:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Dem Lieferkettensorgfaltspflichtengesetz gerecht werden Resilienz von Lieferketten in den Griff bekommen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Resilienz von Lieferketten wird in Krisenzeiten heiß diskutiert. Doch wie sicher ist die eigene Lieferkette speziell in Bezug auf menschenrechtliche und umweltbezogene Risiken? Eine proaktive Risikovorsorge wird für Unternehmen mit ihren zunehmend globalen und verflochtenen Geschäftsbeziehungen und angesichts sich ständig ändernder Vorschriften immer wichtiger.
Verantwortung zu übernehmen – nicht nur für den eigenen Betrieb, sondern auch für das Verhalten von Lieferanten und Geschäftspartnern – so verlangt es das Lieferkettensorgfaltspflichtengesetz. Zum 01.01.2023 sind Unternehmen mit einer Größe von mehr als 3.000 Mitarbeitern – das sind laut Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung über 900 in Deutschland – dazu verpflichtet, den Schutz von Umwelt und Menschenrechten entlang ihrer Lieferkette einzuhalten, zu verbessern und zu dokumentieren. Ab 2024 sind auch Unternehmen ab 1.000 Mitarbeitern betroffen. Die EU-Kommission plant außerdem Schritte, die weiter als das deutsche Lieferkettengesetz gehen und will Unternehmen ab 500 Mitarbeitern in die Pflicht nehmen. Für kleinere und mittelständische Unternehmen besteht also kein Grund zur Entwarnung. Grundsätzlich sollten sie schon jetzt auf die neuen Regularien vorbereitet sein. Sind sie doch häufig als direkte Zulieferer Teil der Lieferkette von größeren Firmen – und unterliegen durch indirekte Berichtspflicht teilweise ebenfalls den Sorgfaltspflichten. Um diese zu erfüllen, bieten moderne Softwareanwendungen, die sich ohne technische Installation schnell und einfach in die bestehende IT-Infrastruktur integrieren lassen, gute Unterstützung.
Risikoquellen schnell und zuverlässig identifizieren
Halten sich die Geschäftspartner an alle Umwelt- und Sozialstandards sowie arbeitsrechtlichen Vorgaben? Im Rahmen des Lieferkettengesetzes ist die Durchführung einer Risikoanalyse vorgeschrieben, die genau dieser Frage nachgeht. Die Risikoanalyse besteht dabei aus zwei Bereichen: erstens der Ermittlung und zweitens der Bewertung der Risiken. Im ersten Schritt werden alle unmittelbaren Lieferanten eines Unternehmens, erfasst. Unmittelbar bedeutet in diesem Zusammenhang, dass der Lieferant ohne weitere Umwege als direkter Zulieferer mit dem Unternehmen zusammenarbeitet und diese Zusammenarbeit in einem Vertrag geregelt ist.
Diese unmittelbaren Lieferanten werden auf Basis eines vorher definierten Risikomodells in verschiedene Risikostufen eingeordnet. Wichtige Kriterien sind dabei das Herkunftsland des Lieferanten und die Branche, aber auch externe Informationen wie die Berichterstattung in den Medien, Sanktionslisten oder Gerichtsurteile spielen eine wichtige Rolle. Selbstauskünfte von Lieferanten in Form von Fragebögen fließen ebenfalls mit ein. Bei der Erfassung dieser riesigen Datenmengen leisten Softwarelösungen auf Basis von künstlicher Intelligenz gute Dienste. Sie liefern schnelle, zuverlässige und umfassende Ergebnisse, bereinigen zugleich die Daten und eliminieren beispielsweise Falschschreibungen von Namen oder doppelte Eintragungen. Mit digitaler Hilfe lassen sich sämtliche Informationen aus unterschiedlichen Quellen konsolidieren und valide Risikobewertungen erstellen, die auf nachvollziehbaren Daten basieren.
Was passiert bei erhöhter Risikostufe?
