Zusammenarbeit mit Dritten und Anbietern
Ihre Sicherheit ist nur so stark wie Ihr schwächster Anbieter. Das Marketing-Automatisierungswerkzeug? Es hat Ihre Kundenliste. Das Analytics-SDK? Es läuft auf jedem Gerät der Benutzer. Der Laptop des Auftragnehmers? Er hat Zugang zu Ihrer Codebasis.
Drittanbieter-Risikomanagement ist keine Paranoia – es ist die Anerkennung, dass Ihre Angriffsfläche über das hinausgeht, was Sie direkt kontrollieren.
Warum Anbietersicherheit wichtig ist
Die Lieferketten-Realität
Moderne Unternehmen sind stark von Dritten abhängig:
| Kategorie | Typische Anzahl | Datenzugriff |
|---|---|---|
| SaaS-Werkzeuge | 50–200 Apps | Kundendaten, Mitarbeiterdaten, Quellcode |
| Cloud-Anbieter | 1–3 | Alles |
| Zahlungsabwickler | 1–2 | Finanztransaktionen |
| Analytics/Marketing | 5–15 | Benutzerverhalten, Kontaktinformationen |
| Auftragnehmer | 5–20 | Variiert stark |
| Open Source | Hunderte bis Tausende Pakete | Läuft in Ihrer Umgebung |
Jeder ist ein potenzieller Einstiegspunkt für Angreifer.
Reale Anbieter-Sicherheitsverletzungen
Okta (2022): Ein Angreifer kompromittierte einen Drittanbieter-Auftragnehmer (Sitel), der Oktas Kundendienst unterstützte. Über diesen Zugang gewann er Zugang zu Oktas internen Systemen und beeinträchtigte Hunderte von Okta-Kunden, darunter Cloudflare, 1Password und andere.
SolarWinds (2020): Angreifer fügten bösartigen Code in den Build-Prozess von SolarWinds ein. Das kompromittierte Update wurde an 18.000 Organisationen verteilt, darunter Regierungsbehörden und Fortune-500-Unternehmen.
Codecov (2021): Angreifer modifizierten das Bash-Uploader-Skript von Codecov. Jedes Unternehmen, das es in CI/CD verwendete, hatte Umgebungsvariablen und Geheimnisse exponiert. Betroffene Unternehmen umfassten Twilio, Monday.com und viele Startups.
Kaseya (2021): Eine Ransomware-Gruppe nutzte Schwachstellen in Kaseyas VSA-Software aus und beeinträchtigte 1.500+ Unternehmen durch Managed-Service-Provider.
Das Muster: Angreifer zielen auf Anbieter ab, weil sie einen Kraftmultiplikator darstellen – einen kompromittieren, viele erreichen.
Anbieter-Risikobewertungs-Framework
Schritt 1: Anbieterinventar
Sie können nicht schützen, was Sie nicht kennen. Bauen Sie ein vollständiges Anbieterinventar auf.
Anbieterinventar-Vorlage:
| Anbieter | Kategorie | Datenzugriff | Geschäftskritikalität | Vertragsinhaber | Zuletzt bewertet |
|---|---|---|---|---|---|
| Salesforce | CRM | Kunden-PII, Aufträge | Kritisch | Vertrieb | 2024-06 |
| GitHub | Quellkontrolle | Quellcode, Geheimnisse | Kritisch | Entwicklung | 2024-09 |
| Slack | Kommunikation | Alle internen Komms | Hoch | IT | 2024-03 |
| Mailchimp | Marketing | E-Mail-Listen | Mittel | Marketing | 2024-01 |
| Gusto | HR/Gehalt | Mitarbeiter-PII, SSNs | Kritisch | HR | 2024-06 |
Erkennungsmethoden:
- Kredit-/Ausgabenabrechnungen prüfen
- SSO-Anbieter auf verbundene Apps prüfen
- Abteilungsleiter fragen, welche Werkzeuge sie nutzen
- Netzwerkverkehr auf SaaS-Verbindungen scannen
- SaaS-Management-Werkzeuge verwenden (Zylo, Productiv, Torii)
Schritt 2: Anbieter-Tiering
Nicht alle Anbieter verdienen die gleiche Prüfung. Stufen Sie basierend auf Risiko ein.
