Einführung | Introduction
English version down below
Inhaltsverzeichnis
- Rating anfordern
- Kein vorhandenes Rating
- WebRisk-Indikator
- Mindestanforderung - Erfüllt/Nicht erfüllt
Rating anfordern
Um ein Rating von Ihren Lieferanten anzufordern, klicken Sie auf "RATINGS ANFORDERN".
1. Schritt - Lieferanten wählen
In diesem Schritt können Sie alle Lieferanten auswählen, für die Sie das Rating erhalten möchten.
2. Schritt - Bestellung abschließen
Anschließend können Sie die Bestellung aufgeben. Das entsprechende Kontingent wird Ihnen nach Abschluss der Bestellung von Ihrem Konto abgezogen.
Kein vorhandenes Rating
Nachdem Sie uns die Liste Ihrer Lieferanten zur Verfügung gestellt haben, wird Ihre Seite entsprechend leer und ohne Ratings angezeigt. Es ist möglich, dass ein Lieferant, der bereits in der Liste eingetragen ist, ein gültiges Rating abgeschlossen hat und dieses zur Veröffentlichung freigegeben hat. In diesem Fall wird der Lieferant ohne die Notwendigkeit einer erneuten Bewertungsanfrage angezeigt.
Dies wird dann wie folgt aussehen:
Auf der ganz linken Seite haben Sie nun die Möglichkeit, durch Klicken auf das grau hinterlegte Feld selbst festzulegen, ob dieser Lieferant für Sie Datenschutz relevant ist oder nicht.
Hierbei wird der Lieferant je nach Situation unterschiedlich angezeigt:
- Kein abgeschlossenes Rating: Wenn Sie hier "Ja" oder "Nein" auswählen, wird der Lieferant lediglich unter diejenigen Lieferanten verschoben, die bereits ein Rating besitzen.
- Abgeschlossenes Rating: Wenn Sie hier "Nein" wählen, wird der Lieferant einfach nach unten verschoben. Bei Auswahl von "Ja" wird der Lieferant je nachdem, ob das Rating die Mindestanforderungen bestanden hat oder nicht, entsprechend rot (nicht bestanden) oder grün (bestanden) angezeigt.
Über den Button "Rating anfordern", hat man die Möglichkeit, ein Rating dieses Lieferanten anzufordern.
WebRisk-Indikator
Die 3-stellige Zahl neben dem Lieferantennamen ist der WebRisk-Indikator. Sobald Ihre Lieferanten im CyberRisk-Portal aufgeführt sind, steht der WebRisk-Indikator (C-Score) für alle von ihnen zur Verfügung. Dieser Indikator dient als erste Bewertung von Cyberrisiken und bewertet automatisch öffentlich zugängliche IT-Informationen.
Der WebRisk-Indikator ist ein vollautomatischer externer Sicherheitscheck, der auf nicht-invasive Weise die über das Internet zugänglichen Anwendungen einer Organisation überprüft und auf dieser Grundlage Rückschlüsse auf die zugrunde liegende technische und organisatorische Cybersicherheit zieht.
Die Domains und IP-Adressbereiche der Organisation, die Teil dieser Überprüfung sind, müssen zum Zeitpunkt der Antragstellung offengelegt werden und werden durch technisch zuordenbare, über das Internet zugängliche Anwendungen ergänzt. Der WebRisk-Score wird als Indikator bei der Validierung der B- und A-Bewertungen berücksichtigt und separat angezeigt.
Wenn Sie den WebRisk-Indikator auswählen, öffnet sich ein Fenster mit einem detaillierten Einblick in den WebRisk-Score. Sie können die Entwicklung des Risikos über die letzten 12 Monate hinweg sehen.
In der rechten unteren Ecke können Sie die Schaltfläche "WebRisk-Bericht anzeigen" auswählen. Anschließend können Sie die Risikoeinschätzung zwischen 100 und 700 sehen.
Eine Bewertung von 700 deutet auf ein sehr hohes Cyberrisiko hin, während 100 ein minimales Risiko anzeigt.
Die folgenden Sicherheitsmängel werden untersucht: Malware, Defacement, Reputation und TLS-Probleme. Die genaue Domain, auf der das Problem auftritt, wird angezeigt. Das jeweilige Problem wird ebenfalls detailliert erläutert.
In den folgenden zwei Abschnitten betrachten wir jeweils ein Rating, das die Mindestanforderungen erfüllt, sowie ein weiteres, das die Mindestanforderungen nicht erfüllt.
Mindestanforderung - Erfüllt/Nicht erfüllt
Hier ist ein Beispiel für ein Rating, das die Mindestanforderungen erfüllt:
Hier ist ein Beispiel für ein Rating, welches die Mindestanforderungen nicht erfüllt:
Folgende Informationen sind zu erkennen (von links nach rechts betrachtet):
- Datenschutz-Relevanz des Lieferanten
- Name des Lieferanten
- WebRisk-Indikator
- Mindestanforderung erfüllt bzw. nicht erfüllt
- Rating-Ergebnis in Form eines Tachometers
- Gültigkeit des Ratings
- Bereich für Anmerkungen
- Symbol mit drei Punkten für weitere Optionen
Die spezifischen Punkte, die nicht erklärt wurden, werden im Anschluss näher erläutert.
