Kontakt
Get started
en_GB EN

Was das Third-Party Cyber Risk Management von etablierten Sicherheitsfunktionen lernen kann

Gefällt Ihnen dieser Beitrag? Teilen Sie ihn auf Social Media!
Was das Third-Party Cyber Risk Management von etablierten Sicherheitsfunktionen lernen kann

In der heutigen vernetzten Wirtschaft wird die Resilienz einer Organisation nicht mehr nur durch ihre eigene Sicherheitslage definiert, sondern durch die Stärke ihres erweiterten Ökosystems. Während das Third-Party Cyber Risk Management (TPCRM) in den letzten Jahren an Bedeutung gewonnen hat, befindet es sich noch in der Entwicklung. Andere Bereiche – wie die physische Sicherheit und die Lieferkettensicherheit – verfügen hingegen bereits über ausgereifte Rahmenwerke und bewährte Praktiken.

Die Frage, die wir uns stellen sollten, lautet: Was kann das TPCRM von diesen etablierten Third-Party-Sicherheitsfunktionen lernen?

Über den Cyber-Bereich hinausblicken: Lernen von etablierten Modellen

Organisationen waren schon lange mit Drittparteirisiken im Bereich der physischen Sicherheit und der Lieferkettensicherheit konfrontiert. Um diese zu bewältigen, wurden umfassende Standards und Rahmenwerke entwickelt, die risikobasierte Ansätze, Zertifizierungssysteme und branchenweite Vertrauensmodelle einbetten.

Einige Beispiele sind:

  • ISO 28000 – Ein Standard, der sich auf Sicherheitsmanagementsysteme für die Lieferkette konzentriert. Er definiert, wie kritische Assets identifiziert, Risiken bewertet und Resilienz über Logistiknetzwerke hinweg aufgebaut werden kann.

  • TAPA FSR (Transported Asset Protection Association – Facility Security Requirements) – Ein Rahmenwerk, das in der Logistik und Lagerhaltung weit verbreitet ist, um hochwertige Güter zu schützen, mit starkem Fokus auf überprüfbare Kontrollen und Zertifizierungen.

  • CTPAT (Customs Trade Partnership Against Terrorism) – Eine Initiative zwischen US-Regierung und Wirtschaft, die sicherstellt, dass Importeure und Lieferkettenpartner strenge Sicherheitspraktiken implementieren, um den globalen Handel zu schützen.

Diese Rahmenwerke haben eines gemeinsam: Sie verlassen sich nicht nur auf Fragebögen oder Selbstauskünfte. Sie beinhalten standardisierte Kontrollen, Verifizierungsmechanismen und branchenweite Vertrauensnetzwerke.

Cybersecurity muss das Rad nicht neu erfinden

Allzu oft stützen sich Programme zum Third-Party Cyber Risk Management stark auf Tabellen, lange Fragebögen und uneinheitliches Monitoring. Im Vergleich zur physischen Sicherheit wirkt das unausgereift.

In Anlehnung an ISO 28000, TAPA FSR und CTPAT lassen sich drei Lehren ziehen:

  1. Risikobasierte Einstufung: Nicht alle Lieferanten sind gleich. So wie CTPAT Risikostufen in Lieferketten unterscheidet, sollte auch das TPCRM differenzierte Sicherheitsniveaus definieren – Hochrisiko-Lieferanten erfordern kontinuierliches Monitoring und Zertifizierung, während Lieferanten mit geringem Risiko einer leichteren Aufsicht unterliegen können.

  2. Unabhängige Validierung: Rahmenwerke der physischen Sicherheit beruhen auf akkreditierten Audits und Zertifizierungen. Die Cybersecurity kann diesem Modell folgen, indem sie unabhängige Prüfstandards (z. B. ISO 27001, ISAE 3000, SOC 2) und Branchenkonsortien integriert, die Redundanzen zwischen Bewertungen reduzieren.

  3. Netzwerke geteilter Verantwortung: TAPA und CTPAT florieren, weil sie Branchen-Communities sind – ihre Mitglieder teilen Erkenntnisse und Benchmarks. Das Cyber-TPCRM sollte sich in Richtung ähnlicher kollaborativer Ökosysteme (vgl. Swiss FS-CSC) entwickeln, in denen Risikoerkenntnisse gemeinsam genutzt werden, anstatt dass jedes Unternehmen das Rad neu erfindet.

Auf dem Weg zu einem integrierten Sicherheitsverständnis

Die Lehre ist klar: Das Cyber Third-Party Risk Management darf kein isoliertes Silo sein. Es sollte als Teil eines umfassenderen Enterprise Security Risk Management (ESRM)-Ansatzes verstanden werden, in dem logische, physische und personelle Sicherheit miteinander verknüpft sind.

