:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Angriffe auf Lieferketten So schützen sich Unternehmen vor Supply Chain Network Attacks
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Durch die enge Zusammenarbeit und Vernetzung von Unternehmen mit ihren externen Geschäftspartnern steigt die Anzahl potenzieller Angriffsflächen für Cyberangriffe auf Lieferanten- und Abnehmerbeziehungen.
Die Schaffung von Vertrauen entlang von Lieferketten und innerhalb von Netzwerken (im Folgenden „Supply Chain Networks“ genannt) durch geeignete Schutz- und Sicherheitsmaßnahmen bildet eine entscheidende Grundlage, um die Entdeckungswahrscheinlichkeit von Angriffen erhöhen zu können, ihre Eintrittswahrscheinlichkeit zu reduzieren und Schäden soweit möglich zu mindern oder gänzlich zu vermeiden.
Warum sollten Unternehmen jetzt handeln?
Getrieben vor allem durch jahrzehntelange Globalisierungsprozesse und die voranschreitende Digitalisierung wandeln sich traditionell eher linear ausgerichtete Supply Chains vermehrt hin zu dynamischen, komplexen Netzwerkstrukturen.
Ungeachtet der offensichtlichen Vorteile, wie beispielsweise einer schnelleren und kosteneffizienteren Erfüllung von Kundenanforderungen, stellt diese tiefgreifende Entwicklung Unternehmen vor die immense Herausforderung, die Betriebs-, Widerstands- und Anpassungsfähigkeit ihrer Supply Chain Networks fortlaufend und immer wieder aufs Neue sicherzustellen. Laut der aktuellen Global Future of Cyber Survey 2023 von Deloitte Deutschland zählen Störungen oder Unterbrechungen von Supply Chain Networks zu den häufigsten und schwerwiegendsten Folgen eines Cyberangriffs für Unternehmen.
Wie kann ein Angriff auf ein Supply Chain Network erfolgen?
Es gibt viele Möglichkeiten, Lieferanten- und Abnehmerbeziehungen von Unternehmen und die zwischen ihnen bestehenden Material-, Informations- und Finanzflüsse zu bedrohen und zu schädigen. Drei der am häufigsten beobachteten Angriffsvektoren sind:
- Ein Lieferant wird direktes Opfer eines Cyberangriffs (z. B. durch einen Ransomware-Angriff), der zu einem Ausfall von IT-Systemen führt.
- Die durch einen Lieferanten verkauften Produkte oder Dienstleistungen werden derart manipuliert, dass sich Angreifer Zugang zu den IT-Systemen der Kunden verschaffen.
- Ein Unternehmen wird via seines Liefernetzwerks angegriffen, indem die vertrauensvollen Beziehungen innerhalb des Netzwerks von einem Angreifer ausgenutzt werden. Besonders häufig finden Phishing-Attacken (Social Engineering) statt, in welchen ein Angreifer sich gegenüber einem Unternehmen als Lieferant oder Dienstleister ausgibt und unter einem Vorwand ein Schadprogramm (Malware) installiert, sich damit Zugriff zum Unternehmen verschafft und zum Beispiel Daten stiehlt.
Was sind mögliche Folgen eines Angriffs auf ein Supply Chain Network?
Da Supply Chain Networks oft auf kritische Infrastrukturen oder entscheidende Geschäftspartner angewiesen sind sowie aus komplexen unternehmensübergreifenden Abhängigkeitsverhältnissen bestehen, kann ein erfolgreicher Cyberangriff unterschiedlichste Auswirkungen verursachen:
- 1. Unterbrechung von Kernprozessen: Produktionsprozesse und das damit verbundene Logistiknetzwerk können durch einen Angriff gestört oder unterbrochen werden, sodass Unternehmen nicht in der Lage sind, ihre Produkte oder Dienstleistungen zu erbringen und zu liefern. Dies kann zu finanziellen Schäden sowie Reputationsverlusten führen.
- 2. Schädigung der Reputation: Ein Unternehmen kann seinen guten Ruf verlieren, was die Kundentreue und Umsatzentwicklung negativ beeinflussen kann. Im Jahr 2022 bezifferte sich der Schaden durch Reputationsverluste in Deutschland laut dem Wirtschaftsschutzbericht 2022 der Bitkom auf rund 24 Milliarden Euro.
