Der höchste Sicherheitsschutz in der eigenen IT nützt Unternehmen nichts, wenn nicht auch die Marktpartner, Lieferanten und Kunden entsprechend sicher agieren. Diese Erkenntnis über das „Third Party Risk Management“ reift nach diversen Vorfällen zum Glück bei immer mehr Konzernen und Mittelständlern. Gastautor und Sicherheitsexperte Thomas Neuwert vom GRC- und IT -Sachverständigenbüro neto consulting mahnt zu mehr Wachsamkeit, insbesondere im Umgang mit Cloud-Diensten.

„Über den Wolken. Muss die Freiheit wohl grenzenlos sein. Alle Ängste, alle Sorgen –
sagt man, blieben darunter verborgen.“, sang Reinhard Mey in seinem 1974 veröffentlichten Schlagertitel des Jahrhunderts. So ganz stimmt seine Weisheit nach heutigen Erkenntnissen allerdings nicht mehr. 1974 – das Internet war noch nicht erfunden, der PC noch nicht massentauglich und Smartphones utopische Geräte aus fernen Galaxien – war auch nicht absehbar, welche IT-Sicherheitsgefahren eines Tages in den Datenwolken lauern könnten. Heute, da Cloud Computing mit der Verlagerung von Diensten und gespeicherten Daten in die Datenwolke allgegenwärtig ist, sind wir alle schlauer.

Cloud ist Innovationstreiber – und Angriffsfläche zugleich

Und alle wissen: Die Cloud ist eine bahnbrechende Erfindung, die Schluss macht mit abstrusen Firmenserverstrukturen und viel Raum für effizienteres Arbeiten bietet. Die aber, auch das gehört zur Wahrheit, leider auch neue Angriffspunkte bietet. Nicht, weil die Wolke an sich löchrig wäre. Sondern weil es allzu oft am richtigen Umgang mit den dort angebotenen Diensten und hinterlegten Daten mangelt. Viele mittelständische Unternehmen und Großkonzerne sind in den vergangenen Monaten und Jahren Opfer von Sicherheitslücken und IT-Angriffen geworden.

Auf die Daten in der Cloud greift man über die Webseite eines Cloud-Anbieters zu oder nutzt eine entsprechende App auf einem PC oder Smartphone. Sehr bequem, aber leider auch mit vielen offenen Flanken versehen: Der Zugang zu Cloud-Diensten muss deshalb besonders gut geschützt werden. Ein fehlender oder schwacher Passwortschutz öffnet Datendieben Tür und Tor.

Die Drittparteien sind das Problem

Viele Unternehmen sind bei ihren eigenen Schutzmaßnahmen aus gutem Grund sehr vorsichtig und sehr streng. Die Zwei-Faktor-Authentifizierung ist längst Standard. Doch der beste eigene Schutz hilft wenig, wenn nicht auch alle Partner, Lieferanten sowie die Kundinnen und Kunden entsprechend umsichtig in der Informationskette hin und von der Cloud agieren. Das Risiko, dass diese sogenannten Third Parties für die eigene IT-Sicherheit darstellen, kann auf Firmenseite nicht groß genug eingeschätzt werden.

Besonders heikel sind in diesem Zusammenhang WLAN-Hotspots zu betrachten – etwa an Bahnhöfen, in Hotels, Cafés oder Restaurants. Wenn Kundinnen und Kunden, aber auch Mitarbeiterinnen und Mitarbeiter, die aus dem Remote Work oder der Workation etwa per Smartphone oder Laptop auf die Cloud-Daten eines Unternehmens zugreifen, ist stets Gefahr im Verzug. In diesen überall verfügbaren, aber leider auch miserabel geschützten Netzen könnten Angreifer Zugangsdaten abfangen und missbrauchen. Dies ist besonders kritisch, wenn keine Zwei-Faktor-Authentisierung verwendet wird.

„Wird schon gutgehen“ darf keine Managementstrategie sein

Nach diversen Untersuchungen und meiner eigenen jahrelangen Expertise als Berater gerade im Mittelstand steht es beim Thema Third Party Risk Management in der deutschen Wirtschaft alles andere als gut. Allzu oft ist der Umgang lax nach dem Motto „Wird schon gutgehen“. Doch das wird es nicht.

Die höchsten eigenen Sicherheits-Levels nützen nichts, wenn Partner, Lieferanten oder Kunden beim Datenschutz im Umgang mit der Cloud aus Unwissenheit oder Unbekümmertheit Fehler machen.  Wenn Drittanbieter ins Spiel kommen, können Unternehmen nicht auf deren Verlässlichkeit vertrauen. Jeder Verstoß bei den Third Parties hat unmittelbar deutliche finanzielle Einbußen und Reputationsschäden zur Folge.

Der Global Cybersecurity Outlook 2022 (PDF) des Weltwirtschaftsforums zeigt, dass Drittanbieter immer häufiger unfreiwillig zum Einfallstor in Unternehmen werden. Für Hacker und andere Cybergangster ist es einfacher, Unternehmen nicht direkt anzugreifen, sondern ihre IT-Dienste in der Cloud über allzu arglose Drittanbieter zu kapern. Daher der dringende Rat: Neben den IT-Partnern in der Cloud sollten sich Unternehmen intensiv mit der Data Security bei ihren Lieferanten, Partnern und Kunden auseinandersetzen. Und diese zugleich darin bestärken und bei Bedarf auch schulen, im gemeinsamen Sinne mehr Sorgfalt im Umgang mit IT-Risiken walten zu lassen.

Über den Autor

Thomas Neuwert ist Geschäftsführer des GRC- und IT-Sachverständigenbüro in Rosenheim. Das Unternehmen hat mehr als 20 Jahre Erfahrung in der Sicherheits- und Compliance-Beratung und unterstützt Kunden von der Methodik bis zum Audit. Kernprodukt ist „embedded GRC“: Es ermöglicht Firmen durch IT-gestützte Abläufe eine effiziente Umsetzung in unterschiedlichen Bereichen – von der Informationssicherheit über den Datenschutz bis zum Risikomanagement.

<<Titelbild: Freepik, rawpixel.com>>