Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Wenn der Anbieter zum Risiko wird: Warum der 60%ige Anstieg von Drittparteien-Komprimittierungen eine zentrale Steuerungsebene erfordert

Wenn der Anbieter zum Risiko wird: Warum der 60%ige Anstieg von Drittparteien-Komprimittierungen eine zentrale Steuerungsebene erfordert

von Patrick Spencer updated Mai 29, 2026 Cybersecurity-Risikomanagement
Lesezeit: 8 Minuten

Der DBIR 2026 unterteilt Drittparteien-bedingte Datenschutzverletzungen in drei Archetypen. Archetyp 1: Eine Schwachstelle im Produkt eines Anbieters verschafft Angreifern den ersten Zugang zur Umgebung des Kunden – der klassische Software-Supply-Chain-Angriff. Archetyp 2: Die Daten des Kunden befanden sich bereits in der Umgebung des Anbieters, als dieser kompromittiert wurde. Archetyp 3: Der Anbieter verliert Zugangsdaten oder Zugriffsschlüssel, die Angreifer gegen den Kunden verwenden. Der DBIR stellt fest, dass im Jahr 2025 zunehmend Kombinationen aus zwei oder sogar allen drei Archetypen zu einer einzelnen Datenschutzverletzung beitrugen – das bedeutet, dass das Modell „ein Anbieter, ein Vorfall“, auf dem die meisten Programme zum Drittparteien-Risikomanagement basieren, nicht mehr zu den tatsächlichen Vorfallmustern passt.

Der Fall Salesloft Drift ist das anschaulichste Beispiel. OAuth-Tokens wurden beim Anbieter kompromittiert (Archetyp 3) und dann gegen die Plattform eines anderen Anbieters eingesetzt, auf der Kundendaten lagen (Archetyp 2), um Daten von Unternehmen zu exfiltrieren, die bis zur öffentlichen Bekanntmachung nicht wussten, dass sie über diesen Weg gefährdet waren. Die Kaskade ist entscheidend: Jedes Unternehmen hatte Salesloft Drift unabhängig bewertet und vertraut – dieses Vertrauen wurde zum Angriffsweg.

5 Wichtige Erkenntnisse

1. Datenschutzverletzungen mit Drittparteien-Beteiligung machen inzwischen fast die Hälfte aller Vorfälle aus.

Der Verizon DBIR 2026 verzeichnet einen Anstieg von Datenschutzverletzungen mit Drittparteien-Beteiligung um 60 % gegenüber dem Vorjahr und einen Anteil von 48 % an allen Vorfällen. Der DBIR 2024 dokumentierte 15 %; der DBIR 2025 etwa 30 %; der Wert für 2026 markiert einen Wendepunkt und verlagert das Problem von der Unternehmensgrenze ins Ökosystem der Anbieter. Der Anbieterpfad ist jetzt der primäre Angriffsweg.

2. Ein kompromittiertes SaaS-Plugin kann alle gefährden.

Die Salesloft Drift OAuth-Token-Kampagne führte zu Datendiebstahl bei Google, Zscaler, Cisco und weiteren – zugeschrieben ShinyHunters/UNC6040. Die Kompromittierung eines Anbieters wurde zur Datenschutzverletzung bei Dutzenden Unternehmen, die keine direkte Beziehung zum Angreifer hatten. Das ist der neue Archetyp der Drittparteien-Verletzung: kaskadierend, zuordenbar und strukturell nicht durch Kontrollen der betroffenen Unternehmen einzudämmen.

3. MFA-Lücken bleiben bestehen.

Nur 23 % der Drittparteien haben fehlende oder unzureichend gesicherte MFA auf Cloud-Konten vollständig behoben. 37 % hatten ein Administratorkonto mit deaktivierter MFA bei einem IaaS-Angebot. 32 % der MFA-bezogenen Probleme wurden nie gelöst. Die grundlegende Kontrolle, die die meisten Anbieter-Rahmenwerke voraussetzen, fehlt in etwa einem Drittel des Anbieter-Ökosystems – und das Unternehmen trägt die Konsequenzen.

