Cybersicherheit beginnt nicht mit Technologie, sondern mit Vertrauen
Cybersicherheit wird oft als technische Herausforderung beschrieben. Firewalls, Zugriffskontrollen, Überwachungssysteme und Tools zur Reaktion auf Vorfälle dominieren in der Regel die Diskussion. Diese Maßnahmen sind zwar unerlässlich, aber hier beginnt Cybersicherheit nicht wirklich. In der Praxis beginnt sie viel früher – in dem Moment, in dem eine Organisation entscheidet, mit wem sie Geschäfte macht.
Das moderne Geschäft ist tief vernetzt. Unternehmen sind auf externe Dienstleister, Anbieter, Finanzintermediäre und Partner über Grenzen hinweg angewiesen. Jede Verbindung schafft operativen Mehrwert, birgt aber auch Risiken. Wenn die Identität eines Geschäftspartners unklar, veraltet oder schwer zu überprüfen ist, wird es unmöglich, dieses Risiko zuverlässig einzuschätzen.
Cybersicherheit basiert auf Vertrauen. Und Vertrauen beginnt damit, zu wissen, mit wem man es tatsächlich zu tun hat.
Warum technische Sicherheit allein nicht mehr ausreicht
Technische Sicherheitskontrollen dienen dem Schutz von Systemen, setzen aber voraus, dass der Zugriff den richtigen Entitäten gewährt wird. Wenn der Zugriff der falschen Organisation gewährt wird – oder einer Organisation, deren Hintergrund unzureichend bekannt ist –, können selbst strenge technische Kontrollen Schäden möglicherweise nicht verhindern.
Viele schwerwiegende Cybersicherheitsvorfälle entstehen nicht durch direkte Systemverletzungen, sondern durch den Missbrauch vertrauenswürdiger Beziehungen. Wenn ein Bedrohungsakteur über einen scheinbar legitimen Partner, Lieferanten oder Auftragnehmer agiert, werden technische Abwehrmaßnahmen weitaus weniger wirksam.
Dies verlagert die Kernfrage von „Wie schützen wir unsere Systeme?“ zu „Wem sollten wir überhaupt Zugriff gewähren?“
Drittparteienrisiko als zentrales Cybersicherheitsproblem
Ein wachsender Teil des Cybersicherheits- und Betriebsrisikos stammt von Dritten. Dazu können Lieferanten, IT-Dienstleister, Zahlungsabwickler, Logistikpartner oder ausgelagerte Supportfunktionen gehören. Jede Drittpartei wird Teil des erweiterten digitalen Perimeters der Organisation.
Das Drittparteienrisiko beschränkt sich nicht auf Software-Schwachstellen oder unsichere Infrastruktur. Es umfasst auch:
- unklarer Rechtsstatus
- intransparente Eigentumsstrukturen
- inkonsistente oder veraltete Registerdaten
- Schwierigkeiten bei der Zuweisung von Verantwortlichkeit
Um diese Risiken effektiv zu managen, verlassen sich Organisationen auf strukturierte Verifizierungsprozesse, einschließlich KYC und Unternehmensverifizierung
Wenn eine Organisation ihre Gegenparteien nicht eindeutig identifizieren kann, steigen sowohl die Sicherheits- als auch die Compliance-Risiken erheblich.
Regulierungsrichtung: risikobasiert und identitätsorientiert
In allen Gerichtsbarkeiten bewegen sich die regulatorischen Rahmenbedingungen auf einen stärker risikobasierten und identitätsorientierten Ansatz für Cybersicherheit zu. Anstatt bestimmte technische Kontrollen vorzuschreiben, erwarten die Aufsichtsbehörden zunehmend, dass Organisationen Risiken in ihrer gesamten Betriebsumgebung verstehen und managen, einschließlich Lieferanten und Dienstleister.
In der Europäischen Union spiegelt sich diese Verlagerung deutlich in der NIS2-Richtlinie und den Cybersicherheitsanforderungen wider.
Den offiziellen Rechtsrahmen finden Sie in der NIS2-Richtlinie
Während sich die Rahmenbedingungen weltweit unterscheiden, ist die zugrunde liegende Erwartung einheitlich: Organisationen müssen in der Lage sein, nachzuweisen, dass sie wissen, auf wen sie sich verlassen und wie sich diese Beziehungen auf ihre Sicherheitsposition auswirken.
Unternehmensidentität als Grundlage für Cybersicherheit
Wenn Cybersicherheit umfassender betrachtet wird, wird die Unternehmensidentität zu einem Kernkonzept. Ein global standardisierter Ansatz zur Unternehmensidentifikation wird durch den Legal Entity Identifier (LEI) bereitgestellt.
Die Unternehmensidentität geht weit über einen Firmennamen oder eine Registernummer hinaus. Sie umfasst:
- rechtliche Existenz und Status
- offizielle Registerinformationen
- Eigentums- und Kontrollstrukturen
- Beziehungen zu anderen juristischen Personen
- Datengenauigkeit und Aktualität
Ohne eine klare und standardisierte Unternehmensidentität wird eine zuverlässige Risikobewertung schwierig. Diese Herausforderung wird in grenzüberschreitenden Umgebungen noch verstärkt, in denen Daten aus mehreren nationalen Registern mit unterschiedlichen Formaten und Standards stammen.
In digitalen und automatisierten Umgebungen muss die Unternehmensidentität eindeutig, maschinenlesbar und international konsistent sein, um ein effektives Risikomanagement zu unterstützen.
Die Perspektive kleiner Unternehmen: ein vertrauenswürdiger Partner werden
Diskussionen über Cybersicherheit und Regulierung konzentrieren sich oft auf große Organisationen. Die gleiche Dynamik betrifft jedoch auch kleine und mittlere Unternehmen, die mit Konzernen, Finanzinstituten oder internationalen Kunden zusammenarbeiten möchten.
Für kleinere Unternehmen ist die Haupthürde oft nicht die Produktqualität oder die technischen Fähigkeiten, sondern das Vertrauen. Große Organisationen müssen das Risiko für jeden neuen Partner bewerten, können dies jedoch nicht manuell und detailliert für jeden potenziellen Lieferanten tun. Daher verlassen sie sich auf Standards, Signale und strukturierte Daten, um zu entscheiden, welche Beziehungen es wert sind, weiter untersucht zu werden.
Viele Kooperationsmöglichkeiten scheitern nicht, weil das Angebot keinen Wert hat, sondern weil die Gegenpartei nicht schnell und klar verstanden werden kann.
LEI als Vertrauens- und Onboarding-Beschleuniger
Hier kommt der Legal Entity Identifier (LEI) ins Spiel. Der LEI ist ein globaler Standard, der entwickelt wurde, um juristische Personen eindeutig zu identifizieren und sie mit verifizierten Referenzdaten aus maßgeblichen Quellen zu verknüpfen.
Für kleinere Unternehmen ist ein LEI nicht nur eine regulatorische Anforderung in bestimmten Kontexten. Er ist ein praktisches Werkzeug, mit dem sie sich so präsentieren können, dass es mit der Art und Weise übereinstimmt, wie große Organisationen Risiken managen.
Ein LEI signalisiert, dass:
- die Entität eindeutig identifizierbar ist
- ihre Kernreferenzdaten mit offiziellen Registern verknüpft sind
- Eigentumsinformationen in standardisierter Form deklariert werden
- die Daten in automatisierten und grenzüberschreitenden Prozessen verwendet werden können
Aus der Sicht einer großen Organisation reduziert dies die anfängliche Unsicherheit und beschleunigt die Entscheidung, ob eine potenzielle Partnerschaft vorangetrieben werden kann. Ein LEI garantiert keine Zusammenarbeit und ersetzt auch keine Due Diligence, aber er hilft einem Unternehmen, im Laufe des Prozesses viel früher verständlich und beurteilbar zu werden.
Cybersicherheit als gemeinsame Verantwortung in der gesamten Lieferkette
Cybersicherheit liegt nicht nur in der Verantwortung großer Käufer oder zentraler Plattformen. Jeder Teilnehmer einer Lieferkette trägt zum gesamten Risikoprofil bei. Wenn eine Partei ihre Identität nicht klar darstellen oder ihre Daten nicht auf dem neuesten Stand halten kann, wird die gesamte Kette anfälliger.
Aus diesem Grund profitieren auch kleinere Unternehmen von der Einführung von Standards, die es ihnen erleichtern, sich zu verifizieren und in die Risikomanagement-Frameworks ihrer Partner zu integrieren – oft bevor solche Erwartungen formell erforderlich sind.
Kontinuierliche Genauigkeit als Voraussetzung für Vertrauen
Weder Cybersicherheit noch Unternehmensidentität sind statisch. Unternehmen ändern sich, Eigentumsstrukturen entwickeln sich weiter und Daten veralten. Identitätsprüfungen, die nur einmal durchgeführt werden, verlieren schnell ihren Wert.
Ein effektives Risikomanagement hängt von Identitätsinformationen ab, die im Laufe der Zeit korrekt und aktuell bleiben. Diese kontinuierliche Zuverlässigkeit unterstützt nicht nur die Compliance, sondern auch das langfristige Vertrauen zwischen Geschäftspartnern.
Fazit
Cybersicherheit beginnt nicht im Serverraum und endet auch nicht mit Software. Sie beginnt mit dem Verständnis, mit wem Sie Geschäfte machen und auf welcher Grundlage diese Beziehung besteht.
Technische Kontrollen bleiben unerlässlich, aber ohne eine klare, standardisierte und aktuelle Unternehmensidentität sind sie unvollständig. In der heutigen vernetzten und regulierten Wirtschaft ist das Wissen um Ihre Gegenparteien eine der wichtigsten verfügbaren Sicherheitsmaßnahmen.
Der LEI bietet einen gemeinsamen, globalen Rahmen, der sowohl großen als auch kleinen Organisationen hilft, Vertrauen aufzubauen, die Transparenz zu verbessern und effektiver über Grenzen hinweg zusammenzuarbeiten.