{"id":7126,"date":"2026-02-18T04:00:00","date_gmt":"2026-02-18T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=7126"},"modified":"2026-02-18T04:00:00","modified_gmt":"2026-02-18T04:00:00","slug":"13-fragen-gegen-drittanbieterrisiken","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=7126","title":{"rendered":"13 Fragen gegen Drittanbieterrisiken"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Drum pr\u00fcfe\u2026\n

Miljan Zivkovic | shutterstock.com<\/p>\n<\/div>\n

Die zunehmende Abh\u00e4ngigkeit von IT-Dienstleistern und Software von Drittanbietern<\/a> vergr\u00f6\u00dfert die Angriffsfl\u00e4che von Unternehmen erheblich. Das wird auch durch zahlreiche Cyberattacken<\/a> immer wieder unterstrichen. Zwar lassen sich die Risiken in Zusammenhang mit Third-Party-Anbietern nicht g\u00e4nzlich beseitigen, aber durchaus reduzieren. Dabei sollten Sicherheitsentscheider eine zentrale Rolle spielen, wie Randy Gross<\/a>, CISO bei CompTIA, erkl\u00e4rt: \u201cCISOs sind in der einzigartigen Lage, den gesamten Gesch\u00e4ftsprozess zu \u00fcberblicken \u2013 Datenfl\u00fcsse, Abh\u00e4ngigkeiten und nachgelagerte Auswirkungen. Dennoch nutzen viele Unternehmen diese Perspektive noch immer nicht, um Risiken durch Dritte neu zu bewerten.\u201d<\/p>\n

Insbesondere, wenn Vertr\u00e4ge auf Ebene von Gesch\u00e4ftseinheiten verhandelt werden oder unterhalb der finanziellen Genehmigungsschwellen liegen, bleiben Sicherheitschefs jedoch oftmals au\u00dfen vor. Das beobachtet auch Melissa Ventrone<\/a>, Leiterin der Abteilung f\u00fcr Cybersicherheit bei der Anwaltskanzlei Clark Hill: \u201cIn vielen Unternehmen werden Sicherheitsverantwortliche erst nach Vertragsabschluss hinzugezogen. Oder wenn ein Sicherheitsproblem bereits aufgetreten ist.\u201d<\/p>\n

Tats\u00e4chlich sollten CISOs<\/a> an dieser Stelle als pragmatische Technologieberater fungieren, die wichtige Informationen einholen, f\u00fcr deren Bewertung sie besonders qualifiziert sind.<\/p>\n

13 Fragen, die Sie Drittanbietern stellen sollten<\/h1>\n

Die folgenden Fragen unterst\u00fctzen CISOs und Sicherheitsentscheider dabei, das in der Praxis umzusetzen.<\/p>\n

1. Welche Nachweise f\u00fcr angemessene Sicherheitskontrollen k\u00f6nnen Sie erbringen?<\/strong><\/p>\n

Laut Juan Pablo Perez-Etchegoyen<\/a>, CTO beim Security-Anbieter Onapsis, z\u00e4hlen folgende Nachweise dabei zu den g\u00e4ngigsten:<\/p>\n

SOC 2 Typ II<\/strong> (gilt als Goldstandard f\u00fcr Auditierungen von IT- und Cloud-Dienstleistern),<\/p>\n

ISO\/IEC 27001<\/strong>,<\/p>\n

Cloud Security Alliance STAR <\/strong>(speziell f\u00fcr Cloud-Anbieter, kombiniert ISO 27001 mit einer Kontrollmatrix f\u00fcr Cloud-bezogene Risiken), sowie<\/p>\n

branchenspezifische Zertifizierungen<\/strong> (zum Beispiel HIPAA\/HITRUST f\u00fcr den Umgang mit Gesundheitsdaten oder PCI DSS<\/a> f\u00fcr die Verarbeitung von Kreditkartendaten).<\/p>\n

2. Wie werden diese Kontrollen aktualisiert und wie werden wesentliche \u00c4nderungen kommuniziert?<\/strong><\/p>\n

Anw\u00e4ltin Ventrone empfiehlt zudem,potenzielle IT-Partner mit einem detaillierten Due-Diligence-Fragebogen<\/a> zu konfrontieren. Dar\u00fcber hinaus empfiehlt die Rechtsexpertin, spezifische Aspekte vertraglich zu verankern: \u201cDrittanbietern sollte es mindestens untersagt sein, Sicherheitskontrollen zu ver\u00e4ndern, die das Schutzniveau oder die Ausfallsicherheit Ihrer Systeme und Daten beeintr\u00e4chtigen w\u00fcrden.\u201d<\/p>\n

