Am 21. Februar 2024 hat Change Healthcare, der größte Anbieter von Zahlungs- und Ertragsmanagement im Gesundheitswesen des Landes, als Reaktion auf einen Ransomware-Angriff von BlackCat/ALPHV mehr als 100 Dienste abgeschaltet. Seitdem sind Gesundheitsdienstleister, von den kleinsten Arztpraxen bis hin zu den größten Krankenhaussystemen, nicht mehr in der Lage, Einnahmen zu erzielen oder in einigen Fällen Patienten zu versorgen. Dieser Ransomware-Angriff ist für Gesundheitsdienstleister geradezu katastrophal, da 1 von 3 Transaktionen mit Patienten über Change-Systeme laufen.
Nach den jüngsten Entwicklungen wird die UnitedHealthcare Group, die Muttergesellschaft von Change, bis zum 29. April 2024 alle Funktionen zur Bearbeitung von Leistungsansprüchen wieder einschalten und so ein Gefühl der Normalität in den Betrieb zurückbringen. Bis dahin müssen die Kunden von Change Healthcare, die die betroffenen Dienste nutzen, einen alternativen Weg finden, um Krankenversicherungsansprüche zu bearbeiten und Vorabgenehmigungen zu erhalten. Außerdem müssen sie sich mit den Auswirkungen der im Rahmen des Angriffs gestohlenen Daten auseinandersetzen.
Dieser Ransomware-Angriff ist nicht nur für Change Healthcare eine Katastrophe, sondern auch für seinen gesamten Kundenstamm. Er ist auch ein Lehrstück dafür, warum Risikomanager von Drittanbietern eine Katastrophenplanung in ihre Strategien zur Reaktion auf Vorfälle einbeziehen müssen.
Warum Katastrophenplanung für die Reaktion auf Zwischenfälle von Dritten wichtig ist
Change Healthcare ist nur das jüngste Beispiel für einen Cyberangriff, der sich weit über ein einzelnes Unternehmen hinaus auswirkt. Die Okta-Panne Ende 2023 führte zu einem Datendiebstahl aus dem Kundensupportsystem von Okta. Die Auswirkungen dieses Vorfalls auf die Okta-Kunden sind noch nicht vollständig erfasst. Ein weiteres Beispiel ist die Datenpanne bei Perry Johnson & Associates, einem Anbieter von Transkriptionen im Gesundheitswesen, von der fast 13 Millionen Patientendaten betroffen waren und die zu mehreren Sammelklagen führte.
Diese und andere Cyberangriffe von Drittanbietern machen die Planung der Reaktion auf Vorfälle zu einer Notwendigkeit für ein starkes Risikomanagementprogramm für Drittanbieter. Wenn Sie wissen, was zu tun ist, wenn ein Cyberangriff bei einem Ihrer Zulieferer auftritt, egal wie kritisch er ist, können Sie die Kontinuität Ihres Unternehmens sicherstellen.
Ein Teil Ihrer Planung für die Reaktion auf Drittanbietervorfälle sollte die Entwicklung von Ablaufplänen für katastrophale Ereignisse sein. Katastrophen wie der Angriff auf Change Healthcare, bei dem einige Gesundheitsdienstleister täglich mehr als 1 Million Dollar an Einnahmen verloren haben, sind zum Glück selten. Das bedeutet jedoch nicht, dass Sie die Möglichkeit ignorieren können, dass ein massiver Cyberangriff einen wichtigen Anbieter zu Fall bringt.
Im Rahmen Ihrer Katastrophenplanung, die auch als Disaster Recovery bezeichnet wird, ist es wichtig, die Antwort auf einige Fragen zu kennen:
- Welche Alternativen gibt es, wenn ein wichtiger Anbieter ausfällt?
- Wie schnell können wir eine dieser Alternativen einsetzen?
- Welche Instrumente brauchen wir, um im Katastrophenfall schnell reagieren zu können?
- Wer ist für die Entscheidung zuständig, wann auf eine Alternative umgestellt werden soll?
Katastrophenplanung ist nicht nur bei Cyberangriffen wichtig. Eine Naturkatastrophe kann eine Geschäftsbeziehung ebenso beeinträchtigen wie ein massiver Ransomware-Vorfall. Wenn Sie die Katastrophenplanung in Ihr Notfallplanungsprogramm für Dritte integrieren, sind Sie wahrscheinlich besser vorbereitet, wenn ein größeres Ereignis eintritt.
Bewährte Praktiken für die Planung von Katastrophenfällen mit Dritten
Ein Plan für den Fall, dass einer Ihrer kritischen Lieferanten von einer Katastrophe betroffen ist, ist ein wichtiger Bestandteil der Reaktion auf Drittanbietervorfälle. Wie bei der Entwicklung eines Notfallplans für Drittanbieter gibt es auch bei der Erstellung und Umsetzung eines effektiven Katastrophenplans einige wichtige Schritte:
1. Form a cross-functional team. Effective catastrophe planning requires a cross-functional team within the organization. This could be the same team responsible for incident response or include team members at more senior levels because responding to a catastrophe may require executive decisions. Consider including IT security, risk management, legal, and procurement or supply chain management teams.
2. Definieren Sie Rollen und Verantwortlichkeiten. Katastrophenereignisse erfordern klare Zuständigkeiten und Kommunikation. Für den Fall eines schweren Cyberangriffs oder eines Ereignisses, das Ihr eigenes Unternehmen betrifft, sollten Sie bereits einen Geschäftskontinuitäts- und Notfallwiederherstellungsplan haben. Die Rollen und Verantwortlichkeiten des funktionsübergreifenden Teams in diesem Plan könnten sich auch auf ein katastrophales Ereignis bei einem Ihrer Anbieter oder Lieferanten beziehen.