4. Compliance-Scores sind keine Sicherheits-Scores.

Der Black Kite Third-Party Breach Report 2026 fand einen durchschnittlichen Cyber-Score von 90,27 (A) bei 200.000 überwachten Organisationen – dennoch hatten 53,77 % mindestens eine kritische Schwachstelle. Unter den 50 meistgenutzten Anbietern: 70 % hatten eine CISA KEV-gelistete Schwachstelle, 84 % kritische CVSS-8+-Schwachstellen, 62 % Zugangsdaten in Stealer-Logs. Jährliche Bestätigungen und Zertifikats-Scores validieren Anbieter, die gleichzeitig ausnutzbar sind. Statische Fragebögen sind nicht für eine Offenlegungsverzögerung von 73 Tagen ausgelegt.

5. Die architektonische Antwort ist eine zentrale Steuerungsebene.

E-Mail, Filesharing, Managed File Transfer, SFTP, APIs, Web-Formulare und KI-Integrationen – gesteuert durch eine Policy Engine, ein Audit-Log und eine Sicherheitsarchitektur. Denn der Drittparteien-Pfad ist jetzt der Angriffsweg, und fragmentierte Governance führt zu fragmentierter Forensik.

Sie Vertrauen auf die Sicherheit Ihres Unternehmens. Aber Können Sie es Nachweisen?

Jetzt lesen

Das MFA-Problem: Dreiundzwanzig Prozent Behebung ist keine Behebung

Der DBIR 2026 enthält eine stille, aber gravierende Erkenntnis zur MFA-Hygiene bei Drittparteien. Nur 23 % der Unternehmen haben fehlende oder unzureichend gesicherte MFA auf Cloud-Konten vollständig behoben. Die mittlere Zeit zur Behebung von 50 % der MFA-bezogenen Feststellungen lag bei etwa einem Monat, wobei rund 32 % der Probleme nie gelöst wurden. Bei schwachen Passwörtern und Berechtigungsfehlern betrug die mittlere Behebungszeit für 50 % der Feststellungen fast acht Monate.

Eine separate Momentaufnahme ergab, dass 37 % der Unternehmen ein Administratorkonto mit deaktivierter MFA auf einer IaaS-Plattform hatten – im Vergleich zu nur 14 % mit derselben Lücke bei Snowflake. Das deutet darauf hin, dass Unternehmen aus früheren Vorfällen mit Cloud Data Warehouses gelernt haben, aber nicht aus der breiteren IaaS-Fläche. Der WEF Global Cybersecurity Outlook 2026 beschreibt dies aus Unternehmenssicht: Das größte Supply-Chain-Cyberrisiko in allen Branchen ist entweder das Vererbungsrisiko (fehlende Gewährleistung der Integrität von Drittparteien-Software und -Services) oder die mangelnde Transparenz (fehlender Einblick in die erweiterte Lieferkette). Beide beschreiben dasselbe strukturelle Problem – das Unternehmen ist auf Kontrollen angewiesen, die es nicht besitzt und nicht direkt verifizieren kann.

Compliance ist keine Sicherheit: Die Black Kite Erkenntnis

Durchschnittlicher Cyber-Score bei 200.000 überwachten Organisationen: 90,27 (A). Anteil mit mindestens einer kritischen Schwachstelle: 53,77 %. Unter den 50 meistgenutzten Anbietern: 70 % hatten eine CISA KEV-gelistete Schwachstelle, 84 % kritische CVSS-8+-Schwachstellen, 62 % Unternehmenszugangsdaten in Stealer-Logs, 80 % zeigten Phishing-Exponierung, 52 % hatten eine Vorgeschichte von Datenschutzverletzungen.