| Stufe | Kriterien | Bewertungstiefe | Überprüfungsfrequenz |
|---|---|---|---|
| Stufe 1: Kritisch | Zugang zu sensiblen Daten, geschäftskritisch, schwer zu ersetzen | Vollständige Bewertung, SOC 2 erforderlich | Jährlich |
| Stufe 2: Hoch | Zugang zu einigen sensiblen Daten oder wichtigen Operationen | Standardbewertung, SOC 2 bevorzugt | Alle 18 Monate |
| Stufe 3: Mittel | Begrenzter Datenzugriff, leicht ersetzbar | Grundlegende Bewertung | Alle 2 Jahre |
| Stufe 4: Gering | Keine sensiblen Daten, Commodity-Service | Selbstbestätigung | Bei Vertragsverlängerung |
Stufungsfragen:
- Auf welche Daten greifen sie zu? (Kunden-PII = Stufe 1–2)
- Könnte ihre Kompromittierung unsere Kunden betreffen? (Ja = Stufe 1)
- Sind sie in unserem kritischen Pfad? (Ja = Stufe 1–2)
- Wie schwer sind sie zu ersetzen? (Schwer = erhöht Stufe)
- Haben sie privilegierten Zugang? (Admin-Zugang = Stufe 1)
Schritt 3: Bewertungsmethoden
Verschiedene Stufen erhalten unterschiedliche Bewertungsansätze.
Stufe-1-Bewertungs-Checkliste:
| Bereich | Fragen | Erforderliche Nachweise |
|---|---|---|
| Zertifizierungen | SOC 2 Typ II? ISO 27001? | Auditbericht |
| Zugangskontrolle | Wie schützen sie den Zugang zu unseren Daten? | MFA-Richtlinie, Zugriffskontrollen |
| Verschlüsselung | Daten im Ruhezustand und bei Übertragung verschlüsselt? | Technische Dokumentation |
| Incident Response | Wie werden sie uns über Sicherheitsverletzungen benachrichtigen? | IR-Plan, Benachrichtigungs-SLA |
| Datenverarbeitung | Wo werden Daten gespeichert? Können sie auf Anfrage exportiert/gelöscht werden? | Datenverarbeitungsbedingungen |
| Unterauftragsverarbeiter | Mit wem teilen sie Daten? | Liste der Unterauftragsverarbeiter |
| Business Continuity | Was ist ihre Uptime-SLA? DR-Plan? | SLA, DR-Dokumentation |
| Mitarbeitersicherheit | Hintergrundprüfungen? Schulung? | Richtlinienbestätigung |
Stufe-2-3-Bewertung:
- SOC-2-Bericht oder Äquivalent anfordern
- Standardisierten Fragebogen ausfüllen
- Ihre Sicherheitsseite/Trust Center überprüfen
- Öffentliche Verletzungshistorie prüfen
Stufe-4-Bewertung:
- Selbstbestätigung (Anbieter bestätigt grundlegende Sicherheit)
- Nutzungsbedingungen überprüfen
- Keine detaillierte Bewertung erforderlich
Standard-Sicherheitsfragebögen
Erstellen Sie keinen eigenen Fragebogen von Grund auf. Verwenden Sie Branchenstandards.
SIG (Standardized Information Gathering)
Von Shared Assessments gepflegt, ist SIG der Goldstandard für Anbieterbewertungen.
SIG Lite vs. SIG Core:
- SIG Lite: ~100 Fragen, geeignet für die meisten Bewertungen
- SIG Core: 800+ Fragen, für hochriskante/Stufe-1-Anbieter
Abgedeckte Domänen:
- Sicherheitsrichtlinie und -organisation
- Asset-Management
- Zugangskontrolle
- Kryptografie
- Betriebssicherheit
- Incident Management
- Business Continuity
- Compliance
Kosten: Mitgliedschaft erforderlich (2.500 €+/Jahr), aber weit verbreitet.
Alternative: Einen vereinfachten Fragebogen basierend auf SIG-Themen erstellen.
CAIQ (Consensus Assessments Initiative Questionnaire)
Von der Cloud Security Alliance, fokussiert auf Cloud-Dienste.
Struktur:
- 300+ Fragen über 17 Domänen
- Ja/Nein-Format mit optionalen Erläuterungen
- Cloud-spezifischer Fokus
Am besten für: Cloud-Dienste, SaaS-Evaluierung
Kosten: Kostenlos von CSA
VSAQ (Vendor Security Assessment Questionnaire)
Googles Open-Source-Fragebogen-Framework.
