Unternehmen arbeiten oft mit einer Vielzahl von Dienstleistern zusammen, um sich auf ihr Kerngeschäft konzentrieren zu können oder Kosten einzusparen. Damit dies gelingt, müssen die Unternehmen ihren Dienstleistern Zugriff (digital und analog) auf Ihre Unternehmenswerte gewähren. Diese Öffnung gegenüber Dienstleistern ist nicht ohne Risiko, denn eine Informationssicherheitslücke beim Dienstleister kann schnell zu einem Schaden im Unternehmen führen. Um dieses Risiko angemessen zu adressieren, müssen Unternehmen ein effektives Third Party Risk Management (TPRM) einführen. In unserer Beitragsreihe "Informationssicherheit im Third Party Risk Management" erklären wir die Grundlagen eines effektiven TPRM, häufige Stolpersteine und mögliche Lösungsansätze.
How to – Schritte zum Aufbau eines TPRM-Programms
Je mehr Geschäftsprozesse (ganz oder in Teilen) an Dienstleister ausgelagert werden und je business-kritischer die Auslagerung ist, desto größer wird die Notwendigkeit, Informationssicherheitsrisiken zu identifizieren, die sich aus der Zusammenarbeit ergeben können. Hierzu bedarf es eines strukturierten Third Party Risk Managements (TPRM). Die folgenden Schritte helfen Ihnen, ein solches TPRM aufzubauen:
1. Prüfung / Vorbereitung
Prüfen Sie zunächst, welche Prozesse zum Dienstleistermanagement, beispielsweise im Onboarding oder im Einkauf, in Ihrem Unternehmen bereits existieren. Prüfen Sie, welche regulatorischen Anforderungen ggfs. erfüllt werden müssen (z. B. KRITIS, DORA, etc.). Führen Sie anschließend einen Soll-Ist-Vergleich durch und prüfen Sie Ihre bestehenden Prozesse auf Effizienz und Effektivität: Sind die festgelegten Prozesse praktikabel? Erfüllen Sie die gestellten Anforderungen?
2. Richtlinie und Governance-Modell festlegen
Legen Sie als erstes die grundlegenden Designprinzipen Ihres TPRM-Programms fest. Dabei spielt Ihre Unternehmensstrategie beim Treffen von einigen Entscheidungen eine große Rolle. Denn daraus ergeben sich Antworten auf Fragen wie die, mit wie vielen Drittparteien Ihr Unternehmen Beziehungen eingeht, welche Arten von Dienstleistungen Sie auszulagern bereit sind, und ob die Prozesse Ihres TPRM-Programms mit dem Wachstum Ihres Unternehmens mitskalieren müssen. Aus diesen Erwägungen ergeben sich dann Entscheidungen für bestimmte Design-Prinzipen, beispielsweise:
- Verfolgen Sie einen Risiko-basierten Ansatz oder eine Einheitslösung für alle Drittparteien-Verträge?
- Setzen Sie ein manuelles oder Tool-gestütztes Management ein?
- Beschränken Sie Ihr TPRM-Programm auf externe Dienstleister oder wenden Sie es auch auf interne Serviceverträge an?
Stellen Sie sich auch die Frage, wie etwa mit Resellern, beispielsweise von Software, umgegangen werden soll. Denn in der Regel können Ihre TPRM-Anforderungen nicht direkt an die Hersteller herangetragen werden.
Entwerfen Sie dann den TPRM-Hauptprozess und davon ausgehend alle Sub- und Umgebungsprozesse. Klären Sie die Schnittstellen zu anderen Fachbereichen und Businessprozessen. Ihr TPRM-Hauptprozess könnte beispielsweise folgendermaßen aussehen:
- Onboarding,
- Kritikalitätseinstufung,
- Scope für den Vertrag bestimmen,
- Scope fürs Assessment bestimmen,
- Assessment durchführen,
- Risiken identifizieren und behandeln
Berücksichtigen Sie, dass der Prozess für neue und bestehende Dienstleister unterschiedlich sein kann: Idealtypisch ist das Design auf eine neue Drittparteienbeziehung ausgelegt. Änderungen an Ihren TPRM-Prozessen müssen aber auch auf bestehende Verträge übertragen werden. Hier müssen Sie entscheiden, wo der Eintrittspunkt bestehender Verträge in den neuen Prozess sinnvollerweise liegen kann. Auch Entscheidungen darüber, ob es bei bestimmten Verträgen ratsam ist, sie auslaufen zu lassen, anstatt sie in den neuen Prozess zu überführen, müssen an dieser Stelle gegebenenfalls getroffen werden.
Definieren Sie klare Rollen und Verantwortlichkeiten im Unternehmen für die verschiedenen Prozessschritte und Entscheidungen. Welche Abteilungen oder Personen müssen in welche Entscheidungen eingebunden werden? Wer ist befugt, bestimmte Entscheidungen zu treffen, etwa über die Freigabe, ein bestimmtes Risiko zu akzeptieren?
Setzen Sie Ziele und definieren Sie Metriken, um den Erfolg Ihres TPRM-Programms zu messen. Wie genau das aussehen kann, werden wir für Sie in einem Folgebeitrag beschreiben.
Legen Sie Richtlinien und Verfahren für die Bewertung und Überwachung von Dienstleistern fest.
Definieren Sie Eskalations- und Berichterstattungsmechanismen.
3. Umsetzung in den Regelbetrieb:
Nach der Fertigstellung Ihrer TPRM-Richtlinie geht es daran, die neu erarbeiteten Prozesse in den Regelbetrieb Ihres Unternehmens zu integrieren. Hier besteht die größte Herausforderung darin, dies möglichst reibungslos, ohne Störungen ihrer Betriebsprozesse umzusetzen. Die Unterstützung durch einen externen Berater kann hier zum Gelingen entscheidend beitragen.
4. Überwachung
Eine kontinuierliche Überwachung Ihres TPRM-Programms ist unerlässlich, um sicherzustellen, dass alle Drittparteien ihren Verpflichtungen nachkommen und kein unerwünschtes Risiko für Ihr Unternehmen entsteht. Sie umfasst beispielsweise folgende Fragen:
- Wann muss bei welcher Drittpartei wieder ein Assessment erfolgen?
- Wurden mitigierende Maßnahmen für bereits identifizierte Risiken umgesetzt?
- Kam es bei einer Drittpartei zu einem Informationssicherheitsvorfall?
- Hat sich der Service-Scope einer Drittpartei verändert und müssen für diese Veränderungen weitere Anforderungen berücksichtigt werden?
Regelmäßig werden aus der den Erkenntnissen dieser Überwachung neue TPRM-Maßnahmen entstehen, die in Ihren Regelbetrieb integriert werden müssen. Auch hier kann die Begleitung durch externe Beratung hilfreich sein.
Benötigen Sie Unterstützung? Wir sind für Sie da.
Benötigen Sie Unterstützung beim Aufbau Ihres Third Party Risk Management Programms?
