{"id":6377,"date":"2026-01-02T03:00:00","date_gmt":"2026-01-02T03:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6377"},"modified":"2026-01-02T03:00:00","modified_gmt":"2026-01-02T03:00:00","slug":"was-cisos-von-moschusochsen-lernen-konnen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6377","title":{"rendered":"Was CISOs von Moschusochsen lernen k\u00f6nnen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Von Moschusochsen k\u00f6nnen sich CISOs eine Scheibe abschneiden \u2013 wenn es nach unserem Autor geht.\n

Wirestock Creators \u2013 shutterstock.com<\/p>\n<\/div>\n

Drittanbieter-Risikomanagement<\/a>\u00a0ist f\u00fcr CISOs und Sicherheitsentscheider eine signifikante Herausforderung. Wird sie nicht (richtig) gestemmt, drohen weitreichende gesch\u00e4ftliche Konsequenzen \u2013 bis hin zum Stillstand der Produktion.<\/p>\n

Das wurde in den vergangenen Monaten von diversen Cyberattacken auf Drittanbieter unterstrichen. Zum Beispiel, als die russische Hackergruppe APT29 (auch bekannt als \u201cCozy Bear\u201d) im Juni 2024 die kostenlose Remote-Access-Software\u00a0TeamViewer ins Visier nahm<\/a>, die im Unternehmensumfeld weit verbreitet ist. Selbst, wenn Sie TeamViewer nicht einsetzen \u2013 \u00e4hnliche Tools gibt es auch von diversen, anderen Anbietern. Beispielsweise von Perimeter81, AnyDesk, GoToMyPC oder LogMeIn.<\/p>\n

Die entscheidenden Fragen sind dabei:<\/p>\n

Welcher Drittanbieter wird als n\u00e4chstes angegriffen?<\/p>\n

Und k\u00f6nnen Sie es sich leisten, diesbez\u00fcglich ein Risiko einzugehen?<\/p>\n

Drittanbieter sind Ihr schw\u00e4chstes Glied<\/h1>\n

Leider verlassen sich so gut wie alle Unternehmen in zu hohem Ma\u00dfe auf zu viele verschiedene Drittanbieter, die in ihre\u00a0Softwarelieferketten<\/a>\u00a0und Gesch\u00e4ftsprozesse eingebettet sind. Dabei reden wir nicht \u00fcber zwei oder drei Third-Party-Partner, sondern mit Blick auf popul\u00e4re\u00a0Software-as-a-Service-Angebote<\/a>\u00a0eher \u00fcber Hunderte oder Tausende, auf die sich Unternehmen jeden Tag verlassen.<\/p>\n

Das Risiko, das einer Zusammenarbeit mit Drittanbietern inh\u00e4rent ist, steigt entsprechend drastisch an \u2013 und nicht nur, wenn ihre Anzahl \u00fcberhandnimmt. Weitere Risikofaktoren in diesem Bereich sind beispielsweise:<\/p>\n

Eingeschr\u00e4nkte Transparenz.<\/strong>\u00a0So gut wie alle Anbieter bieten potenziellen Kunden diverse Daten an, um ihre F\u00e4higkeiten anzupreisen. Dabei kommen in einigen F\u00e4llen allerdings Informationen zum Einsatz, die nicht aktuell sind und somit die aktuelle Risikolage nicht ad\u00e4quat widerspiegeln.<\/p>\n

Mehr Komplexit\u00e4t.<\/strong>\u00a0Diverse Drittanbieter arbeiten selbst mit Zulieferern und Subunternehmen zusammen, von denen Sie m\u00f6glicherweise nichts wissen.<\/p>\n

Unausgereifte Prozesse.<\/strong>\u00a0Nicht wenige Third-Party-Anbieter arbeiten mit Cybersecurity-Richtlinien und -Standards, die weniger ausgereift sind als Ihre eigenen.<\/p>\n

Geringere Investitionen.<\/strong>\u00a0Letztgenannter Punkt h\u00e4ngt oft auch damit zusammen, dass viele Drittanbieter ein begrenztes Budget f\u00fcr Cybersicherheit zur Verf\u00fcgung haben. Das kann sich auf das Sicherheitsniveau ihrer Tools und Services auswirken.<\/p>\n

