Seit Jahren von Drittanbietern Cybersicherheit Beziehungen zwischen Anbietern und Kunden haben sich auf Verträge und Vertrauen verlassen. Dieses Modell zeigt nun sein Alter. Allein im vergangenen Jahr haben 51 % der britischen Organisationen einen Verstoß durch Dritte gemeldet, während Anbieter zu idealen Angriffsvektoren für feindliche Akteure geworden sind.
Direktor für EMEA-Dienste bei NetSPI.
Vertrauensbasierte Compliance für evidenzbasierte Sicherheit
Was einst für Sicherheitsanbieter funktionierte, nämlich vertrauensbasierte Compliance, ist mittlerweile zum absoluten Minimum und zu einem veralteten Ansatz für moderne Cyberstrategie und Datenschutz geworden.
Der Artikel wird weiter unten fortgesetzt
Verträge und schriftliche Zusicherungen tragen in der Praxis kaum zum Schutz von Unternehmen bei, und zu oft haben Kunden nur begrenzte Einblicke in die tatsächliche Sicherheitslage ihrer Anbieter.
In den letzten Jahren haben wir gesehen DokumentationFragebögen und zahlreiche Zertifizierungen, die die nachweisbare Robustheit in den Schatten stellen. Der Schwerpunkt hat sich auf das Ankreuzen von Kästchen verlagert, statt auf den Beweis von Stärke.
Stattdessen müssen wir vom Erzählen zum Zeigen übergehen; Beweis statt Versprechen.
Ein evidenzbasiertes Sicherheitsmodell erfordert, dass Anbieter aktiv nachweisen, dass ihr Sicherheitsansatz messbar robust, messbar und effektiv ist. Compliance ist in der heutigen Bedrohungslandschaft nicht gleichbedeutend mit Widerstandsfähigkeit, sondern nur ein konsistenter und proaktiver Ansatz.
Strukturelle Blindheit
Natürlich verbergen die meisten Anbieter Schwachstellen nicht absichtlich vor ihren Kunden. Die Probleme sind Latenz und Sichtbarkeit. Point-in-Time-Bewertungen veralten schnell und verlieren an Relevanz, wenn sich Systeme ändern, die Technologie voranschreitet und neuer Code bereitgestellt wird.
Ein Anbieter, der zum Zeitpunkt der Zertifizierung oder Vertragsunterzeichnung als sicher gilt, kann ohne einen konsistenten Ansatz zum Schwachstellenmanagement bereits wenige Wochen später erhebliche Risiken bergen.
Die Entwicklung einer umfassenden Sichtbarkeit von Schwachstellen im gesamten Unternehmen ist oft eine Herausforderung. Leider entscheiden sich einige Anbieter für einen Weg der vorsätzlichen Ignoranz und des blinden Optimismus. Dieser Ansatz spart dem Anbieter Geld, erhöht jedoch das Risiko, das Sie als Kunde eingehen.
Selbst wenn neue Schwachstellen entdeckt werden, haben Kunden oft kaum oder gar keine Sicht darauf. Ein Ad-hoc-Ansatz für die Sicherheit Dritter hat zu einer Form struktureller Blindheit geführt, bei der Risiken bestehen, aber unsichtbar bleiben.
Um diesem Problem entgegenzuwirken, müssen Anbieter dazu übergehen, kontinuierlich Betriebs- und Cyber-Resilienz zu signalisieren, anstatt sich auf statische Zusicherungen zu verlassen.
Absicherung in der Praxis: Penetrationstests
Konkret heißt das: Kontinuierliche Penetrationstests.
Bei Anbietern, die seltene oder Ad-hoc-Tests durchführen, haben Sicherheitsteams Schwierigkeiten, mit der sich schnell entwickelnden Landschaft Schritt zu halten, wodurch Schwachstellen unerkannt bleiben und Kunden ungeschützt bleiben.
