STUDIEN & UMFRAGEN12. April 2019

Bitsight-Studie zeigt Besorgnis im Finanzsektor über Lieferanten-Cyberrisiken

bitsight

Die von BitSight und dem Center for Financial Professionals (CeFPro) gemeinsam durchgeführte Studie „Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” untersucht aktuelle sowie zukünftige Ansätze und Herausforderungen für das Risikomanagement der von der Lieferkette ausgehenden Cyberrisiken. Sie basiert auf einer Umfrage unter Experten für Finanzdienstleistungen und zeigt, dass die Experten das Risikomanagement von Lieferanten-Cyberrisiken als geschäftskritisch wahrnehmen. Dennoch fehlt oft ein kontinuierliches Monitoring und ein einheitliches Reporting der Lieferanten-Cyberrisiken. Zusammen mit weiteren Schwachstellen sorgt dies für Anfälligkeiten von Organisationen für Datenschutzverletzungen und weitere Konsequenzen.

Viele Unternehmen arbeiten mit hunderten oder gar tausenden Lieferanten zusammen. Dadurch entstehen neue Risiken, zu deren Bewältigung Unternehmen aktiv handeln müssen. Insbesondere in der Finanzbranche existiert ein riesiges geschäftliches Ökosystem, das sich aus rechtlichen Organisationen, Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Unternehmen sowie IT- und Software-Anbietern zusammensetzt. Jeder Anbieter stellt eine potenzielle Schwachstelle für die Cyber-Abwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird. Nur durch aktives Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen.

Das Risikomanagement der von Lieferanten ausgehenden Cyberrisiken ist zu einem der wichtigsten Anliegen von Unternehmen geworden. Gerade im Finanzsektor ergreifen viele Unternehmen Maßnahmen, um Lieferanten-Cyberrisiken zu managen. Aber wie unsere Umfrage mit CeFPro zeigt, gibt es bei Schwerpunkten wie dem kontinuierlichen Monitoring und einem effektiven Reporting der Risiken an den Vorstand noch viel Verbesserungspotenzial.”

Jake Olcott, Vice President of Communications and Government Affairs bei BitSight

Erkenntnisse der Studie zum Lieferanten-Cyberrisiko

1. Lieferanten-Cyberrisiko beeinflusst Geschäftsentscheidungen: Fast 97 % der Befragten geben an, dass die von Lieferanten ausgehende Cyberrisiken ein großes Problem sind. Fast 80 % gaben an, dass sie bereits eine Geschäftsbeziehung aufgrund der Cyber-Sicherheitsleistung eines Anbieters beendet haben oder beenden würden. Eine von zehn Organisationen haben eine Stelle, die sich speziell um das Risikomanagement von Anbietern, Lieferanten oder Zulieferern kümmert.

2. Es fehlt an konsistenter Erfassung des Lieferanten-Cyberrisikos und dessen Reporting. Nur 44 % der Befragten informieren ihre Vorgesetzten und den Vorstand regelmäßig über das Risiko. Das Fehlen regelmäßiger Reports könnte die Ursache dafür sein, warum fast 20 % der Befragten der Meinung sind, dass ihre Vorstände und Vorgesetzten ihre Ansätze für das Third-Party Risk Management (TPRM) nicht verstehen oder davon nicht überzeugt sind.

3. Viele Organisationen nutzen nicht die entscheidenden Werkzeuge. Befragte gaben an, dass sie weiterhin auf Maßnahmen wie jährliche Überprüfungen vor Ort, Fragebögen und Betriebsbesuche setzen, um die IT-Sicherheit von Lieferanten festzustellen. Dadurch bekommen sie aber nur limitierte Einblicke in die Lieferanten-Cyberrisiken. Nur 22 % der Organisationen setzen auf IT-Sicherheitsratings, um kontinuierlich die Cyber-Sicherheit ihrer Lieferanten zu überwachen. Immerhin evaluieren 30 % der Organisationen derzeit Anbieter von IT-Sicherheitsratings.

4. TPRM-Herausforderungen und Sorgen im Hinblick auf die Zukunft wachsen weiter. Unternehmen sind besorgt um die Genauigkeit und Belastbarkeit von Daten zur Risikobewertung sowie über unklare Verantwortlichkeiten für diese Art von Risikomanagement innerhalb ihrer Organisation. Für die Zukunft konzentrieren sich die Befragten darauf, die Effektivität ihrer Programme für IT-Sicherheit zu steigern, über neue Vorschriften auf dem Laufenden zu bleiben und kontinuierliches Monitoring sowie Sichtbarkeit zu gewährleisten.

Immer mehr Mitglieder der Geschäftsführung übernehmen Verantwortung im Bereich IT-Sicherheit. Das zeigt, dass die große Mehrheit der befragten Unternehmen die entscheidende Bedeutung des Lieferanten-Cyberrisikos versteht. … Es gibt noch viel zu tun: Beispielsweise können effektivere Werkzeuge und Technologien eingesetzt werden, um die ständig wachsenden Herausforderungen in der Branche zu bewältigen. Dabei sind die von der Lieferkette ausgehenden Cyberrisiken nur ein Schwerpunkt, der adressiert werden sollte. Der Report zeigt eine Reihe von möglichen Lösungen auf.”

Andreas Simou, Geschäftsführer bei CeFPro

Herausforderungen bei Lieferanten-Cyberrisikenbitsight

Die Studie basiert auf einer Online-Umfrage unter 126 Finanzdienstleistungsexperten aus verschiedenen Branchen aus aller Welt. Dazu gehören Finanzwesen (49 Prozent), Versicherungswesen (16 Prozent) und freiberufliche Dienstleister (13 Prozent) aus den USA (35 Prozent), Europa (28 Prozent) und Großbritannien (16 Prozent). Die Studie ist nach Angabe von Kontaktdaten hier kostenlos erhältlich. ”pp”

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert