscheidender Bedeutung.
Diese Lösung sollte zur Konfiguration von Benachrichtigungen und Warnungen bei verdächtigen Aktivitäten oder Ereignissen im Zusammenhang mit den Aktivitäten Ihres Unterauftragnehmers verwendet werden. Es ist auch wichtig, verantwortliche Personen auszuwählen, die im Falle eines Cybersicherheitsvorfalls, an dem ein Dritter beteiligt ist, benachrichtigt werden sollen. Nehmen Sie deren Namen und Kontaktdaten in die Cybersicherheitsrichtlinien Ihres Unternehmens auf. Vergewissern Sie sich, dass sie über die notwendigen Fähigkeiten und Kenntnisse verfügen, um eine Datenverletzung durch Dritte einzudämmen und zu beheben.
Externen und Dienstleistern Zugriff gewähren mit VISULOX Remote Support
Sichern Sie den Zugriff Dritter auf Ihre Unternehmensressourcen mit VISULOX Remote Support und seinem isolierten virtuellen Arbeitsbereich, dem VISULOX Workspace. Ohne die Notwendigkeit, Agenten auf den Endgeräten von Auftragnehmern zu installieren, können Sie diesen einen eingeschränkten Zugriff auf Ihre Systeme gewähren, während alle Daten in Ihrer eigenen Infrastruktur gespeichert bleiben. Die vorbereiteten Anwendungen und Sicherheitskontrollen, wie Multi-Faktor-Authentifizierung, Sitzungsaufzeichnungen, sicherer Dateitransfer oder Kooperation, sparen Zeit und Ärger bei der Inbetriebnahme, während Sie in der Lage sind, den Einsatz sofort zu beenden und den Zugriff automatisch oder just-in-time zu gewähren.
Haben wir Ihr Interesse geweckt? Wir freuen uns Ihnen unsere Lösung unverbindlich in einer kostenfreien Demo zu demonstrieren. Nehmen Sie gerne Kontakt auf oder buchen Sie sich hier einfach direkt Ihren persönlichen Termin.