- 3. Compliance-Verstöße: Cybersicherheits-bezogene Anforderungen und Richtlinien haben das Ziel, Unternehmen und Kunden vor Vorfällen und Angriffen zu schützen. Eine Nicht-Einhaltung dieser Vorgaben kann Schwachstellen begünstigen, die von Angreifern ausgenutzt werden können und zudem Ermittlungen, Strafverfahren und Bußgelder nach sich ziehen können.
Wie können sich Unternehmen schützen?
Sowohl Einzelunternehmen wie auch miteinander vernetzte Unternehmen stehen eine Vielzahl bewährter Maßnahmen zur Verfügung. Hierzu zählen das Prüfen und Verifizieren von Softwarepaketen (einschließlich automatisierter Updates), Zwei-Faktor-Authentisierung, Sicherheits-Updates oder Security Awareness Trainings von Mitarbeitern. Beispielsweise kann über die Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Übersicht von Basistipps und Checklisten für die IT-Sicherheit eingesehen werden.
Zudem haben Regierungen und Behörden die Dringlichkeit und Bedeutung erkannt und treiben die Entwicklung von regulatorischen Anforderungen und Vorgaben zur Handhabung der Bedrohung von Supply Chain Networks insbesondere in Bezug auf Cybersicherheit weiter voran. Neben der KRITIS Verordnung oder branchenspezifischer Anforderungen, wie zum Beispiel die UNECE Regulation Nr. 155 im Automobilbereich, müssen in Deutschland ansässige Unternehmen nach §8b Abs. 4 BSI-Gesetz in der Lage sein, unverzüglich (d. h. ohne schuldhaftes Zögern) nach Erkennung eines IT-Störfalls – auch innerhalb eines Liefernetzwerks – alle Erkenntnisse, die zum Zeitpunkt der Meldung vorliegen, an das BSI melden.
Um sich auf die zunehmende Anzahl an Cyberangriffen soweit möglich einzustellen und auf diese reagieren zu können, sind kooperative Cybersicherheitsmaßnahmen zwischen Lieferanten und Abnehmern zu einem Entscheidungsfaktor geworden. Denn einer der wesentlichen Schlüssel zu mehr Schutz und Sicherheit ist die Bereitschaft zu mehr Zusammenarbeit in Fragestellungen der Cybersicherheit zwischen den beteiligten Akteuren – auch um Ressourcen durch einen koordinierten Einsatz gezielt zu schonen.
Folgende gemeinsame Steuerungs- und Überwachungsmaßnahmen empfehlen sich zum Schutz und für die Sicherheit eines Supply Chain Network:
- 1. Identifikation und Dokumentation des Liefernetzwerkes und der beteiligten Akteure, insbesondere relevanter Abhängigkeitsverhältnisse und Risiken zur Schaffung von Transparenz
- 2. Klassifizierung von (im-)materiellen Vermögenswerten, insbesondere Daten, Informationen, und IT-Systemen, die mit Drittparteien/externen Geschäftspartnern geteilt werden oder für diese zugänglich sind und Festlegung entsprechender Verfahren zur Zugriffssteuerung
- 3. Vertragliche Festlegung von risikobasierten Sicherheitsanforderungen und Meldepflichten für Drittparteien während und nach Auslaufen der Lieferbeziehung und Vereinbarung von Regeln für die Vergabe von Unteraufträgen
- 4. Überwachung der Leistung der Lieferanten und Durchführung routinemäßiger Sicherheitsprüfungen, um die Einhaltung der vereinbarten Sicherheitsanforderungen zu überprüfen, zum Beispiel Durchführung von Reifegradprüfungen, Gefährdungsanalysen und Nutzung von externen Daten- und Informationsquellen wie Rating-Plattformen
- 5. Überwachung sowohl von Gefährdungspotenzialen als auch von konkreten IT-Sicherheitsvorfällen innerhalb des Supply Chain Network und Integration der Erkenntnisse in ein möglichst übergreifendes Risikomanagement
- 6. Definition von Verantwortlichkeiten entlang des gesamten Lebenszyklus eines extern bereitgestellten Produkts oder einer Dienstleistung, insbesondere der Definitionen von Verfahren und Maßnahmen für den sicheren Betrieb von End-of-life-Produkten und Komponenten
- 7. Regelmäßige Sensibilisierung von Mitarbeitern für Cyberrisiken und den Umgang mit Drittparteien, insbesondere dem Austausch und Zugang zu vertraulichen Daten, Informationen und IT-Systemen
Welche Entwicklungen sind möglich?
