Die Umfrage identifiziert zudem großen Nachholbedarf bei Monitoring und Reporting von Lieferanten-Cyberrisiken
Boston, Massachusetts/Frankfurt, 10.04.2019 – BitSight, der Standard für IT-Sicherheitsratings, und das Center for Financial Professionals (CeFPro) geben die Ergebnisse ihrer Studie “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” bekannt. Die von BitSight und CeFPro gemeinsam durchgeführte Studie untersucht aktuelle sowie zukünftige Ansätze und Herausforderungen für das Risikomanagement der von der Lieferkette ausgehenden Cyberrisiken. Die Studie basiert auf einer Umfrage unter Experten für Finanzdienstleistungen. Sie zeigt, dass die Experten das Risikomanagement von Lieferanten-Cyberrisiken als geschäftskritisch wahrnehmen. Dennoch fehlt oft ein kontinuierliches Monitoring und ein einheitliche Reporting der Lieferanten-Cyberrisiken. Zusammen mit weiteren Schwachstellen sorgt dies für Anfälligkeiten von Organisationen für Datenschutzverletzungen und weitere Konsequenzen.
Viele Unternehmen arbeiten mit hunderten oder sogar tausenden von Lieferanten zusammen. Dadurch entstehen neue Risiken, zu deren Bewältigung Unternehmen aktiv handeln müssen. Insbesondere in der Finanzindustrie existiert ist ein riesiges geschäftliches Ökosystem, das sich aus rechtlichen Organisationen, Wirtschaftsprüfungs- und Human-Resources-Unternehmen, Unternehmensberatungen und Outsourcing-Unternehmen sowie IT- und Software-Anbietern zusammensetzt. Jeder dieser Anbieter stellt eine potenzielle Schwachstelle für die Cyberabwehr dar, wenn das von ihm ausgehende Risiko nicht aktiv gemanagt wird. Nur durch aktives Cyber-Risikomanagement lässt sich der Austausch von Daten und anderen sensiblen Informationen mit den Lieferanten schützen.
“Das Risikomanagement der von Lieferanten ausgehenden Cyberrisiken ist zu einem der wichtigsten Anliegen von Unternehmen geworden”, sagt Jake Olcott, Vice President of Communications and Government Affairs bei BitSight. “Gerade im Finanzsektor ergreifen viele Unternehmen Maßnahmen, um Lieferanten-Cyberrisiken zu managen. Aber wie unsere Umfrage mit CeFPro zeigt, gibt es bei Schwerpunkten wie dem kontinuierlichen Monitoring und einem effektiven Reporting der Risiken an den Vorstand noch viel Verbesserungspotenzial.”
Die wichtigsten Erkenntnisse der Studie “Third-Party Cyber Risk for Financial Services” sind:
– Lieferanten-Cyberrisiko beeinflusst Geschäftsentscheidungen. Fast 97 % der Befragten geben an, dass die von Lieferanten ausgehende Cyberrisiken ein großes Problem sind. Fast 80 % gaben an, dass sie bereits eine Geschäftsbeziehung aufgrund der Cybersicherheitsleistung eines Anbieters beendet haben oder beenden würden. Eine von zehn Organisationen haben eine Stelle, die sich speziell um das Risikomanagement von Anbietern, Lieferanten oder Zulieferern kümmert.
– Es fehlt an konsistenter Erfassung des Lieferanten-Cyberrisikos und dessen Reporting. Nur 44 % der Befragten informieren ihre Vorgesetzten und den Vorstand regelmäßig über das Risiko. Das Fehlen von regelmäßigen Reports könnte die Ursache dafür sein, warum fast 20 % der Befragten der Meinung sind, dass ihre Vorstände und Vorgesetzten ihre Ansätze für das Third-Party Risk Management (TPRM) nicht verstehen oder davon nicht überzeugt sind.
– Viele Organisationen nutzen nicht die entscheidenden Werkzeuge. Befragte gaben an, dass sie weiterhin auf Maßnahmen wie jährliche Überprüfungen vor Ort, Fragebögen und Betriebsbesuche setzen, um die IT-Sicherheit von Lieferanten festzustellen. Dadurch bekommen sie aber nur limitierte Einblicke in die Lieferanten-Cyberrisiken. Nur 22 % der Organisationen setzen auf IT-Sicherheitsratings, um kontinuierlich die Cybersicherheitsleistung ihrer Lieferanten zu überwachen. Immerhin evaluieren 30 % der Organisationen derzeit Anbieter von IT-Sicherheitsratings.
