Kontinuierliches Monitoring: Schließen der Sicherheitslücken im Lieferantenrisikomanagement

Lieferketten sind das Bindeglied, das die globale Wirtschaft zusammenhält. Sie sind auch eine erhebliche Quelle von cyberbezogenen Geschäftsrisiken. Angriffe auf Lieferanten sind zwischen 2021 und 2024 um 431% gestiegen und sollen weiter ansteigen. Das ist schlechte Nachricht für die Unternehmen, mit denen sie Geschäfte machen. IBM schätzt, dass die Kompromittierung von Drittanbietern zu den höchsten Kosten für Datenverletzungen gehört: 4,9 Mio. USD pro Verletzung.

Die Herausforderung für Risiko- und Cybersicherheitsführer ist, dass bestehende Risikomanagement-Mechanismen unvollkommen sind. Sie können langsam, ressourcenintensiv und voller Blindstellen sein. Wahres Lieferantenrisikomanagement kommt von kontinuierlicher Überwachung und Kontrolle.

Das unstoppbare Wachstum der Lieferketten

Komplexe, fragmentierte Lieferketten sind der Preis, den wir für den globalen Handel zahlen. Im Laufe des letzten Jahrzehnts oder mehr haben sie sich entwickelt, um den Verbraucherbedarf an mehr Auswahl und niedrigeren Kosten zu unterstützen, getrieben durch eine Explosion im Online-Handel. Gleichzeitig haben auch digitale Lieferketten enormes Wachstum erfahren, dank der Verbreitung von Software-as-a-Service (SaaS), Managed-Service-Providern (MSPs) und Geschäftsbedarf an innovativeren, effizienteren Arbeitsweisen.

Das Ergebnis? Undurchsichtigkeit, wo es Einsicht geben sollte, und eskalierende Geschäftsrisiken, die Gewinne und hart erkämpfte Kundenloyalität gefährden könnten. Laut einer Schätzung hat sogar der durchschnittliche Mittelständler 800 Lieferanten. Wenn Lieferanten von Lieferanten berücksichtigt werden, erreichen die Zahlen bald die Tausende von Unternehmen.

Ein riskantes Geschäft

Das ist schlechte Nachricht für CISOs und ihre Teams, die einen Weg finden müssen, um die unvermeidlichen Cybersicherheitsrisiken zu managen, die von umfangreichen Lieferketten ausgehen. Lieferanten- und Lieferkettenkompromisse machten im letzten Jahr 15% der Datenverletzungen aus, laut IBM. Verizon behauptet, dass die Zahl tatsächlich im Laufe des letzten Jahres um das Doppelte gestiegen ist und jetzt 30% erreicht hat. Egal, wie hoch die tatsächliche Zahl ist, es ist klar, dass sie erheblichen Schaden anrichten können.

Dritte wie Outsourcer und professionelle Dienstleistungsunternehmen können hochsensible Zugangsdaten und andere Daten speichern, die ihren Kundenorganisationen gehören. Es könnte sich um hoch regulierte personenbezogene Daten (PII) von Kunden und Mitarbeitern handeln. Oder um IP, Geschäftsgeheimnisse oder nicht-öffentliche Finanzdaten. All dies ist ein großer Anreiz für digitale Erpresser, die es stehlen und/oder verschlüsseln könnten, um Zahlungen zu erpressen. Dritte-Partei-Verletzungen machten im Jahr 2024 über zwei Fünftel (41%) der Ransomware-Angriffe aus, laut einer Studie.

Wenn Lieferanten proliferieren, steigt auch das Risiko von Unternehmensbetrug, wie z.B. durch Business-Email-Kompromisse (BEC). Bedrohungsakteure könnten eine Phishing-E-Mail an ein Mitglied des Finanzteams oder sogar an einen leitenden Angestellten senden und Zahlungen für eine nicht existierende Rechnung anfordern. Sie machen ihre Angriffe noch erfolgreicher, indem sie die E-Mail-Konten von Kunden/Lieferanten hacken, um Kommunikationen zu überwachen und zu verstehen, wie die Rechnungen aussehen. BEC-Verluste, die dem FBI gemeldet wurden, erreichten im letzten Jahr fast 2,8 Mrd. USD, was sie zur zweit höchsten Cyberkriminalität macht.

Dann gibt es noch Lieferanten von Lieferanten. Ein Bericht von 2023 behauptet, dass die Hälfte der untersuchten Organisationen indirekte Beziehungen zu mindestens 200 Viertanbietern hatte, die im vergangenen Jahr eine Verletzung erlitten. Je kleiner der Lieferant, desto weniger Ressourcen mögen sie haben, um auf beste Cybersicherheitspraktiken zu achten.

KI ist ein Geschenk für Hacker

KI-Technologie wird zunehmend von Cyberkriminellen genutzt, um ihre Erfolgsraten zu verbessern. Tatsächlich warnen britische Regierungsexperten diese Woche, dass die Technologie “wahrscheinlich weiterhin bestimmte Aspekte von Cyberangriffen effektiver und effizienter machen wird.”

Wir können dies sehen, wenn generative KI es ermöglicht, Phishing-Kampagnen in natürlichen, fehlerfreien lokalen Sprachen zu erstellen. Wenn sie dabei hilft, Systemschwachstellen zu erkunden und Ziele auszuwählen. Und wenn sie sogar bei der Erstellung von Malware und Exploits helfen kann. Deshalb wird KI zu “einer Zunahme der Häufigkeit und Intensität von Cyberbedrohungen” im Laufe der nächsten zwei Jahre führen, warnt der Bericht.

