Geschäftspartner sind für Unternehmen ein wichtiger Schlüssel zum Geschäftserfolg. Sowohl mittelständische Unternehmen als auch Großkonzerne sind heute zunehmend auf Dritte angewiesen, wenn es um Innovation, Wachstum und digitale Transformation geht. Diese Abhängigkeit birgt aber auch Risiken. Diese können durch ein effizientes Third-Party-Risk-Management minimiert werden.
Mehr Sicherheit durch Information und kontinuierliche Kontrolle
Ein effektives Risikomanagement sollte sich grundsätzlich nicht nur auf den IT-Dienstleister in der Cloud beziehen. Vielmehr ist es für Unternehmen mit Blick auf die eigenen Sicherheitsinteressen sinnvoll, auch der Datensicherheit bei Lieferanten und Partnern höchste Aufmerksamkeit zu schenken. Hier sollte sichergestellt werden, dass ein Dritter im Falle eines Cyber-Angriffs auf das eigene Netzwerk umgehend alle mit ihm verbundenen Geschäftspartner informiert. Hier sind bereits im Vorfeld vertraglich festgelegte Mechanismen sinnvoll. Darüber hinaus sollte sich jedes Unternehmen absichern und alle kritischen IT-Schnittstellen durch regelmäßige Audits kontinuierlich selbst überwachen. Die zunehmende Vernetzung macht solche Maßnahmen notwendig.
Risikobewertung von Business-Partnern schützt das eigene Unternehmen
Gerade für mittelständische Unternehmen ist es notwendig, sich möglichst effektiv gegen alle Risiken abzusichern. Vor allem die Datensicherheit muss dabei oberste Priorität haben. Das Problem: Durch die technische Vernetzung mit externen Geschäftspartnern, Lieferanten oder anderen Dienstleistern entstehen Sicherheitsrisiken nicht unbedingt im eigenen Unternehmen, sondern bei den genannten Dritten. Denn ein erhöhtes Risiko dort wirkt sich immer auch auf die Risikoposition, die Resilienz und die Reputation des eigenen Unternehmens aus.
Gibt es beispielsweise Sicherheitslücken in der IT-Infrastruktur eines Zulieferers, können Cyberkriminelle diese nutzen, um nicht nur in dessen Netzwerk einzudringen, sondern auch in das des Geschäftspartners. Laut dem Weltwirtschaftsforum in Davos ist die Zahl solcher „Umweg-Attacken“ in den letzten Jahren um 17 Prozent auf 61 Prozent gestiegen. Um sich zu schützen, sollten Unternehmen daher jeden Geschäftspartner sorgfältig prüfen und durch eine kontinuierliche Risikobewertung sicherstellen, dass die Sicherheit und der Schutz der eigenen Daten gewährleistet bleibt.
Automatisierte Lösungen für optimales Third-Party-Risk-Management
Die Digitalisierung schafft nicht nur Sicherheitslücken, sie ist auch das Mittel der Wahl, um Risiken wieder zu minimieren. Das Stichwort lautet hier automatisierte Lösungen für ein effizientes Risikomanagement in Unternehmen. So setzt das Rosenheimer Unternehmen Neto Consulting auf eine datengetriebene Lösung namens embedded GRC“ (kurz eGRC). Sie ermöglicht Unternehmen durch IT-gestützte Prozesse eine effiziente und ressourcenschonende Umsetzung in verschiedenen Bereichen – von der Informationssicherheit über den Datenschutz bis hin zum Risikomanagement.
Der Schwerpunkt entsprechender Dienstleister liegt in der Beratung und Begleitung von Unternehmen zum Thema ´Organisation der IT-Sicherheit und ihrer Prozesse im Umfeld der Cybersicherheit‘. Bei der Organisation der unternehmenseigenen IT-Sicherheit geht es letztlich um die möglichst effiziente und gleichzeitig ressourcenschonende Umsetzung und Gestaltung der unternehmensspezifischen Sicherheitsprozesse.
Ein wesentlicher Beitrag von IT-Sicherheitsdienstleistern ist die Unterstützung von Unternehmen bei „Worst-Case“-Szenarien. Die Unterstützung erfolgt durch Maßnahmen zur Erkennung von Cybersicherheitsereignissen, zur Einleitung geeigneter Reaktionen und zur Wiederherstellung der Sicherheit sowie zur Nachverfolgung von Ereignissen. Die jeweiligen Lösungen für Unternehmen, die auf Informations- und Infrastruktursicherheit angewiesen sind, können defensiv, proaktiv oder reaktiv sein.
DSGVO und IT-Sicherheitsrisiken
Dienstleistungsunternehmen in diesem Bereich unterstützen beispielsweise ganz konkret bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO), indem sie mit Hilfe von Penetrationstests die Unternehmensrichtlinien, die Systemabwehr sowie die unternehmenseigenen Webseiten auf sogenannte Compliance-Schwachstellen überprüfen. Anschließend empfehlen sie Maßnahmen zur Minimierung der identifizierten Schwachstellen.
Für das Risikomanagement eines Unternehmens spielt die Datenschutz-Folgenabschätzung (DSFA) im Rahmen der DSGVO eine wichtige Rolle. Sie beschreibt einen Prozess zur Identifizierung, Bewertung und Bewältigung von Risiken, die durch den Einsatz einer bestimmten Technologie oder eines Systems im Bereich der Grundrechte entstehen können. Die DSFA formuliert somit die Pflicht, eine Abschätzung und Dokumentation der möglichen Folgen einer geplanten Datenverarbeitung vorzunehmen.
#NetoConsulting
