Quelle: Swiss Infosec
Kolumne «Security Post»: TPRM auf dem Radar
von Reto C. Zbinden, Gründer und Inhaber der Swiss Infosec AG
Artikel erschienen in IT Reseller 2025/07
Artikel erschienen in IT Reseller 2025/07
Liebes Third Party Risk Management (TPRM)
Es kommt mir vor, als ob du lange Zeit unter dem Radar geflogen wärst. Während Unternehmen sich immer mehr mit dem Thema Sicherheit auseinandersetzten, Informationssicherheit, IT-Sicherheit, Datenschutz et cetera Einzug hielten und sich Standards und eine Sicherheitskultur entwickelten, kreisten sie vornehmlich um sich selbst. Zwar, da bin ich mir sicher, tauchten Third Parties (gemeint sind externe Dienstleister und Partner) irgendwann im Zusammenhang mit Risk Management auf. Allerdings ging man wohl gutgläubig davon aus, dass Sicherheitsstandards auch in den Partnerunternehmen nun eben zum Standard gehörten und das Risiko damit klein sei. Falsch gedacht.
Das Umdenken setzte mit dem Bekanntwerden von Angriffen über Lieferanten und Drittanbieter ein, über deren Ausmass (sicherheitsrelevante, finanzielle und rechtliche Schäden, Reputationsverlust) öffentlich berichtet wurde. Dein Stern, liebes TPRM, ging auf.
Heute bist du als Teil einer umfassenden Sicherheit unverzichtbar. Zu gross sind die Risiken, die durch die Zusammenarbeit mit externen Dienstleistern und Partnern entstehen. Diese gilt es – ganz klassisches Risikomanagement – zu identifizieren, zu bewerten und zu steuern. Sicherheitsrelevante Risiken gibt es dabei auf verschiedenen Ebenen: technisch, organisatorisch, rechtlich und auf der Ebene Mensch. So kann ungepatchte Software oder mangelhafte Verschlüsselung beim Dienstleister eine Gefahr darstellen. Oder wenn für Drittrisiken keine klaren Verantwortlichkeiten bestehen, wenn Sicherheitsvereinbarungen mit Dienstleistern fehlen oder Mitarbeitende schlecht geschult sind.
Es kommt mir vor, als ob du lange Zeit unter dem Radar geflogen wärst. Während Unternehmen sich immer mehr mit dem Thema Sicherheit auseinandersetzten, Informationssicherheit, IT-Sicherheit, Datenschutz et cetera Einzug hielten und sich Standards und eine Sicherheitskultur entwickelten, kreisten sie vornehmlich um sich selbst. Zwar, da bin ich mir sicher, tauchten Third Parties (gemeint sind externe Dienstleister und Partner) irgendwann im Zusammenhang mit Risk Management auf. Allerdings ging man wohl gutgläubig davon aus, dass Sicherheitsstandards auch in den Partnerunternehmen nun eben zum Standard gehörten und das Risiko damit klein sei. Falsch gedacht.
Das Umdenken setzte mit dem Bekanntwerden von Angriffen über Lieferanten und Drittanbieter ein, über deren Ausmass (sicherheitsrelevante, finanzielle und rechtliche Schäden, Reputationsverlust) öffentlich berichtet wurde. Dein Stern, liebes TPRM, ging auf.
Heute bist du als Teil einer umfassenden Sicherheit unverzichtbar. Zu gross sind die Risiken, die durch die Zusammenarbeit mit externen Dienstleistern und Partnern entstehen. Diese gilt es – ganz klassisches Risikomanagement – zu identifizieren, zu bewerten und zu steuern. Sicherheitsrelevante Risiken gibt es dabei auf verschiedenen Ebenen: technisch, organisatorisch, rechtlich und auf der Ebene Mensch. So kann ungepatchte Software oder mangelhafte Verschlüsselung beim Dienstleister eine Gefahr darstellen. Oder wenn für Drittrisiken keine klaren Verantwortlichkeiten bestehen, wenn Sicherheitsvereinbarungen mit Dienstleistern fehlen oder Mitarbeitende schlecht geschult sind.
Konkret stellt sich für die Unternehmen die Frage, wie solche Risiken zu minimieren sind, um die Zusammenarbeit mit Third Parties sicherer zu machen. Um eine Risikobewertung vor Vertragsabschluss wird kein Unternehmen mehr herumkommen (Security Due Diligence). Und wenn ich schon von Vertrag spreche: Sicherheits- und Compliance-Anforderungen gehören ebenso zwingend vertraglich abgesichert wie Datenschutz und Auditrechte. Dass Leistungen und Risiken laufend kontrolliert und bewertet und Mitarbeitende für Risiken durch Dritte sensibilisiert werden müssen, versteht sich von selbst. Bei internationalen Partnern ist die rechtliche Prüfung der Datenflüsse ein Must, und wer ganz vorbildlich agieren will, bindet Drittanbieter gleich auch noch in Krisenprozesse ein und macht sie zum Teil seines Business Continuity Managements (BCM).
So weit, so gut. Mit dir habe ich den Fokus auf die Drei gelegt (Third Party), was aber passiert mit den Fourth Parties, also den Third Parties der Third Parties? Weil der Einblick in Sicherheitspraktiken und Abhängigkeiten der Fourth Parties fehlt, sind Risiken oftmals intransparent. Diese Transparenz muss von den Unternehmen unbedingt eingefordert werden. Ausserdem lohnt es sich, Drittanbieter vertraglich zu verpflichten, ihre eigenen Dienstleister zu prüfen und Mindeststandards zu verlangen.
Wer Risikomanagement versteht, dürfte mit dir keine Probleme haben. Aber letztlich bist du nicht einfach ein Verfahren, sondern ein Ansporn, um über den eigenen Tellerrand hinauszuschauen und Sicherheit als das zu sehen, was sie ist: maximal umfassend.
MfG Reto Zbinden
So weit, so gut. Mit dir habe ich den Fokus auf die Drei gelegt (Third Party), was aber passiert mit den Fourth Parties, also den Third Parties der Third Parties? Weil der Einblick in Sicherheitspraktiken und Abhängigkeiten der Fourth Parties fehlt, sind Risiken oftmals intransparent. Diese Transparenz muss von den Unternehmen unbedingt eingefordert werden. Ausserdem lohnt es sich, Drittanbieter vertraglich zu verpflichten, ihre eigenen Dienstleister zu prüfen und Mindeststandards zu verlangen.
Wer Risikomanagement versteht, dürfte mit dir keine Probleme haben. Aber letztlich bist du nicht einfach ein Verfahren, sondern ein Ansporn, um über den eigenen Tellerrand hinauszuschauen und Sicherheit als das zu sehen, was sie ist: maximal umfassend.
MfG Reto Zbinden
Reto C. Zbinden
Reto Zbinden hat 1989 die Swiss Infosec AG gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC über 110 Mitarbeitende.
Reto Zbinden hat 1989 die Swiss Infosec AG gegründet. Das Unternehmen Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC über 110 Mitarbeitende.
Artikel kommentieren