3. Wer ist in Ihrem Team f\u00fcr die Identity Posture zust\u00e4ndig und wie erkennt derjenige Anfragen, die auf Social Engineering zur\u00fcckzuf\u00fchren sind?<\/strong><\/p>\n

Welche Form von Zugriff das Team des Drittanbieters auf Kundensysteme und -daten hat und wie dieser segmentiert und abgesichert ist, sollten Sicherheitsentscheider nach Meinung von Casey Corcoran<\/a>, Field CISO beim Managed-Service-Anbieter Stratascale, unbedingt erfragen. \u201cAchten Sie darauf, dass dieser Zugriff protokolliert sowie \u00fcberwacht wird \u2013 und bei Bedarf sofort widerrufen werden kann.\u201d<\/p>\n

Zudem sollten Sicherheitsverantwortliche dabei die richtigen Aspekte ins Auge fassen, wie John Alford<\/a>, CSO bei der Unternehmensberatung TeraType, betont: \u201cViele Kunden konzentrieren sich auf Firewalls, Endpunkt-Agenten und MFA \u2013 \u00fcbersehen dabei aber die Trust-Pfade, die Angreifer bevorzugt nutzen: Helpdesk-Workflows, OAuth-Integrationen, Lieferanten-Support-Portale und Automatisierungs-Konnektoren.\u201d<\/p>\n

Alford empfiehlt seinen Berufskollegen au\u00dferdem, auf streng definierte Rollenbereiche, mehrstufige Verifizierungen sowie Approval Chains f\u00fcr den Reset von Anmeldedaten zu achten. \u201cIst nichts davon vorhanden, deutet das auf blinde Flecken hin, die sich nachtr\u00e4glich nicht beseitigen lassen.\u201d<\/p>\n

4. Wie lassen sich Ihre Workflows verifizieren? K\u00f6nnen Sie Nachweise \u00fcber deren Wirksamkeit erbringen?<\/strong><\/p>\n

Viele Unternehmen untersch\u00e4tzen, wie viel operatives Vertrauen sie wirklich an Anbieter abgeben. Deswegen sollten Drittanbieter nicht nur Richtlinien-Dokumente vorweisen k\u00f6nnen, sondern auch Workflow Maps, Execution-Protokolle und Testing-Belege. \u201cDie gr\u00f6\u00dften L\u00fccken treten regelm\u00e4\u00dfig an den Stellen zutage, die vermeintlich sicher sind. Ich habe schon erlebt, wie gestandene Unternehmen mit ausgepr\u00e4gten Standards und Kontrollma\u00dfnahmen an Problemen gescheitert sind, f\u00fcr die ausschlie\u00dflich die Workflows ihres Third-Party-Anbieters verantwortlich waren\u201d, plaudert Alford aus dem N\u00e4hk\u00e4stchen.<\/p>\n

Risikobewertungen<\/a> sollten sich seiner Meinung nach deshalb nicht blo\u00df auf auf Server und Netzwerke konzentrieren, sondern auch auf Identit\u00e4ts-Workflows und manuell gesteuerte Prozesse: \u201cWenn man den Blickwinkel erweitert, entdeckt man unter Umst\u00e4nden Kontrollma\u00dfnahmen, die lediglich auf dem Papier gut aussehen.\u201d<\/p>\n

5. Welche Rolle spielt unabh\u00e4ngiges Testing bei Ihnen und wie oft wird das eingesetzt?<\/strong><\/p>\n

Geht es um Security-Tests und -bewertungen bei IT-Partnern, sollten CISOs Wert darauflegen, dass diese von unabh\u00e4ngigen Dritten durchgef\u00fchrt werden, meint Rechtsexpertin Ventrone. \u201cDas sollte mindestens einmal pro Jahr stattfinden \u2013 und bei wesentlichen \u00c4nderungen an Netzwerk, Infrastruktur oder Sicherheitskontrollma\u00dfnahmen. Die Zusammenfassungen von Schwachstellen-Scans, Penetrationstests und Audits sollten Sie sich ebenfalls zeigen lassen.\u201d<\/p>\n

Danny Jenkins<\/a>, CEO beim Security-Anbieter ThreatLocker, stellt insbesondere auf die Frequenz dieser \u00dcberpr\u00fcfungen ab: \u201cBedrohungen entwickeln sich st\u00e4ndig weiter. Eine j\u00e4hrliche Pr\u00fcfung reicht deshalb nicht aus. S\u00e4mtliche Systeme sollten regelm\u00e4\u00dfig Penetrationstests unterzogen und optimiert werden.\u201d<\/p>\n

6. K\u00f6nnen Sie s\u00e4mtliche OAuth-Integrationen und API-Beziehungen in Ihrem Service auflisten und erkl\u00e4ren, wie diese definiert, \u00fcberwacht und widerrufen werden?<\/strong><\/p>\n

