惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Threatpost
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Engineering at Meta
Engineering at Meta
T
The Blog of Author Tim Ferriss
Recent Announcements
Recent Announcements
G
Google Developers Blog
Google DeepMind News
Google DeepMind News
The Register - Security
The Register - Security
MongoDB | Blog
MongoDB | Blog
U
Unit 42
B
Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
L
LangChain Blog
Stack Overflow Blog
Stack Overflow Blog
P
Privacy International News Feed
L
LINUX DO - 最新话题
博客园_首页
博客园 - Franky
大猫的无限游戏
大猫的无限游戏
小众软件
小众软件
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
T
Tor Project blog
V
Visual Studio Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
P
Privacy & Cybersecurity Law Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
K
Kaspersky official blog
C
Cisco Blogs
博客园 - 【当耐特】
阮一峰的网络日志
阮一峰的网络日志
I
Intezer
罗磊的独立博客
MyScale Blog
MyScale Blog
Last Week in AI
Last Week in AI
A
About on SuperTechFans
G
GRAHAM CLULEY
Y
Y Combinator Blog
Microsoft Security Blog
Microsoft Security Blog
GbyAI
GbyAI
T
Threat Research - Cisco Blogs
P
Proofpoint News Feed
D
DataBreaches.Net
The Hacker News
The Hacker News
Spread Privacy
Spread Privacy
AWS News Blog
AWS News Blog
I
InfoQ
T
The Exploit Database - CXSecurity.com
Simon Willison's Weblog
Simon Willison's Weblog
博客园 - 叶小钗
Project Zero
Project Zero

