Geldinstitute > Security

10.04.2019 von red

Große Besorgnis im Finanzsektor über die Lieferantenbeziehungen

Viele Unternehmen arbeiten mit hunderten oder sogar tausenden von Lieferanten zusammen. Insbesondere in der Finanzindustrie existiert ist ein riesiges geschäftliches Ökosystem, das kann zu risiken führen.

Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyberabwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird. Nur durch aktives Cyber-Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen.

„Das Risikomanagement der von Lieferanten ausgehenden Cyberrisiken ist zu einem der wichtigsten Anliegen von Unternehmen geworden“, sagt Jake Olcott, Vice President of Communications and Government Affairs bei BitSight. „Gerade im Finanzsektor ergreifen viele Unternehmen Maßnahmen, um Lieferanten-Cyberrisiken zu managen. Aber wie unsere Umfrage mit CeFPro zeigt, gibt es bei Schwerpunkten wie dem kontinuierlichen Monitoring und einem effektiven Reporting der Risiken an den Vorstand noch viel Verbesserungspotenzial."

Die wichtigsten Erkenntnisse der Studie „Third-Party Cyber Risk for Financial Services“ sind:

  • Lieferanten-Cyberrisiko beeinflusst Geschäftsentscheidungen. Fast 97 % der Befragten geben an, dass die von Lieferanten ausgehende Cyberrisiken ein großes Problem sind. Fast 80 % gaben an, dass sie bereits eine Geschäftsbeziehung aufgrund der Cybersicherheitsleistung eines Anbieters beendet haben oder beenden würden. Eine von zehn Organisationen haben eine Stelle, die sich speziell um das Risikomanagement von Anbietern, Lieferanten oder Zulieferern kümmert.
  • Es fehlt an konsistenter Erfassung des Lieferanten-Cyberrisikos und dessen Reporting. Nur 44 % der Befragten informieren ihre Vorgesetzten und den Vorstand regelmäßig über das Risiko. Das Fehlen von regelmäßigen Reports könnte die Ursache dafür sein, warum fast 20 % der Befragten der Meinung sind, dass ihre Vorstände und Vorgesetzten ihre Ansätze für das Third-Party Risk Management (TPRM) nicht verstehen oder davon nicht überzeugt sind.
  • Viele Organisationen nutzen nicht die entscheidenden Werkzeuge. Befragte gaben an, dass sie weiterhin auf Maßnahmen wie jährliche Überprüfungen vor Ort, Fragebögen und Betriebsbesuche setzen, um die IT-Sicherheit von Lieferanten festzustellen. Dadurch bekommen sie aber nur limitierte Einblicke in die Lieferanten-Cyberrisiken. Nur 22 % der Organisationen setzen auf IT-Sicherheitsratings, um kontinuierlich die Cybersicherheitsleistung ihrer Lieferanten zu überwachen. Immerhin evaluieren 30 % der Organisationen derzeit Anbieter von IT-Sicherheitsratings.
  • TPRM-Herausforderungen und Sorgen im Hinblick auf die Zukunft wachsen weiter. Unternehmen sind besorgt um die Genauigkeit und Belastbarkeit von Daten zur Risikobewertung sowie über unklare Verantwortlichkeiten für diese Art von Risikomanagement innerhalb ihrer Organisation. Für die Zukunft konzentrieren sich die Befragten darauf, die Effektivität ihrer Programme für IT-Sicherheit zu steigern, über neue Vorschriften auf dem Laufenden zu bleiben und kontinuierliches Monitoring sowie Visibilität zu gewährleisten.

„Dieser Report wirft eine Reihe interessanter Fragen für die Branche auf und macht viele Herausforderungen sichtbar“, sagt Andreas Simou, Geschäftsführer bei CeFPro. „Immer mehr Mitglieder der Geschäftsführung übernehmen Verantwortung im Bereich IT-Sicherheit. Das zeigt, dass die große Mehrheit der befragten Unternehmen die entscheidende Bedeutung des Lieferanten-Cyberrisikos versteht. Es ist jedoch auch zu betonen, dass es in Zukunft mehr Klarheit geben muss, mit verbesserter Kommunikation bis auf Vorstandsebene. Obwohl in den letzten Jahren die Effektivität, Aufmerksamkeit und Ressourcen für das Risikomanagement von Lieferanten-Cyberrisiken erheblich zugenommen haben, gibt es noch viel zu tun: Beispielsweise können effektivere Werkzeuge und Technologien eingesetzt werden, um die ständig wachsenden Herausforderungen in der Branche zu bewältigen. Dabei sind die von der Lieferkette ausgehenden Cyberrisiken nur ein Schwerpunkt, der adressiert werden sollte. Der Report zeigt eine Reihe von möglichen Lösungen auf.“

Neue Werkzeuge und Best Practices sind verfügbar, um Unternehmen bei der Bewältigung einiger der wichtigsten Herausforderungen und Bedenken zu unterstützen, die in der Umfrage genannt wurden. Um die wachsenden Risiken effektiv zu managen und den zukünftigen Herausforderungen immer einen Schritt voraus zu sein, sollten Unternehmen Best Practices nutzen und auf Lösungen zur kontinuierlichen Überwachung wie beispielsweise IT-Sicherheitsbewertungen setzen, um ihr Cyberrisiko zu erfassen und zu managen. Dazu gehören auch Daten zu von Lieferanten ausgehenden Cyberrisiken, die akkurat und belastbar sind.