EN
In der heutigen vernetzten Wirtschaft wird die Resilienz einer Organisation nicht mehr nur durch ihre eigene Sicherheitslage definiert, sondern durch die Stärke ihres erweiterten Ökosystems. Während das Third-Party Cyber Risk Management (TPCRM) in den letzten Jahren an Bedeutung gewonnen hat, befindet es sich noch in der Entwicklung. Andere Bereiche – wie die physische Sicherheit und die Lieferkettensicherheit – verfügen hingegen bereits über ausgereifte Rahmenwerke und bewährte Praktiken.
Die Frage, die wir uns stellen sollten, lautet: Was kann das TPCRM von diesen etablierten Third-Party-Sicherheitsfunktionen lernen?
Über den Cyber-Bereich hinausblicken: Lernen von etablierten Modellen
Organisationen waren schon lange mit Drittparteirisiken im Bereich der physischen Sicherheit und der Lieferkettensicherheit konfrontiert. Um diese zu bewältigen, wurden umfassende Standards und Rahmenwerke entwickelt, die risikobasierte Ansätze, Zertifizierungssysteme und branchenweite Vertrauensmodelle einbetten.
Einige Beispiele sind:
-
ISO 28000 – Ein Standard, der sich auf Sicherheitsmanagementsysteme für die Lieferkette konzentriert. Er definiert, wie kritische Assets identifiziert, Risiken bewertet und Resilienz über Logistiknetzwerke hinweg aufgebaut werden kann.
-
TAPA FSR (Transported Asset Protection Association – Facility Security Requirements) – Ein Rahmenwerk, das in der Logistik und Lagerhaltung weit verbreitet ist, um hochwertige Güter zu schützen, mit starkem Fokus auf überprüfbare Kontrollen und Zertifizierungen.
-
CTPAT (Customs Trade Partnership Against Terrorism) – Eine Initiative zwischen US-Regierung und Wirtschaft, die sicherstellt, dass Importeure und Lieferkettenpartner strenge Sicherheitspraktiken implementieren, um den globalen Handel zu schützen.
Diese Rahmenwerke haben eines gemeinsam: Sie verlassen sich nicht nur auf Fragebögen oder Selbstauskünfte. Sie beinhalten standardisierte Kontrollen, Verifizierungsmechanismen und branchenweite Vertrauensnetzwerke.
Cybersecurity muss das Rad nicht neu erfinden
Allzu oft stützen sich Programme zum Third-Party Cyber Risk Management stark auf Tabellen, lange Fragebögen und uneinheitliches Monitoring. Im Vergleich zur physischen Sicherheit wirkt das unausgereift.
In Anlehnung an ISO 28000, TAPA FSR und CTPAT lassen sich drei Lehren ziehen:
-
Risikobasierte Einstufung: Nicht alle Lieferanten sind gleich. So wie CTPAT Risikostufen in Lieferketten unterscheidet, sollte auch das TPCRM differenzierte Sicherheitsniveaus definieren – Hochrisiko-Lieferanten erfordern kontinuierliches Monitoring und Zertifizierung, während Lieferanten mit geringem Risiko einer leichteren Aufsicht unterliegen können.
-
Unabhängige Validierung: Rahmenwerke der physischen Sicherheit beruhen auf akkreditierten Audits und Zertifizierungen. Die Cybersecurity kann diesem Modell folgen, indem sie unabhängige Prüfstandards (z. B. ISO 27001, ISAE 3000, SOC 2) und Branchenkonsortien integriert, die Redundanzen zwischen Bewertungen reduzieren.
-
Netzwerke geteilter Verantwortung: TAPA und CTPAT florieren, weil sie Branchen-Communities sind – ihre Mitglieder teilen Erkenntnisse und Benchmarks. Das Cyber-TPCRM sollte sich in Richtung ähnlicher kollaborativer Ökosysteme (vgl. Swiss FS-CSC) entwickeln, in denen Risikoerkenntnisse gemeinsam genutzt werden, anstatt dass jedes Unternehmen das Rad neu erfindet.
Auf dem Weg zu einem integrierten Sicherheitsverständnis
Die Lehre ist klar: Das Cyber Third-Party Risk Management darf kein isoliertes Silo sein. Es sollte als Teil eines umfassenderen Enterprise Security Risk Management (ESRM)-Ansatzes verstanden werden, in dem logische, physische und personelle Sicherheit miteinander verknüpft sind.
Wenn wir das Cyber-TPCRM mit etablierten Modellen der physischen Sicherheit und Lieferkettensicherheit in Einklang bringen, können wir die Reife beschleunigen, Redundanzen reduzieren und – vor allem – echtes Vertrauen entlang der gesamten Wertschöpfungskette aufbauen.
Fazit
Cybersecurity-Verantwortliche müssen nicht bei null anfangen. Jahrzehntelange Erfahrung im Bereich der physischen und lieferkettenspezifischen Third-Party-Sicherheit hat bereits gezeigt, was funktioniert: risikobasierte Einstufung, unabhängige Validierung und vertrauensbasierte Communities.
Als CISOs und Risikoexperten besteht unsere Aufgabe nicht nur darin, den digitalen Perimeter zu schützen, sondern Cyber-Resilienz in jene Vertrauensrahmen zu integrieren, die bereits Waren, Menschen und Lieferketten absichern.
Und Sie? Sehen Sie weitere Lehren, die das TPCRM aus bereits etablierten Funktionen ziehen kann?
