Wie Sie externe Dienstleister auditieren

Angreifer dringen zunehmend über externe Dienstleister und Zulieferer-Systeme in Unternehmensnetze ein - der sichere Parameter ist obsolet geworden. Umso wichtiger, die gesamte Lieferkette zu kennen und alle ihre Bausteine im Blick zu haben. [...]

(c) FotolEdhar - Fotolia.com

Seine Lieferanten nicht zu kennen, ist wie, seine interne IT nicht zu kennen. In beiden Fällen ist es unmöglich, Sicherheitslücken zu schließen - eben weil man von deren Existenz nichts weiß. Wer aber die richtigen Punkte kennt, die es zu überwachen und zu auditieren gilt, hat ein ganzes Stück Sicherheit dazugewonnen.Wie die Kontrollmechanismen auszusehen haben, hängt vom jeweiligen Zulieferer ab, von seiner Branche, seiner geografischen Lage, der dort geltenden Gesetzgebung und der Art der Services, die er offeriert. Es gibt Industriestandards wie den Kreditkarten-Security-Standard PCI DSS (Payment Card Industry Data Security Standard) für den Retail-Bereich oder auch das NIST Cybersecurity-Framework für den Sektor Energie und kritische Infrastrukturen, auf dem beispielsweise auch das deutsche IT-Sicherheitsgesetz aufsetzt.Ein Unternehmen schaut sich am besten die Richtlinien an, an die es sich selbst zu halten hat und legt diese Maßstäbe auch an alle seine externen Lieferanten an - dann könne es wenig falsch machen, rät M. Scott Koller, juristischer Berater in der Kanzlei BakerHostetler: "Beispielsweise müssen sich sowohl der Händler selbst und auch sein Lieferant des Point-of-Sale-Systems beide an den PCI-DSS-Standard halten." Wer die Standards nicht nur einfordert, sondern au...

Um diese Inhalte abzurufen, registrieren Sie sich bitte für den kostenlosen Business Account.

Werbung

Mehr Artikel

Die Sicherheits-Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. (c) philipimage - Fotolia
Knowhow

Durchgängige Sicherheitskultur muss Top-Management einschließen

Mitarbeiter stellen eine potenzielle Schwachstelle für die IT-Sicherheit dar. Eine sicherheitsorientierte Unternehmenskultur soll die Antwort darauf sein, vielfach bleibt sie aber auf halbem Weg stehen. Wie der Aufbau einer solchen Kultur gelingen kann, erläutert NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. […]