CSO Online

Iranian state-backed spies pose as ransomware slingers in false flag attacks New malware turns Linux systems into P2P attack networks Poisoned truth: The quiet security threat inside enterprise AI Train like you fight: Why cyber operations teams need no-notice drills Die besten DAST- & SAST-Tools CISA mulls new three-day remediation deadline for critical flaws CISA pushes critical infrastructure operators to prepare to work in isolation CISOs step up to the security workforce challenge 10 Anzeichen für einen schlechten CSO Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models Security agencies draw red lines around agentic AI deployments The fake IT worker problem CISOs can’t ignore How CISOs should utilize data security posture management to inform risk Was ist ein Botnet? Human-centric failures: Why BEC continues to work despite MFA Just 34% of cyber pros plan to stick with their current employer Managing OT risk at scale: Why OT cyber decisions are leadership decisions 4 ways to prepare your SOC for agentic AI ‘Trivial’ exploit can give attackers root access to Linux kernel Bank regulator sounds warning over cybersecurity threat posed by AI models Dismantle implicit trust in OT networks, CISA tells critical infrastructure operators Max-severity RCE flaw found in Google Gemini CLI Stopping the quiet drift toward excessive agency with re-permissioning ODNI to CISOs on threat assessments: You’re on your own 10 wichtige Security-Eigenschaften: So setzen Sie die Kraft Ihres IT-Sicherheitstechnik-Teams frei Researchers unearth industrial sabotage malware that predated Stuxnet by 5 years AWS leans on prior ingenuity to face future AI and quantum threats What it takes to win that CSO role Third Party Risk Management: So vermeiden Sie Compliance-Unheil Critical Cursor bug could turn routine Git into RCE Securing RAG pipelines in enterprise SaaS What CISOs need to get right as identity enters the agentic era Stopping AiTM attacks: The defenses that actually work after authentication succeeds EDR-Software – ein Kaufratgeber Microsoft patched an ‘agent-only’ role that was not AI is reshaping DevSecOps to bring security closer to the code The 'manager of agents': How AI evolves the SOC analyst role 4 Wege aus der Security-Akronymhölle Autonome KI-Agenten: Strategien für die neue Bedrohungslage New US House privacy bills raise hard questions about enterprise data collection Scattered Spider co-conspirator pleads guilty Security-KPIs und -KRIs: So messen Sie Cybersicherheit Bitwarden CLI password manager trojanized in supply chain attack 3 practical ways AI threat detection improves enterprise cyber resilience The curious case of Sean Plankey’s derailed CISA nomination Google gets agent-ready for the Mythos age Google drafts AI agents secure systems against AI hackers CNAPP – ein Kaufratgeber Riddled with flaws, serial-to-Ethernet converters endanger critical infrastructure NFC tap-to-pay gets tapped by hackers Anthropic bets on EPSS for the coming bug surge SBOM erklärt: Was ist eine Software Bill of Materials? Thousands of Apache ActiveMQ instances still unpatched, weeks after an actively exploited hole discovered Prompt injection turned Google’s Antigravity file search into RCE Why identity is the driving force behind digital transformation Top techniques attackers use to infiltrate your systems today The thin gray line: Handala, CyberAv3ngers and Iran’s proxy ops Attackers abuse Microsoft Teams to impersonate the IT helpdesk in a new enterprise intrusion playbook CISOs reshape their roles as business risk strategists Copilot & Agentforce offen für Prompt-Injection-Tricks Claude Mythos – ist der Hype gerechtfertigt? Für Cyberattacken gewappnet – Krisenkommunikation nach Plan Critical sandbox bypass fixed in popular Thymeleaf Java template engine White House moves to give federal agencies access to Anthropic’s Claude Mythos Another Microsoft Defender privilege escalation bug emerges days after patch Palo Alto’s Helmut Reisinger sees a cyber sea change ahead as AI advances Positiv denken für Sicherheitsentscheider: 6 Mindsets, die Sie sofort ablegen sollten NIST cuts down CVE analysis amid vulnerability overload Was bei der Cloud-Konfiguration schiefläuft – und wie es besser geht The endless CISO reporting line debate — and what it says about cybersecurity leadership Behind the Mythos hype, Glasswing has just one confirmed CVE Insurance carriers quietly back away from covering AI outputs RCE by design: MCP architectural choice haunts AI agent ecosystem Critical nginx UI tool vulnerability opens web servers to full compromise Copilot and Agentforce fall to form-based prompt injection tricks The deepfake dilemma: From financial fraud to reputational crisis 7 biggest healthcare security threats The need for a board-level definition of cyber resilience Mallory Launches AI-Native Threat Intelligence Platform, Turning Global Threat Data Into Prioritized Action April Patch Tuesday roundup: Zero day vulnerabilities and critical bugs 4 questions to ask before outsourcing MDR 5 trends defining the future of AI-powered cybersecurity EU regulators largely denied access to Anthropic Mythos China-linked cloud credential heist runs on typos and SMTP How AI is transforming threat detection The AI inflection point: What security leaders must do now Cyber-Inspekteur: Hybride Attacken nehmen weiter zu Anthropic’s Mythos signals a structural cybersecurity shift Seven IBM WebSphere Liberty flaws can be chained into full takeover Old Docker authorization bypass pops up despite previous patch Hacker Unknown now known, named on Europol’s most-wanted list The cyber winners and losers in Trump’s 2027 budget CMMC compliance in the age of AI Claude uncovers a 13‑year‑old ActiveMQ RCE bug within minutes Was CISOs von Moschusochsen lernen können Hackers have been exploiting an unpatched Adobe Reader vulnerability for months New ClickFix variant bypasses Apple safeguards with one‑click script execution Cloudflare ‘actively adjusting’ quantum priorities in wake of Google warning Patch windows collapse as time-to-exploit accelerates So geht Post-Incident Review
13 Fragen gegen Drittanbieterrisiken
2026-04-15 · via CSO Online
Contract Negotiation 16z9
Drum prüfe…

Miljan Zivkovic | shutterstock.com

Die zunehmende Abhängigkeit von IT-Dienstleistern und Software von Drittanbietern vergrößert die Angriffsfläche von Unternehmen erheblich. Das wird auch durch zahlreiche Cyberattacken immer wieder unterstrichen. Zwar lassen sich die Risiken in Zusammenhang mit Third-Party-Anbietern nicht gänzlich beseitigen, aber durchaus reduzieren. Dabei sollten Sicherheitsentscheider eine zentrale Rolle spielen, wie Randy Gross, CISO bei CompTIA, erklärt: “CISOs sind in der einzigartigen Lage, den gesamten Geschäftsprozess zu überblicken – Datenflüsse, Abhängigkeiten und nachgelagerte Auswirkungen. Dennoch nutzen viele Unternehmen diese Perspektive noch immer nicht, um Risiken durch Dritte neu zu bewerten.”

