Fast drei Viertel (71 Prozent) der Unternehmen, die spezifische Richtlinien für die Datennutzung von Partnern und Subunternehmern, mit denen regelmäßiger Datenaustausch besteht, nutzen, erhielten nach einem datenschutzrechtlichen Vorfall eine Entschädigung.
Bei Firmen gleicher Größe, die nicht über solche Regularien verfügen, war dies lediglich bei 22 Prozent der Fall. Diese Ergebnisse gehen aus dem aktuellen Report IT Security Economics von Kaspersky hervor.
Einer Gartner-Untersuchung zufolge, sind bei 71 Prozent der Unternehmen mehr Drittanbieter als noch vor drei Jahren Teil des eigenen Netzwerkes – Tendenz steigend. Damit diese Subunternehmer ihre Kooperationsverpflichtungen erfüllen können, gewähren Unternehmen ihnen häufig Zugang zu sensiblen Daten und internen IT-Ressourcen.
Der aktuelle IT Security Economics Report von Kaspersky zeigt, dass 79 Prozent der Unternehmen spezielle Richtlinien für Partner und Zulieferer festgesetzt haben, in denen der Umgang mit gemeinsam genutzten Ressourcen und Daten festgeschrieben ist und welche Strafen bei Nichteinhaltung drohen. Ein sinnvoller Schritt, da sich die finanziellen Schäden durch Danteschutzverletzungen geschätzt auf durchschnittlich 2,57 Millionen US-Dollar belaufen
Problem der Rechenschaftspflicht gelöst
Durch einen Richtlinienkatalog wird der Umgang mit Partnerunternehmen vereinfacht, denn er definiert die Verantwortungsbereiche aller beteiligter Unternehmen. Sollte ein Lieferant Ziel eines Angriffs werden, steigt die Chance, dass das betroffene Unternehmen, für das der Lieferant arbeitet, eine entsprechende Entschädigung erhält. Laut Kaspersky-Umfrage war dies bei 71 Prozent der Unternehmen der Fall, wohingegen Unternehmen ohne Third-Party-Policy lediglich in 22 Prozent der Fälle eine Entschädigung bekamen.
Der Einsatz solcher Richtlinien erhöht auch die Wahrscheinlichkeit von Entschädigungen bei kleinen und mittelständischen Unternehmen: So erhielten 68 Prozent der KMUs mit entsprechenden Richtlinien Wiedergutmachungszahlungen, während lediglich 28 Prozent ohne solche Regularien mit ihren Subunternehmen eine Entschädigung erhielten.
Es ist nicht bekannt, ob diese Richtlinien Angriffe auf die Lieferkette reduzieren oder nicht. Fast ein Viertel (24 Prozent) der Unternehmen, die spezielle Regelungen für Drittfirmen eingeführt haben, waren bereits von einer – Zulieferfirmen betreffenden – Cyberattacke betroffen. Nur 9 Prozent der Unternehmen ohne Compliance-Leitlinien bestätigten eine solche Kompromittierung.
Große Partnernetzwerke erfordern klare Regularien
“Die Ergebnisse unserer Umfrage mögen zunächst paradox erscheinen, wenn Unternehmen mit speziellen Richtlinien bestätigen, häufiger Angriffe auf die Lieferkette erlebt zu haben als Firmen ohne aufgestellte Regularien”, kommentiert Sergey Martsynkyan, Head of B2B Product Marketing bei Kaspersky. “Unser Ratschlag für Firmen mit einem größeren Netzwerk von Drittorganisationen lautet deshalb, diesem Bereich eine noch stärkere Aufmerksamkeit zu schenken und entsprechend spezifische Richtlinien aufzustellen. Nichtsdestotrotz kann ein großes Netzwerk von Subunternehmern die Wahrscheinlichkeit von Datenverletzungen erhöhen. Unternehmen die Regularien für Drittanbieter ausgestellt haben sind jedoch wesentlich besser in der Lage, die Ursachen für bestimmte Verletzungen zu analysieren, und die daraus gewonnen Erkenntnisse für einen besseren Schutz in der Zukunft zu nutzen.”
Kaspersky-Tipps zum Schutz vor Angriffen auf die Supply-Chain
- Regelmäßig Liste aller Partner und Lieferanten sowie der Daten, auf die sie Zugriff haben, aktualisieren.
- Sicherstellen, dass Dritte lediglich auf die Ressourcen zugreifen können, die sie zur Durchführung ihrer Arbeit benötigen.
- Bestätigen, dass Unternehmen, die nicht mit dem eigenen Unternehmen zusammenarbeiten, keinen Zugriff auf Daten und Ressourcen haben.
- Compliance- und Sicherheitspraktiken aufstellen, die allen Drittanbietern zur Verfügung gestellt werden und denen sie folgen müssen.
- Eine leistungsstarke Schutztechnologie wie Kaspersky Anti Targeted Attack einsetzen, die auch komplexe Angriffe, die möglicherweise von Perimeter-Schutzlösungen nicht erkannt werden, frühzeitig erkennen – Angriffe auf die Lieferkette eingeschlossen.
Weitere Informationen:
Der vollständige Kaspersky Global Corporate IT Security Risks Survey ist hier verfügbar.
www.kaspersky.com/de