– TPRM-Herausforderungen und Sorgen im Hinblick auf die Zukunft wachsen weiter. Unternehmen sind besorgt um die Genauigkeit und Belastbarkeit von Daten zur Risikobewertung sowie über unklare Verantwortlichkeiten für diese Art von Risikomanagement innerhalb ihrer Organisation. Für die Zukunft konzentrieren sich die Befragten darauf, die Effektivität ihrer Programme für IT-Sicherheit zu steigern, über neue Vorschriften auf dem Laufenden zu bleiben und kontinuierliches Monitoring sowie Visibilität zu gewährleisten.
“Dieser Report wirft eine Reihe interessanter Fragen für die Branche auf und macht viele Herausforderungen sichtbar”, sagt Andreas Simou, Geschäftsführer bei CeFPro. “Immer mehr Mitglieder der Geschäftsführung übernehmen Verantwortung im Bereich IT-Sicherheit. Das zeigt, dass die große Mehrheit der befragten Unternehmen die entscheidende Bedeutung des Lieferanten-Cyberrisikos versteht. Es ist jedoch auch zu betonen, dass es in Zukunft mehr Klarheit geben muss, mit verbesserter Kommunikation bis auf Vorstandsebene. Obwohl in den letzten Jahren die Effektivität, Aufmerksamkeit und Ressourcen für das Risikomanagement von Lieferanten-Cyberrisiken erheblich zugenommen haben, gibt es noch viel zu tun: Beispielsweise können effektivere Werkzeuge und Technologien eingesetzt werden, um die ständig wachsenden Herausforderungen in der Branche zu bewältigen. Dabei sind die von der Lieferkette ausgehenden Cyberrisiken nur ein Schwerpunkt, der adressiert werden sollte. Der Report zeigt eine Reihe von möglichen Lösungen auf.”
Neue Werkzeuge und Best Practices sind verfügbar, um Unternehmen bei der Bewältigung einiger der wichtigsten Herausforderungen und Bedenken zu unterstützen, die in der Umfrage genannt wurden. Um die wachsenden Risiken effektiv zu managen und den zukünftigen Herausforderungen immer einen Schritt voraus zu sein, sollten Unternehmen Best Practices nutzen und auf Lösungen zur kontinuierlichen Überwachung wie beispielsweise IT-Sicherheitsbewertungen setzen, um ihr Cyberrisiko zu erfassen und zu managen. Dazu gehören auch Daten zu von Lieferanten ausgehenden Cyberrisiken, die akkurat und belastbar sind.
Der Report “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” steht hier zum Download bereit: https://bitsig.ht/2U3rLMZ
Über den Report “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices”
Der Report “Third-Party Cyber Risk for Financial Services: Blind Spots, Emerging Issues & Best Practices” basiert auf einer Online-Umfrage, die von BitSight und CeFPro unter 126 Finanzdienstleistungsexperten aus verschiedenen Branchen aus aller Welt durchgeführt wurde. Zu diesen Sektoren gehörten unter anderem das Finanzwesen (49 Prozent), das Versicherungswesen (16 Prozent) und freiberufliche Dienstleister (13 Prozent). Die Mehrheit der Befragten kommt aus den USA (35 Prozent), Europa (28 Prozent, ohne Großbritannien) und Großbritannien (16 Prozent).
Über BitSight
Das 2011 gegründete Unternehmen transformiert die Art und Weise, wie Organisationen Risiken im Bereich IT-Security managen. Die BitSight Security Rating Platform verwendet hochentwickelte Algorithmen, die täglich IT-Security Ratings erstellen. Die Ratings reichen von 250 bis 900, wobei ein höheres Rating einem niedrigeren IT-Sicherheitsrisiko entspricht. Der Service von BitSight hilft dabei, die eigene IT-Sicherheitsleistung und das von Dritten ausgehende Risiko zu managen, Cyber-Versicherungspolicen abzuschließen, der Sorgfaltspflicht bei Fusionen und Übernahmen nachzukommen und das Gesamtrisiko zu bewerten. Mit über 1.500 Kunden und dem größten Ökosystem aus Informationen und engagierten Benutzern ist BitSight die am weitesten verbreitete Plattform für IT-Security Ratings. Für weitere Informationen besuchen Sie bitte www.bitsight.com, lesen Sie unseren Blog auf www.bitsight.com/blog und folgen Sie @BitSight auf Twitter.
Firmenkontakt
BitSight Technologies
Jake Olcott
Suite 2010, Huntington Ave 111
MA 02199 Boston
+1 571 388 7044
jolcott@bitsighttech.com
https://www.bitsight.com
Pressekontakt
HBI Helga Bailey GmbH
Christian Fabricius
Stefan-George-Ring 2
81929 München
+49 (0)89 9938 8731
christian_fabricius@hbi.de
https://www.hbi.de