Unter den 25 Anforderungen bzw. Fragen des Datenschutz-Ratings befinden sich 10 sogenannte Mindestanforderungen. Diese stellen das Mindestmaß an Datenschutz in einer Organisation dar. Wird auch nur eine dieser Mindestanforderungen nicht positiv beantwortet oder von der Validierung nicht akzeptiert, gelten sie als nicht erfüllt. Wenn diese Anforderungen erfüllt sind, sieht man – wie in dem ersten oberen Bild – ein grünes Häkchen. Zusätzlich wird bei einem Lieferanten, welcher die Mindestanforderungen erfüllt, ein farblich ausgefülltes Rating angezeigt. Sind die Anforderungen nicht erfüllt, erscheint ein rotes Häkchen und ein nicht ausgefülltes farbliches Rating.
Hier besteht ebenfalls die Möglichkeit, das Rating anzeigen zu lassen.
Rating-Ergebnis in Form eines Tachometers
Direkt neben dem Häkchen befindet sich das Rating-Ergebnis in Form eines Tachometers. Durch Klicken auf den Tachometer können weitere Details zum Rating abgerufen werden.
In diesem Beispiel weist das Rating dieses Lieferanten einen Reifegrad von 187 auf. Darunter befindet sich eine Skala ähnlich dem WebRisk-Indikator, die eine farbliche Darstellung und das Punktespektrum des Rating-Scores zeigt (100 - sehr gut / 700 - sehr schlecht). Auf der rechten Seite des Tachometers befinden sich die Gültigkeit des Ratings, der WebRisk-Score, die erfüllten Mindestanforderungen und der Reifegrad des Ratings.
Nun zeigen wir Ihnen ein Beispiel für ein Rating, das die Mindestanforderungen nicht erfüllt hat:
In diesem Beispiel weist das Rating dieses Lieferanten einen Reifegrad von 168 auf. Anders als bei einem Rating, bei dem die Mindestanforderungen erfüllt sind, befindet sich hier unten keine Skala, sondern eine Beschreibung, warum das Rating nicht vollständig dargestellt wird. Auf der rechten Seite des Tachometers befinden sich die Gültigkeit des Ratings, der WebRisk-Score, die nicht erfüllten Mindestanforderungen und der Reifegrad des Ratings.
In der unteren rechten Ecke besteht die Möglichkeit, sowohl auf die vergangenen Ratings dieses Lieferanten zuzugreifen als auch den zeitlichen Ablauf des Ratings einzusehen.
Bereich für Anmerkungen
Rechts neben dem Tachometer befindet sich die Gültigkeitsdauer des Ratings.
Direkt danach befindet sich ein Sprechblasen-Symbol, über das Anmerkungen zu dem jeweiligen Lieferanten hinzugefügt werden können.
Weitere Optionen
Direkt neben dem Sprechblasen-Symbol befinden sich drei Punkte.
Beim Öffnen erscheinen folgende Optionen:
- Vergangene Ratings: Hier werden die vergangenen Ratings des Lieferanten angezeigt.
- Rating-Ergebnis: Hier haben Sie die Möglichkeit, das Rating-Ergebnis als PDF-Datei (mit Signatur) herunterzuladen.
- Lieferantenüberwachung aktivieren: Normalerweise ist diese Funktion deaktiviert. Wenn Sie die Lieferantenüberwachung aktivieren, wird das bestehende Rating automatisch erneuert, bevor es abläuft. Die Kosten für die Erneuerung werden von Ihrem Bestellungskontingent abgezogen.
- Details anfragen: Hier werden Sie an die Hauptansprechperson des Lieferanten weitergeleitet. Sollten Unklarheiten bezüglich des Rating-Ergebnisses bestehen, können Sie hier auf die Antworten des Verantwortlichen des Lieferanten eingehen, um Klarheit zu schaffen.
English version:
Table of Contents
- Request Rating
- No existing Rating
- WebRisk Indicator
- Minimum Requirement - Fulfilled/Not Fulfilled
Request Rating
To request a rating from your suppliers, click on "ORDER RATINGS".
Step 1 - Select Suppliers
In this step, you can select all suppliers for whom you want to receive a rating.
Step 2 - Complete Order
Next, you can place the order. The corresponding quota will be deducted from your account after the order is completed.
No existing Rating
After you have provided us with the list of your suppliers, your page will appear empty and without ratings. It is possible that a supplier who is already listed has completed a valid rating and has released it for publication. In this case, the supplier will be displayed without the need for a new rating request.
This will look as follows:
On the far left, you now have the option to click on the greyed-out field to determine whether this supplier is relevant to you for data protection or not.
Depending on the situation, the supplier will be displayed differently:
No completed rating: If you select "Yes" or "No" here, the supplier will simply be moved under those suppliers who already have a rating. Completed rating: If you select "No" here, the supplier will simply be moved down. If you select "Yes," the supplier will be displayed accordingly in red (not passed) or green (passed) depending on whether the rating has met the minimum requirements or not.
By clicking the "Request Rating" button, you can request a rating for this supplier.