Black Kite dokumentierte 2025 insgesamt 136 verifizierte Drittparteien-Vorfälle mit 719 namentlich genannten betroffenen Unternehmen – schätzt jedoch, dass etwa 26.000 weitere Unternehmen betroffen waren, die nie öffentlich genannt wurden. Die mittlere Zeit von Vorfall bis öffentlicher Bekanntmachung: 73 Tage. Ein Anbieter-Risikoprogramm, das auf jährlichen Bestätigungen, Zertifikatsstatus oder Compliance-Scores basiert, erhält 73 Tage lang nach dem Vorfall kein Signal. Die Daten sind längst weitergewandert.

JLR und die Kosten kaskadierender Exponierung

Der DBIR 2026 dokumentiert den wirtschaftlich folgenschwersten Cyberangriff in der britischen Geschichte: den Ransomware-Angriff auf Jaguar Land Rover Ende 2025. Fünf Wochen Produktionsstopp. Geschätzter Verlust für JLR: 1,9 Milliarden £. Auswirkungen auf nachgelagerte 5.000 Unternehmen in der Lieferkette. Das britische BIP verfehlte die Prognose um 0,1 %, was die Regierung zu Krediten für JLR und seine Zulieferer veranlasste.

JLR ist das Einzelbeispiel, warum Drittparteien-Verletzungen makroökonomisch relevant sind. Diese 5.000 Unternehmen hatten keine schwache Sicherheit – sie waren mit einem zentralen Knoten verbunden, der kompromittiert wurde. Das Modell des kaskadierenden Ausfalls ist auf BIP-Ebene dokumentiert. Die meisten Drittparteien-Risikobewertungen behandeln jeden Anbieter als unabhängige Exponierung. Das tatsächliche Muster ist jedoch vernetzt: Eine Kompromittierung an einem Knoten verteilt das Risiko auf alle verbundenen Knoten. Black Kite nennt dies Konzentrationsrisiko, das WEF Vererbungsrisiko, der DBIR die „Regel der Drei“. Sie beschreiben dasselbe.

Warum KI-Integration die neue Dimension des Drittparteien-Problems ist

Jede KI-Integration ist ein neuer Drittparteien-Datenpfad. Der Fall Salesloft Drift war eine OAuth-Token-Kompromittierung, die sich über Cloud-Integrationsberechtigungen ausbreitete. Jeder MCP-Server, jedes KI-Plugin, jeder agentenbasierte KI-Workflow, der Unternehmensdaten über einen externen Dienst verarbeitet, funktioniert nach demselben Modell – delegierter Zugriff über Tokens, wobei der KI-Dienst verpflichtet ist, Scope und Audit-Anforderungen einzuhalten.

Der CrowdStrike Global Threat Report 2026 bestätigt dies: Staatlich unterstützte Akteure missbrauchen zunehmend legitime Identitätskonstrukte – Föderation, Partner-Tenants, OAuth, Conditional Access –, um langfristigen, schwer erkennbaren Zugriff auf sensible Daten zu erhalten. Mit der Zunahme von KI-Integrationen wächst die Zahl dieser delegierten Zugriffspfade entsprechend, und jeder stellt einen potenziellen Kaskadenpunkt dar. Die Frage der KI-Governance ist identisch mit der Drittparteien-Frage: Wenn ein externer Dienst Tokens besitzt, die Zugriff auf Unternehmensdaten gewähren, wie stellt das Unternehmen sicher, dass dieser Zugriff begrenzt, zeitlich limitiert, auditiert und widerrufbar bleibt – unabhängig davon, was innerhalb der Umgebung des externen Dienstes geschieht?

