Cyberrisiken nehmen deutlich zu. Angreifer machen sich die schwache Cybersicherheit von Drittanbietern als offene Einladung für gezielte Cyberangriffe zunutze. Da immer mehr Unternehmensmitarbeiter remote arbeiten, steigt die Zahl der Schwachstellen, über die ein Cyberangriff gestartet werden könnte. In Zusammenarbeit mit Orpheus bieten wir eine Bewertung der Cyberrisiken von Lieferanten an. Damit steht den Einkaufsorganisationen, die Achilles nutzen, eine erweiterte Cyberintelligenz zur Verfügung.
Was ist die Bewertung von Cyberrisiken in Lieferketten?
Das Cyberrisiko-Rating gibt den Grad des mit einem Unternehmen verbundenen Cyberrisikos an. Je höher die Punktzahl, desto höher ist das Risiko für ein Unternehmen, Opfer eines erfolgreichen Angriffs zu werden.
Warum ist Cyberrisikomanagement in Lieferketten wichtig?
Viele Cyberangriffe beginnen in der Lieferkette eines Unternehmens anstatt beim Unternehmen selbst. Größere Unternehmen verfügen zwar oft über starke Cybersicherheitsmaßnahmen, gewähren aber rechtmäßigen Lieferanten Zugang zu ihren Systemen. Haben Lieferanten einen solchen Zugang, werden sie Teil Ihres Netzwerks und setzen Sie potenziellen Angriffen aus. Und wenn einer Ihrer wichtigen Lieferanten von einer Cyberattacke betroffen ist, dann wird das höchstwahrscheinlich auch Ihre eigenen Geschäftsabläufe stören, unabhängig davon, ob er Zugriff auf Ihre Systeme hat oder nicht. Außerdem verfügen viele Ihrer Lieferanten vermutlich über Daten von Ihnen und Ihren Kunden. Sollte einer Ihrer Lieferanten Daten Ihrer Kunden missbrauchen, so werden wahrscheinlich auch Sie zur Verantwortung gezogen – besonders dann, wenn Sie beim Management des Cyberrisikos in Ihrer Lieferkette keine Best-Practice-Methoden angewendet haben. Wenn Sie die Cybersicherheitsmaßnahmen Ihres Lieferanten nicht bewerten, wissen Sie nicht, ob diese ein großes oder kleines Risiko darstellen. Angreifer sind sich dessen bewusst. Sie versuchen, Anbieter mit schwächeren Sicherheitsmaßnahmen auszunutzen.
Internationale Regulierungsbehörden beginnen jetzt, Richtlinien für die Sicherheit von Lieferketten zu erlassen. Regulierungs- und Aufsichtsbehörden werden Bußgelder nicht reduzieren, weil sich Angreifer über einen Dritten Zugang verschafft haben. Dies wird als ein Risiko gesehen, für dessen Minderung Sie selbst verantwortlich sind.
Anhand welcher Informationen wird der Cyberrisiko-Score berechnet?
Bei der Bewertung von Cyberrisiken wird der Score anhand einer großen Anzahl von Datenpunkten sowie mithilfe von maschinellem Lernen berechnet. Die Informationen beinhalten:
- Informationen zu Bedrohungen für Sektoren und Länder, in denen Sie tätig sind
- Ungepatchte Sicherheitslücken
- Beweise für schwache E-Mail-Sicherheitsprozesse
- Versäumnisse bei der Cyberhygiene
Welche Elemente beeinflussen einen Cyber-Score?
Die Risikobewertung ergibt sich durch eine kombinierte Bewertung von Bedrohungen und Schwachstellen. Der Bericht zeigt Ihnen die individuelle Punktzahl für diese beiden Aspekte und schlüsselt die Informationen auf, die zur Berechnung dieser Punktzahl verwendet wurden. Er liefert außerdem konkrete Ratschläge zur Entschärfung aller identifizierten Probleme.
Woher weiß ich, dass die Einstufung korrekt ist?
Unsere Tools und unser Ansatz folgen den Prozessen, die von verwendet werden. Aufgrund unserer umfangreichen Erfahrung mit Bedrohungsdaten wissen wir, wonach Cyberangreifer suchen und was sie auszunutzen versuchen. Unser maschinelles Lernen wurde von Fachleuten geprüft und sieht künftige Bedrohungen mit einer Genauigkeit von 94 % vorher.