Zwar wurde eine Reihe von\u00a0Best Practices<\/a>\u00a0und\u00a0Playbooks<\/a>\u00a0entwickelt, um diese L\u00fccken zu schlie\u00dfen \u2013 diese haben sich in weiten Teilen allerdings nicht bew\u00e4hrt:<\/p>\n

Vendor Assessments verkommen regelm\u00e4\u00dfig zu papierbasierten \u201cAnkreuz\u00fcbungen\u201d, die nur Zeit fressen, aber nicht dazu beitragen, Risiken zu minimieren.<\/p>\n

Auch im Rahmen von Vertragsverhandlungen daf\u00fcr sorgen zu wollen, dass strengere Sicherheitsanforderungen bei Drittanbietern angelegt werden, hat in vielen F\u00e4llen nichts bewirkt.<\/p>\n

Einige Unternehmen setzen auf Continuous Monitoring, um einen \u00dcberblick und mehr, datengetriebene Einblicke in das Sicherheitsniveau von Drittanbietern zu erhalten.<\/p>\n

Andere implementieren mit Blick auf Third-Party-Partner\u00a0Incident-Response-Pl\u00e4ne<\/a>, um Strategien zu entwickeln und einzu\u00fcben, falls es bei diesen zu einem Sicherheitsvorfall kommt.<\/p>\n

Insbesondere die letzten beiden Punkte k\u00f6nnen f\u00fcr Unternehmen hilfreich sein. Allerdings adressieren auch diese Ma\u00dfnahmen das Risiko in Zusammenhang mit Drittanbietern nicht vollumf\u00e4nglich. Vielmehr stellen sie ein Mittel dar, um zu \u00fcberwachen und zu reagieren, falls es\u00a0zu einer Cyberattacke kommt<\/a>.<\/p>\n

Die Moschusochsen-Strategie<\/h1>\n

Ich bin stolzes Mitglied des \u201cFinancial Services Information Sharing and Analysis Center\u201d (FS-ISAC<\/a>) und habe zusammen mit anderen CISOs aus der Finanzdienstleistungsbranche den Vorsitz des strategischen Ausschusses in der Asien-Pazifik-Region inne. Das Konsortium bietet Finanzdienstleistern auf der ganzen Welt ein umfassendes Cyber-Intelligence-Netzwerk, um sich untereinander \u00fcber m\u00f6glicherweise bevorstehende oder bereits laufende Angriffskampagnen auszutauschen.<\/p>\n

Weil viele verschiedene Unternehmen der Branche mit unterschiedlich ausgepr\u00e4gtem Knowhow und Ressourcen an Bord sind, sind die Mitglieder in der Lage, eine umfassende Perspektive zu erhalten, die sie alleine nicht erreichen k\u00f6nnten. Das FS-ISAC ist insofern ein hervorragendes Beispiel daf\u00fcr, wie wir als Sicherheitsentscheider zusammenarbeiten k\u00f6nnen, um uns besser\u00a0gegen Risiken abzusichern<\/a>.<\/p>\n

Das ist die Essenz dessen, was ich als \u201cMoschusochsenstrategie\u201d bezeichne. Der Hintergrund: Werden Moschusochsen von W\u00f6lfen angegriffen, bildet die Herde einen Kreis, in dessen Mitte sich die schw\u00e4cheren Mitglieder befinden. Die H\u00f6rner der \u201cFrontline\u201d-Tiere sind dabei nach au\u00dfen positioniert. F\u00fcr die Angreifer ist dieser gemeinschaftliche Verteidigungswall kaum noch zu \u00fcberwinden. Ich bin der festen \u00dcberzeugung, dass sich diese Strategie auch auf das Drittanbieter-Risikomanagement \u00fcbertragen l\u00e4sst.<\/p>\n