Funktionen:
- Webbasiertes Bewertungswerkzeug
- Anpassbare Fragensätze
- Risikobewertung
Am besten für: Entwicklerfreundliche Organisationen
Link: github.com/google/vsaq
Vereinfachter Fragebogen für kleine Unternehmen
Wenn Standardfragebögen zu umfangreich sind, verwenden Sie diese 20-Fragen-Version:
## Vereinfachter Anbieter-Sicherheitsfragebogen
### Governance
1. Haben Sie eine dokumentierte Informationssicherheitsrichtlinie?
2. Gibt es einen designierten Sicherheitsbeauftragten oder ein Team?
3. Führen Sie Sicherheitsbewusstseinstraining für Mitarbeiter durch?
4. Führen Sie Hintergrundprüfungen für Mitarbeiter mit Datenzugang durch?
### Zugangskontrolle
5. Erzwingen Sie MFA für alle Systeme, die auf unsere Daten zugreifen?
6. Wie verwalten Sie Benutzerzugang und Deprovisionierung?
7. Protokollieren und überwachen Sie den Zugang zu Kundendaten?
### Datenschutz
8. Werden Kundendaten im Ruhezustand verschlüsselt?
9. Werden Kundendaten bei der Übertragung verschlüsselt (TLS 1.2+)?
10. Wo werden Kundendaten geografisch gespeichert?
11. Können Sie unsere Daten bei Vertragsbeendigung löschen?
### Incident Response
12. Haben Sie einen Incident-Response-Plan?
13. Wie lange ist Ihr Zeitrahmen für Datenpannen-Benachrichtigungen?
14. Hatten Sie in den letzten 3 Jahren Sicherheitsvorfälle?
### Compliance
15. Haben Sie SOC 2 Typ II Zertifizierung?
16. Sind Sie DSGVO-konform?
17. Nutzen Sie Unterauftragsverarbeiter? Wie werden diese geprüft?
### Technische Sicherheit
18. Führen Sie regelmäßiges Schwachstellen-Scanning durch?
19. Wann war Ihr letzter Penetrationstest?
20. Haben Sie ein Vulnerability-Disclosure/Bug-Bounty-Programm?
Vertragliche Sicherheitsanforderungen
Bewertungen sind nutzlos, wenn Sie Anbieter nicht zur Rechenschaft ziehen können. Schließen Sie Sicherheitsanforderungen in Verträge ein.
Sicherheitsnachtrag-Vorlage
# Sicherheitsnachtrag zum [Vertragsname]
Dieser Sicherheitsnachtrag wird in die Vereinbarung zwischen
[Kunde] und [Anbieter], wirksam ab [Datum], aufgenommen.
## 1. Sicherheitskontrollen
Der Anbieter soll folgende Sicherheitskontrollen aufrechterhalten:
1.1 **Zugangskontrolle**
- Multi-Faktor-Authentifizierung für alle Systeme, die auf Kundendaten zugreifen
- Rollenbasierte Zugangskontrolle mit Least Privilege
- Vierteljährliche Zugriffsüberprüfungen
- Deprovisionierung innerhalb von 24 Stunden nach Mitarbeiterkündigung
1.2 **Verschlüsselung**
- Kundendaten im Ruhezustand mit AES-256 oder gleichwertig verschlüsselt
- Kundendaten bei der Übertragung mit TLS 1.2 oder höher verschlüsselt
- Verschlüsselungsschlüssel sicher verwaltet mit regelmäßiger Rotation
1.3 **Überwachung und Protokollierung**
- Sicherheitsereignis-Protokollierung für alle Systeme, die Kundendaten verarbeiten
- Log-Aufbewahrung von mindestens 12 Monaten
- Überwachung auf unbefugte Zugriffsversuche
## 2. Sicherheitsbewertungen
2.1 Der Anbieter soll SOC 2 Typ II Zertifizierung (oder gleichwertig)
aufrechterhalten und den aktuellen Bericht auf Anfrage vorlegen.
2.2 Der Anbieter soll jährliche Penetrationstests durch qualifizierte
Dritte durchführen und kritische Befunde innerhalb von 30 Tagen beheben.
2.3 Der Kunde kann Sicherheitsbewertungen mit 30 Tagen schriftlicher
Ankündigung, nicht mehr als einmal pro Jahr, durchführen.
