Seite wählen

Wer ganzheitliche IT-Sicherheit aufbauen will, darf den Fokus nicht nur auf eigene Systeme und Netzwerke beschränken. Empfehlenswerte Ansätze für eine sichere Zusammenarbeit mit Partnern und Zulieferern finden sich etwa bei der Finanzindustrie.

Die Ansprüche an Cybersicherheit steigen branchenübergreifend. Firewalls, Malware Scanner und Backup Tools gehören schon seit Jahren zum Standardrepertoire eines jeden Unternehmens. Aber wer sich bei der IT-Sicherheit allein auf die eigenen Systeme konzentriert, denkt zu kurz. Längst haben Angreifer auch die Zulieferer, Partner und Dienstleister im Visier, um über Umwege in Unternehmen einzudringen.

Partnersuche via Vendor Risk Management

Um sich vor solchen Angriffen über Geschäftspartner und Subunternehmen abzusichern, sind strikte Compliance-Vorgaben erforderlich, die genaue Zugriffsberechtigungen und Sicherheitsstandards für Partner definieren. Im Finanzsektor sind durch die Richtlinien der BaFin und Regularien wie die MaRisk, BAIT, DSGVO (GDPR), PCI-DSS, PSD2 und C5 weitreichende Regeln für die Absicherung der eigenen IT und die Zusammenarbeit mit anderen Unternehmen definiert. Auf Grundlage dieser Vorgaben erstellen Banken und Finanzdienstleister ein detailliertes Vendor Risk Management, das als Grundlage für die Auswahl und kontinuierliche Prüfung geeigneter Geschäftspartner dient.

Auch Software-Anbieter sind gefährdet

Nicht nur die Partnerunternehmen, auch die eingesetzte Software sollte mit Bedacht gewählt werden. Sind etwa die Systeme der Hersteller unzureichend abgesichert, können Angreifer diese Lücke nutzen, um Schadcode über die offiziellen Kanäle per Installer- oder Update-Hijacking zu verteilen. Im Jahr 2017 gelang es etwa Cyberkriminellen, die Netzwerk-Admin-Tools der koreanischen Firma NetSarang zu kompromittieren. Die Schadsoftware wurde dadurch an viele größere Unternehmen wie Banken, Pharmakonzerne und Energielieferanten ausgeliefert. Es dauerte über zwei Wochen bis die betroffenen Firmen auf die verseuchten Programme aufmerksam wurden.

IT-Sicherheit auf der Command Control

Weitere Informationen zu den Gefahren der Lieferkette in der IT-Sicherheit behandelt der Vortrag «Securing the Known Unknowns: Learnings from the banking sector on 3rd Party Risk Management» auf dem Cybersecurity Summit Command Control, der am 3. Und 4. März in München stattfindet. Das Panel leiten der CTO Stephen Boyer und Bob Lewis, Head of Cyber Risk von der Lloyds Bank. Auch das Team von Myra Security wird vor Ort sein und sich mit den Experten über die zentralen Herausforderungen in der Cybersicherheit unterhalten.

Myra sichert die Finanzbranche

Die Sicherheitsexperten der Finanzindustrie vertrauen auf die Lösungen von Myra Security zur Absicherung ihrer Webanwendungen, Webseiten und der für die Kommunikation erforderlichen DNS-Server und IT-Infrastrukturen. Myra operiert als deutscher Anbieter vollständig DSGVO-konform, die Myra DDoS-Schutzlösung ist vom BSI für Kritische Infrastrukturen (KRITIS) qualifiziert und nach ISO 27001 auf der Basis von IT-Grundschutz zertifiziert. Auf die Qualität von Myra setzen unter anderem die Europäische Zentralbank (EZB), das Sparkassen-Finanzportal und Goldmann Sachs.

Diesen Artikel teilen