Je nach Art und Ausmaß des Sicherheitsvorfalls kann der Einfluss für Kunden eines kompromittierten Lieferanten von finanziellen und reputationsbedrohenden Schäden bis hin zu regulatorischen Risiken und operativen Störungen reichen. Je länger ein Vorfall unentdeckt bleibt, desto mehr Zeit haben Bedrohungsakteure, um innerhalb des Netzwerks zu agieren, und letztendlich desto mehr kostet es, um aufzuräumen und sich von dem Vorfall zu erholen. Leider sind Lieferkettenkompromisse diejenigen, die am längsten dauern, um sie zu lösen, laut IBM.

Ein Fallbeispiel ist die jüngste Offenlegung einer großen Ransomware-Verletzung bei dem BPO-Lieferanten Conduent mit Millionenumsatz. Über 11 Millionen Amerikaner könnten ihre Sozialversicherungsnummern, Krankenversicherungsdaten und medizinischen Informationen preisgegeben haben, laut Berichten. Und obwohl sie erst im November 2025 benachrichtigt wurden, wird angenommen, dass die Umgebung des Unternehmens bereits im Oktober 2024 kompromittiert wurde.

Warum kontinuierliches Monitoring wichtig ist

Glücklicherweise kann KI auch den “Guten” helfen, gemeinsame Herausforderungen mit Lieferanten-Cyber-Risikomanagement zu überwinden. Viele Organisationen kämpfen mit langsamen, manuellen Prozessen und langen Fragebögen, die Verzögerungen verursachen und Sichtbarkeitslücken schaffen. Inkonsistente Lieferantendokumentation macht es schwierig, Risikobewertungen über das gesamte Ökosystem hinweg zu vergleichen und zu verstehen, was für das Geschäft am wichtigsten ist.

Stattdessen kann mit einem daten- und KI-zentrierten Ansatz die Automatisierung die schwere Arbeit übernehmen, sowohl bei der Einbindung als auch danach. Letzteres ist wichtig, weil Risiken nicht aufhören, sobald ein Lieferant genehmigt wurde. Sie entwickeln sich weiter, potenziell stündlich oder täglich, mit jeder neuen Software-Schwachstelle, Datenverletzung oder fehlerhaft konfigurierten Konto. Lieferanten könnten in neue Infrastrukturen investieren, was ihre Angriffsfläche vergrößert. Sie könnten neue Lieferanten hinzufügen, was ihre Risiken verändert. Und sie könnten von neuen Bedrohungsakteuren-Kampagnen angegriffen werden.

All dies erfordert einen proaktiveren Ansatz für das Risikomanagement von Drittanbietern, der über die Sammlung und Verarbeitung von Lieferantenumfragen und -dokumentation hinausgeht. Er sollte darauf abzielen, Risiken in Echtzeit zu identifizieren, damit die Organisation schnell handeln kann, bevor Schäden entstehen.

Loslegen mit KI

Das Erreichen dieser Art von 360-Grad-, kontinuierlichem Einblick in das Lieferanten-Cyber-Risiko erfordert eine Menge Daten – und intelligente Algorithmen, um verdächtige Muster zu identifizieren. Je mehr hochwertige Daten, desto besser die Sichtbarkeit. Dazu könnten Bedrohungs-Intelligence-Feeds gehören, die dunkle Webforen nach den frühen Warnsignalen einer Verletzung durchsuchen. Oder Schwachstellen-Überwachung, die fehlende Sicherheits-Updates in den Lieferanten-Beständen hervorhebt. Es könnte auch Beweise für E-Mail-Kompromisse unter den Finanzabteilungen der Lieferanten nachweisen, die auf bevorstehende BEC-Angriffe hindeuten könnten. Oder sogar verdächtige Transaktionsmuster, die diese Lieferanten betreffen.

Die KI kann genutzt werden, um kritische Risiken in Echtzeit zu identifizieren, um sofortige Maßnahmen zu ergreifen. Und um automatisch eine kontinuierlich aktualisierte Risikobewertung für jeden Lieferanten zuzuweisen, die nach den Kundenrichtlinien, der Haltung und der Wichtigkeit für das Geschäft gewichtet wird.

Agente KI könnte auch ein mächtiger Verbündeter sein, der autonom komplexe Lieferantendokumentation wie SOC-2-Berichte und interne Sicherheitsrichtlinien verarbeitet und Kontrollen auf etablierte Rahmenwerke wie NIST CSF oder ISO 27001 kartiert. Dies kann Compliance-Sichtbarkeit in nur wenigen Minuten liefern, anstatt Stunden, und Zeit für Sicherheits- und Risikoteams freimachen, um höherwertige Aufgaben zu bearbeiten. In reifen Organisationen könnten KI-Agenten auch unabhängig arbeiten, um Routineprobleme zu lösen und zu beheben – oder zumindest um sie an das richtige Teammitglied zur sofortigen Beachtung zu leiten.

Alles zusammenbringen

Der Schlüssel ist, sicherzustellen, dass ein solches System für das Lieferanten-Cyber-Risikomanagement einheitlich ist, damit Risikodaten nicht in Silos landen und unbrauchbar werden. Ideal wäre, wenn dieselbe Plattform auch andere Arten von Lieferanten-Risikomanagement ermöglichen würde, wie z.B. Compliance, Nachhaltigkeit, Finanzen und Betrieb. Das sollte die Art von Informationen liefern, auf deren Grundlage bessere Geschäftsentscheidungen getroffen werden können.

Above all, remember that cyber risk is fundamentally business risk. It can never be eliminated. But it can be managed more effectively.