Insbesondere, wenn Verträge auf Ebene von Geschäftseinheiten verhandelt werden oder unterhalb der finanziellen Genehmigungsschwellen liegen, bleiben Sicherheitschefs jedoch oftmals außen vor. Das beobachtet auch Melissa Ventrone, Leiterin der Abteilung für Cybersicherheit bei der Anwaltskanzlei Clark Hill: “In vielen Unternehmen werden Sicherheitsverantwortliche erst nach Vertragsabschluss hinzugezogen. Oder wenn ein Sicherheitsproblem bereits aufgetreten ist.”

Tatsächlich sollten CISOs an dieser Stelle als pragmatische Technologieberater fungieren, die wichtige Informationen einholen, für deren Bewertung sie besonders qualifiziert sind.

13 Fragen, die Sie Drittanbietern stellen sollten

Die folgenden Fragen unterstützen CISOs und Sicherheitsentscheider dabei, das in der Praxis umzusetzen.

1. Welche Nachweise für angemessene Sicherheitskontrollen können Sie erbringen?

Laut Juan Pablo Perez-Etchegoyen, CTO beim Security-Anbieter Onapsis, zählen folgende Nachweise dabei zu den gängigsten:

  • SOC 2 Typ II (gilt als Goldstandard für Auditierungen von IT- und Cloud-Dienstleistern),
  • ISO/IEC 27001,
  • Cloud Security Alliance STAR (speziell für Cloud-Anbieter, kombiniert ISO 27001 mit einer Kontrollmatrix für Cloud-bezogene Risiken), sowie
  • branchenspezifische Zertifizierungen (zum Beispiel HIPAA/HITRUST für den Umgang mit Gesundheitsdaten oder PCI DSS für die Verarbeitung von Kreditkartendaten).

2. Wie werden diese Kontrollen aktualisiert und wie werden wesentliche Änderungen kommuniziert?

Anwältin Ventrone empfiehlt zudem,potenzielle IT-Partner mit einem detaillierten Due-Diligence-Fragebogen zu konfrontieren. Darüber hinaus empfiehlt die Rechtsexpertin, spezifische Aspekte vertraglich zu verankern: “Drittanbietern sollte es mindestens untersagt sein, Sicherheitskontrollen zu verändern, die das Schutzniveau oder die Ausfallsicherheit Ihrer Systeme und Daten beeinträchtigen würden.”

3. Wer ist in Ihrem Team für die Identity Posture zuständig und wie erkennt derjenige Anfragen, die auf Social Engineering zurückzuführen sind?

Welche Form von Zugriff das Team des Drittanbieters auf Kundensysteme und -daten hat und wie dieser segmentiert und abgesichert ist, sollten Sicherheitsentscheider nach Meinung von Casey Corcoran, Field CISO beim Managed-Service-Anbieter Stratascale, unbedingt erfragen. “Achten Sie darauf, dass dieser Zugriff protokolliert sowie überwacht wird – und bei Bedarf sofort widerrufen werden kann.”

Zudem sollten Sicherheitsverantwortliche dabei die richtigen Aspekte ins Auge fassen, wie John Alford, CSO bei der Unternehmensberatung TeraType, betont: “Viele Kunden konzentrieren sich auf Firewalls, Endpunkt-Agenten und MFA – übersehen dabei aber die Trust-Pfade, die Angreifer bevorzugt nutzen: Helpdesk-Workflows, OAuth-Integrationen, Lieferanten-Support-Portale und Automatisierungs-Konnektoren.”

Alford empfiehlt seinen Berufskollegen außerdem, auf streng definierte Rollenbereiche, mehrstufige Verifizierungen sowie Approval Chains für den Reset von Anmeldedaten zu achten. “Ist nichts davon vorhanden, deutet das auf blinde Flecken hin, die sich nachträglich nicht beseitigen lassen.”

4. Wie lassen sich Ihre Workflows verifizieren? Können Sie Nachweise über deren Wirksamkeit erbringen?

Viele Unternehmen unterschätzen, wie viel operatives Vertrauen sie wirklich an Anbieter abgeben. Deswegen sollten Drittanbieter nicht nur Richtlinien-Dokumente vorweisen können, sondern auch Workflow Maps, Execution-Protokolle und Testing-Belege. “Die größten Lücken treten regelmäßig an den Stellen zutage, die vermeintlich sicher sind. Ich habe schon erlebt, wie gestandene Unternehmen mit ausgeprägten Standards und Kontrollmaßnahmen an Problemen gescheitert sind, für die ausschließlich die Workflows ihres Third-Party-Anbieters verantwortlich waren”, plaudert Alford aus dem Nähkästchen.