## 3. Incident Response
3.1 Der Anbieter soll den Kunden über Sicherheitsvorfälle, die
Kundendaten betreffen, innerhalb von 24 Stunden nach Entdeckung benachrichtigen.
3.2 Die Benachrichtigung soll beinhalten:
- Art und Umfang des Vorfalls
- Betroffene Datentypen
- Ergriffene und geplante Abhilfemaßnahmen
- Kontaktinformationen für Updates
3.3 Der Anbieter soll bei der Vorfalluntersuchung des Kunden kooperieren
und angeforderte Informationen innerhalb von 48 Stunden bereitstellen.
## 4. Datenschutz
4.1 Der Anbieter soll nicht auf Kundendaten zugreifen, außer soweit
erforderlich, um die Dienste bereitzustellen.
4.2 Der Anbieter soll Kundendaten nicht für andere Zwecke als die
Bereitstellung der Dienste verwenden.
4.3 Bei Kündigung soll der Anbieter alle Kundendaten innerhalb von 30 Tagen
löschen oder zurückgeben und die Löschung schriftlich bestätigen.
4.4 Der Anbieter soll eine Liste der Unterauftragsverarbeiter führen und den
Kunden 30 Tage im Voraus über Ergänzungen benachrichtigen.
## 5. Prüfungsrechte
5.1 Der Kunde kann die Einhaltung dieses Nachtrags durch den Anbieter mit
30 Tagen schriftlicher Ankündigung prüfen.
5.2 Der Anbieter soll ausreichende Dokumentation aufrechterhalten, um die
Einhaltung dieser Anforderungen nachzuweisen.
## 6. Abhilfe
6.1 Wenn der Anbieter eine Anforderung nicht erfüllt, kann der Kunde innerhalb
von 14 Tagen einen Abhilfeplan anfordern.
6.2 Anhaltende Nichteinhaltung stellt einen wesentlichen Vertragsbruch dar und
erlaubt dem Kunden, die Vereinbarung zu kündigen.
---
Vereinbart und akzeptiert:
Kunde: _______________ Datum: _______
Anbieter: _______________ Datum: _______
Wichtige Vertragsbedingungen verhandeln
| Bedingung | Was verlangen | Rückfallposition |
|---|---|---|
| Datenpannen-Benachrichtigung | 24–48 Stunden | Maximal 72 Stunden |
| Prüfungsrechte | Jährliches Recht zur Prüfung | SOC 2 als Alternative zur Prüfung akzeptieren |
| Datenlöschung | 30 Tage nach Kündigung | 90 Tage akzeptabel |
| Unterauftragsverarbeiter-Genehmigung | Vorankündigung und Genehmigungsrecht | Nur Benachrichtigung |
| Haftungsobergrenze | Unbegrenzt für Sicherheitsverletzungen | 12–24 Monatsgebühren |
| Versicherung | 5 Mio.+ Cyber-Haftpflicht | An eigene Deckung anpassen |
| Sicherheits-SLA | 99,9 % Uptime, 4-Std.-Reaktion | Verhandelbar |
Wenn Anbieter sich widersetzen
| Einwand | Ihre Antwort |
|---|---|
| „Wir unterzeichnen keine benutzerdefinierten Sicherheitsnachträge" | „Können wir Ihre DPA/Sicherheitsbedingungen prüfen? Wir akzeptieren diese möglicherweise, wenn sie ausreichend sind." |
| „SOC 2 deckt alles ab" | „SOC 2 ist großartig. Wir brauchen trotzdem Datenpannen-Benachrichtigung und Datenlöschungsbedingungen im Vertrag." |
| „Unsere Anwälte genehmigen keine Haftungsbedingungen" | „Welche Haftungsobergrenze akzeptieren Sie? Wir sind bei der Zahl flexibel." |
| „Wir gewähren keine Prüfungsrechte" | „Wir akzeptieren SOC 2 Typ II anstelle direkter Prüfung." |
| „Wir können die Benachrichtigung über Unterauftragsverarbeiter nicht ändern" | „Können Sie sich verpflichten, keine neuen Unterauftragsverarbeiter ohne Ankündigung hinzuzufügen?" |
Laufende Anbieterüberwachung
Bewertung ist nicht einmalig. Das Anbieterrisiko ändert sich.
