Einkaufsführer: Tools zur Bewertung von Cyberrisiken durch Dritte

Einkaufsführer für Tools zur Bewertung von Cyberrisiken durch Dritte

Am Ende von diesem Artikel können Sie den Einkaufsführer herunterladen.

Das Risikomanagement in der Lieferkette für große Organisationen oder den Betrieb kritischer Infrastrukturen umfasst zunehmend auch die Überwachung von Cyberrisiken. Aus Sicht der Lieferunternehmen hilft ein gemeinsames Repository, auf das ihre Kundschaft zugreifen kann, dabei, die wiederholte Beantwortung derselben Fragen zu ihren Sicherheitskontrollen und -zertifizierungen zu vermeiden (z. B. „Verfügen Sie über IT-Notfallpläne und führen Sie mindestens jährlich Übungen durch?“).

Im Allgemeinen gibt es zwei verschiedene Ansätze für die Sicherheitsüberwachung: Der üblichere ist das Versenden von Fragebögen in der einen oder anderen Form. Automatische Scan-Lösungen hingegen werden immer häufiger eingesetzt – auch wenn damit nur ein kleiner Teil des tatsächlichen Cyber-Risikos abgedeckt wird.

Welches Tool erweist sich als das effektivste zur Unterstützung dieser Vorhaben? Die meisten Lösungen für Third Party / Vendor Risk Management (VRM, TPRM) oder Governance, Risk and Compliance (GRC) sowie vollständige Procure-to-Pay-Suiten bieten inzwischen zumindest einige Funktionen für die Bewertung von Cyberrisiken bei Lieferunternehmen. Tools für das External Attack Surface Management (EASM) vermarkten auch ihre Fähigkeit, die exponierten Anlagen von Lieferunternehmen und Mitwirkenden auf Schwachstellen oder Fehlkonfigurationen zu scannen.

AnbietendeGartner: Marktführende für Risikomanagementsysteme für Dritte, 2022Gartner Peer Insights „Stimme des Kunden“: IT-Anbieter-Risikomanagement-Tools, 2022Forrester: Plattformen zur Bewertung von Cybersecurity-Risiken, 2021
Allgressxx
Aravoxx
RSA Archer (RiskRecon as cyber risk engine)xx
Certax
Coupax
Diligent (former Galvanize)xx
Security Scorecardxx
Black Kitexx
Bitsightxx
Prevalentxxx
BlueVoyant
Riskledger
Cybervadis
RiskRecon (MasterCard)xx
LogicGatex
LogicManagerx
Locaterisk
Red Maple FractalScan
Panoraysxx
Rapid7 Intsights
ServiceNowxx
SureCloudx
OneTrustxx
ProcessBolt Threatscapex
CyberGRX / ProcessUnityxx
Palo Alto (Cortex Xpanse)
Darkscope CIQ360x
DGC Cyberscan
SureCloudx
Upguardxxx
Venminderxx
Whisticx

Die obige Liste enthält keine spezialisierten Angebote wie z. B. Hellios, die eine Gemeinschaft von Kaufenden aus dem Verteidigungs- und Finanzsektor im Vereinigten Königreich bedienen. Einige der erwähnten Unternehmen haben inzwischen fusioniert (z. B. Thirdpartytrust mit Bitsight).

Umfang und Genauigkeit der externen Scans

Im Rahmen eines kürzlich durchgeführten RfP haben wir mehrere Anbietende von Drittanbieterlösungen zur Bewertung von Cyberrisiken gebeten, denselben Testbereich zu scannen und uns ihre Ergebnisse zu Vergleichszwecken zu übermitteln. Wie in der nachstehenden Tabelle zu sehen ist, unterscheiden sich die Ergebnisse der Beispiele erheblich. Die Testdomäne wurde von CyberCompare verwaltet – natürlich ist niemand perfekt, und die Scanergebnisse haben uns geholfen, einige Sicherheitslücken zu schließen.

Die Bedeutung jedes Ergebnisses variiert je nach individueller Sicherheitssituation und Datenschutzanforderungen, abhängig von der Kundschaftsgruppe und den betroffenen Vermögenswerten. Es könnte auch Unterschiede bei den Ergebnissen geben, weil der Zeitpunkt der Scans nicht identisch war. Die genannten Kategorien können jedoch hilfreich sein, wenn es darum geht, präzise Anforderungen festzulegen oder Lösungen von Anbietenden zu bewerten.

Themen (Beispiele)BereichBitsightBlack KiteCybervadisLocateRiskRed MapleRiskLedgerRiskReconSecurity ScorecardGültiger Befund (zum Zeitpunkt des Scans)
DNSSEC nicht unterstütztDNSxxxJa
Kein CAA-Eintrag gefundenDNSxJa
Kein DANE-Eintrag gefundenDNSxJa
BIMI wird nicht unterstütztDNSxJa
SPF-Eintrag fehltDNS/MailxxxxxxJa
DMARC-Mail-Datensatz fehltDNS/MailxxxJa
Domain-BesetzungDomain SquattingxJa
Open SSH port (website)NetworkxxxJa
Alte/schwache TLS-Versionen werden akzeptiertNetworkxxJa
Nginx CVEsPatchingxxxJa
OpenSSH CVEsPatchingxxJa
CSP nicht festgelegtWebAppxxxxxxJa
X-Frame-Options-Header nicht gesetztWebAppxxxxxJa
Referrer Policy-Header fehltWebAppxJa
HSTS-Kopfzeile nicht gesetztWebAppxxxxJa
Unsichere HTTPS-UmleitungWebAppxNein
X-XSS-Schutz nicht aktiviertWebAppxxxxxJa
Anzeige der Nginx-VersionWebAppxxJa
Schwache CBC-Chiffren angebotenWebAppxJa
Inline CSSWebAppxNein
HPKP nicht aktiviertWebAppxJa

Kriterien für die Vorauswahl und Auswahl

Es ist ratsam, die Auswahl des geeigneten Tools auf eine gut überlegte Entscheidung bezüglich des Prozesses des Cyber-Risikomanagements beim Anbietenden folgen zu lassen. Unabhängig davon, für welche Lösung man sich entscheidet, muss jemand in der eigenen Organisation das Lieferantenfeedback prüfen, mit den Ergebnissen arbeiten und die Maßnahmen weiterverfolgen (z. B. fehlendes Feedback von Lieferfirmen bearbeiten, sich mit der Einkaufsabteilung abstimmen), es sei denn, der gesamte Prozess wird als Managed Service ausgelagert. Dies allein verursacht schon eine erhebliche Arbeitsbelastung für Ihr eigenes Team oder Kosten für einen externen Dienstleistenden. Auch wenn viele Anbietende ihre Ergebnisse für AWS, Microsoft oder Google präsentieren (da sie für die meisten Unternehmen heute zu den größten Lieferfirmen gehören), wie nützlich sind diese Informationen tatsächlich?

Für viele Unternehmen ist das Cyberrisiko in der Lieferkette tatsächlich ein geringeres Risiko als ESG- oder andere Compliance-Risiken. Daher könnte ein sehr pragmatischer Ansatz (z. B. nur wenige Anbietende zu verfolgen) sinnvoll sein.

Für die Auswahl der richtigen Tools sind hier einige typische Anforderungen und Fragen aufgeführt:

  • Sind entweder Fragebögen oder externe Scans ausreichend, oder sind beide erforderlich, um Cyber-Risiken Dritter zu verwalten?
  • Kann eine bestehende Software (z. B. GRC) integriert oder ein TPRM-Cyberrisiko-Modul hinzugefügt werden? Mehrere externe Scan-Tools lassen sich beispielsweise direkt in fragebogenbasierte Tools zur Überwachung der Einhaltung von Vorschriften integrieren.
  • Wie viele Lieferfirmen in welchen Branchen sind bereits auf der Plattform vertreten? Wenn es eine große Überschneidung mit Ihrer Lieferantenbasis gibt, können Sie Ihren Lieferfirmen und sich selbst viel Arbeit ersparen. Außerdem können die Benchmarking-Daten viel nützlicher sein, wenn die erfassten regionalen Branchen für Sie relevant sind.
  • Sind Bewertungsfragebögen (z. B. für ISO 27x, IEC 62443, NIST CSF, GDPR) verfügbar und werden sie automatisch aktualisiert, wenn es neue/geänderte Normen gibt?
  • Können die Fragebögen angepasst werden?
  • Welche anderen (Nicht-Cybersecurity-) Risiken können überwacht werden?
  • Unterstützte Sprachen
  • Wie lange dauert es, bis die Ergebnisse für einen neues lieferndes Unternehmen vorliegen?
  • Gibt es einen verwalteten Dienst für die Interaktion mit liefernden Unternehmen?
  • Wie häufig werden externe Scans standardmäßig aktualisiert (jährlich, monatlich, täglich)?
  • Welche Sicherheitskontrollen werden bei den externen Scans überprüft, und wie zuverlässig sind die Ergebnisse?
  • Werden die Cyber-Risikoeinstufungen und die Falsch-Positiv-Rate (sowohl für entdeckte Vermögenswerte als auch für fehlende Sicherheitskontrollen) auf transparente Weise berechnet/verfolgt, und wie wird mit Falsch-Positiven verfahren?
  • Haben die Anbietenden die Kontrolle über die Daten, die sie weitergeben? Können sie z. B. wählen (oder ablehnen), die Daten auch an andere Kundschaft weiterzugeben?
  • Werden Bedrohungsdaten aus dem Dark Web für Bewertungen und Empfehlungen verwendet?
  • Lizenzkosten für verschiedene Szenarien (z. B. abhängig von der Anzahl der bewerteten Anbietenden und der Anzahl der Scans)

CyberCompare kauft täglich im Auftrag unserer Kundschaft Sicherheitstools und -dienstleistungen ein. Wir beraten Sie gerne bei Ihrem Projekt, um sicherzustellen, dass Sie das beste aus Ihrem Sicherheitsbudget herausholen.

Jetzt Einkaufsführer.pdf herunterladen