Die Gefahr durch Ihre externen Dienstleister
Third Party Security
Wussten Sie, dass Ihre Angreifer Sie meist spielend einfach trotz umfassender Maßnahmen in Ihre eigene IT-Sicherheit infiltrieren können?
Genau aus diesem Grund ist das sogenannte Third Party Risk eines der TOP Risiken.
Um dieses Risiko angemessen zu adressieren, müssen Sie Ihre externen Dienstleister auf deren Sicherheitsniveau prüfen (lassen) und darauf hinwirken, dass angemessene IT-Sicherheitsmaßnahmen implementiert werden. Andernfalls besteht die große Gefahr, dass ein Hack Ihrer externen Dienstleister auch für Sie ein Hack bedeuten wird.
Third Party Security Review
Wir prüfen Ihre externen Dienstleister auf deren IT-Sicherheitsniveau und unterstützen Sie dabei, die gefundenen Mängel angemessen zu bewerten, nachzuhalten und darauf hinzuwirken, dass Ihre Dienstleister diese zeitnah verbessern.
Diese Überprüfung sollte nicht nur vor dem Onboarding durchgeführt werden, sondern in regelmäßigen Abständen.
Da dieses Risiko nicht auslagerbar ist bleiben stets in der Verantwortung über Ihre Daten. Völlig egal wo sie liegen oder von wem sie verwaltet werden. Es sollte in Ihrem Interesse liegen, dass Ihre Daten bestmöglich abgesichert sind.
Wir lassen Sie nicht hängen
Starker Partner
Wir lassen Sie mit den Ergebnissen aus den Third Party Security Reviews nicht einfach hängen, sondern unterstützen Sie bei der Kommunikation mit Ihren externen Dienstleistern, der Einwertung der Risiken für Ihr Unternehmen, sowie bei den möglichen Mitigations-, oder Risikoakzeptanzmöglichkeiten.
Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.
Third Party Security Referenzprojekte
Branche:
Privatbank / Finanzdienstleistung
Funktion:
Projektmanager
Verantwortungsbereiche:
- Project Management Third Party Security Reviews
- Schreiben von Secure Coding Guidelines (DevSecOps)
- Project Management / Stakeholder Management / Eskalation Management
- IDV-Management
- Optimierung der Datensicherheit
- Optimierung von Prozessen
- Anpassung von Richtlinien
Branche:
Mittelstand / Handel
Funktion:
Berater
Verantwortungsbereiche:
- IT-Risikomanagement und Aufbau von Kontrollen
- Erstellung von Prozessen zum Thema Party Security Audits
- Überprüfung und Definition von Sicherheitsrichtlinien
Branche:
Banken / Finanzwesen
Funktion:
Berater
Verantwortungsbereiche:
- Durchführung von Third Party Security Reviews unter Berücksichtigung des Schutzbedarfs
- Klassifizierung der Ergebnisse gemäß Schutzbedarf (z. B. vertraulich, hoch, kritisch)
- Ableitung von Empfehlungen und Maßnahmen zur Risikominderung
Branche:
Versicherungswesen
Funktion:
Projektmitarbeiter
Verantwortungsbereiche:
- Patch Management – Definition & Steuerung:
Definition und Abstimmung eines unternehmensweiten Patch Management Prozesses inklusive Standard- und Emergency-Patching, Risk Acceptance, Eskalations- und Ausnahmeprozesse; Einbindung von Third-Party Patch Management Anforderungen und Abstimmungen mit externen Dienstleistern; Erstellung von Richtlinien und Arbeitsanweisungen zur Steuerung und Dokumentation. - Patch Management – Implementierung:
Umsetzung des definierten SOLL-Zustands in verschiedenen Systemlandschaften (SAP, interne Systeme, externe Dienstleister); Integration spezifischer Anforderungen und Anpassungen im laufenden Betrieb; Definition von Reporting-Kennzahlen im Kontext Risikoappetit des Unternehmens. - Patch Management – Optimierung:
Identifikation und Priorisierung von Optimierungspotenzialen im Prozess; Durchführung regelmäßiger Abstimmungen mit Stakeholdern; Erstellung und Präsentation von Interimsreportings. - Hardening – Definition SOLL-Zustand:
Erhebung relevanter Assettypen und Definition von Hardening-Maßnahmen je Typ; Teilprojektübergreifende Abstimmung zur Harmonisierung von Anforderungen; Ausarbeitung umfassender Hardening-Richtlinien. - Hardening – Implementierung:
Soll-Ist-Abgleich zur Feststellung von Abweichungen; Dokumentation der Abweichungen sowie Erhebung von KPIs und KRIs zur Erfolgskontrolle.
