Wie Sie externe Dienstleister auditieren

Angreifer dringen zunehmend über externe Dienstleister und Zulieferer-Systeme in Unternehmensnetze ein - der sichere Parameter ist obsolet geworden. Umso wichtiger, die gesamte Lieferkette zu kennen und alle ihre Bausteine im Blick zu haben. [...]

(c) FotolEdhar - Fotolia.com

Seine Lieferanten nicht zu kennen, ist wie, seine interne IT nicht zu kennen. In beiden Fällen ist es unmöglich, Sicherheitslücken zu schließen - eben weil man von deren Existenz nichts weiß. Wer aber die richtigen Punkte kennt, die es zu überwachen und zu auditieren gilt, hat ein ganzes Stück Sicherheit dazugewonnen.Wie die Kontrollmechanismen auszusehen haben, hängt vom jeweiligen Zulieferer ab, von seiner Branche, seiner geografischen Lage, der dort geltenden Gesetzgebung und der Art der Services, die er offeriert. Es gibt Industriestandards wie den Kreditkarten-Security-Standard PCI DSS (Payment Card Industry Data Security Standard) für den Retail-Bereich oder auch das NIST Cybersecurity-Framework für den Sektor Energie und kritische Infrastrukturen, auf dem beispielsweise auch das deutsche IT-Sicherheitsgesetz aufsetzt.Ein Unternehmen schaut sich am besten die Richtlinien an, an die es sich selbst zu halten hat und legt diese Maßstäbe auch an alle seine externen Lieferanten an - dann könne es wenig falsch machen, rät M. Scott Koller, juristischer Berater in der Kanzlei BakerHostetler: "Beispielsweise müssen sich sowohl der Händler selbst und auch sein Lieferant des Point-of-Sale-Systems beide an den PCI-DSS-Standard halten." Wer die Standards nicht nur einfordert, sondern au...

Um diese Inhalte abzurufen, registrieren Sie sich bitte für den kostenlosen Business Account.

Werbung

Mehr Artikel