Kontinuierliche Überwachung
| Signal | Quelle | Maßnahme |
|---|---|---|
| Sicherheitsvorfälle | Nachrichten, Anbieterbenachrichtigungen | Auswirkung prüfen, Details anfordern |
| SOC-2-Bericht-Updates | Jährlich vom Anbieter | Auf neue Feststellungen prüfen |
| Änderungen bei Unterauftragsverarbeitern | Anbieterbenachrichtigungen | Neue Unterauftragsverarbeiter bewerten |
| Führungswechsel | Nachrichten, LinkedIn | Potenzielle Auswirkung notieren |
| Finanzielle Schwierigkeiten | Nachrichten, Kreditbewertungen | Business-Continuity-Risiko bewerten |
| Übernahme | Nachrichten | Sicherheitslage des neuen Mutterkonzerns prüfen |
Überwachungswerkzeuge
| Werkzeug | Was es tut | Kosten |
|---|---|---|
| SecurityScorecard | Externe Sicherheitsbewertung | Kostenpflichtig |
| BitSight | Externe Sicherheitsbewertung | Kostenpflichtig |
| UpGuard | Anbieter-Risikoüberwachung | Kostenpflichtig |
| Google Alerts | Nachrichtenüberwachung | Kostenlos |
| Have I Been Pwned | Verletzungsüberwachung | Kostenlos (Domain-Suche) |
Vierteljährliche Anbieterüberprüfung
## Vierteljährliche Anbieter-Sicherheitsüberprüfung — Q4 2024
### Stufe-1-Anbieter
| Anbieter | SOC 2 aktuell? | Vorfälle? | Vertrag läuft ab | Erforderliche Maßnahme |
|--------|----------------|------------|------------------|---------------|
| Salesforce | Ja (läuft ab 03/25) | Keine | 06/2025 | Aktualisierten Bericht anfordern |
| GitHub | Ja | Keine | 12/2025 | Keine |
| AWS | Ja | Keine | Laufend | Keine |
| Gusto | Ja | Keine | 01/2025 | Verlängerungsüberprüfung |
### Stufe-2-Anbieter
| Anbieter | Zuletzt bewertet | Probleme | Erforderliche Maßnahme |
|--------|---------------|--------|---------------|
| Mailchimp | 2024-01 | Keine | Erneut bewerten 2025-07 |
| Intercom | 2024-03 | Keine | Keine |
| Datadog | 2024-06 | Keine | Keine |
### Dieses Quartal hinzugefügte neue Anbieter
| Anbieter | Stufe | Bewertungsstatus | Eigentümer |
|--------|------|-------------------|-------|
| Notion | 2 | Abgeschlossen | IT |
| Figma | 3 | In Bearbeitung | Design |
### Maßnahmenelemente
1. Aktualisierten SOC 2 von Salesforce anfordern (fällig 03/25)
2. Figma-Bewertung abschließen
3. Sicherheitsnachtrag für Gusto-Verlängerung verhandeln
Spezielle Fälle
Open-Source-Abhängigkeiten
Open Source ist ein Anbieter, mit dem Sie keinen Vertrag haben.
Risikofaktoren:
- Maintainer-Burnout (einzelner Maintainer, inaktives Repo)
- Bösartige Paket-Updates (Typosquatting, Account-Übernahme)
- Bekannte Schwachstellen (ungepatchtes)
Minderungsmaßnahmen:
- Abhängigkeits-Scanning verwenden (Dependabot, Snyk, Trivy)
- Versionen pinnen, nicht blind „latest" verwenden
- Major-Version-Updates prüfen
- Auf Sicherheitshinweise überwachen
- Alternativen für aufgegebene Pakete in Betracht ziehen
Ressourcen:
- OpenSSF Scorecard — Automatisierte Sicherheitsgesundheitsmetriken für Open Source
- deps.dev — Open-Source-Paket-Einblicke
- Snyk Advisor — Paket-Gesundheitsscores
Auftragnehmer und Berater
Auftragnehmer sind hochriskant: oft temporär, mit persönlichen Geräten arbeitend, weniger geprüft als Mitarbeiter.
