Wie sicher sind meine Lieferanten und Dienstleister?

Fachhochschule st. Pölten, Masterarbeit 2022, Studiengang Information Security

Sowohl Outsourcing wie auch die Supply Chain führen dazu, dass Unternehmen eine Vielzahl an Beziehungen mit Dritten, sogenannten Third-Parties aufbauen. Durch die Digitalisierung und den steigenden Grad der Vernetzung zu diesen Dritten ergeben sich zusätzliche IT-Risiken für die Unternehmen. Das Ziel dieser Diplomarbeit ist es, zu beantworten, wie Unternehmen die IT-Sicherheit Ihrer Lieferanten und Dienstleister beurteilen können. Dazu wird die Forschungsfrage gestellt: „Wie können IT-Sicherheitsrisiken Dritter (Third-Parties), unter Berücksichtigung bekannter Methoden, Standards sowie aktueller Technologien, holistisch identifiziert und bewertet werden?“. Zur Beantwortung der Forschungsfrage wurde eine Literaturrecherche rund um die Thematik Third-Party Risk Management durchgeführt. Konkret wurden Methoden zur Identifikation und Beurteilung von Risiken, die sich durch Dritte ergeben, beleuchtet. Im ersten Schritt wurde der Stand der Wissenschaft erhoben. Danach wurden bekannte Third-Party Risk Management Frameworks untersucht. Als weiterer Schritt wurden Regularien hinsichtlich der Forderung eines Third-Party Risk Managements gesichtet. Darüber hinaus wurden Dienstleister, die die Aufgabe des Third-Party Risk Management für Unternehmen übernehmen, betrachtet und dazu der CEO eines österreichischen Anbieters befragt. Auf Basis der erhobenen Informationen wurde ein Modell zur Risikobewertung Dritter erarbeitet. Im Stand der Wissenschaft stellte sich heraus, dass der Thematik eine hohe Relevanz zugesprochen wird, diese gleichzeitig aber für Unternehmen besonders komplex und herausfordernd ist. So konnte festgestellt werden, dass sich noch kein standardisiertes Vorgehen durchgesetzt hat. Die Sichtung der Regularien zeigt jedoch klar, dass Third-Party Risk Management von den Unternehmen mehrfach gefordert wird. Darüber hinaus stellt die Arbeit fest, dass durch die Kombinationen unterschiedlicher Methoden wie Fragebögen, Risk-Scoring-Tools, Zertifizierungen oder Audits eine 360-Grad-Bewertung der Dritten erfolgen kann. Weiterführende Forschung könnte das erarbeitete Model im Praxiseinsatz validieren und erweitern.

Both outsourcing and the supply chain lead companies to establish a large number of relationships with third parties. Digitalization and the increasing degree of networking with these third parties result in additional IT risks for companies. The aim of this thesis is to answer how companies can assess the IT security of their suppliers and service providers. For this purpose, the research question is posed: "How can IT security risks of third parties be identified and assessed holistically, taking into account known methods, standards as well as current technologies?". To answer the research question, a literature review around the topic of third-party risk management was conducted. Specifically, methods for identifying and assessing risks posed by third parties were examined. In a first step, the state of science was surveyed. Afterwards, known third-party risk management frameworks were inspected. As a further step, regulations were investigated regarding the requirement of third-party risk management. In addition, service providers who take over the task of third-party risk management for companies were reviewed and therefore the CEO of an Austrian provider was interviewed. Based on the information collected, a model for third-party risk assessment was developed. In the state of science, it turned out that the topic is attributed an enormous relevance, but at the same time it is enormously complex and challenging for companies. It was found that no standardized procedure has yet been established. However, the review of the regulations clearly shows that third-party risk management is demanded by the companies several times. Furthermore, the thesis states that a 360-degree assessment of third parties can be done by combining different methods such as questionnaires, risk scoring tools, certifications, or audits. Further research could validate and extend the elaborated model in practical use.