Miljan Zivkovic | shutterstock.com
Die wachsende Abhängigkeit von IT-Dienstleistern und Software von Drittanbietern vergrößert die Angriffsfläche von Unternehmen erheblich – ein Umstand, den zahlreiche Cyberangriffe immer wieder vor Augen führen. Zwar lassen sich diese Risiken nicht vollständig eliminieren, aber gezielt reduzieren. Sicherheitsentscheider sollten dabei eine zentrale Rolle einnehmen. Randy Gross, CISO bei CompTIA, bringt es auf den Punkt: „CISOs sind in der einzigartigen Position, den gesamten Geschäftsprozess zu überblicken – Datenflüsse, Abhängigkeiten und nachgelagerte Auswirkungen. Dennoch nutzen viele Unternehmen diese Perspektive noch immer nicht, um Drittanbieterrisiken neu zu bewerten."
In der Praxis werden Sicherheitsverantwortliche jedoch häufig außen vor gelassen – insbesondere dann, wenn Verträge auf Ebene einzelner Geschäftseinheiten verhandelt werden oder unterhalb finanzieller Genehmigungsschwellen liegen. Melissa Ventrone, Leiterin der Cybersicherheitsabteilung bei der Anwaltskanzlei Clark Hill, kennt dieses Muster aus der Praxis: „In vielen Unternehmen werden Sicherheitsverantwortliche erst nach Vertragsabschluss hinzugezogen – oder wenn bereits ein Sicherheitsproblem aufgetreten ist."
Dabei sollten CISOs gerade in Vertragsverhandlungen als pragmatische Technologieberater auftreten: als diejenigen, die die richtigen Fragen stellen und die Antworten kompetent einordnen können.
13 Fragen, die Sie Drittanbietern stellen sollten
Die folgenden Fragen helfen CISOs und Sicherheitsentscheidern, diesen Anspruch in der Praxis einzulösen.
1. Welche Nachweise für angemessene Sicherheitskontrollen können Sie erbringen?
Laut Juan Pablo Perez-Etchegoyen, CTO beim Security-Anbieter Onapsis, zählen folgende Nachweise zu den gängigsten:
- SOC 2 Typ II (gilt als Goldstandard für Auditierungen von IT- und Cloud-Dienstleistern)
- ISO/IEC 27001
- Cloud Security Alliance STAR (speziell für Cloud-Anbieter; kombiniert ISO 27001 mit einer Kontrollmatrix für Cloud-spezifische Risiken)
- Branchenspezifische Zertifizierungen – etwa HIPAA/HITRUST für den Umgang mit Gesundheitsdaten oder PCI DSS für die Verarbeitung von Kreditkartendaten
2. Wie werden diese Kontrollen aktualisiert, und wie werden wesentliche Änderungen kommuniziert?
Ventrone empfiehlt, potenzielle IT-Partner mit einem detaillierten Due-Diligence-Fragebogen zu konfrontieren und sicherheitsrelevante Anforderungen vertraglich zu verankern: „Drittanbietern sollte es mindestens untersagt sein, Sicherheitskontrollen zu verändern, die das Schutzniveau oder die Ausfallsicherheit Ihrer Systeme und Daten beeinträchtigen würden."
3. Wer ist in Ihrem Team für die Identity Posture zuständig – und wie erkennt diese Person Anfragen, die auf Social Engineering zurückzuführen sind?
Welchen Zugriff das Team des Drittanbieters auf Kundensysteme und -daten hat und wie dieser segmentiert und abgesichert ist, sollten Sicherheitsentscheider nach Ansicht von Casey Corcoran, Field CISO beim Managed-Service-Anbieter Stratascale, zwingend erfragen. „Achten Sie darauf, dass dieser Zugriff protokolliert und überwacht wird – und bei Bedarf sofort widerrufen werden kann."
John Alford, CSO beim Beratungsunternehmen TeraType, mahnt dabei den richtigen Fokus an: „Viele Kunden konzentrieren sich auf Firewalls, Endpunkt-Agenten und MFA – übersehen dabei aber die Trust-Pfade, die Angreifer bevorzugt nutzen: Helpdesk-Workflows, OAuth-Integrationen, Lieferanten-Support-Portale und Automatisierungs-Konnektoren." Er empfiehlt, auf streng definierte Rollenbereiche, mehrstufige Verifizierungen und Approval Chains für den Reset von Anmeldedaten zu achten. „Ist nichts davon vorhanden, deutet das auf blinde Flecken hin, die sich nachträglich kaum schließen lassen."
4. Wie lassen sich Ihre Workflows verifizieren – und können Sie Nachweise über deren Wirksamkeit erbringen?
Viele Unternehmen unterschätzen, wie viel operatives Vertrauen sie tatsächlich an externe Anbieter abgeben. Drittanbieter sollten daher nicht nur Richtliniendokumente vorlegen können, sondern auch Workflow Maps, Execution-Protokolle und Testing-Belege. Alford berichtet aus eigener Erfahrung: „Die größten Lücken treten regelmäßig genau dort auf, wo man sie am wenigsten erwartet. Ich habe erlebt, wie Unternehmen mit ausgereiften Standards und Kontrollmaßnahmen an Problemen gescheitert sind, die ausschließlich auf die Workflows ihres Drittanbieters zurückzuführen waren."
Risikobewertungen sollten sich seiner Ansicht nach deshalb nicht allein auf Server und Netzwerke konzentrieren, sondern explizit auch Identitäts-Workflows und manuell gesteuerte Prozesse einschließen: „Wenn man den Blickwinkel erweitert, entdeckt man unter Umständen Kontrollmaßnahmen, die nur auf dem Papier überzeugend aussehen."
5. Welche Rolle spielt unabhängiges Testing bei Ihnen – und in welchem Rhythmus wird es eingesetzt?
Sicherheitstests und -bewertungen bei IT-Partnern sollten von unabhängigen Dritten durchgeführt werden, betont Ventrone. „Das sollte mindestens einmal jährlich erfolgen – sowie nach wesentlichen Änderungen an Netzwerk, Infrastruktur oder Sicherheitskontrollen. Lassen Sie sich auch Zusammenfassungen von Schwachstellen-Scans, Penetrationstests und Audits vorlegen."
Danny Jenkins, CEO beim Security-Anbieter ThreatLocker, geht noch einen Schritt weiter: „Bedrohungen entwickeln sich ständig weiter. Eine jährliche Prüfung reicht schlicht nicht aus. Sämtliche Systeme sollten regelmäßig Penetrationstests unterzogen und kontinuierlich optimiert werden."
6. Können Sie alle OAuth-Integrationen und API-Beziehungen in Ihrem Service auflisten – und erläutern, wie diese definiert, überwacht und widerrufen werden?
OAuth-Integrationen werden nach Einschätzung von TeraType-CSO Alford zu häufig als harmlose Komfortfunktionen behandelt – dabei sind sie High-Privilege-Kanäle: „In Wirklichkeit funktionieren sie wie ein Netzwerk vergessener Tunnel. Sie bieten die Möglichkeit, das Eingangstor vollständig zu umgehen, und verbinden Systeme tief im Inneren der Umgebung miteinander."
Unternehmen sollten Drittanbieter daher auffordern, ein Token-Inventar bereitzustellen – inklusive Minimal Scopes, endlicher Laufzeiten und Behavioral Monitoring. Permanent gültige Token wertet Alford als klares Warnsignal für erhöhtes Risiko.
7. Welche vertraglichen und operativen Pflichten gelten, wenn ein Angreifer Ihre Prozesse missbraucht – ohne dabei in Systeme einzudringen?
Wenn Drittanbieter Passwörter zurücksetzen oder OAuth-Integrationen verwalten können, wird der Vertrag zum eigentlichen Kontrolldokument: Er legt fest, wie Risiken verteilt werden und welche Nachweise der Kunde einfordern kann. Genau deshalb ist es entscheidend, Sicherheitsentscheider frühzeitig in Vertragsverhandlungen einzubeziehen, wie Alford unterstreicht: „Ohne die Beteiligung des CISO fallen Vertragsklauseln in der Regel zu Lasten des Kunden aus – weil der Fokus ohne Security-Perspektive primär auf Verfügbarkeit liegt, nicht auf Sicherheit. Als Kunde sollten Sie darauf bestehen, dass die Pflichten des Anbieters nicht nur kompromittierte Systeme, sondern auch kompromittierte Prozesse abdecken."
8. Welche Kontrollmaßnahmen überwachen die Aktivitäten Ihrer Mitarbeiter in unserer Umgebung – und wie erkennen wir abweichendes Verhalten?
