Cyberrisiken in der Supply Chain beeinflussen die eigene Sicherheit

Das Lieferantennetzwerk ist für Unternehmen zunehmend business-kritisch. Cyberrisiken stellen dabei eine omnipräsente Bedrohung dar und beeinflussen alle beteiligten Parteien. Cyber Supply Chain Risk Management ist aus diesem Grund ein wichtiger Aspekt im ganzen Sicherheitsdispositiv eines Unternehmens.

Cyberangriffe beeinflussen die gesamte Supply Chain

Die Wichtigkeit des Themas wird aufgrund der vergangenen Erfahrungen (Cyberangriffe über Drittparteien und Lieferanten) und den laufenden Entwicklungen (zunehmende Vernetzung und Abhängigkeiten sowie steigende Maturität der Angreifer) als zentrales Thema bewertet. Trotzdem beinhalten die meisten Supply Chain Management-Praktiken heute keine Cyber Security-Aspekte, sondern konzentrieren sich stark auf traditionelle Attribute wie Lieferzuverlässigkeit, Kosten, Qualität usw. Dabei wären gerade Cyberrisiken innerhalb der Supply Chain elementar und dürfen nicht ausser Acht gelassen werden. Cyber Supply Chain Risk Management (kurz C-SCRM) rückt zu Recht in den Fokus von Schweizer Unternehmen. Denn im Falle eines erfolgreichen Hacks oder eines Datendiebstahls ist das betroffene Unternehmen in der Verantwortung – unabhängig davon, ob die Angreifer über die eigene IT oder die eines Lieferanten auf die Systeme und Daten zugreifen konnten.

Good Practices und Standards nutzen

Der Umgang mit Cyber-Sicherheitsrisiken innerhalb der Lieferanten- und Partnernetzwerke ist zwar eine grosse Herausforderung, aber es gibt Standards und Best Practices, die als Orientierungshilfe dienen. So beschreibt beispielsweise ISO/IEC 27036:2013 als Teil der ISO/IEC 27000-Serie die Informationssicherheit für Lieferantenbeziehungen. Zudem hat NIST in seiner Aktualisierung des NIST Cyber Security Framework die Kategorie «Supply Chain Risk Management» hinzugefügt, was dessen Bedeutung unterstreicht.

Die Version 1.1 des NIST Cyber Security Frameworks trägt den neuen technologischen Entwicklungen Rechnung und adressiert auch Bereiche wie IoT resp. IIoT.

Ein weiterer Schwerpunkt liegt in der Erkennung von Risiken in der gesamten Supply Chain. NIST hat dazu eine spezifische Kategorie eingeführt, um Prozesse zur Erkennung, Bewertung und Steuerung von Risiken in der Lieferantenkette einzurichten. In diesem Prozess sind, nebst dem eigenen Unternehmen, verschiedenste Akteure involviert wie Gerätehersteller, Netz- und Cloud-Anbieter sowie weitere Dienstleister und Verbraucher. Die Kommunikation und Überprüfung von Cyber-Sicherheitsanforderungen zwischen den Beteiligten ist dabei ein wichtiger Aspekt. Hierbei muss sichergestellt sein, dass alle Geschäftspartner die verbindliche Verpflichtung eingehen, digitales geistiges Eigentum und Daten genauso zu schützen, wie es die eigenen Cyber Security-Anforderungen verlangen – im Bedarfsfall auch mittels Security Assessments, Schwachstellen-Scans oder Penetration Tests.

Risk Management als Faktor der Lieferantenbewertung

Das Risikomanagement im Rahmen des strategischen Lieferantenmanagements dient dazu, Gefahren und Risiken frühzeitig zu erkennen, zu behandeln sowie proaktiv Aktionen und Massnahmen für den Ereignisfall zu definieren. Typischerweise werden dabei folgende Risikoarten differenziert: Vertrags-, Compliance & rechtliche Risiken, Finanz- & Kreditrisiken, Business Continuity & Supply Chain-Risiken, Cyber- und Datenschutzrisiken sowie operative Risiken. C-SCRM ist deshalb eigentlich keine neue Disziplin, sondern vielmehr eine Ausweitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten. Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu erhalten. Professionelle Lösungen, wie beispielsweise SecurityScorecard, ermöglichen es, diese Transparenz zu erhöhen und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen.

Autor:
Michel Herzog,
Senior Cyber Security Consultant, InfoGuard AG

InfoGuard AG
Lindenstrasse 10
6340 Baar
Tel. +41 41 749 19 00
www.infoguard.ch