Am Ende von diesem Artikel können Sie den Einkaufsführer herunterladen.
Das Risikomanagement in der Lieferkette für große Organisationen oder den Betrieb kritischer Infrastrukturen umfasst zunehmend auch die Überwachung von Cyberrisiken. Aus Sicht der Lieferunternehmen hilft ein gemeinsames Repository, auf das ihre Kundschaft zugreifen kann, dabei, die wiederholte Beantwortung derselben Fragen zu ihren Sicherheitskontrollen und -zertifizierungen zu vermeiden (z. B. „Verfügen Sie über IT-Notfallpläne und führen Sie mindestens jährlich Übungen durch?“).
Im Allgemeinen gibt es zwei verschiedene Ansätze für die Sicherheitsüberwachung: Der üblichere ist das Versenden von Fragebögen in der einen oder anderen Form. Automatische Scan-Lösungen hingegen werden immer häufiger eingesetzt – auch wenn damit nur ein kleiner Teil des tatsächlichen Cyber-Risikos abgedeckt wird.
Welches Tool erweist sich als das effektivste zur Unterstützung dieser Vorhaben? Die meisten Lösungen für Third Party / Vendor Risk Management (VRM, TPRM) oder Governance, Risk and Compliance (GRC) sowie vollständige Procure-to-Pay-Suiten bieten inzwischen zumindest einige Funktionen für die Bewertung von Cyberrisiken bei Lieferunternehmen. Tools für das External Attack Surface Management (EASM) vermarkten auch ihre Fähigkeit, die exponierten Anlagen von Lieferunternehmen und Mitwirkenden auf Schwachstellen oder Fehlkonfigurationen zu scannen.
| Anbietende | Gartner: Marktführende für Risikomanagementsysteme für Dritte, 2022 | Gartner Peer Insights „Stimme des Kunden“: IT-Anbieter-Risikomanagement-Tools, 2022 | Forrester: Plattformen zur Bewertung von Cybersecurity-Risiken, 2021 |
| Allgress | x | x | |
| Aravo | x | x | |
| RSA Archer (RiskRecon as cyber risk engine) | x | x | |
| Certa | x | ||
| Coupa | x | ||
| Diligent (former Galvanize) | x | x | |
| Security Scorecard | x | x | |
| Black Kite | x | x | |
| Bitsight | x | x | |
| Prevalent | x | x | x |
| BlueVoyant | |||
| Riskledger | |||
| Cybervadis | |||
| RiskRecon (MasterCard) | x | x | |
| LogicGate | x | ||
| LogicManager | x | ||
| Locaterisk | |||
| Red Maple FractalScan | |||
| Panorays | x | x | |
| Rapid7 Intsights | |||
| ServiceNow | x | x | |
| SureCloud | x | ||
| OneTrust | x | x | |
| ProcessBolt Threatscape | x | ||
| CyberGRX / ProcessUnity | x | x | |
| Palo Alto (Cortex Xpanse) | |||
| Darkscope CIQ360 | x | ||
| DGC Cyberscan | |||
| SureCloud | x | ||
| Upguard | x | x | x |
| Venminder | x | x | |
| Whistic | x |
Die obige Liste enthält keine spezialisierten Angebote wie z. B. Hellios, die eine Gemeinschaft von Kaufenden aus dem Verteidigungs- und Finanzsektor im Vereinigten Königreich bedienen. Einige der erwähnten Unternehmen haben inzwischen fusioniert (z. B. Thirdpartytrust mit Bitsight).
Umfang und Genauigkeit der externen Scans
Im Rahmen eines kürzlich durchgeführten RfP haben wir mehrere Anbietende von Drittanbieterlösungen zur Bewertung von Cyberrisiken gebeten, denselben Testbereich zu scannen und uns ihre Ergebnisse zu Vergleichszwecken zu übermitteln. Wie in der nachstehenden Tabelle zu sehen ist, unterscheiden sich die Ergebnisse der Beispiele erheblich. Die Testdomäne wurde von CyberCompare verwaltet – natürlich ist niemand perfekt, und die Scanergebnisse haben uns geholfen, einige Sicherheitslücken zu schließen.
Die Bedeutung jedes Ergebnisses variiert je nach individueller Sicherheitssituation und Datenschutzanforderungen, abhängig von der Kundschaftsgruppe und den betroffenen Vermögenswerten. Es könnte auch Unterschiede bei den Ergebnissen geben, weil der Zeitpunkt der Scans nicht identisch war. Die genannten Kategorien können jedoch hilfreich sein, wenn es darum geht, präzise Anforderungen festzulegen oder Lösungen von Anbietenden zu bewerten.
| Themen (Beispiele) | Bereich | Bitsight | Black Kite | Cybervadis | LocateRisk | Red Maple | RiskLedger | RiskRecon | Security Scorecard | Gültiger Befund (zum Zeitpunkt des Scans) |
| DNSSEC nicht unterstützt | DNS | x | x | x | Ja | |||||
| Kein CAA-Eintrag gefunden | DNS | x | Ja | |||||||
| Kein DANE-Eintrag gefunden | DNS | x | Ja | |||||||
| BIMI wird nicht unterstützt | DNS | x | Ja | |||||||
| SPF-Eintrag fehlt | DNS/Mail | x | x | x | x | x | x | Ja | ||
| DMARC-Mail-Datensatz fehlt | DNS/Mail | x | x | x | Ja | |||||
| Domain-Besetzung | Domain Squatting | x | Ja | |||||||
| Open SSH port (website) | Network | x | x | x | Ja | |||||
| Alte/schwache TLS-Versionen werden akzeptiert | Network | x | x | Ja | ||||||
| Nginx CVEs | Patching | x | x | x | Ja | |||||
| OpenSSH CVEs | Patching | x | x | Ja | ||||||
| CSP nicht festgelegt | WebApp | x | x | x | x | x | x | Ja | ||
| X-Frame-Options-Header nicht gesetzt | WebApp | x | x | x | x | x | Ja | |||
| Referrer Policy-Header fehlt | WebApp | x | Ja | |||||||
| HSTS-Kopfzeile nicht gesetzt | WebApp | x | x | x | x | Ja | ||||
| Unsichere HTTPS-Umleitung | WebApp | x | Nein | |||||||
| X-XSS-Schutz nicht aktiviert | WebApp | x | x | x | x | x | Ja | |||
| Anzeige der Nginx-Version | WebApp | x | x | Ja | ||||||
| Schwache CBC-Chiffren angeboten | WebApp | x | Ja | |||||||
| Inline CSS | WebApp | x | Nein | |||||||
| HPKP nicht aktiviert | WebApp | x | Ja |
Kriterien für die Vorauswahl und Auswahl
Es ist ratsam, die Auswahl des geeigneten Tools auf eine gut überlegte Entscheidung bezüglich des Prozesses des Cyber-Risikomanagements beim Anbietenden folgen zu lassen. Unabhängig davon, für welche Lösung man sich entscheidet, muss jemand in der eigenen Organisation das Lieferantenfeedback prüfen, mit den Ergebnissen arbeiten und die Maßnahmen weiterverfolgen (z. B. fehlendes Feedback von Lieferfirmen bearbeiten, sich mit der Einkaufsabteilung abstimmen), es sei denn, der gesamte Prozess wird als Managed Service ausgelagert. Dies allein verursacht schon eine erhebliche Arbeitsbelastung für Ihr eigenes Team oder Kosten für einen externen Dienstleistenden. Auch wenn viele Anbietende ihre Ergebnisse für AWS, Microsoft oder Google präsentieren (da sie für die meisten Unternehmen heute zu den größten Lieferfirmen gehören), wie nützlich sind diese Informationen tatsächlich?
Für viele Unternehmen ist das Cyberrisiko in der Lieferkette tatsächlich ein geringeres Risiko als ESG- oder andere Compliance-Risiken. Daher könnte ein sehr pragmatischer Ansatz (z. B. nur wenige Anbietende zu verfolgen) sinnvoll sein.
Für die Auswahl der richtigen Tools sind hier einige typische Anforderungen und Fragen aufgeführt:
- Sind entweder Fragebögen oder externe Scans ausreichend, oder sind beide erforderlich, um Cyber-Risiken Dritter zu verwalten?
- Kann eine bestehende Software (z. B. GRC) integriert oder ein TPRM-Cyberrisiko-Modul hinzugefügt werden? Mehrere externe Scan-Tools lassen sich beispielsweise direkt in fragebogenbasierte Tools zur Überwachung der Einhaltung von Vorschriften integrieren.
- Wie viele Lieferfirmen in welchen Branchen sind bereits auf der Plattform vertreten? Wenn es eine große Überschneidung mit Ihrer Lieferantenbasis gibt, können Sie Ihren Lieferfirmen und sich selbst viel Arbeit ersparen. Außerdem können die Benchmarking-Daten viel nützlicher sein, wenn die erfassten regionalen Branchen für Sie relevant sind.
- Sind Bewertungsfragebögen (z. B. für ISO 27x, IEC 62443, NIST CSF, GDPR) verfügbar und werden sie automatisch aktualisiert, wenn es neue/geänderte Normen gibt?
- Können die Fragebögen angepasst werden?
- Welche anderen (Nicht-Cybersecurity-) Risiken können überwacht werden?
- Unterstützte Sprachen
- Wie lange dauert es, bis die Ergebnisse für einen neues lieferndes Unternehmen vorliegen?
- Gibt es einen verwalteten Dienst für die Interaktion mit liefernden Unternehmen?
- Wie häufig werden externe Scans standardmäßig aktualisiert (jährlich, monatlich, täglich)?
- Welche Sicherheitskontrollen werden bei den externen Scans überprüft, und wie zuverlässig sind die Ergebnisse?
- Werden die Cyber-Risikoeinstufungen und die Falsch-Positiv-Rate (sowohl für entdeckte Vermögenswerte als auch für fehlende Sicherheitskontrollen) auf transparente Weise berechnet/verfolgt, und wie wird mit Falsch-Positiven verfahren?
- Haben die Anbietenden die Kontrolle über die Daten, die sie weitergeben? Können sie z. B. wählen (oder ablehnen), die Daten auch an andere Kundschaft weiterzugeben?
- Werden Bedrohungsdaten aus dem Dark Web für Bewertungen und Empfehlungen verwendet?
- Lizenzkosten für verschiedene Szenarien (z. B. abhängig von der Anzahl der bewerteten Anbietenden und der Anzahl der Scans)
CyberCompare kauft täglich im Auftrag unserer Kundschaft Sicherheitstools und -dienstleistungen ein. Wir beraten Sie gerne bei Ihrem Projekt, um sicherzustellen, dass Sie das beste aus Ihrem Sicherheitsbudget herausholen.