Im Rahmen unserer Partnerschaft mit Orpheus wenden wir einen gründlichen manuellen Überprüfungsprozess an, um falsch-positive Ergebnisse zu identifizieren, die zu einer fälschlich hohen Punktzahl für ein Unternehmen führen könnten. Mit einem anderen Prozess eliminieren wir Ergebnisse für Unternehmen, die wir als falsch validiert haben – was allerdings äußerst selten vorkommt. Einige Anbieter von Risikobewertungen aktualisieren die Punktzahl der bewerteten Unternehmen, wenn diese ihre Probleme verringern. Wir tun dies ausschließlich auf Basis einer Validierung, die die Genauigkeit unserer Ergebnisse sicherstellt.
Wenn der Cyber-Score niedrig ist, muss ich noch auf andere Dinge achten?
Ein geringes Risiko bedeutet nicht, dass kein Risiko besteht. Insider-Bedrohungen und Phishing-Kampagnen sind Beispiele für zwei zentrale Risiken, denen fast jedes Unternehmen ausgesetzt ist. Die Cyberrisikobewertung von Orpheus ist ein aussagekräftiger Indikator, der Unternehmen Schritte aufzeigt, mit denen sie ihr Risiko reduzieren können. Wir zeigen Ihnen die Sichtweise aus der Hacker-Perspektive. Sie können nach eigenem Ermessen noch andere Erkenntnisse einholen, beispielsweise solche, die nur Personen innerhalb Ihres Unternehmens zur Verfügung stehen.
Was, wenn ich mit dem Ergebnis nicht einverstanden bin?
Ist ein Unternehmen mit seinem Cyber-Score nicht einverstanden, kann es uns direkt kontaktieren, um Abhilfemaßnahmen zu besprechen. Wir bemühen uns laufend, falsch-positive Ergebnisse aus unseren Scores zu entfernen. Fehler kommen nur selten vor. Die Gesamtbewertung des Cyberrisikos setzt sich aus vielen Datenpunkten zusammen. Ein falsch-positives Ergebnis in einem Bereich hat somit wahrscheinlich keinen wesentlichen Einfluss auf die Gesamtbewertung. Sollte es dennoch vorkommen, wenden wir einen Korrekturprozess an, mit dem wir einen von einem Unternehmen festgestellten Fehler validieren können.
Wo kann ich meinen Cyber-Score einsehen?
Als Einkäufer können Sie die Cyber-Scores eines Lieferanten über Achilles Insights einsehen. Darüber hinaus haben Sie die Möglichkeit, einen individuell spezifischen Bericht zur Bewertung des Cyberrisikos in der ausgewählten Lieferkette zu erhalten. Dieser bietet Ihnen genauere Informationen über die spezifischen Bedrohungen und Risiken, denen Sie ausgesetzt sein könnten.
Als Lieferant können Sie Ihren eigenen Cyber-Score in Ihrem MyAchilles-Dashboard einsehen. Wenn Sie die monatlichen Berichte zur Cyberrisikobewertung von Orpheus abonnieren, erhalten Sie außerdem eine detaillierte Aufschlüsselung Ihres Cyberrisikos und einen einfach umsetzbaren Aktionsplan zur Behebung von Problemen – und damit zur Verbesserung Ihrer Punktzahl. Mit Ihrem Achilles-Abonnement erhalten Sie Vorzugspreise.
Für Einkäufer
Ab welcher Stufe sollte ich einen Lieferanten aus dem Prozess ausschließen?
Entscheiden Sie aufgrund Ihrer Risikotoleranz, welches Niveau für Sie akzeptabel ist. Wir würden vorschlagen, möglichst gemeinsam mit den Lieferanten an einer Reduzierung der Punktzahl zu arbeiten, anstatt die Zusammenarbeit zu beenden. Der von uns erstellte Bericht zeigt den Lieferanten, wie sie dabei vorgehen können. Wir empfehlen aber auch, dass Sie die Beendigung der Zusammenarbeit erwägen, wenn Lieferanten ernsthafte Sicherheitsrisiken nicht mindern wollen oder können.
Wie oft muss ich die Cyber-Scores eines Lieferanten überprüfen?
Unsere Cyber-Scores werden ständig aktualisiert. Neue Sicherheitslücken werden täglich entdeckt, und die Scores können sich dementsprechend ändern. Sie können die Häufigkeit der Überprüfung selbst festlegen. Wir empfehlen jedoch, mindestens einmal pro Monat alle Änderungen zu überprüfen, die ein Risiko für Ihr Unternehmen darstellen könnten.
Kann ich den Cyber-Score meines eigenen Unternehmens überprüfen?
Ja, Sie können auch Ihren eigenen Cyber-Score überprüfen. Wir empfehlen die Überprüfung Ihres eigenen Cyber-Scores, um eventuelle Sicherheitsprobleme in Ihrem Unternehmen zu entschärfen und die Möglichkeiten zu reduzieren, die ein Angreifer nutzen könnte.