Cyberangriffe auf die Lieferkette

Ein IT-Sicherheitsvorfall bei einem Mitglied der Supply Chain kann auch das eigene Unternehmen betreffen und drastische Folgen nach sich ziehen. So hat Forrester für 2022 prognostiziert, dass sich 60 Prozent der Sicherheitsvorfälle außerhalb der Unternehmensgrenzen ereignen werden. Ein modernes Supply Chain Risk (SCR) Management schafft Abhilfe. [...]

Unternehmen haben oft keine Übersicht über alle Zulieferer in ihrer Supply Chain. (c) Arno Senoner / Unsplash
Unternehmen haben oft keine Übersicht über alle Zulieferer in ihrer Supply Chain. (c) Arno Senoner / Unsplash

Zu den möglichen Folgen eines Cybersicherheitsvorfalls in der Supply Chain zählen vor allem ein drohender Stillstand auch des eigenen Geschäftsbetriebs sowie der Diebstahl von Daten, die beim Lieferanten gespeichert sind. Doch wie lässt sich das verhindern?

Zunächst sollte Unternehmen ihre Lieferanten kennen. Dieser Punkt klingt selbstverständlich – aber viele Unternehmen wissen gar nicht genau, wer sich hinter ihren Zulieferern verbirgt. 

Analyse aller Lieferanten

Der erste Schritt auf dem Weg zu einem sicheren SCR-Management sollte daher die Auflistung aller Supplier sein. Oftmals geschieht dies nur nach der Höhe der Service- oder Lieferkosten. Lieferanten, die diese Schwelle nicht erreichen, werden meistens auch nicht genauer analysiert. Einige der Lieferanten, die auf diese Weise durch das Raster fallen, sollten aber vielleicht doch besser überprüft werden – wie beispielsweise der Drucker der jährlichen Corporate-Geschenke, der die gesamte Kundenliste eines Unternehmens besitzt.

Anschließend sollten man diese Liste sortieren und alle Zulieferer nach ihrer Kritikalität bewerten: Welche sind für das eigene Unternehmen wichtig? Und welche Auswirkungen könnte ein Cybersicherheitsvorfall bei diesen Lieferanten haben? Besonders wichtig sind solche Lieferanten, die Zugriff auf Systeme des Unternehmens, klassifizierte Daten oder persönlich identifizierbare Informationen (PII) haben. Diese kritischen Zulieferer sollten dann eingehender überprüft und analysiert werden.

Cybersecurity-Frameworks helfen bei der Definition und Überwachung von Security Policies. Sie enthalten Standards, Richtlinien und Best Practices, um das individuelle Cybersicherheitsrisiko zu bewerten. Bei regelmäßiger Anwendung ist so ein kontinuierliches Monitoring von IT-Sicherheit und -Systemen gewährleistet. Frameworks wie das National Institute of Standards and Technology (NIST) Cybersecurity-Framework lassen sich nicht nur auf das eigene Unternehmen anwenden, sondern sind auch für die Bewertung des IT-Sicherheitsrisikos von Zulieferern optimal geeignet.

Die Bewertungsfragen eines Frameworks beinhalten etwa die Fähigkeit des Anbieters zur Datenverschlüsselung, die Verwendung von Mehrfaktor-Authentifizierung (MFA), Passwortrichtlinien sowie die Verwaltung von Patchprogrammen, Architektur und Segmentierung des Netzwerks sowie Cloud-Nutzung. Da auf Assessment-Fragen auch unwahr geantwortet werden kann, sollten Nachweise angefordert werden. Dies können beispielsweise Bestätigungen zur Einhaltung von Sicherheitsrichtlinien, Berichte von Penetrationstests, Zertifizierungen wie DIN EN ISO 27001 oder Audits des Standards SOC 2 (System and Organization Controls 2) sein.

„Das NIST Cyber-security-Framework eignet sich auch für die Bewertung von Zulieferern.“

Fred Tavas

Die richtigen Schlüsse ziehen

Zu wissen, welche Parameter in die Risikobewertung eines Lieferanten einfließen und wie sich diese Schwachstellen auf das eigene Unternehmen auswirken können, ist elementar. Beispielsweise hat ein Zulieferer SSL-Schwachstellen: Stellen diese nun ein Problem für das eigene Unternehmen dar? Wenn der Anbieter die Kundendaten des Unternehmens auf einem öffentlich zugänglichen System speichern sollte: definitiv; wenn er aber nur Blumen an der Rezeption bereitstellt, wirkt sich diese Schwachstelle nicht auf das eigene Unternehmen aus.

Die Interpretation der Vielzahl von Cybersicherheitsberichten, Zertifikaten, Scans und Rich-Text-Antworten erfordert eine große Wissensspanne. Über diese verfügen die meisten IT- oder Audit-Generalisten nicht, und KI-basierte Sicherheitsscans können die Daten zudem nicht mit Genauigkeit verarbeiten. Unternehmen sollten die Auswertung und Interpretation ihres Risk Assessment daher an einen externen Provider auslagern. Neben der schnellen und fachkundigen Auswertung kann ein solcher Provider auch Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken bei Hochrisikolieferanten bieten.

Threat Detection sollte Teil der SCR-Strategie sein

Wie die SolarWinds-Schwachstelle aus 2020 zeigte, kann keine noch so gute Risikobewertung vor einem potenziellen nationalstaatlichen Angriff schützen. Ein Dienst oder eine Funktion zur Erkennung von Bedrohungen warnt jedoch in Echtzeit vor Vorfällen und Verstößen. Zumindest lässt sich so schnell reagieren und bestenfalls die Bedrohung stoppen, bevor sie die kritischen Systeme des eigenen Unternehmens erreicht.

Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann helfen, die Resilienzfähigkeit eines Unternehmens gegen Risiken in der Lieferkette zu verbessern. Die Ergreifung geeigneter Maßnahmen verkürzt die Zeit, die benötigt wird, um ein SCR-Managementprogramm in Gang zu bringen. MSSP können auch dabei unterstützen, wenn Unternehmen interne Cyberrisikobewertungen überdenken wollen oder einen effizienten externen Anbieter suchen, der diese Aufgabe für sie übernimmt.

*Der Autor Fred Tavas ist Country Manager DACH & CEE bei Trustwave.


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*