„Moderne Angriffskampagnen machen sich Vertrauensbeziehungen und weiche Betriebsprozesse zunutze. Die Gefahr lauert oft dort, wo niemand sie erwartet – zum Beispiel am Helpdesk", warnt Alford. Die lückenlose Überwachung der Aktivitäten von Drittanbieter-Mitarbeitern sei daher ein entscheidender Faktor. Er empfiehlt, vertraglich durchzusetzen, dass der Partner Sessions aufzeichnet, Echtzeit-Alarme bereitstellt und Aufgaben klar voneinander trennt.
9. Wie isolieren Sie unsere Assets und Daten von denen anderer Kunden?
CISOs sollten bei potenziellen Drittanbietern auf eine klar dokumentierte Architektur und konkrete Maßnahmen zur Schadensbegrenzung achten. Relevant ist dabei auch, wie der Anbieter Risiken in seinen eigenen Lieferketten steuert. Ventrone rät: „IT-Partner sollten über ein robustes Vendor-Management-Programm verfügen und ihre eigenen Dienstleister einer angemessenen Due-Diligence-Prüfung unterziehen."
10. Wie schnell werden wir über Sicherheitsvorfälle informiert, die unsere Daten oder Systeme betreffen?
Dass IT-Partner über potenzielle Sicherheitsvorfälle informieren, ist eine Grundvoraussetzung – entscheidend ist jedoch die Geschwindigkeit. Stratascale-Field-CISO Corcoran rät: "Der Vertrag sollte eine Meldepflicht des Drittanbieters innerhalb von 24 bis 72 Stunden festschreiben. Zusätzlich sollten Security-Verantwortliche auf einen erprobten Incident-Response-Plan und klar definierte vertragliche Verantwortlichkeiten bestehen."
Alford sieht hier keinen Spielraum für Zugeständnisse: Drittanbieter müssen ihren Kunden ausreichend Informationen liefern, um eigene Threat-Analysen durchführen zu können. "Fehlen diese Informationen, sind Kundenunternehmen vollständig auf die Detection- und Reporting-Fähigkeiten des Hosting-Anbieters angewiesen."
11. Wie identifizieren, priorisieren und beheben Sie Schwachstellen?
Viele Cyberangriffe nutzen bekannte Schwachstellen aus – deshalb sind Patch-Richtlinien und Remediation-Fristen bei der Bewertung von Drittanbietern kritisch. Onapsis-CTO Perez-Etchegoyen warnt: "Verzögerte Patch-Zyklen können Lieferkettenunterbrechungen, operative Störungen und im Extremfall sogar Insolvenzen nach sich ziehen."
Ventrone illustriert die Risiken anhand eines konkreten Falls: Ein Unternehmen hatte sein Firewall-Management ausgelagert. "Nach der Ausnutzung einer Schwachstelle spielte der Partner die anfällige Version erneut ein – was zu einer zweiten Kompromittierung führte. Das klingt absurd, ist aber tatsächlich passiert", berichtet die Anwältin.
12. Verfügen Sie über eine Cyberversicherung, die mögliche Auswirkungen auf sämtliche Ihrer Kunden abdeckt?
Joshua Wright, Faculty Fellow beim SANS Institute, prognostiziert eine Zunahme von Angriffen auf SaaS-Anbieter – mit entsprechend steigenden Folgerisiken: "Die Kompromittierung eines solchen Drittanbieters eröffnet zahlreiche Angriffsvektoren für nachgelagerte Attacken, beispielsweise mit Ransomware."
Ventrone empfiehlt CISOs daher, in Vertragsverhandlungen sicherzustellen, dass die Cyberversicherung des Drittanbieters nicht nur dessen eigenes Unternehmen schützt, sondern auch die Gesamtauswirkungen eines Vorfalls abdeckt, von dem mehrere Kunden betroffen sind.
13. Können wir Ihre Prozesse testen?
SANS-Experte Wright fordert zudem Nachweise für Testing und Monitoring – etwa durch Penetrationstests, Security Monitoring oder Threat Hunting. Alford geht noch weiter: "Prozesstests mit realistischen Szenarien decken auf, wo tatsächliche Risiken liegen. Sie ermöglichen es, Kontrollen zu entwickeln, die der Angreifer-Perspektive entsprechen – nicht nur dem, was in der Dokumentation steht." (fm)