Risikobewertungen sollten sich seiner Meinung nach deshalb nicht bloß auf auf Server und Netzwerke konzentrieren, sondern auch auf Identitäts-Workflows und manuell gesteuerte Prozesse: “Wenn man den Blickwinkel erweitert, entdeckt man unter Umständen Kontrollmaßnahmen, die lediglich auf dem Papier gut aussehen.”

5. Welche Rolle spielt unabhängiges Testing bei Ihnen und wie oft wird das eingesetzt?

Geht es um Security-Tests und -bewertungen bei IT-Partnern, sollten CISOs Wert darauflegen, dass diese von unabhängigen Dritten durchgeführt werden, meint Rechtsexpertin Ventrone. “Das sollte mindestens einmal pro Jahr stattfinden – und bei wesentlichen Änderungen an Netzwerk, Infrastruktur oder Sicherheitskontrollmaßnahmen. Die Zusammenfassungen von Schwachstellen-Scans, Penetrationstests und Audits sollten Sie sich ebenfalls zeigen lassen.”

Danny Jenkins, CEO beim Security-Anbieter ThreatLocker, stellt insbesondere auf die Frequenz dieser Überprüfungen ab: “Bedrohungen entwickeln sich ständig weiter. Eine jährliche Prüfung reicht deshalb nicht aus. Sämtliche Systeme sollten regelmäßig Penetrationstests unterzogen und optimiert werden.”

6. Können Sie sämtliche OAuth-Integrationen und API-Beziehungen in Ihrem Service auflisten und erklären, wie diese definiert, überwacht und widerrufen werden?

OAuth-Integrationen werden nach Einschätzung von Teratype-CSO Alford allzu oft als harmlose Annehmlichkeiten behandelt – statt als High-Privilege-Kanäle: “In Wirklichkeit funktionieren sie wie ein Netzwerk aus vergessenen Tunneln. Sie bieten eine Möglichkeit, das Eingangstor vollständig zu umgehen und verbinden Systeme tief im Inneren der Umgebung.”

Unternehmen sollten ihre Drittanbieter deshalb auffordern, ein Token-Inventar inklusive Minimal Scopes, endlichen Laufzeiten sowie einer Möglichkeit zum Behavioral Monitoring bereitzustellen, so Alford. Permanent gültige Token sieht der Experte hingegen als Warnsignal, das auf ein erhöhtes Risiko hindeutet.

7. Wie sehen Ihre vertraglichen und operativen Pflichten aus, wenn ein Angreifer Ihre Prozesse missbraucht, ohne dabei in Systeme einzudringen?

Wenn Drittanbieter Passwörter zurücksetzen oder OAuth-Integrationen managen können, wird der Vertrag zu einem Kontrolldokument. Dieses definiert, wie das Risiko geteilt wird und welche Nachweise der Kunde verlangen kann. An dieser Stelle ist es besonders wichtig, Sicherheitsentscheider in die Verhandlungen mit Third-Party-Anbietern einzubeziehen, wie Alford betont: “Ohne die Beteiligung des CISO bleiben Vertragsklauseln in der Regel eher nachteilig ausgestaltet. Das liegt daran, dass der Fokus ohne Security-Perspektive vor allem auf der Verfügbarkeit liegt – und nicht so sehr auf der Sicherheit. Als Kunde sollten Sie darauf bestehen, dass sich die Pflichten des Anbieters nicht nur auf kompromittierte Systeme, sondern auch kompromittierte Prozesse erstrecken.”

8. Welche Kontrollmaßnahmen kommen zum Einsatz, um die Aktivitäten Ihrer Mitarbeiter in unserer Umgebung zu kontrollieren? Und wie erkennen wir Verhalten, das von der Norm abweicht?

“Moderne Angriffskampagnen machen sich Vertrauensbeziehungen und weiche Betriebsprozesse zunutze. Die Gefahr lauert dabei oft dort, wo sie niemand erwartet – beispielsweise Helpdesks”, warnt Alford. Die Aktivitäten der Belegschaft von Drittanbietern zu überwachen sei daher erfolgsentscheidend. Der Sicherheitsprofi empfiehlt deshalb, darauf zu bestehen, dass der Partner Sessions aufzeichnet, Echzeit-Alarmmeldungen zur Verfügung stellt und Aufgaben strikt getrennt werden.