Die Risikostufe eines Zulieferunternehmens zeigt an, wie hoch die Wahrscheinlichkeit ist, dass es in Menschenrechtsverletzungen verwickelt ist oder gegen Umweltauflagen verstößt. Bei erhöhtem Risiko müssen weitere Überprüfungen daher schnell und effektiv passieren. Eine Compliance-Software zeigt in diesem Fall beispielsweise automatisch an, ob auch die Lieferketten des betreffenden Zulieferers überprüft werden müssen. Mittelbare Lieferanten werden in diesem Fall wie unmittelbare Lieferanten behandelt und ebenfalls einer Risikostufe zugeordnet. Diese Ergebnisse fließen automatisiert in die Risikoberechnung des ursprünglich untersuchten unmittelbaren Lieferanten mit ein. Auf dieser Grundlage können Compliance-Verantwortliche dann über den weiteren Umgang mit diesem Lieferanten entscheiden. So ist es möglich, Lieferanten mit erhöhter Risikoeinstufung im System entsprechend zu klassifizieren und strenger sowie engmaschiger zu überwachen. KI-gestützte Compliance-Lösungen sind dabei in der Lage, ständig dazuzulernen. Sie vergleichen permanent die verschiedenen Vorgänge und Fälle, erkennen Zusammenhänge und geben entsprechende Hinweise auf Basis früherer Entscheidungen. Die Konsequenzen aus diesen Informationen ziehen letztlich aber die menschlichen Mitarbeiter des Unternehmens. Denn für die Einhaltung gesetzlicher Vorgaben ist es wichtig, dass Entscheidungen zu unterschiedlichen Vorgängen immer auf der gleichen Datengrundlage getroffen werden und transparent sind. KI darf dabei nicht zur Blackbox werden. Algorithmen, die zu nicht nachvollziehbaren Ergebnissen kommen oder eine Software, die sich ohne menschliche Kontrolle anpasst, und dadurch eventuell am nächsten Tag zu einer anderen Beurteilung kommt, wären unzulässig.
:quality(80)/p7i.vogel.de/wcms/bf/d5/bfd58ae618a554315974c51a807e2010/0100127717.jpeg "Statt Themenrevue liefert der Security-Insider Podcast diesmal kritische Einschätzungen zur kritischen Infrastruktur. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 61
Jetzt wird es kritisch!
Compliance – komplex, aber mit den richtigen Tools zu beherrschen
Den strukturellen und organisatorischen Rahmen für das Risikomanagement eines Unternehmens bildet idealerweise ein Compliance Management System. Dieses legt Verhaltenskodex und Richtlinien fest, richtet Kontrollmechanismen ein und sorgt dafür, dass eine funktionierende Compliance-Kultur im Unternehmen etabliert und vorgelebt wird. IT-Technologien wie künstliche Intelligenz oder Data Analytics sind dabei wichtige Hilfsmittel, denn Compliance ist ohne digitale Systeme in unserer zunehmend komplexer werdenden Welt kaum noch mit vertretbarem Aufwand einzuhalten. Damit alle Mitarbeiter für eine aktive Risikovorsorge am gleichen Strang ziehen, muss man sie einbinden und den richtigen Rahmen setzen: Neben regelmäßigen Fortbildungsmaßnahmen spielt hier das Vorbild der Führungskräfte eine wichtige Rolle. Ein weiterer Baustein sind digitale Lösungen, die intuitiv funktionieren und schnell echten Mehrwert bieten. Eins steht aber fest: Wer sich frühzeitig mit dem Thema Compliance beschäftigt, hat einen klaren Wettbewerbsvorteil – und ist mit dem richtigen CMS nicht nur beim Thema Lieferkettengesetz, sondern bei risikobehafteten Geschäftsabläufen generell auf der sicheren Seite.
Über den Autor: Dr. Lars A. Ludwig ist seit 2019 Geschäftsführer der targens GmbH und seit mehr als 25 Jahren Experte für Unternehmenssoftware im Finanzbereich. Mit seiner Leidenschaft für Innovation und Organisationsentwicklung wurde er im Jahr 2011 beim deutschen IT-Wettbewerb „CIO des Jahres“ prämiert. Er verfügt über ein breites Erfahrungsspektrum von KI-Forschung über Management Consulting bis zum Software Engineering insbesondere im Bereich Finanzdienstleistungen.
(ID:48741421)
:quality(80)/p7i.vogel.de/wcms/4b/48/4b4878d0a0ba3255d26a09db331efd98/0107730533.jpeg "Unternehmen müssen sich vor Schwachstellen in ihren digitalen Lieferketten schützen. Nur dann können sie ihre gesamten Supply Chains schützen und erfolgreich am Markt bestehen. (Bild: Travel mania - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/57/a957e5ec2d1d673a1c64155b2c6da69b/0103831955.jpeg "Die rechtskonforme Umsetzung unternehmerischer Sorgfaltspflichten zur Einhaltung von Compliance-Richtlinien ist für Unternehmen ein strategischer, kontinuierlicher, vor allem aber sehr individueller Prozess. (Bild: Murrstock - stock.adobe.com)")