Wenn wir das Cyber-TPCRM mit etablierten Modellen der physischen Sicherheit und Lieferkettensicherheit in Einklang bringen, können wir die Reife beschleunigen, Redundanzen reduzieren und – vor allem – echtes Vertrauen entlang der gesamten Wertschöpfungskette aufbauen.

Fazit

Cybersecurity-Verantwortliche müssen nicht bei null anfangen. Jahrzehntelange Erfahrung im Bereich der physischen und lieferkettenspezifischen Third-Party-Sicherheit hat bereits gezeigt, was funktioniert: risikobasierte Einstufung, unabhängige Validierung und vertrauensbasierte Communities.

Als CISOs und Risikoexperten besteht unsere Aufgabe nicht nur darin, den digitalen Perimeter zu schützen, sondern Cyber-Resilienz in jene Vertrauensrahmen zu integrieren, die bereits Waren, Menschen und Lieferketten absichern.

Und Sie? Sehen Sie weitere Lehren, die das TPCRM aus bereits etablierten Funktionen ziehen kann?

Bild von Marc Etienne Cortesi

Marc Etienne Cortesi

Marc Etienne Cortesi ist Chief Information Security Officer (CISO) der Baloise Group und Vorstandsmitglied des Swiss Financial Center – Cyber Security Centre. Zudem lehrt er im Masterstudiengang Information & Cyber Security an der Hochschule Luzern.

Vorgestellte
GRC-Lösungen

Risikomanagement
Informationssicherheit (ISMS)
Internes Kontrollsystem (IKS)
Third-Party Risk Management
Business Continuity Management (BCM)
Datenschutz Management
Vertragsmanagement
Business Process Modelling

Alles zur GRC Toolbox

Sie wünschen mehr Informationen rund um unsere Lösungen oder möchten die GRC Toolbox in einer kostenlosen Demo ansehen?

Jetzt Termin buchen

UPDATES & NEWS

Alle Neuigkeiten zu Swiss GRC

Swiss GRC stärkt Führungsstruktur mit neuer Geschäftsleitung

Swiss GRC stärkt Führungsstruktur mit neuer Geschäftsleitung

27 Oktober 2025

Swiss GRC hat zum 1. Oktober 2025 eine neue Geschäftsleitung eingeführt. Damit trägt das Unternehmen seinem anhaltenden Wachstum und seiner zunehmenden internationalen Präsenz Rechnung. Die neue Führungsstruktur soll klare Verantwortlichkeiten schaffen, Entscheidungswege verkürzen sowie die operative und strategische Steuerung auf eine breitere Basis stellen.

FMN setzt Massstäbe in Corporate Governance mit Swiss GRC

Flour Mills of Nigeria (FMN) setzt neue Massstäbe in Corporate Governance mit Swiss GRC

5 September 2025

Flour Mills of Nigeria (FMN), einer der grössten und vielseitigsten Nahrungsmittel- und Agrarkonzerne in Westafrika, hat sich für Swiss GRC entschieden, um sein Governance-, Risk- und Compliance-Programm (GRC) zu stärken. Mit diesem strategischen Schritt übernimmt FMN eine Vorreiterrolle bei der Weiterentwicklung der GRC-Praxis in der Region.

WirtschaftsWoche zeichnet Swiss GRC für TPRM-Lösung aus

WirtschaftsWoche zeichnet Swiss GRC für TPRM-Lösung aus

28 August 2025

Swiss GRC zählt zu den diesjährigen Preisträgern des renommierten Best of Technology Award 2025, verliehen von WirtschaftsWoche und Handelsblatt Media Group. Für die Lösung zum Third-Party Risk Management (TPRM) erhielt das Unternehmen das Prädikat «Exzellent». Die Auszeichnung macht deutlich, dass Swiss GRC im deutschen Markt zunehmend an Bedeutung gewinnt.

Weitere News

Für Neuigkeiten & Updates

Abonnieren Sie jetzt unseren Newsletter

Erhalten Sie News und Trends zu Governance, Risk & Compliance (GRC) mit unserem Newsletter. Wir informieren Sie monatlich über aktuelle Themen, Events wie der SWISS GRC DAY und spannende Fachartikel.

Jetzt abonnieren
News
Get Started
en_GB EN
X-twitter Linkedin Youtube Instagram

Swiss GRC | Switzerland (HQ) | Germany | UK | UAE

Vertragsgestaltung & Lieferantenmanagement

Gestalten Sie Ihre Vertragsprozesse effizienter und reduzieren Sie rechtliche sowie operative Risiken.
Swiss GRC und Eraneos unterstützen Sie mit umfassender Beratung und praxisnahen Lösungen im Contract Lifecycle Management – von der Vertragsgestaltung bis zum Lieferantenmanagement.

Mehr erfahren
0%