BitSight: Dienstleister der US-Regierung stellen ein Sicherheitsrisiko dar

Die Bundesregierung der Vereinigten Staaten von Amerika stützt sich in der täglichen Arbeit auf ein riesiges, mehr als 10.000 Unternehmen umfassendes, Netz aus Auftragnehmern und weiteren Subunternehmern. In den USA wird dieses Netzwerk oft als die „federal supply chain“ bezeichnet. Diese Unternehmen erbringen kritische Dienstleistungen, arbeiten mit sensiblen Daten, stellen bestimmte Technologien zur Verfügung und besetzen an manchen Stellen sogar Schlüsselfunktionen. Zusammen mit den Einrichtungen der Bundesregierung selbst sehen sich die Dienstleister der Regierung permanenten IT-Sicherheitsrisiken ausgesetzt.

Dessen ist sich die US-Regierung wohl bewusst. Nun möchten viele Regierungseinrichtungen die Anforderungen an die IT-Sicherheit externer Dienstleister deutlich verschärfen oder haben dies bereits getan. So geschehen beispielsweise beim Verteidigungsministerium, die General Service Administration (GSA) plant dies ebenso und möchte ihre Dienstleister auf die Einhaltungen bestimmter Standards verpflichten.

In einer jüngst veröffentlichten Studie hat unser Technologiepartner BitSight das Sicherheitsniveau der IT sowohl der Bundesbehörden selbst als auch Ihrer Dienstleister untersucht und einem Benchmark unterzogen. Der Vergleich anhand der BitSight Scores von 250 – 900 ist durchaus aufschlussreich. Im Rahmen der Studie wurde das Sicherheitslevel von 120 Bundesbehörden ermittelt und mit einem zufälligen Sample von 1200 Dienstleistern dieser Behörden aus den Branchen Aerospace/Defense, Business Services, healthcare / Wellness, Engineering, Technology und Manufacturing verglichen.

Das Ergebniss gibt zu denken

Es gibt eine signifikante Lücke zwischen dem Sicherheitsniveau der Bundesbehörden und dem der Dienstleister. Entgegen der allgemeinen Erwartung schnitten die Bundesbehörden dabei jedoch deutlich besser ab, als die Konkurrenz aus der Privatwirtschaft. Die Bundesbehörden erreichten durchweg und konstant starke Werte im BitSight Ranking, während sich bei den Dienstleistern ein ambivalentes Bild ergibt. Healthcare / Wellness und Business Services wiesen noch recht gute Sicherheitslevel auf, während beispielsweise Technology und Manufacturing klar abfielen. Bemerkenswert: Aerospace & Defense weist nur das drittbeste Rating im BitSight Benchmark auf!

fig1-headline ratings.png

The spread of BitSight Security Ratings amongst federal agencies and contractors as of February 1, 2018. (Quelle und Bildrechte: BitSight Technologies)

 



T: +49 (0) 9721 / 67594-10

VINTIN GROUP Löwe

HABEN SIE NOCH FRAGEN?