3. Erstellen Sie eine Liste mit alternativen Lösungen. Ein katastrophales Ereignis bei einem Ihrer Anbieter könnte Sie dazu zwingen, auf eine Alternativlösung auszuweichen. So haben beispielsweise einige Gesundheitsdienstleister Kredite aufgenommen, um ihre Mitarbeiter zu bezahlen, als Change Healthcare ausfiel. Eine Liste mit anderen Optionen für den Fall, dass einer Ihrer wichtigen Anbieter oder Lieferanten nicht mehr funktioniert, kann Ihre Geschäftskontinuität gewährleisten. Sie ist auch für eine möglichst effektive Reaktion erforderlich.
4. Durchführung von Tabletop-Übungen für den Katastrophenfall. Eine der wichtigsten Maßnahmen bei der Katastrophenplanung ist die regelmäßige Durchführung von Übungen für das Einsatzteam. Dies geht über ein Notfallhandbuch hinaus, in dem jeder seine Rolle kennt. Katastrophen sind so selten, dass das Nicht-Üben der Reaktionsschritte dazu führen kann, dass wertvolle Reaktionszeit verloren geht. Das ist es, was die Federal Emergency Management Agency (FEMA) für ihre Krisenreaktionskräfte tut und was das Kriseninterventionsteam des New York Police Department tut, um sich auf Vorfälle in New York City vorzubereiten. Auch wenn es bei einem katastrophalen Ereignis bei einem Händler nicht um Leib und Leben geht, ist es dennoch notwendig, praktische Übungen durchzuführen, damit das Einsatzteam weiß, was zu tun ist.
5. Kontinuierliche Überwachung auf mögliche katastrophale Ereignisse. Unternehmen können sich nicht darauf verlassen, dass Anbieter oder Zulieferer wissen, was eine Katastrophe ist und was nicht, oder dass sie es sofort melden. Es ist daher unerlässlich, kritische Drittparteien kontinuierlich auf neue und aufkommende Bedrohungen zu überwachen. Dies mag zwar selbstverständlich erscheinen, kann aber für Unternehmen mit einem großen Lieferanten-Ökosystem eine gewaltige Aufgabe darstellen. Anstatt zu versuchen, Sicherheitsnachrichten und Community-Postings manuell zu verfolgen, sollten Sie sich nach Threat Intelligence-Anbietern umsehen, die den Überwachungsprozess für Sie automatisieren und skalieren können.
Nächste Schritte zur Verbesserung der Geschäftskontinuität von Drittanbietern
Ein wirksamer Plan zur Aufrechterhaltung des Geschäftsbetriebs durch Dritte erfordert die Zusammenarbeit zwischen internen und externen Beteiligten. Nur durch die Zusammenarbeit mit ihren Anbietern bei der Entwicklung kohärenter Strategien können Unternehmen sicherstellen, dass sie auch im Katastrophenfall ihren Betrieb aufrechterhalten können.
Die Verfahren zur Aufrechterhaltung des Geschäftsbetriebs umfassen die folgenden Aktivitäten:
- Erkennung von Vorfällen
- Überwachung von Vorfällen
- Interne Kommunikation
- Interaktion mit einschlägigen nationalen und/oder regionalen Risikoberatungssystemen und/oder -gruppen
- Kommunikation mit Notfalleinsatzkräften oder Strafverfolgungsbehörden
- Sicherstellung der Kommunikationsmittel während einer Störung des Betriebsablaufs
- Aufzeichnung relevanter und wichtiger Informationen über den Vorfall, einschließlich der damit verbundenen Entscheidungen und Maßnahmen
Unternehmen müssen Prozesse für die Geschäftskontinuität sowie einen kohärenten Plan entwickeln, der bei einem katastrophalen Lieferantenereignis befolgt werden kann.
Wie Prevalent hilft
Die Prevalent-Plattform für das Risikomanagement von Drittanbietern spielt eine Schlüsselrolle in diesem Business-Continuity-Plan. Mit unseren Funktionen zur kontinuierlichen Risikoüberwachung sowie zur Profilerstellung und Einstufung stellt Prevalent sicher, dass Sicherheits- und Beschaffungsteams Risiken visualisieren, mit den betroffenen Anbietern kommunizieren und die Risiken der Zusammenarbeit mit jedem Drittanbieter bewerten können.
Die Lösung von Prevalent zur Überwachung von Lieferantenbedrohungen stellt sicher, dass Unternehmen aller Größenordnungen mögliche Risiken für ihre kritischen Lieferanten genau verfolgen können. So können sie feststellen, welcher Art von Risiko sie möglicherweise ausgesetzt sind, und frühzeitige Signale eines möglichen katastrophalen Ereignisses erkennen.
Prevalent hat auch eine Vorlage für einen Geschäftskontinuitätsplan entwickelt, um die Richtlinien und Praktiken zu definieren, die im Falle eines katastrophalen Lieferantenereignisses gelten. Ein solcher Plan ist in einem Umfeld, in dem es unmöglich ist, die nächste Katastrophe, die Ihr Lieferanten-Ökosystem treffen könnte, vorherzusehen, von entscheidender Bedeutung.
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Ihr Unternehmen bei der Entwicklung eines umfassenden Business-Continuity-Plans für Dritte unterstützen kann, fordern Sie noch heute eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Prevalent.net veröffentlicht. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