Sicherheitsanforderungen für Auftragnehmer:
- Hintergrundprüfung vor dem Zugang
- NDA unterschrieben vor jedem Datenzugang
- Unternehmensverwaltete Geräte verwenden (oder MDM auf persönlichen Geräten verlangen)
- Begrenzter Zugriffsumfang – nur was benötigt wird
- Zugang am Projektende überprüft und widerrufen
- Gleiche Sicherheitsschulung wie Mitarbeiter
Auftragnehmer-Zugriffsvorlage:
## Auftragnehmer-Zugriffsanfrage
Name des Auftragnehmers: [Name]
Unternehmen: [Unternehmen]
Projekt: [Beschreibung]
Dauer: [Beginn] bis [Ende]
Sponsor: [Interner Mitarbeiter]
### Angeforderter Zugang
| System | Zugangsebene | Begründung | Genehmigt von |
|--------|-------------|---------------|-------------|
| GitHub | Lesen (Repo X) | Code-Review | [Lead] |
| Jira | Ansehen/Kommentieren | Projekttracking | [PM] |
| Staging-Umgebung | Deployment | Testing | [DevOps] |
### Voraussetzungen
- [ ] NDA unterzeichnet
- [ ] Hintergrundprüfung abgeschlossen
- [ ] Sicherheitsschulung abgeschlossen
- [ ] MFA auf Unternehmens-IdP konfiguriert
- [ ] Akzeptable-Nutzungs-Richtlinie bestätigt
### Zugangsendes-Prozess
- [ ] Zugangswiderruf-Datum: [Datum]
- [ ] Verantwortlich für Widerruf: [Person]
- [ ] Arbeitsergebnis übertragen: [Ja/Nein]
Übernahmen und Fusionen
Wenn Ihr Unternehmen übernimmt oder übernommen wird, ändert sich das Anbieterrisiko.
Ein Unternehmen übernehmen:
- Deren Anbieterbeziehungen (und Risiko) übernehmen
- Deren Anbieterinventar prüfen
- Ihre Anbieterstandards auf neue Anbieter anwenden
- Integrationszeitplan planen
Übernommen werden:
- Der Erwerber wird Ihre Anbieterposition prüfen
- Sauberes Anbieterinventar demonstriert Reife
- Dokumentierte Bewertungen beschleunigen die Due Diligence
Häufige Fehler
-
Shadow SaaS — Abteilungen nehmen Werkzeuge ohne IT-/Sicherheitswissen an. Beschaffungsprozess implementieren.
-
Einmalige Bewertung — Nur beim Onboarding bewerten. Das Anbieterrisiko entwickelt sich; regelmäßig neu bewerten.
-
Zertifizierungen blind vertrauen — SOC 2 bedeutet nicht sicher. Den Bericht lesen, auf Ausnahmen achten.
-
Keine Vertragsbedingungen — Anbieterbedingungen ohne Verhandlung akzeptieren. Mindestens die Datenpannen-Benachrichtigung verhandeln.
-
Unterauftragsverarbeiter ignorieren — Ihr Anbieter hat Anbieter. Eine Verletzung bei ihren Unterauftragsverarbeitern betrifft Sie.
-
Niedrigriskante Anbieter überbewerten — 100-Fragen-Fragebogen für ein 50-€/Monat-Werkzeug verschwendet aller Zeit.
-
Kein Offboarding-Prozess — Anbieterverträge enden, aber ihr Zugang möglicherweise nicht. Widerrufen und prüfen.
-
Cloud = sicher annehmen — AWS/GCP/Azure sind sicher; wie Sie sie konfigurieren, liegt nicht in deren Verantwortung.
Experten-Tipps
Die „10-Minuten-Anbieterprüfung"
Für die schnelle Triage eines Anbieters:
- Ihre Sicherheitsseite prüfen — Haben sie eine? Ist sie detailliert?
- Nach SOC 2/ISO 27001 suchen — Öffentlich aufgeführt?
- „[Anbietername] Sicherheitsverletzung" suchen — Irgendwelche Vorfälle?
- SecurityScorecard/BitSight prüfen — Was ist ihr externer Score?
- Ihr Trust Center prüfen — Veröffentlichen sie Unterauftragsverarbeiter?
Das gibt Ihnen in 10 Minuten 80 % Vertrauen.
Den SOC-2-Bericht des Anbieters effektiv nutzen
SOC-2-Berichte sind dicht. Konzentrieren Sie sich auf:
- Abschnitt IV: Beschreibung des Systems — Was ist im Umfang? Ist es umfassend?
- Abschnitt V: Hauptleistungsverpflichtungen und Systemanforderungen — Wozu haben sie sich verpflichtet?