Die architektonische Antwort: Eine Steuerungsebene für jeden Datenkanal

Einzelne Sicherheitslösungen für jeden Datenkanal führen zu fragmentierter Transparenz und uneinheitlicher Durchsetzung. Eine Plattform für sichere E-Mails, eine andere für Managed File Transfer, eine dritte für SFTP, eine vierte für Web-Formulare, eine fünfte für APIs, eine sechste für KI-Integrationen: sechs Policy Engines, sechs Audit-Logs, sechs Sicherheitsniveaus. Wenn die Drittparteien-Verletzung eintritt, stellt sich die forensische Frage, über welchen Kanal die Kaskade lief – und die Antwort erfordert die Korrelation von Logs aus Systemen, die nicht dafür ausgelegt sind.

Das Steuerungsebenen-Modell löst dieses Problem. Das Private Data Network von Kiteworks steuert alle Datenbewegungen über eine Policy Engine, ein zentrales Audit-Log und eine gehärtete Sicherheitsarchitektur. Wichtige architektonische Zusagen sind: eine einzige Policy Engine mit konsistenten rollen- und attributbasierten Zugriffskontrollen für alle Kanäle; OAuth 2.0 mit PKCE für KI- und Drittparteien-Integrationen, wobei Tokens im OS-Schlüsselbund gespeichert und nie an die aufrufende Anwendung weitergegeben werden; ein zentrales Audit-Log, das alle Datenbewegungen in Echtzeit ohne Drosselung oder Verzögerung erfasst; Single-Tenant-Isolierung in einer gehärteten virtuellen Appliance, die Cross-Tenant-Exponierung verhindert; und Defense-in-Depth von der Appliance aufwärts – integrierte Firewall, WAF, IDS, FIPS 140-3-Doppelverschlüsselung und One-Click-Gesamtsystem-Updates.

Das architektonische Prinzip: Die Daten bleiben auf der Ebene steuerbar, auf der sie liegen – unabhängig davon, welcher Drittparteien-Zugriffspfad sie erreicht. Wenn die Kompromittierung des Anbieters der Angriffsvektor ist, liegt die Kontrolle des Unternehmens auf der Datenebene – nicht an der Anbietergrenze.

Was Sicherheits- und Risikoverantwortliche jetzt tun sollten

Erstens: Kartieren Sie die tatsächlichen Drittparteien-Datenpfade ins Unternehmen. Die meisten Inventare listen Anbieter auf, aber nicht die Datenflüsse – also welche Anbieter welche Datenkategorien halten, welche Integrationen welche Berechtigungen gewähren, welche OAuth-Scopes derzeit aktiv sind. Die Salesloft Drift-Kaskade hat gezeigt, warum: Unternehmen, die nicht wussten, welche Drift-Integrationen auf ihren Salesforce-Instanzen aktiv waren, erfuhren es erst im Incident Response, nicht vorher.

Zweitens: Behandeln Sie Compliance-Scores als einen Input, nicht als Nachweis. Anbieter mit A-Score haben regelmäßig kritische Schwachstellen. Kontinuierliches Monitoring der Angriffsfläche, Überwachung von Credential-Leaks im Dark Web und vertraglich geregelte Benachrichtigungsfristen ergänzen das Zertifikatsmodell – ersetzen es aber nicht.

Drittens: Konsolidieren Sie Datenbewegungskanäle, wo Konsolidierung den Schaden begrenzt. Jeder fragmentierte Kanal ist ein potenzieller Einstiegspunkt für Drittparteien-Kaskaden. Eine zentral gesteuerte Steuerungsebene – ein Angriffsweg mit konsistenter Durchsetzung – ist strukturell besser zu verteidigen als fünf Tools mit fünf unabhängigen Sicherheitsniveaus.

Viertens: Verlangen Sie MFA für jedes Administratorkonto auf jeder IaaS-Plattform, die das Unternehmen nutzt – und überprüfen Sie dies. Die vom DBIR dokumentierte 37-%-Lücke betrifft die eigenen Konfigurationen des Unternehmens, nicht nur die der Anbieter. Das ist die schnellste und kostengünstigste Verbesserung im gesamten Drittparteien-Risikobild.

