Warum Lieferkettenmanagement und die Sichtbarkeit Dritter im Jahr 2025 unerlässlich sind
OpenAI bestätigte diese Woche einen Sicherheitsverstoß, der nicht in seinen Systemen, sondern bei seinem Analyseanbieter Mixpanel auftrat.
Einem Angreifer gelang es, in die Infrastruktur des Anbieters einzudringen und Daten wie Namen, E-Mails und Benutzer-IDs zu exportieren, die mit der Nutzung der OpenAI-API verbunden sind.
Eine E-Mail, die an einige Benutzer geschickt wurde, gab einige Hinweise:
Es sind keine Chats, API-Schlüssel oder sensible Dokumente durchgesickert, aber der Vorfall zeigt einmal mehr ein strukturelles Problem auf:
Ihre Gefährdung hängt nicht mehr nur von Ihrer internen Sicherheit ab, sondern von allen Anbietern, an die Sie Daten senden.
Und das ist der Punkt, an dem Mixpanel uns eine wichtige Lektion erteilt.
Zunächst einmal: Was macht Mixpanel und warum kann es mehr aufdecken, als Sie denken?
Mixpanel ist eine Analyseplattform, die überwacht, wie sich Benutzer innerhalb einer Anwendung verhalten: welche Bildschirme sie besuchen, welche Schaltflächen sie drücken, wie lange sie brauchen, um einen Prozess abzuschließen, wo sie abbrechen usw.
Bis jetzt nichts Ungewöhnliches. Das Risiko liegt in diesem wichtigen Detail:
Mixpanel empfängt nur die Daten, die ein Programmierer aus der Anwendung senden möchte.
Dies bedeutet, dass:
1️ Das Programmiergerät kann Daten von mehr als
Obwohl nur eine technische Kennung für die Analyse benötigt wird, ist es nicht ungewöhnlich, unnötige Namen, E-Mails, Standorte und sogar Daten zu finden, die gegen das Minimierungsprinzip der DSGVO verstoßen.
2️ Verhaltensereignisse werden mit persönlichen Daten vermischt
Eine schlechte Praxis, die eine harmlose Analyse in einen sensiblen Datensatz verwandelt.
3️ Viele Unternehmen haben keinen Überblick über die Daten, die tatsächlich gesendet werden
Die Dokumentation ist oft veraltet:
welche Ereignisse werden gesendet, welche Felder enthalten sie, enthalten sie personenbezogene Daten, wurde sie nach jeder Codeänderung überprüft?
4️ Jede Änderung des Codes kann ohne Aufsicht neue Risiken mit sich bringen.
Ein Entwickler kann ein Ereignis hinzufügen, das mehr Daten als erwartet sendet… und niemand von der Sicherheit oder dem Datenschutz bemerkt es.
🔍 Direkte Folge
Wenn ein Anbieter wie Mixpanel eine Sicherheitsverletzung erleidet,
werden genau die Daten offengelegt, die Sie übermittelt haben, auch wenn sie niemals hätten veröffentlicht werden dürfen.
Hier liegt der Kern des Problems: Ohne Einblick in das, was Sie mit Dritten teilen, können Sie Ihr tatsächliches Risiko nicht einschätzen und verwalten.
Lehren aus dem Fall Mixpanel-OpenAI
Aus diesem Vorfall lassen sich drei universelle Lehren ziehen:
✔️ Keine Organisation ist wirklich isoliert
Selbst ein seriöser und geprüfter Anbieter kann zu Ihrem schwächsten Glied werden.
✔️ Die Minimierung und Kontrolle der Daten, die Sie an Dritte weitergeben, ist nicht optional.
Dies ist eine Anforderung der Datenschutzgrundverordnung, aber auch eine Frage des betrieblichen Überlebens.
✔️ Die Lieferkette ist ein vorrangiger Angriffsvektor
NIS2, ISO 27001, ENS, SOC2 und DORA haben sie zu einer zentralen Anforderung erhoben.
Und die Schlussfolgerung ist unausweichlich:
wir brauchen Tools, die Transparenz, Kontrolle und Reaktionsfähigkeit bieten.
Zwei unverzichtbare Werkzeuge für die heutige Welt
Um dieses komplexe Ökosystem zu verwalten, haben sich zwei grundlegende Elemente herausgebildet:
das Trust Center und der Breach Manager.
Was ist ein Trust Center?
Ein Trust Center ist der zentrale Punkt, an dem eine Organisation dokumentiert und kommuniziert:
- welche Lieferanten er verwendet,
- welche Daten sie verarbeiten,
- welche Sicherheitsgarantien sie bieten,
- wie es die Privatsphäre verwaltet,
- welche Zertifizierungen es hat,
- und wie es um die Einhaltung der Vorschriften bestellt ist.
Es ist ein Werkzeug für Transparenz, Ordnung und Kontrolle, sowohl für den internen als auch für den externen Gebrauch.
Im Grunde genommen:
Ein Trust Center verwandelt ein verstreutes Ökosystem von Anbietern in ein geregeltes und überprüfbares System.
Lässt Sie wissen:
- wer Zugang zu Ihren Daten hat,
- Aus welchem Grund?
- für wie lange,
- unter welchen Sicherheitsmaßnahmen,
- und welche regulatorischen Auswirkungen sie hat.
Was ist ein Breach Manager?
Ein Breach Manager ist das Werkzeug, mit dem Sie jeden Sicherheitsvorfall strukturiert verwalten können, unabhängig davon, ob es sich um Ihren eigenen Vorfall oder den eines Lieferanten handelt.
Wichtige Funktionen:
- Warnungen oder Verdachtsmomente registrieren,
- die Koordinierung der Forschung,
- die Zentralisierung von Beweisen,
- Folgenabschätzung,
- rechtliche Verpflichtungen zu bestimmen (RGPD: 72h),
- dokumentieren Sie den gesamten Prozess für Audits.
Sein Zweck:
Dass eine Lücke nicht zu einer Krise wird und dass die gesamte Organisation weiß, was wann und wie zu tun ist.
Trust Center + Breach Manager: die Antwort auf eine hypervernetzte Welt
Der Fall Mixpanel-OpenAI macht das deutlich:
- Sie können nicht schützen, was Sie nicht kennen,
- was nicht dokumentiert ist, kann nicht vertrauenswürdig sein,
- Ohne einen definierten Prozess können keine Maßnahmen ergriffen werden,
- und können nicht ohne Kontrollmechanismen ausgelagert werden.
Deshalb brauchen moderne Organisationen:
✔️ Ein Trust Centre, um herauszufinden, wer was hat und warum
✔️ Ein Breach Manager, der weiß, was zu tun ist, wenn etwas schief läuft
Gemeinsam ermöglichen sie:
- sehen Sie Ihre Lieferkette,
- kontrollieren Sie Ihre Daten,
- Risikominderung,
- und genau auf Vorfälle zu reagieren.
Wir von ithikioshelfen Unternehmen dabei, Risiken durch Dritte vorzubeugen, sie zu kontrollieren und schnell zu handeln. Unser Trust Center sorgt für Transparenz und Ordnung in der gesamten Lieferkette, und unser Breach Manager ermöglicht es Ihnen, Vorfälle strukturiert, dokumentiert und zeitnah zu verwalten.
Denn in einer Welt, in der die Sicherheit auch von Ihren Lieferanten abhängt, sind Kontrolle und Reaktionsfähigkeit nicht mehr optional, sondern unerlässlich.