In Zukunft werden der Reifegrad und die Stärke der Cybersicherheit eines Unternehmens immer mehr von der Funktionsfähigkeit, Vertraulichkeit und Integrität seines Lieferanten- und Abnehmernetzwerks, dessen Teil es ist, bestimmt. Um eine wirksame und zugleich wirtschaftliche Cybersicherheit ermöglichen zu können, ist es entscheidend, vertrauensvolle Partnerschaften und Kooperationen mit bestehenden wie neuen Geschäftspartnern aufzubauen und diese zu erhalten.
Unternehmen stehen vor der Wahl, eigene Sicherheitsstandards zu definieren und einen erheblichen Aufwand für die Überprüfung der Einhaltung dieser Standards in ihrem Liefernetzwerks zu betreiben oder sich zu übergreifenden Netzwerken zusammenzuschließen und gemeinsame Sicherheitsstandards zu setzen.
Unternehmensübergreifende Sicherheitsstandards innerhalb eines Supply Chain Network fördern einen Informations- und Wissensaustausch und eine vernetzte und damit effektivere sowie effizientere Ressourcennutzung als gemeinsame Antwort auf konkrete und zukünftige Cybergefahren. Bereits bestehende Initiativen verdeutlichen, wie gebündelte Kräfte Cyberangriffe minimieren und die unternehmensübergreifende Sicherheit von Lieferanten- und Abnehmernetzwerken gewährleisten können. Denn letzten Endes gilt auch hier, dass ein Netzwerk nur so stark ist, wie sein schwächstes Glied.
Über die Autoren
Fabian Mihailowitsch ist Partner im Bereich Cyber & Strategic Risk bei Deloitte. Sein Schwerpunkt liegt auf "Cyber Strategy", in der er seine Kunden bei der Entwicklung und Implementierung von Cybersicherheitsstrategien und Managementsystemen, einschließlich Organisation, Prozessen, Kontrollen und KPIs berät. Außerdem unterstützt er seine Kunden bei der Durchführung von komplexen Transformationsprogrammen im Bereich Cybersicherheit. Neben seiner Beratungstätigkeit spricht Fabian auch auf internationalen IT-Sicherheitskonferenzen.
Stephan Rogalski ist Manager im Bereich Cyber & Strategic Risk bei Deloitte. Innerhalb des Strategy, Brand & Reputation Teams ist er Experte für Supply Chain Risk Management. Seine Expertise umfasst die Analyse von Lieferketten auf Schwachstellen, die Durchführung von Szenarioanalysen für Betriebsunterbrechungen, die Ableitung geeigneter präventiver und reaktiver Maßnahmen sowie die Integration von Lieferkettenrisiken in das übergreifende Enterprise Risk Management. Zuletzt hat Stephan Rogalski Projekte zur Umsetzung des Lieferkettensorgfaltspflichtengesetzes (LkSG) für Unternehmen unterschiedlicher Größe und Branchen geleitet.
(ID:49757423)
:quality(80)/p7i.vogel.de/wcms/e4/3f/e43f07594d440d1e944c1988a9ca4489/0109019598.jpeg "„Gerade in hoch vernetzten Vertriebsketten wird 2023 die Fähigkeit, die eigene Cyber-Resilienz belegbar nachzuweisen, zu einem Wettbewerbsvorteil“, sagt Andreas Rohr, CTO der DCSO. (Bild: DCSO)")
:quality(80)/p7i.vogel.de/wcms/f6/fb/f6fb0c814009d6e08024f5e9cc44984b/0114780756.jpeg "IT-Sicherheit wandelt sich immer mehr zur Unternehmenssicherheit und wird für Firmen und ihre Führungsorgane somit zur haftungsrechtlich nicht delegierbaren Chefsache. (Bild: Gorodenkoff - stock.adobe.com)")