- Tests der Kontrollen — Achten Sie auf „Ausnahmen" oder „Abweichungen". Das sind Fehler.
- Complementary User Entity Controls (CUECs) — Was ist IHRE Verantwortung?
Warnsignale:
- Viele Ausnahmen ohne Abhilfe
- Enger Umfang (z. B. nur ein Produkt, nicht die Infrastruktur)
- Nur Typ I (punktuell, nicht nachhaltig)
Anbieter-Sicherheitskultur aufbauen
Machen Sie Anbietersicherheit zur Aufgabe aller:
- Beschaffung: Sicherheitsüberprüfung in den Kaufprozess einbeziehen
- Abteilungsleiter: Eigentümer des Anbieterrisikos ihrer Werkzeuge
- Security Champion: Standards setzen, Bewertungen unterstützen
- Rechtsabteilung: Sicherheitsbedingungen in alle Verträge einbeziehen
Anbieter-Risikobewertung
Anbieterrisiko mit einem einfachen Modell quantifizieren:
Anbieter-Risikoscore = (Datensensitivität + Zugriffsebene + Kritikalität) × Sicherheitslage
Skala 1–5 für jeden Faktor:
Datensensitivität:
1 = Keine sensiblen Daten
3 = Interne/Mitarbeiterdaten
5 = Kunden-PII, Finanzdaten, Gesundheitsdaten
Zugriffsebene:
1 = Nur Anzeigen, begrenzter Umfang
3 = Lesen/Schreiben, mittlerer Umfang
5 = Admin-Zugang, privilegierte Operationen
Kritikalität:
1 = Nice-to-have, leicht zu ersetzen
3 = Wichtig, etwas Aufwand zum Ersetzen
5 = Kritisch, Geschäft stoppt ohne es
Sicherheitslage (inverse Bewertung):
1 = Stark (SOC 2 Typ II, keine Probleme)
3 = Mittel (SOC 2 Typ I, einige Lücken)
5 = Schwach (Keine Zertifizierungen, schlechte Praktiken)
Beispielberechnungen:
| Anbieter | Daten | Zugang | Kritisch | Lage | Score | Stufe |
|---|---|---|---|---|---|---|
| Salesforce | 5 | 4 | 5 | 1 | 14 | 1 |
| GitHub | 4 | 5 | 5 | 1 | 14 | 1 |
| Zufälliges SaaS | 3 | 2 | 2 | 4 | 28 | 2 |
| Design-Werkzeug | 1 | 1 | 1 | 2 | 6 | 4 |
Höherer Score = höheres Risiko. Score > 30 = Alternativen erwägen.
Anbieter-Offboarding-Checkliste
Wenn eine Anbieterbeziehung endet:
## Anbieter-Offboarding-Checkliste
Anbieter: [Name]
Enddatum: [Datum]
Grund: [Vertragsende / Ersetzt / Verletzung]
Eigentümer: [Name]
### Zugangswiderruf
- [ ] Anbieter-Accounts von allen Systemen entfernen
- [ ] Dem Anbieter ausgestellte API-Schlüssel/Token widerrufen
- [ ] Aus SSO/IdP entfernen, falls zutreffend
- [ ] Integrationen zwischen Systemen deaktivieren
- [ ] Aus Slack/Teams-Kanälen entfernen
- [ ] Ausgestellte Zertifikate widerrufen
### Datenverarbeitung
- [ ] Schriftliche Bestätigung der Datenlöschung anfordern
- [ ] Daten exportieren, die wir aufbewahren müssen
- [ ] Löschungszeitplan per Vertrag überprüfen
- [ ] Datenverarbeitungsaufzeichnungen aktualisieren
### Anmeldedaten
- [ ] Anmeldedaten rotieren, auf die der Anbieter Zugang hatte
- [ ] API-Schlüssel für verbundene Dienste prüfen und rotieren
- [ ] Alle Sitzungen ungültig machen
### Dokumentation
- [ ] Anbieterinventar aktualisieren (als inaktiv markieren)
- [ ] Bewertungsdokumentation archivieren
- [ ] Vertragsdokumente archivieren
- [ ] Grund für Kündigung notieren
### Überprüfung
- [ ] Bestätigen, dass kein Anbieterzugang mehr besteht (testen)
- [ ] Löschzertifikat erhalten, falls erforderlich
- [ ] Alle offenen Tickets/Probleme schließen
Abgeschlossen von: _______________ Datum: _______
Überprüft von: _______________ Datum: _______
Quick Wins für die Anbietersicherheit