OAuth-Integrationen<\/a> werden nach Einsch\u00e4tzung von Teratype-CSO Alford allzu oft als harmlose Annehmlichkeiten behandelt \u2013 statt als High-Privilege-Kan\u00e4le: \u201cIn Wirklichkeit funktionieren sie wie ein Netzwerk aus vergessenen Tunneln. Sie bieten eine M\u00f6glichkeit, das Eingangstor vollst\u00e4ndig zu umgehen und verbinden Systeme tief im Inneren der Umgebung.\u201d<\/p>\n

Unternehmen sollten ihre Drittanbieter deshalb auffordern, ein Token-Inventar inklusive Minimal Scopes, endlichen Laufzeiten sowie einer M\u00f6glichkeit zum Behavioral Monitoring bereitzustellen, so Alford. Permanent g\u00fcltige Token sieht der Experte hingegen als Warnsignal, das auf ein erh\u00f6htes Risiko hindeutet.<\/p>\n

7. Wie sehen Ihre vertraglichen und operativen Pflichten aus, wenn ein Angreifer Ihre Prozesse missbraucht, ohne dabei<\/em> in Systeme einzudringen?<\/strong><\/p>\n

Wenn Drittanbieter Passw\u00f6rter zur\u00fccksetzen oder OAuth-Integrationen managen k\u00f6nnen, wird der Vertrag zu einem Kontrolldokument. Dieses definiert, wie das Risiko geteilt wird und welche Nachweise der Kunde verlangen kann. An dieser Stelle ist es besonders wichtig, Sicherheitsentscheider in die Verhandlungen mit Third-Party-Anbietern einzubeziehen, wie Alford betont: \u201cOhne die Beteiligung des CISO bleiben Vertragsklauseln in der Regel eher nachteilig ausgestaltet. Das liegt daran, dass der Fokus ohne Security-Perspektive vor allem auf der Verf\u00fcgbarkeit liegt \u2013 und nicht so sehr auf der Sicherheit. Als Kunde sollten Sie darauf bestehen, dass sich die Pflichten des Anbieters nicht nur auf kompromittierte Systeme, sondern auch kompromittierte Prozesse erstrecken.\u201d<\/p>\n

8. Welche Kontrollma\u00dfnahmen kommen zum Einsatz, um die Aktivit\u00e4ten Ihrer Mitarbeiter in unserer Umgebung zu kontrollieren? Und wie erkennen wir Verhalten, das von der Norm abweicht?<\/strong><\/p>\n

\u201cModerne Angriffskampagnen machen sich Vertrauensbeziehungen und weiche Betriebsprozesse zunutze. Die Gefahr lauert dabei oft dort, wo sie niemand erwartet \u2013 beispielsweise Helpdesks\u201d, warnt Alford. Die Aktivit\u00e4ten der Belegschaft von Drittanbietern zu \u00fcberwachen sei daher erfolgsentscheidend. Der Sicherheitsprofi empfiehlt deshalb, darauf zu bestehen, dass der Partner Sessions aufzeichnet, Echzeit-Alarmmeldungen zur Verf\u00fcgung stellt und Aufgaben strikt getrennt werden.<\/p>\n

9. Wie isolieren Sie unsere Assets und Daten von denen anderer Kunden?<\/strong><\/p>\n

Mit Blick auf potenzielle Third-Party-Anbieter sollten CISOs zudem auf eine klare Architektur und konkrete Ma\u00dfnahmen achten, die Schaden begrenzen k\u00f6nnen. Dabei spielt auch eine Rolle, wie der Drittanbieter Risiken in seinen eigenen Lieferketten<\/a> managt. \u201cIT-Partner sollten \u00fcber ein robustes Vendor-Management-Programm verf\u00fcgen und ihre eigenen Dienstleister einer angemessenen Due-Diligence-Pr\u00fcfung unterziehen\u201d, r\u00e4t Ventrone.<\/p>\n

10. Wie schnell werden wir \u00fcber Sicherheitsvorf\u00e4lle informiert, die sich auf unsere Daten oder Systeme auswirken?<\/strong><\/p>\n

Von IT-Partnern \u00fcber potenzielle Sicherheitsvorf\u00e4lle informiert zu werden, sollte selbstverst\u00e4ndlich sein. Dabei sollte jedoch auch eine Rolle spielen, wie zeitnah das erfolgt. Stratascale-Field-CISO Corcoran empfiehlt diesbez\u00fcglich: \u201cDer Vertrag sollte eine Meldung des Drittanbieters innerhalb von 24 bis 72 Stunden garantieren. Dar\u00fcber hinaus sollten Security-Verantwortliche auch auf einen getesteten Incident-Response-Plan sowie weitere vertraglich verankerte Verantwortlichkeiten achten.\u201d\u00a0\u00a0<\/p>\n