Fünftens: Erstellen Sie revisionssichere Nachweise jeder organisationsübergreifenden Datenbewegung, bevor der nächste Anbieter-Vorfall bekannt wird. Das forensische Protokoll existiert entweder – oder nicht. Es nach der Offenlegung zu erstellen – wenn bereits 73 Tage vergangen sind – ist deutlich teurer als vorher.

Erfahren Sie mehr darüber, wie Sie Ihre sensiblen Daten gegen Drittparteien-Risiken schützen: Vereinbaren Sie jetzt eine individuelle Demo.

Häufig gestellte Fragen

Drittparteien-bedingte Datenschutzverletzungen stiegen im Jahresvergleich um 60 % und machen inzwischen 48 % aller Vorfälle aus. Die Salesloft Drift OAuth-Kaskade zu Google, Zscaler, Cisco und anderen ist das Paradebeispiel. Drittparteien-Verletzungen sind kein Randrisiko mehr – sie sind fast die Hälfte des Problems, und die Kombination mehrerer Archetypen bedeutet, dass Standardmodelle für Einzelanbieter-Risiken nicht mehr zu den tatsächlichen Vorfällen passen.

Jede Integration mit delegiertem Zugriff – OAuth-Tokens, MCP-Server, KI-Plugins, Partner-APIs – ist ein potenzieller Kaskadenpunkt. Der DBIR dokumentiert, dass Kombinationen aus Anbieter-Kompromittierungen inzwischen die Norm sind. Die Risikominderung erfordert die Inventarisierung tatsächlicher Datenflüsse (nicht nur Anbieterlisten), enge Scope-Definition für Tokens, Monitoring auf Credential-Leaks in Stealer-Logs und die Konsolidierung der Datenbewegung unter einem einheitlichen Audit-Trail.

Zertifikate sind eine sinnvolle Basis – aber kein Nachweis. Der Black Kite Report 2026 fand einen durchschnittlichen Cyber-Score von 90,27 (A) bei 200.000 Organisationen, aber 53,77 % hatten dennoch kritische Schwachstellen. Kontinuierliches Monitoring der Angriffsfläche, Credential-Leak-Überwachung und vertragliche Benachrichtigungsfristen sollten das Zertifikatsmodell ergänzen – aber nicht ersetzen.

Aufsichtsbehörden erwarten nachweisbare Transparenz der Datenflüsse und revisionssichere Audit-Logs organisationsübergreifender Datenbewegungen. Die Black Kite-Offenlegungsverzögerung von 73 Tagen bedeutet, dass Unternehmen oft erst spät von Anbieter-Kompromittierungen erfahren. Ein zentrales Audit-Log über alle Datenbewegungskanäle ist die praktische Grundlage für diesen Nachweis – und der Unterschied zwischen einer verteidigbaren Compliance-Position und einer aufdeckbaren Haftung nach DSGVO Art. 30 und HIPAA.

Konsolidierung reduziert fünf Policy Engines, fünf Audit-Logs und fünf Sicherheitsniveaus auf jeweils eines. Die Kaskadenmuster im DBIR sprechen direkt dafür: Wenn ein Vorfall kanalübergreifend verläuft, muss auch das forensische Protokoll kanalübergreifend sein. Das Private Data Network von Kiteworks bietet diese Steuerungsebene für E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und KI-Integrationen – unter einer Policy Engine und einem unveränderlichen Audit-Log.

Weitere Ressourcen 

  • Blogbeitrag
    So gestalten Sie einen sicheren File-Transfer-Workflow für Drittanbieter und Auftragnehmer
  • Blogbeitrag
    Die Bedeutung des Anbieterrisikomanagements für CISOs
  • Blogbeitrag
    So schützen Sie geistiges Eigentum bei der Zusammenarbeit mit externen Partnern
  • Blogbeitrag
    Bedrohungen bekämpfen mit Supply-Chain-Security & Risikomanagement
  • Blogbeitrag
    Partner-Datenpannen: Sie sind nur so stark wie Ihr schwächster Partner

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks