Ende 2020 warnten das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA), dass Angreifer sich Zugang zu Behördennetzwerken und privaten Netzen verschaffen konnten, indem sie gezielt Schwachstellen in VPN-Systemen ausnutzten. Hacker-Gruppen übernahmen auf diese Weise die Verwaltung ganzer Unternehmensnetzwerke. Kurz danach war der Videospielentwickler und Publisher Capcom Ziel eines Hackerangriffs, bei dem bis zu 350.000 persönliche Daten gestohlen wurden. Die Quelle des Angriffs war veraltete VPN-Software, die eigentlich nur noch für Backupzwecke aufbewahrt wurde.
Der „Privileged Access Threat Report“ von BeyondTrust dokumentiert, dass es sich dabei nicht um Einzelfälle handelt: Jede Woche greifen durchschnittlich 182 Drittanbieter auf IT-Systeme von außen zu. In jedem vierten Unternehmen mit mehr als 5.000 Mitarbeitern loggen sich sogar im Durchschnitt 500 externe Dienstleister ein — mit allen damit verbundenen Zusatzrisiken. Eine Umfrage des Ponemon Institute ergab, dass 2019 zwei von drei Unternehmen von einem Verstoß durch Drittanbieter betroffen waren und die durchschnittlichen Gesamtkosten einer Datenschutzverletzung bei 3,92 Millionen US-Dollar lagen. Es ist also höchste Zeit, dass Organisationen die Gefahren durch Drittanbieter zur Kenntnis nehmen und das davon ausgehende IT-Sicherheitsrisiko eindämmen. Mehr