ISC2 Supply Chain Risk Survey 5 Tipps für mehr Lieferkettensicherheit

Anbieter zum Thema

(ISC)2 Inc.

FTAPI Software GmbH

Lieferketten bleiben ein Risikofaktor für Cyberangriffe. Eine ISC2-Umfrage zeigt große Unsicherheit bei Transparenz und Kontrolle. Diese fünf Maß­nah­men sollen Organisationen helfen, ihre Lieferketten wirksamer zu schützen.

Die Bedeutung der Cybersicherheit in Lieferketten nimmt immer mehr zu. ISC2 wollte den aktuellen Stand dieses drängenden Themas und seiner Auswirkungen evaluieren. Dafür hat der Schulungsanbieter in der „Supply Chain Risk Survey“ 1.062 Cybersicherheitsfachleute befragt. 70 Prozent der Befragten gaben an, dass ihre Organisation sehr oder extrem besorgt über die Cybersicherheit in ihren Lieferketten sind. Unternehmen, die bereits einen Cybersicherheits­vor­fall durch einen Drittanbieter oder Lieferanten erlebt haben, melden deutlich häufiger hohe Besorgnis. 28 Prozent der Befragten gaben an, in den vergangenen zwei Jahren einen solchen Vorfall erlebt zu haben. Allerdings hätten nicht alle Vorfälle bedingt durch Dritte zu direkten Auswirkungen auf das eigene Unternehmen geführt. 47 Prozent der Befragten gaben an, dass ihre Organisation nicht direkt betroffen war, als ihre Lieferanten einen Sicherheitsvorfall hatten.

Update: NIS 2 tritt morgen in Kraft

Bundestag verabschiedet NIS 2

Herausforderungen bei der Lieferkettensicherheit

Auf die Frage nach den größten Herausforderungen bei der Sicherheit gegen Cyber­be­droh­ungen in der Lieferkette, standen der Mangel an Transparenz oder zu wenig Kontrolle über die Sicherheitsmaßnahmen der Lieferanten im Fokus. Viele Befragte sind zudem über die Kom­plexi­tät ihrer Lieferketten besorgt und weisen darauf hin. Die meisten kennen weder die Lieferanten ihrer Lieferanten noch alle möglichen Einstiegspunkte.

Zudem bestätigten die Befragten, dass Bedrohungen für die Lieferkette nicht zwangsläufig nur von außen kommen. 29 Prozent stufen Insider-Bedrohungen durch externe Dienstleister als Risiko für ihre Organisationen ein.

Das Lieferkettensorgfaltspflichtengesetz und die deutsche Wirtschaft

Deutsche Unternehmen befürworten Verantwortung in der Lieferkette

Mehr Sicherheit in der Lieferkette schaffen

Um die Risiken für die eigene Lieferkette zu senken, führten 70 Prozent der Unternehmen re­gel­mäßig Risikobewertungen durch, entweder zum Zeitpunkt der Vertragsverlängerung oder jährlich. Weitere 49 Prozent prüfen ihre Zulieferer genau während der Erstbewertung oder Einarbeitung, 26 Prozent bei Vorfällen und 25 Prozent, wenn sie durch Überwachungstools auf eine Bedrohung aufmerksam werden.

Bei Risikomanagement der Lieferketten verfolgen die Befragten unterschiedliche Ansätze: 54 Prozent gaben an, dass ihre Organisation ein dediziertes Programm für das Risikomanagement verfolgt. Dieser Prozentsatz steigt bei Großunternehmen auf 70 Prozent. Viele Unternehmen verfolgen das Risikomanagement der Lieferkette jedoch weniger formell oder gar nicht. Rund 20 Prozent verlassen sich auf die in Verträgen bestimmten Sicherheitsmaßnahmen be­zieh­ungs­wei­se Service-Level-Vereinbarungen. 16 Prozent behandeln die Risiken „von Fall zu Fall“. Darüber hinaus haben zehn Prozent kein formelles Programm oder keinen dedizierten Ansatz für das Management Lieferkettenrisiken, acht Prozent dieser Befragten entwickeln allerdings derzeit ein solches Programm.

ISC2 gibt fünf Empfehlungen für mehr Sicherheit in der Lieferkette:

• Risikobewertungen durch Dritte: Risikobewertungen durch Dritte sind mittlerweile gängige Praxis, um potenzielle Sicherheitsprobleme zu identifizieren. Diese Bewertungen beinhalten häufig Schwachstellenscans und Prüfungen auf Fehlkonfigurationen.

• Risikomanagement kritischer Infrastruktur: Angriffe auf kritische Infrastrukturen können erhebliche Auswirkungen auf die öffentliche Sicherheit haben. Die Priorisierung der Si­cher­heit der Lieferkette mit Fokus auf kritische Infrastrukturen durch formelle Einarbeitungen und laufende Bewertungen ist laut ISC2 unerlässlich.

• Zero-Trust-Architektur: Sicherheit bedeute nicht nur den Perimeter zu bewachen, sondern es gehe darum, Sicherheitsprotokolle an jeder Flanke zu haben. Ein Zero-Trust-Ansatz bietet ISC2 zufolge eine ständige Gewissheit, dass jede Person dort ist, wo sie sein soll, und nur auf das zugreifen kann, was sie benötigt und wofür sie befugt ist, von On-Premise bis zur Cloud.

• Lieferantenvertragsprüfungen: Die Überprüfung und Bewertung von Lieferantenverträgen ist eine wichtige Aufgabe für Cybersicherheitsteams und Budgetinhaber. Als wichtiger Stress­test für die Lieferkette bietet dies die Möglichkeit, Schwächen und sich ändernde Be­dürfnisse zu identifizieren und anzugehen. Ein guter Vertrag mit klaren Lieferergebnissen und Erwartungen ist ein wichtiger Teil einer Cybersicherheitsstrategie.

• Entwicklung von Cybersicherheitskompetenzen: Fachkräfte für Cybersicherheits-Gover­nance, Risiken und Compliance, die Rahmenwerke nutzen, um Sicherheit und Datenschutz in organisatorische Ziele zu integrieren, können auf professionelle Zertifizierungen zurück­grei­fen. Damit ist es allen Stakeholdern in der Organisation möglich, fundierte Ent­schei­dun­gen für Datensicherheit, Compliance, Lieferkettenrisikomanagement und mehr zu treffen.

Strategien zur Lieferkettensicherheit

Cyberangriffe gefährden die Stabilität globaler Lieferketten

(ID:50648599)