Auch Alford sieht bei diesem Punkt kein Potenzial f\u00fcr Kompromisse \u2013 Drittanbieter m\u00fcssten ihren Kunden ausreichend Informationen zur Verf\u00fcgung stellen, damit diese ihre eigenen Threat-Analysen<\/a> fahren k\u00f6nnen: \u201cGeschieht das nicht, k\u00f6nnen sich Kundenunternehmen lediglich noch auf die Detection- und Reporting-Funktion des Hosting-Anbieters st\u00fctzen.\u201d<\/p>\n

11. Wie identifizieren, priorisieren und beheben Sie Schwachstellen?<\/strong><\/p>\n

Da nicht wenige Cyberattacken auf bereits bekannte Schwachstellen abzielen, gilt es bei der Evaluierung von Drittanbietern auch auf Patch-Richtlinien und Remediation-Fristen zu achten. Onapsis-CTO Perez-Etchegoyen kl\u00e4rt \u00fcber die Risiken in diesem Zusammenhang auf: \u201cLangsame Patch-Zyklen k\u00f6nnen zu Lieferkettenunterbrechungen, betrieblichen Problemen und manchmal auch zur Insolvenz f\u00fchren.\u201d<\/p>\n

Ventrone f\u00fchrt an dieser Stelle das Beispiel eines Unternehmens an, das sein Firewall-Management an einen Drittanbieter ausgelagert hat: \u201cNachdem eine Schwachstelle in der Firewall ausgenutzt worden war, stellte der Partner schlie\u00dflich die anf\u00e4llige Version wieder her \u2013 was zu einer zweiten Kompromittierung f\u00fchrte. Um es salopp zu sagen: So etwas kann man sich nicht ausdenken\u201d, konstatiert die Anw\u00e4ltin.<\/p>\n

12. Verf\u00fcgen Sie \u00fcber eine Cyberversicherung, die m\u00f6gliche Auswirkungen auf s\u00e4mtliche Ihrer Kunden abdeckt?<\/strong><\/p>\n

Laut Joshua Wright<\/a>, Faculty Fellow beim SANS Institute, werden die Attacken auf SaaS-Anbieter<\/a> in Zukunft weiter steigen \u2013 und damit auch die nachgelagerten Risiken: \u201cWird ein solcher Drittanbieter kompromittiert, entstehen diverse M\u00f6glichkeiten f\u00fcr Folgeangriffe \u2013 etwa mit Ransomware.\u201d<\/p>\n

Ventrone empfiehlt CISOs deshalb, in Verhandlungen mit Drittanbietern auch sicherzustellen, dass deren Cyberversicherungspolice nicht nur das eigene Unternehmen abdeckt, sondern auch den gesamten Impact eines Vorfalls, bei dem mehrere Kunden betroffen sind. \u00a0<\/p>\n

13. K\u00f6nnen wir Ihre Prozesse testen?<\/strong><\/p>\n

SANS-Experte Wright h\u00e4lt dar\u00fcber hinaus auch Nachweise f\u00fcr Testing und Monitoring<\/a> f\u00fcr unerl\u00e4sslich \u2013 etwa bezogen auf Penetrationstests, Security Monitoring oder Threat Hunting. Alford empfiehlt allerdings, noch einen Schritt weiter zu gehen: \u201cProzesstests unter Einbeziehung realistischer Szenarien k\u00f6nnen aufdecken, wo tats\u00e4chlich Risiken bestehen. Das gibt Ihnen zudem die M\u00f6glichkeit, Kontrollen zu entwickeln, die der Denkweise von Angreifern entsprechen und nicht dem, was in der Dokumentation steht.\u201d (fm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Drum pr\u00fcfe\u2026 Miljan Zivkovic | shutterstock.com Die zunehmende Abh\u00e4ngigkeit von IT-Dienstleistern und Software von Drittanbietern vergr\u00f6\u00dfert die Angriffsfl\u00e4che von Unternehmen erheblich. Das wird auch durch zahlreiche Cyberattacken immer wieder unterstrichen. Zwar lassen sich die Risiken in Zusammenhang mit Third-Party-Anbietern nicht g\u00e4nzlich beseitigen, aber durchaus reduzieren. Dabei sollten Sicherheitsentscheider eine zentrale Rolle spielen, wie Randy Gross, […]<\/p>\n","protected":false},"author":0,"featured_media":7127,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-7126","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7126"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=7126"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/7126\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/7127"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=7126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=7126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=7126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}