05/2025 – Fachartikel Swiss Infosec AG
Mit der zunehmenden Auslagerung von IT-Dienstleistungen und der Migration in die Cloud steigen die Abhängigkeiten von externen Partnern. Diese Beziehungen sind oft komplex und geschäftskritisch – doch viele Organisationen schenken dem Thema «Provider Security & Compliance» noch immer nicht die nötige Aufmerksamkeit.
Im Juli 2024 führte ein globaler IT-Ausfall bei CrowdStrike zu erheblichen Störungen in der Schweiz, darunter bei Flughäfen und Banken. Dieser Vorfall verdeutlichte einmal mehr die Abhängigkeit kritischer Infrastrukturen von externen IT-Dienstleistern und die potenziellen Risiken unzureichenden Provider-Managements.
Ebenso zeigen die Ausführungen von Lukas Mäder in der NZZ vom 17. Februar 2024 eindrücklich: Der Angriff wurde möglich durch den Account eines Software-Lieferanten. Besonders brisant: der Account des betroffenen externen Mitarbeitenden war «ausnahmsweise» nicht mit Multifaktorauthentifizierung (MFA) geschützt – zudem war der externe Mitarbeitende zum Zeitpunkt des Angriffs bereits nicht mehr beim Software-Lieferanten der NZZ beschäftigt.
Diese Beispiele zeigen, wie wichtig ein systematisches IT-Provider Management zur Vermeidung von Sicherheits- und Compliance-Risiken ist. Unternehmen stehen unter wachsendem Druck, nicht nur ihre eigene Umgebung, sondern auch die ihrer Partner unter Kontrolle zu halten.
Warum IT-Provider Assessments heute unverzichtbar sind
Ein IT-Provider Assessment schafft Transparenz über die Sicherheitslage Ihrer Lieferanten. Es beurteilt, ob organisatorische, technische und rechtliche Anforderungen erfüllt sind und ob bestehende Risiken angemessen adressiert werden. Dabei geht es nicht nur um das Ankreuzen von Checklisten, sondern um die fundierte Auseinandersetzung mit Themen wie:
- Sicherheitsorganisation und Verantwortlichkeiten
- Zertifizierungen (z. B. ISO 27001, ISAE 3000, SOC II Type 2, etc.)
- Technische Schutzmassnahmen (z. B. Identity & Access Management, Verfügbarkeit von Backups, sichere Entwicklungsprozesse, etc.)
- Rechtliche Anforderungen wie Datenschutz oder Meldepflichten
- Steuerung von Subunternehmen und deren Sicherheitsvorgaben
Solche Assessments sind anspruchsvoll und erfordern eine Kombination aus juristischer Expertise, technischem Know-how und organisatorischem Fingerspitzengefühl.
Was bringt ein professionelles Assessment?
Ein strukturiertes IT-Provider Assessment liefert Ihnen eine neutrale Einschätzung der Sicherheits- und Compliance-Lage Ihrer Dienstleister. Sie erkennen:
- Wo Schwachstellen bestehen
- Welche gesetzlichen oder regulatorischen Vorgaben gefährdet sind
- Welche Massnahmen zur Verbesserung notwendig sind
Zudem unterstützt ein solches Assessment auch beim Aufbau nachhaltiger Steuerungsprozesse: Wer regelmässig prüft, kann Risiken früh erkennen und steuern – bevor sie zu einem Vorfall eskalieren.
Fazit
Die Sicherheit Ihrer IT beginnt nicht an der Bürotür, sondern bei Ihren Dienstleistern. In einer digital vernetzten Welt sind IT-Provider Assessments kein «Nice-to-have», sondern ein Muss für jedes Unternehmen, das Verantwortung für Daten, Prozesse und regulatorische Anforderungen übernimmt. Denn nur, wer die Sicherheitslage seiner Dienstleister kennt, kann auch seine eigenen Risiken wirksam steuern.
Swiss Infosec AG; 06.05.2025
Fachteam IT-Sicherheit