Cyberangriffe auf die Lieferkette

Ein IT-Sicherheitsvorfall bei einem Mitglied der Supply Chain kann auch das eigene Unternehmen betreffen und drastische Folgen nach sich ziehen. So hat Forrester für 2022 prognostiziert, dass sich 60 Prozent der Sicherheitsvorfälle außerhalb der Unternehmensgrenzen ereignen werden. Ein modernes Supply Chain Risk (SCR) Management schafft Abhilfe. [...]

Unternehmen haben oft keine Übersicht über alle Zulieferer in ihrer Supply Chain. (c) Arno Senoner / Unsplash
Unternehmen haben oft keine Übersicht über alle Zulieferer in ihrer Supply Chain. (c) Arno Senoner / Unsplash

Zu den möglichen Folgen eines Cybersicherheitsvorfalls in der Supply Chain zählen vor allem ein drohender Stillstand auch des eigenen Geschäftsbetriebs sowie der Diebstahl von Daten, die beim Lieferanten gespeichert sind. Doch wie lässt sich das verhindern?

Zunächst sollte Unternehmen ihre Lieferanten kennen. Dieser Punkt klingt selbstverständlich – aber viele Unternehmen wissen gar nicht genau, wer sich hinter ihren Zulieferern verbirgt. 

Analyse aller Lieferanten

Der erste Schritt auf dem Weg zu einem sicheren SCR-Management sollte daher die Auflistung aller Supplier sein. Oftmals geschieht dies nur nach der Höhe der Service- oder Lieferkosten. Lieferanten, die diese Schwelle nicht erreichen, werden meistens auch nicht genauer analysiert. Einige der Lieferanten, die auf diese Weise durch das Raster fallen, sollten aber vielleicht doch besser überprüft werden – wie beispielsweise der Drucker der jährlichen Corporate-Geschenke, der die gesamte Kundenliste eines Unternehmens besitzt.

Anschließend sollten man diese Liste sortieren und alle Zulieferer nach ihrer Kritikalität bewerten: Welche sind für das eigene Unternehmen wichtig? Und welche Auswirkungen könnte ein Cybersicherheitsvorfall bei diesen Lieferanten haben? Besonders wichtig sind solche Lieferanten, die Zugriff auf Systeme des Unternehmens, klassifizierte Daten oder persönlich identifizierbare Informationen (PII) haben. Diese kritischen Zulieferer sollten dann eingehender überprüft und analysiert werden.

Cybersecurity-Frameworks helfen bei der Definition und Überwachung von Security Policies. Sie enthalten Standards, Richtlinien und Best Practices, um das individuelle Cybersicherheitsrisiko zu bewerten. Bei regelmäßiger Anwendung ist so ein kontinuierliches Monitoring von IT-Sicherheit und -Systemen gewährleistet. Frameworks wie das National Institute of Standards and Technology (NIST) Cybersecurity-Framework lassen sich nicht nur auf das eigene Unternehmen anwenden, sondern sind auch für die Bewertung des IT-Sicherheitsrisikos von Zulieferern optimal geeignet.

Die Bewertungsfragen eines Frameworks beinhalten etwa die Fähigkeit des Anbieters zur Datenverschlüsselung, die Verwendung von Mehrfaktor-Authentifizierung (MFA), Passwortrichtlinien sowie die Verwaltung von Patchprogrammen, Architektur und Segmentierung des Netzwerks sowie Cloud-Nutzung. Da auf Assessment-Fragen auch unwahr geantwortet werden kann, sollten Nachweise angefordert werden. Dies können beispielsweise Bestätigungen zur Einhaltung von Sicherheitsrichtlinien, Berichte von Penetrationstests, Zertifizierungen wie DIN EN ISO 27001 oder Audits des Standards SOC 2 (System and Organization Controls 2) sein.

„Das NIST Cyber-security-Framework eignet sich auch für die Bewertung von Zulieferern.“

Fred Tavas

Die richtigen Schlüsse ziehen

Zu wissen, welche Parameter in die Risikobewertung eines Lieferanten einfließen und wie sich diese Schwachstellen auf das eigene Unternehmen auswirken können, ist elementar. Beispielsweise hat ein Zulieferer SSL-Schwachstellen: Stellen diese nun ein Problem für das eigene Unternehmen dar? Wenn der Anbieter die Kundendaten des Unternehmens auf einem öffentlich zugänglichen System speichern sollte: definitiv; wenn er aber nur Blumen an der Rezeption bereitstellt, wirkt sich diese Schwachstelle nicht auf das eigene Unternehmen aus.

Die Interpretation der Vielzahl von Cybersicherheitsberichten, Zertifikaten, Scans und Rich-Text-Antworten erfordert eine große Wissensspanne. Über diese verfügen die meisten IT- oder Audit-Generalisten nicht, und KI-basierte Sicherheitsscans können die Daten zudem nicht mit Genauigkeit verarbeiten. Unternehmen sollten die Auswertung und Interpretation ihres Risk Assessment daher an einen externen Provider auslagern. Neben der schnellen und fachkundigen Auswertung kann ein solcher Provider auch Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken bei Hochrisikolieferanten bieten.

Threat Detection sollte Teil der SCR-Strategie sein

Wie die SolarWinds-Schwachstelle aus 2020 zeigte, kann keine noch so gute Risikobewertung vor einem potenziellen nationalstaatlichen Angriff schützen. Ein Dienst oder eine Funktion zur Erkennung von Bedrohungen warnt jedoch in Echtzeit vor Vorfällen und Verstößen. Zumindest lässt sich so schnell reagieren und bestenfalls die Bedrohung stoppen, bevor sie die kritischen Systeme des eigenen Unternehmens erreicht.

Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann helfen, die Resilienzfähigkeit eines Unternehmens gegen Risiken in der Lieferkette zu verbessern. Die Ergreifung geeigneter Maßnahmen verkürzt die Zeit, die benötigt wird, um ein SCR-Managementprogramm in Gang zu bringen. MSSP können auch dabei unterstützen, wenn Unternehmen interne Cyberrisikobewertungen überdenken wollen oder einen effizienten externen Anbieter suchen, der diese Aufgabe für sie übernimmt.

*Der Autor Fred Tavas ist Country Manager DACH & CEE bei Trustwave.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*