Einfallstor Dienstleister

Gefährliche Vertragspartner

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Ein großer Teil deutscher Unternehmen läuft wegen seines grenzenlosen Vertrauens in externe Dienstleister sehenden Auges ins IT-Security-Verderben.

Der von Bomgar, einem Anbieter für sichere Zugriffslösungen, in Auftrag gegebene "Vendor Vulnerability Survey 2016", fasst die branchenübergreifende Befragung von über 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA zusammen. Für die Studie wurden Unternehmensvertreter aus der ITK-Branche, aus dem Finanz- und Energiesektor sowie aus der Industrie nach der Sicherheit ihrer Lieferkette befragt.

Die Schwachstellen eines Ökosystems liegen häufig nicht im Unternehmen selbst, sondern an der Schnittstelle zu externen Dienstleistern und Vertragspartnern.
Die Schwachstellen eines Ökosystems liegen häufig nicht im Unternehmen selbst, sondern an der Schnittstelle zu externen Dienstleistern und Vertragspartnern.
Foto: frank_peters - www.shutterstock.com

Das Vertrauen in externe Dienstleister und Lieferanten ist demnach gerade in Deutschland sehr hoch. Nur wenige befragte Unternehmen halten genau fest, wer von außen in welche IT-Systeme hineinkommt - und das, obwohl viele bereits nachgewiesen haben, dass hier ein großes Risiko für ihre Systeme besteht. Nur jedes vierte Unternehmen kennt überhaupt alle zugriffsberechtigten Parteien respektive das Ausmaß der eingeräumten Privilegien. So groß das Vertrauen in die Partner, so klein wiederum das in die eigene IT-Sicherheit: 83 Prozent der befragten deutschen Unternehmensvertreter erwarten, binnen der kommenden zwei Jahre Opfer einer Cyberattacke zu werden.

Zu viele Freiheiten

Dass das eine mit dem anderen unmittelbar zusammenhängt, scheint jedoch vielen nicht klar zu sein. 92 Prozent der Umfrageteilnehmer vertraut all seinen Vertragspartnern blind oder zumindest in weiten Teilen. Immerhin räumen zwei Drittel der Befragten ein, dass die Freiheiten der Partner in den Verträgen wohl vielleicht doch ein wenig zu weit gehen könnten. 69 Prozent geben gar zu, dass einer oder mehrerer ihrer Zulieferer im vergangenen Jahr eine Sicherheitsverletzung begangen habe oder es zumindest sehr wahrscheinlich sei, dass das der Fall gewesen sei.

Entsprechend ist über die Hälfte der befragten Unternehmensvertreter der Ansicht, dass die Bedrohung, die von Drittanbieterzugriffen ausgeht, unterschätzt werde - aber nur ein knappes Fünftel sieht sich selbst gegen entsprechende Risiken ausreichend gewappnet.

Missbrauch privilegierter Zugänge

Wichtig zu wissen: Es geht nicht so sehr um die eventuell vorhandene "kriminelle Energie" auf Seiten der Vertragspartner selbst, sondern darum, dass noch weiter außenstehende kriminelle Elemente deren Zugriffsrechte für ihre eigenen Vorhaben missbrauchen könnten. Viele Dienstleister- und Zulieferunternehmen sind längst nicht so gut abgesichert wie der entsprechende Auftraggeber.

Es mangelt keineswegs am Bewusstsein für die "Gefahr von außen" - die Umsetzung in eine entsprechende IT-Sicherheitsstrategie gelingt vielen Unternehmen indes nicht.