\u00c4hnlich wie bei den Moschusochsen die K\u00e4lber sind die Drittanbieter, auf die wir uns verlassen, die schw\u00e4chsten Herdenmitglieder. Werden Sie in Mitleidenschaft gezogen, wirkt sich das\u00a0auf unsere kritischen Gesch\u00e4ftsprozesse aus<\/a>. Der Unterschied zu den Moschusochsen: Wir bilden keinen Kreis, in dessen Mitte sich die Drittanbieter befinden. Stattdessen w\u00e4re es angebracht, sich im Kollektiv dar\u00fcber auszutauschen, wenn die Sorge besteht, dass die Cybersecurity-Ma\u00dfnahmen bei einem Third-Party-Anbieter zu w\u00fcnschen \u00fcbriglassen und verst\u00e4rkt werden sollten.<\/p>\n

Noch wichtiger w\u00e4re allerdings eine gemeinsame \u00dcbereinkunft dar\u00fcber, den Drittanbieter bei seinen Bem\u00fchungen zu unterst\u00fctzen. Das w\u00fcrde potenziell Koordinationsarbeit und unter Umst\u00e4nden auch eine Neuverhandlung von Vertr\u00e4gen erfordern \u2013 h\u00e4tte aber den Vorteil, diese Schwachstelle, die uns alle betrifft, besser absichern zu k\u00f6nnen.<\/p>\n

Von der Theorie zur Praxis<\/h1>\n

Ein solches Zusammenwirken k\u00f6nnte unter Juristen durchaus Bedenken aufwerfen \u2013 Stichwort Wettbewerbsrecht. Dennoch hat der Moschusochsenansatz das Potenzial, die Risikolage in Sachen Drittanbieter entscheidend zu verbessern \u2013 und Unternehmen dabei zu unterst\u00fctzen, Third-Party-Risiken besser zu managen.<\/p>\n

Das k\u00f6nnte \u2013 zum Beispiel \u2013 folgenderma\u00dfen aussehen:<\/p>\n

Bestimmen Sie, welche Drittanbieter Ihnen am meisten Sorgen bereiten und erstellen Sie eine \u201cHot List\u201d.<\/p>\n

Tauschen Sie sich mit anderen Unternehmen aus, um diese Liste abzugleichen und die Kandidaten zu ermitteln, die Sie gemeinsam haben.<\/p>\n

Verhandeln Sie \u00fcber einen gemeinschaftlichen \u201cSchutzschild\u201d f\u00fcr diese Anbieter.<\/p>\n

Denselben Ansatz haben wir bei FS-ISAC als m\u00f6glichen Weg f\u00fcr die Zukunft diskutiert. Die ersten beiden Schritte sind relativ simpel zu bewerkstelligen \u2013 der dritte macht hingegen deutlich mehr Aufwand, aber auch den entscheidenden Unterschied. Ein praktischer Ansatz, um diesen umzusetzen, k\u00f6nnte dabei darin bestehen, dass die gr\u00f6\u00dften Unternehmen eine F\u00fchrungsrolle einnehmen und kleinere unter ihre Fittiche nehmen.<\/p>\n

Vergessen sollten Sie dabei nicht, dass auch die Moschusochsen-Strategie ihre Grenzen hat: Wenn ein B\u00e4r angreift, machen sich auch Moschusochsen aus dem Staub \u2013 dann ist jeder auf sich allein gestellt. Das l\u00e4sst sich ebenfalls auf die Cybersicherheit \u00fcbertragen: Je m\u00e4chtiger der Feind, desto wahrscheinlicher ist es, dass der Angriff in einen Kampf ums blanke \u00dcberleben ausartet. Aber auch wenn diese Strategie nicht auf jedes Szenario anwendbar ist, k\u00f6nnte sie unser kollektives Risiko erheblich minimieren. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Von Moschusochsen k\u00f6nnen sich CISOs eine Scheibe abschneiden \u2013 wenn es nach unserem Autor geht. Wirestock Creators \u2013 shutterstock.com Drittanbieter-Risikomanagement\u00a0ist f\u00fcr CISOs und Sicherheitsentscheider eine signifikante Herausforderung. Wird sie nicht (richtig) gestemmt, drohen weitreichende gesch\u00e4ftliche Konsequenzen \u2013 bis hin zum Stillstand der Produktion. Das wurde in den vergangenen Monaten von diversen Cyberattacken auf Drittanbieter unterstrichen. […]<\/p>\n","protected":false},"author":0,"featured_media":650,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6377","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6377"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6377"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6377\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/650"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}