- SAML/SSO überall aktivieren — Offboarding wird automatisch
- SOC 2 für Stufe 1 verlangen — Nicht verhandelbar für kritische Anbieter
- Nicht autorisiertes SaaS blockieren — CASB oder Netzwerkkontrollen verwenden, falls erforderlich
- Jährliche Vertragsüberprüfung — Gelegenheit, Sicherheitsbedingungen hinzuzufügen
Workshop: Anbieter-Sicherheitsprogramm
Teil 1: Anbieterinventar (2 Stunden)
-
Vollständige Anbieterliste zusammenstellen
- Finanz-/Ausgabendaten prüfen
- Verbundene SSO-Apps prüfen
- Abteilungsleiter befragen
-
Inventarvorlage befüllen mit:
- Anbietername und Kategorie
- Datenzugriffstyp
- Geschäftskritikalität
- Vertragsinhaber
- Vertragsende-Datum
Ergebnis: Vollständige Anbieterinventar-Tabellenkalkulation
Teil 2: Tiering und Bewertungsplanung (1 Stunde)
- Jedem Anbieter eine Stufe (1–4) zuweisen
- Bewertungslücken identifizieren:
- Welchen Stufe-1-Anbietern fehlt SOC 2?
- Welche benötigen einen Fragebogen?
- Bewertungsplan erstellen
Ergebnis: Gestufte Anbieterliste mit Bewertungsplan
Teil 3: Sicherheitsnachtrag (1 Stunde)
- Die Sicherheitsnachtrag-Vorlage für Ihr Unternehmen anpassen
- Verträge identifizieren, die in den nächsten 6 Monaten verlängert werden
- Verhandlung von Sicherheitsbedingungen planen
Ergebnis: Sicherheitsnachtrag für Verträge bereit
Teil 4: Auftragnehmer-Sicherheitsprozess (30 Minuten)
- Prozess für Auftragnehmer-Zugriffsanfragen dokumentieren
- Voraussetzungen definieren (NDA, Hintergrundprüfung, Schulung)
- Offboarding-Checkliste erstellen
Ergebnis: Auftragnehmer-Sicherheitsprozess-Dokument
So erklären Sie es der Führungsebene
Der Pitch:
„Wir vertrauen 75+ Anbietern mit unseren Daten und Systemen. Derzeit haben wir keinen Einblick in deren Sicherheitspraktiken. Ein kompromittierter Anbieter könnte Angreifern Zugang zu unseren Kundendaten verschaffen. Ich möchte einen einfachen Prozess aufbauen, um Anbieter zu bewerten, zu überwachen und zur Rechenschaft zu ziehen."
Das Risiko:
„Ein durchschnittlicher Lieferkettenangriff betrifft Hunderte von Unternehmen. SolarWinds kompromittierte 18.000 Organisationen. Wir können unsere Anbieter nicht kontrollieren, aber wir können Anbieter sorgfältig auswählen und Erwartungen in Verträgen festlegen."
Die Anfrage:
„Ich brauche 40 Stunden, um das erste Anbieterinventar und den Bewertungsprozess aufzubauen. Fortlaufend 2–3 Stunden pro neuem Anbieter und 4 Stunden vierteljährlich für Überprüfungen."
Der Wert:
- Reduziertes Risiko durch Anbieter-Kompromittierung
- Schnelleres Onboarding (etablierter Prozess)
- Vertragshebel bei Problemen
- Demonstriert Reife gegenüber Kunden und Prüfern
Fazit
Anbieterrisiko ist das Sicherheitsproblem, das Sie nicht kontrollieren. Sie können ihren Code nicht beheben, ihre Mitarbeiter nicht schulen oder ihre Infrastruktur nicht überwachen. Was Sie tun können: Anbieter sorgfältig auswählen, vertragliche Erwartungen setzen und wissen, was zu tun ist, wenn einer von ihnen kompromittiert wird.
Der Anbieter-Fragebogen, den Sie heute überspringen, ist der Vorfallsbericht, den Sie nächstes Jahr schreiben.
Was kommt als nächstes
Als nächstes: Bedrohungsaufklärung und -überwachung — wie Sie über Angriffe auf Unternehmen wie Ihres informiert bleiben.