Semantische Kennzeichnung von Drittanbieter‑Risiko‑Assessment‑Umfragen

In der heutigen Lieferkettenwelt ist die Bewertung von Drittanbietern ein entscheidender Bestandteil jeder Cybersicherheitsstrategie. Drittanbieter‑Risk‑Assessment‑Umfragen (TPRA) prüfen Lieferanten anhand internationaler Standards wie ISO/IEC 27001 und NIST, doch die Anpassung dieser umfangreichen Fragebestände an die spezifischen Bedürfnisse eines Unternehmens bleibt meist ein manueller Aufwand.

Derzeit greifen Retrieval‑Ansätze vor allem auf Schlüsselwörter oder oberflächliche Ähnlichkeiten zurück. Diese Methoden verfehlen häufig die implizite Prüfungsreichweite und die semantische Tiefe der Kontrollen, was zu ungenauen oder unvollständigen Bewertungen führt.

Die vorliegende Studie untersucht, wie semantische Labels – Beschreibungen, die sowohl Kontrollbereiche als auch den Prüfungsumfang abdecken – die Organisation und Suche von TPRA‑Fragen verbessern können. Dabei werden zwei Ansätze verglichen: ein direktes Frage‑Level‑Labeling mit einem großen Sprachmodell (LLM) und eine halbüberwachte semantische Labeling‑Pipeline (SSSL).

Die SSSL‑Pipeline gruppiert Fragen im Embedding‑Raum, labelt ein kleines repräsentatives Set mit einem LLM und überträgt die Labels anschließend mithilfe von k‑Nearest‑Neighbors auf die übrigen Fragen. Zusätzlich wird die Effektivität von Retrieval‑Methoden im Label‑Raum gegenüber direkter Frage‑Ähnlichkeit untersucht.

Die Ergebnisse zeigen, dass semantische Labels die Trefferquote deutlich erhöhen, wenn sie diskriminativ und konsistent sind. Die SSSL‑Methode kann aus wenigen gelabelten Fragen große Repositorien generalisieren und dabei die Nutzung von LLMs sowie die damit verbundenen Kosten erheblich reduzieren.

Diese Erkenntnisse unterstreichen das Potenzial semantischer Kennzeichnung, TPRA‑Umfragen effizienter, genauer und kostengünstiger zu gestalten – ein bedeutender Schritt zur Stärkung der Cybersicherheit in komplexen Lieferketten.