Lieferkettensicherheit: Sicherer Datenaustausch mit Lieferanten, Partnern und Kunden
Unternehmen sind in der Regel vielfältig vernetzt und stehen über ihre eigenen Systeme hinaus im Austausch – mit Zulieferern, Kund*innen, Behörden oder Partnerunternehmen. Die Integrität dieser gesamten „Supply Chain“ ist für die Unternehmenssicherheit von entscheidender Bedeutung.
Denn trifft ein Cyber-Angriff auch nur ein Glied dieser Kette, kann dies verheerende Auswirkungen auf alle vernetzten Systeme haben. Dabei kann es sich um Kollateralschäden handeln, aber auch um gezielte Angriffe, die ein weniger geschütztes Unternehmen als Sprungbrett zum eigentlichen Zielsystem nutzen.
Die Zahl solcher Angriffe nimmt stetig zu. Risiken in der Lieferkette werden daher auch in der neuen NIS2-Richtlinie als besonders wichtig eingestuft. [1] Aber nicht nur betroffene Unternehmen können und sollten sich mit Cyber Security in der Lieferkette auseinandersetzen und grundlegende Strategien bzw. Maßnahmen umsetzen.
Sichere Lieferketten: Abhängigkeiten betreffen jede Organisation
Unabhängig davon, ob man als kleines, mittleres oder großes Unternehmen Dienstleistungen erbringt oder selbst IT-Dienstleistungen in Anspruch nimmt: Die Fähigkeit zur digitalen Kommunikation und Grundversorgung hat fast immer Auswirkungen auf die eigene Geschäftstätigkeit. Das Verständnis der Abhängigkeitsstruktur ist daher ein sehr wichtiges strategisches Element zur Sicherung des eigenen Unternehmens.
Natürlich sind die möglichen Auswirkungen und Szenarien je nach Unternehmensgröße unterschiedlich und nicht jedes Unternehmen „muss“ sich mit diesem Thema auseinandersetzen. Aber schon im eigenen Interesse der Risikominimierung ist es sinnvoll, diese Vorbereitungen zu treffen. Ein weiterer Vorteil liegt in einer sicherheitsorientierten Unternehmenskultur, die – wenn sie von Anfang an gut umgesetzt wird – besser skalierbar ist und nicht erst zu einem späteren Zeitpunkt mühsam erarbeitet werden muss.
ENISA-Studie: “Good Practices for Supply Chain Cybersecurity”
Die Europäische Agentur für Cybersicherheit hat im Juni 2023 eine Studie zum Status und zur Umsetzung für sichere Lieferketten veröffentlicht. Wenig überraschend zeigt diese, dass große Unternehmen hier einen Vorsprung gegenüber kleineren Organisationen haben. Beim detaillierten Umsetzungsgrad liegt der Bankensektor an der Spitze.
Obwohl das Verständnis für die Notwendigkeit der Sicherung von Lieferketten in den Unternehmen im Allgemeinen vorhanden ist, besteht bei der Planung und Umsetzung von Maßnahmen noch erheblicher Verbesserungsbedarf. [2] Das Thema Third Party Risk Management steht deshalb auf der Agenda zahlreicher Organisationen.
Häufig Defizite bei Inventarisierung und Schwachstellenmanagement
Die ENISA-Studie macht deutlich, dass viele Unternehmen noch kein vollständiges Asset-Management haben. Häufig gibt es Lücken in der Dokumentation der eingesetzten Systeme und Dienste. Daraus ergibt sich Handlungsbedarf bei der Erkennung von Sicherheitslücken und der regelmäßigen Aktualisierung der Systeme.
Gerade diese einfachen Tätigkeiten wie Patchen und Updaten tragen jedoch immens dazu bei, Sicherheitsprobleme von vornherein zu vermeiden. Ein umfassendes Asset Management hat daher oft ein erhebliches Potenzial zur Verbesserung des gesamten Sicherheitsniveaus.
Empfehlungen zu Strategien für sichere Lieferketten
Der ENISA-Studie zufolge mangelt es den Unternehmen vor allem an einem strategischen Ansatz für das Management ihrer Lieferantenbeziehungen, die Qualitätsbewertung und das Schwachstellenmanagement. Es wird empfohlen, alle Cybersicherheits-Abhängigkeiten in der ICT/OT-Lieferkette kontinuierlich zu überprüfen und hinsichtlich ihrer Risiken für die eigene Cyber-Lieferkette zu bewerten.
In ähnlicher Weise fordert auch die NIS-Richtlinie 2 einen risikobasierten Ansatz unter Berücksichtigung der folgenden vier Aspekte:
- Risikobewertung der ICT/OT-Lieferkette inkl. Aufbau und Struktur der Abhängigkeiten und unter Berücksichtigung der eigenen Risken und derer für Endkunden
- Management von Lieferantenbeziehungen inkl. Definition von Anforderungen, Richtlinien, Performance-Monitoring und Change-Management
- Umgang mit Schwachstellen in Produkten und Komponenten inkl. Asset Management, Schwachstellen-Monitoring, Patching und Wartungs-Richtlinien
- Qualität der Produkte und Cybersicherheitspraktiken von Lieferanten und Dienstleistern inkl. Sicherer Infrastruktur und Prozesse, technischer Maßnahmen, Transparenz entlang der Lieferkette und Qualitätsbewertung
Mit Good Practices und Verweisen auf bestehende Standards gibt ENISA konkrete Handlungsempfehlungen für Maßnahmen und Ziele in diesen vier Bereichen – sowohl für Unternehmen, die ihre Lieferkettensicherheit optimieren wollen, als auch für Lieferanten und Dienstleister. Grundlage sollte immer eine dokumentierte und kommunizierte Strategie sein, die zum Unternehmen passt, um ein effizientes und zielgerichtetes Vorgehen zu unterstützen. Planen Sie frühzeitig die notwendigen Ressourcen (Personal, Budget) ein und machen Sie sich bewusst, dass die Erreichung sicherer Lieferketten kein abgeschlossener, sondern ein kontinuierlicher Prozess ist.
Trotz bewährter Verfahren zur Schaffung sicherer Lieferketten ist es nicht möglich, alle Risiken auszuschließen. Ziel der OT-Sicherheit ist es daher auch, die operative Resilienz zu stärken und Anomalien, Störungen oder Angriffe möglichst früh und präzise zu erkennen. Auf diese Weise haben Sie die Möglichkeit, schnell und gezielt zu reagieren und die Auswirkungen von Vorfällen zu verhindern oder zu mindern.
Das könnte Sie auch interessieren:
Defense in Depth: Multi-Layer-Ansatz für gelebte OT-Security
Cyber Threat Intelligence für OT
Wer kümmert sich um die Sicherheit in der OT?
Quellen:
[1] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555&qid=1674579731975&from=EN
[2] https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity