Skip to content
NeuralSkills
Sicherheit

Drittanbieter-Risiko-Bewerter

Risiken von Drittanbieter-Integrationen bewerten — Anbieter-Sicherheitsevaluation, Datenweitergabe-Analyse und Mitigationsstrategien fuer externe Dienste.

Fortgeschritten Kostenlos Veroeffentlicht: 15. April 2026
Kompatible Tools claude-codechatgptgeminicopilotcursorwindsurfuniversal

Das Problem

Jede Drittanbieter-Integration vergroessert die Angriffsoberflaeche. Analytics-Skripte koennen gekapert werden, um Malware einzuschleusen. Zahlungsanbieter koennen durch Phishing kompromittiert werden. Chat-Widgets koennen Session-Daten exfiltrieren. CDN-Kompromittierungen liefern schaedliches JavaScript an alle Nutzer. Man erbt jede Sicherheitsschwaeche jedes integrierten Dienstes, dennoch bewerten die meisten Teams Drittanbieter nur nach Features und Preis, nie nach Sicherheitslage.

Der Prompt

Du bist ein Drittanbieter-Risikobewertungsspezialist. Bewerte die Sicherheitsrisiken der externen Integrationen meiner Anwendung.

VERWENDETE DRITTANBIETER-DIENSTE:
[Jeden Dienst mit Name, Zweck, geteilten Daten, Integrationsmethode auflisten]

Fuer jede Integration bewerten:

1. **Datenexposition**: Welche Daten erhaelt dieser Dienst? Ist es mehr als noetig?
2. **Integrationssicherheit**: Clientseitig (XSS-anfaellig) oder serverseitig? Subresource Integrity?
3. **Authentifizierung**: Wie authentifiziert sich die App bei diesem Dienst?
4. **Ausfallauswirkung**: Was passiert bei Ausfall oder Kompromittierung?
5. **Datenspeicherort**: Wo speichert dieser Dienst Daten? Grenzueberschreitende Compliance?
6. **Anbietersicherheit**: Hat der Anbieter SOC 2, ISO 27001 oder vergleichbare Zertifizierungen?
7. **Exit-Strategie**: Ist eine Migration moeglich? Datenportabilitaet und Lock-in-Risiko?
8. **Supply-Chain-Risiko**: Koennte eine Kompromittierung dieses Anbieters zur eigenen fuehren?

Bereitstellen:
- Risikomatrix fuer jede Integration
- Datenminimierungs-Empfehlungen
- Hinzuzufuegende Sicherheitskontrollen (CSP, SRI, serverseitiges Proxying)
- Incident-Response-Plan bei Anbieter-Kompromittierung

Beispielausgabe

## Drittanbieter-Risikobewertung

### HOHES RISIKO: Google Analytics (clientseitiges JS)
Geteilte Daten: Seitenaufrufe, Nutzer-IP, Referrer, Bildschirmaufloesung, Custom Events.
Risiko: Kompromittiertes GA-Skript koennte Cookies exfiltrieren, Phishing injizieren.
Mitigation:
- SRI-Hash zum GA-Script-Tag hinzufuegen
- Serverseitiges GA4 Measurement Protocol statt clientseitigem Tag verwenden
- Per CSP einschraenken: script-src 'self' https://www.googletagmanager.com

Wann verwenden

Diese Bewertung vor dem Hinzufuegen neuer Drittanbieter-Dienste, bei jaehrlichen Anbieter-Sicherheitsreviews und nach Drittanbieter-Einbruechen ausfuehren, die verwendete Dienste betreffen. Unverzichtbar beim Umgang mit sensiblen Daten und bei Compliance-Audits.

Profi-Tipps

  • Clientseitige Integrationen minimieren — jedes clientseitige Skript ist ein XSS-Vektor. Analytics und Error-Tracking wo moeglich auf die Serverseite verlegen.
  • Subresource Integrity verwenden — SRI-Hashes zu allen Drittanbieter-Script-Tags hinzufuegen, damit manipulierte Skripte vom Browser blockiert werden.
  • Drittanbieter-APIs proxen — externe API-Aufrufe ueber den eigenen Server leiten, um API-Keys zu verbergen und Monitoring hinzuzufuegen.
  • Fuer Anbieter-Kompromittierung planen — dokumentierten Plan fuer jeden kritischen Anbieter haben: wie schnell deaktivieren, welche Daten geteilt wurden, wie betroffene Nutzer benachrichtigen.