Durch die Simulation realen Angreiferverhaltens demonstrieren Anbieter gegenüber ihren Kunden nicht nur ihr Engagement für ein starkes Sicherheits-Framework, sondern verbessern auch aktiv ihr Schwachstellenmanagement und reduzieren das eigentliche Risiko eines Angriffs Daten Verstoß überhaupt.
Kunden werden mit Beweisen abgesichert; Die Sicherheitsteams der Anbieter können beruhigt sein, dass ihre Schwachstellen behoben wurden.
Für Unternehmen, die Dutzende oder Hunderte von Beziehungen zu Drittparteien verwalten, ist dieser Grad an Transparenz von entscheidender Bedeutung, um zu verstehen, wo tatsächliche Risiken lauern, und um die Kundenbeziehungen zu verbessern.
Es ist Zeit für CISOs, sich zu Wort zu melden
Lieferketten sind zu Hauptzielen feindseliger Akteure geworden, wo Datenschutzverletzungen zu einem Dominoeffekt von Störungen bei Lieferanten, Lagern und Herstellern führen. Beispielsweise trug der verheerende Angriff auf den Jaguar Land Rover im September 2025 dazu bei, dass das reale Wachstum der gesamten britischen Wirtschaft auf nur 0,1 % sank.
Es ist von entscheidender Bedeutung, dass Anbieter beginnen, durch Beweise nachzuweisen, dass sie sicher sind. CISOs sind in der einzigartigen Position, die Messlatte höher zu legen und die Führung zu übernehmen, wenn anspruchsvolle Sicherheitsteams von Drittanbietern ihre robuste Cybersicherheit unter Beweis stellen Management.
Um es klar auszudrücken: Hier geht es um eine stärkere Abstimmung zwischen Anbieter und Kunde und nicht darum, die Anbieter zu bestrafen, deren Sicherheit möglicherweise nicht so stark ist wie erhofft. Die Bereitstellung von Beweisen über Versprechen stellt einen grundlegenden Wandel im Cybersicherheitsansatz von CISOs, Dritten und Kundenorganisationen dar.
Wo CISOs die Führung übernehmen, können Unternehmen aller Branchen ihre Widerstandsfähigkeit stärken.
Worte zum Leben
Cybersicherheit kann sich nicht länger auf veraltete und unzureichende Versprechen verlassen, die auf Vertrauen und vertraglichen Verpflichtungen beruhen.
Die Cyberlandschaft befindet sich in einem ständigen Wandel und Wandel, und Vertrauen allein ist kein verlässlicher Indikator für ein ausgereiftes Sicherheitsrahmenwerk mehr. Statische Zusicherungen und punktuelle Validierungen spiegeln nicht die Realitäten der Moderne wider Infrastrukturwo sich Risiken viel schneller entwickeln, als es die Dokumentation jemals kann.
Durch kontinuierliche Penetrationstests und die Ermächtigung von CISOs, von Anbietern einen nachweislichen Nachweis ihrer Sicherheitslage zu verlangen, können Unternehmen die Art und Weise, wie Risiken Dritter gemanagt werden, grundlegend ändern.
Dieser Wandel bewegt die Cybersicherheits- und Geschäftslandschaft weg vom blinden Vertrauen, das die Datensicherheit stillschweigend gefährdet, hin zu Vertrauen, das auf kontinuierlicher, messbarer Sicherheit basiert.
Beweise statt Versprechen sind ein wesentlicher Grundsatz der Cybersicherheit in der modernen Welt.
Wir haben die beste Endpoint-Schutzsoftware vorgestellt.
Dieser Artikel wurde im Rahmen des Expert Insights-Kanals von TechRadarPro erstellt, in dem wir die besten und klügsten Köpfe der heutigen Technologiebranche vorstellen. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future plc. Wenn Sie daran interessiert sind, einen Beitrag zu leisten, erfahren Sie hier mehr: https://www.techradar.com/news/submit-your-story-to-techradar-pro
