Das Risiko von Drittanbietern kann zu potenziell sehr schädlichen Vorfällen führen. Viele Unternehmen konzentrieren sich jedoch eher auf den Schutz ihrer internen Systeme und Prozesse und machen sich weniger Gedanken über die Systeme, die sie an Dritte weitergeben, die vielleicht als „Experten“ und damit als sicher gelten. Wie eine Reihe von Datenschutzverletzungen in jüngster Zeit gezeigt hat, sollte dieses schwierige Thema jedoch mehr Aufmerksamkeit von den Vorständen verlangen. Sicherheitsexperten drängen darauf, einen weitaus umfassenderen Ansatz zu wählen, und zwar
unternehmensweit, und kollektiv Verantwortung zu übernehmen.
Risiko-Rahmen
Viel zu oft ist eine einzelne Abteilung wie die Beschaffungs- oder IT-Abteilung für den Aufbau und die Verwaltung von Beziehungen zu Dritten verantwortlich, was bedeutet, dass die Aufsicht manchmal weniger streng ist. Stattdessen müssen Zeit und Mühe in das Risikomanagement von Drittanbietern investiert werden.
Alle Anbieter sollten aufgefordert werden, Informationen über ihre Sicherheits- und Risikomanagementstandards bereitzustellen, um zu überprüfen, ob sie ein vertrauenswürdiger Partner sind oder sein können und wo es mögliche Risiken gibt, insbesondere wenn sie Zugang zu Daten haben. Jeder sollte einen Fragebogen beantworten müssen, um in ein System aufgenommen zu werden. Dies kann bei der Klassifizierung helfen, ob es sich um ein hohes, niedriges oder mittleres Risiko handelt. Es müssen Überprüfungen, strenge Geschäftskontrollen und rechtliche Vereinbarungen sowie eine Überwachung stattfinden, die bei den Anbietern mit dem höchsten Risiko am häufigsten durchgeführt werden muss. Einige Anbieter mögen es vielleicht nicht, wenn sie auf diese Weise überwacht oder beispielsweise aufgefordert werden, Referenzen vorzulegen. Wenn sie sich jedoch dagegen sträuben, sollte dies Anlass zu ernsthaften Diskussionen darüber sein, ob sich die Vereinbarung als tragfähig erweisen wird. Ein kürzlich veröffentlichter Bericht von Verizon hat ergeben, dass einer von zwei Datenschutzverstößen auf Risiken durch Dritte zurückzuführen ist. Aus diesem Grund werden viele Risikomanager diesen Bereich überprüfen wollen, und zwar möglicherweise von Grund auf.
Dow Jones im Rampenlicht
Im Februar dieses Jahres wurde bekannt, dass ein „autorisierter Dritter“ eine hochsensible Dow-Jones-Beobachtungsliste offengelegt hatte, die in einer Datenbank gespeichert war und etwa 2,4 Millionen Datensätze enthielt.
Die Namen wurden von dem Finanznachrichtenunternehmen als „hochriskant“ eingestuft, da sie potenzielle Verbindungen zum organisierten Verbrechen oder zum Terrorismus haben sollen. Es wurde berichtet, dass sich unter den Personen auf der Liste Politiker, mutmaßliche Terroristen und Wirtschaftskriminelle befanden und dass die Details Alter, Aufenthaltsort, detaillierte Notizen über mutmaßliches Fehlverhalten und in einigen Fällen auch Fotos enthielten. Eine solche Liste kann Unternehmen dabei helfen, zu vermeiden, dass sie mit anrüchigen Organisationen zu tun haben und mit Sanktionen belegt werden oder mit regulatorischen Problemen konfrontiert werden, z.B. im Zusammenhang mit der Geldwäschebekämpfung.
Die Namen wurden auf einem ungesicherten AWS-Server gespeichert und die Datenbank wurde von Bob Diachenko entdeckt, einem Sicherheitsexperten, der auch schon andere Datenschutzverletzungen aufgedeckt hat. Er sagte, die Liste befand sich auf einem öffentlichen Elasticsearch-Cluster mit einer Größe von 4,4 GB und war für jeden, der wusste, wo er suchen musste, öffentlich zugänglich.
Beteiligung des Vorstands
Dow Jones sagte, dass die Daten Teil ihres Risiko- und Compliance-Angebots waren und der Sprecher sagte:
„Unsere Überprüfung deutet darauf hin, dass dies auf eine Fehlkonfiguration eines AWS-Servers durch einen autorisierten Dritten zurückzuführen ist und die Daten nicht mehr verfügbar sind.“
Ungesicherte Elasticsearch-Datenbanken standen in letzter Zeit hinter einer Reihe von Datenschutzverletzungen, darunter eine, die 32 Millionen Kunden von Sky Brazil betraf, und ein Vorfall bei Thompson Reuters, bei dem es ebenfalls um eine Überwachungsliste und die Offenlegung von 2,2 Millionen Datensätzen ging. Die Weitergabe von Daten und Funktionen an andere Unternehmen geschieht häufig aus vielen Gründen. Dies bedeutet jedoch nicht, dass die Verantwortung aufgegeben wird, und es müssen Mitarbeiter mit den richtigen Fähigkeiten im Unternehmen beschäftigt werden, um sowohl die Anbieter zu verwalten als auch sicherzustellen, dass im Falle eines Vorfalls schnell und effektiv reagiert werden kann.
Wenn es um die Verwaltung von Dritten geht, beobachten die Aufsichtsbehörden das Geschehen und die Vorstände müssen zusammen mit den Risikomanagern engagiert und einbezogen werden.