9. Wie isolieren Sie unsere Assets und Daten von denen anderer Kunden?

Mit Blick auf potenzielle Third-Party-Anbieter sollten CISOs zudem auf eine klare Architektur und konkrete Maßnahmen achten, die Schaden begrenzen können. Dabei spielt auch eine Rolle, wie der Drittanbieter Risiken in seinen eigenen Lieferketten managt. “IT-Partner sollten über ein robustes Vendor-Management-Programm verfügen und ihre eigenen Dienstleister einer angemessenen Due-Diligence-Prüfung unterziehen”, rät Ventrone.

10. Wie schnell werden wir über Sicherheitsvorfälle informiert, die sich auf unsere Daten oder Systeme auswirken?

Von IT-Partnern über potenzielle Sicherheitsvorfälle informiert zu werden, sollte selbstverständlich sein. Dabei sollte jedoch auch eine Rolle spielen, wie zeitnah das erfolgt. Stratascale-Field-CISO Corcoran empfiehlt diesbezüglich: “Der Vertrag sollte eine Meldung des Drittanbieters innerhalb von 24 bis 72 Stunden garantieren. Darüber hinaus sollten Security-Verantwortliche auch auf einen getesteten Incident-Response-Plan sowie weitere vertraglich verankerte Verantwortlichkeiten achten.”  

Auch Alford sieht bei diesem Punkt kein Potenzial für Kompromisse – Drittanbieter müssten ihren Kunden ausreichend Informationen zur Verfügung stellen, damit diese ihre eigenen Threat-Analysen fahren können: “Geschieht das nicht, können sich Kundenunternehmen lediglich noch auf die Detection- und Reporting-Funktion des Hosting-Anbieters stützen.”

11. Wie identifizieren, priorisieren und beheben Sie Schwachstellen?

Da nicht wenige Cyberattacken auf bereits bekannte Schwachstellen abzielen, gilt es bei der Evaluierung von Drittanbietern auch auf Patch-Richtlinien und Remediation-Fristen zu achten. Onapsis-CTO Perez-Etchegoyen klärt über die Risiken in diesem Zusammenhang auf: “Langsame Patch-Zyklen können zu Lieferkettenunterbrechungen, betrieblichen Problemen und manchmal auch zur Insolvenz führen.”

Ventrone führt an dieser Stelle das Beispiel eines Unternehmens an, das sein Firewall-Management an einen Drittanbieter ausgelagert hat: “Nachdem eine Schwachstelle in der Firewall ausgenutzt worden war, stellte der Partner schließlich die anfällige Version wieder her – was zu einer zweiten Kompromittierung führte. Um es salopp zu sagen: So etwas kann man sich nicht ausdenken”, konstatiert die Anwältin.

12. Verfügen Sie über eine Cyberversicherung, die mögliche Auswirkungen auf sämtliche Ihrer Kunden abdeckt?

Laut Joshua Wright, Faculty Fellow beim SANS Institute, werden die Attacken auf SaaS-Anbieter in Zukunft weiter steigen – und damit auch die nachgelagerten Risiken: “Wird ein solcher Drittanbieter kompromittiert, entstehen diverse Möglichkeiten für Folgeangriffe – etwa mit Ransomware.”

Ventrone empfiehlt CISOs deshalb, in Verhandlungen mit Drittanbietern auch sicherzustellen, dass deren Cyberversicherungspolice nicht nur das eigene Unternehmen abdeckt, sondern auch den gesamten Impact eines Vorfalls, bei dem mehrere Kunden betroffen sind.  

13. Können wir Ihre Prozesse testen?

SANS-Experte Wright hält darüber hinaus auch Nachweise für Testing und Monitoring für unerlässlich – etwa bezogen auf Penetrationstests, Security Monitoring oder Threat Hunting. Alford empfiehlt allerdings, noch einen Schritt weiter zu gehen: “Prozesstests unter Einbeziehung realistischer Szenarien können aufdecken, wo tatsächlich Risiken bestehen. Das gibt Ihnen zudem die Möglichkeit, Kontrollen zu entwickeln, die der Denkweise von Angreifern entsprechen und nicht dem, was in der Dokumentation steht.” (fm)

vgwort

ABONNIERE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.