Als die Compliance-Branche entstand, orientierten sich die Bewertungen an Modellen der Finanzindustrie: ein jährliches Audit, das prüft, ob Unternehmen ihre Vorgaben und Pflichten erfüllen. Das erläutert Sravish Sridhar, Geschäftsführer und Gründer von TrustCloud. „Angreifer waren nicht weltweit verteilt und versuchten nicht, von allen Seiten in Unternehmen einzudringen", so Sridhar. Solche Modelle hätten funktioniert, solange sich IT-Veränderungen langsamer vollzogen — heute beschleunige sich das Tempo schneller, als viele es bewältigen könnten. TrustCloud zählt nach eigenen Angaben 2.000 Kunden aus Bereichen wie Pharma und Gesundheitswesen, Behörden und Fertigung.
Lamont Atkins, Partner bei McKinsey and Company, warnt, dass ein Lieferant mit dem statischen Ansatz auf dem Papier voll konform sein und dennoch nennenswertes Risiko ins Geschäft tragen könne. Er beobachtet zugleich, dass CISOs sich entschieden von fragebogengetriebenen Modellen abwenden — hin zu kontinuierlicher, evidenzbasierter Absicherung.
Moderne TPRM-Plattformen überwachen Lieferanten laufend auf Schwachstellen, Fehlkonfigurationen und Hinweise auf Sicherheitsvorfälle und werten diese Signale mithilfe künstlicher Intelligenz aus, erläutert Swee Khan Goh, Research-Analyst bei Omdia. Als drei Unternehmen, die in diesem Feld gut aufgestellt seien, nennt er Upguard, BitSight und OneTrust.
Sridhar berichtet, CISOs hätten ihm gegenüber GRC scherzhaft als „Government, Risk, and Check the Box" umgedeutet. Auf die Frage nach einer besseren Alternative hätten sie eine kontinuierliche Überwachung beschrieben, die alle Abhängigkeiten im Unternehmen abbildet, jeden Knotenpunkt betrachtet und prüft, ob er wirksam funktioniert. Bei der Entwicklung seiner Plattform über die vergangenen viereinhalb Jahre stellten sich drei zentrale Herausforderungen: die Integration in unterschiedliche Regelwerke und Umgebungen, die Skalierung angesichts einer überwältigenden Zahl menschlicher und nicht-menschlicher Identitäten sowie die Aufbereitung komplexer Daten in einer Form, die jeder CISO nach seinem eigenen Stil nutzen kann.
Letzteres zielt auf die Kommunikation mit Vorständen und Führungsebene, die über Budget und Betrieb entscheiden — unabhängig davon, ob ein Gremium über technisches Fachwissen verfügt oder stärker risikoorientiert ist. CISOs bräuchten zudem Belege dafür, wie sie zu Umsatz, Geschäftsbeschleunigung oder zur Senkung finanzieller Risiken beitragen. „Der derzeitige Compliance-Prozess ist in den meisten Unternehmen nutzlos", sagt Sridhar. „Ein oberflächlicher Sicherheitsfragebogen sagt überhaupt nichts über das Risiko aus."
Atkins rät Unternehmen, sich drei Fragen zu stellen: Welche Lieferanten tragen kritische Abläufe wirklich? Welche bergen verdeckte Konzentrationsrisiken? Und wie groß wäre der operative Schaden, wenn ein zentraler Lieferant ausfällt? Er fordert eine Annäherung von Lieferanten-Risikomanagement und Angriffsflächen-Management sowie ein Verständnis von TPRM als Teil der Unternehmensresilienz statt als reine Beschaffungs- oder Compliance-Funktion.
Rob Gregory, CISO bei Optiv, ergänzt, CISOs wollten nicht wissen, ob ein Lieferant einen Schutzmechanismus zu haben behauptet, sondern wie sich ein Ausfall auf kritische Geschäftsprozesse auswirken würde. Als weitere Verschiebung nennt er szenariobasierte Risikoanalysen, die helfen, Prioritäten zu setzen, statt alle Befunde gleich zu gewichten. KI-gestützte Analyse reife heran, vor allem bei der Übersetzung technischer Risiken in verständliche Darstellungen für den Vorstand.