Gefahren durch die Lieferkette Supply Chain: Unterschätztes Risiko

Von Ira Zahorsky

Anbieter zum Thema

Bei der Vorbeugung und Bekämpfung von Cybergefahren fokussieren sich Unternehmen in erster Linie auf die eigene IT-Landschaft. Risiken, die von Partnern oder Lieferanten ausgehen, werden unterschätzt. Wie kann das Lieferkettenrisiko minimiert werden?

Wird ein Unternehmen über die Supply Chain angegriffen, ist die Überraschung oft groß. Allzu häufig ist dieses Einfallstor ein Blind Spot bei den Verantwortlichen.
Wird ein Unternehmen über die Supply Chain angegriffen, ist die Überraschung oft groß. Allzu häufig ist dieses Einfallstor ein Blind Spot bei den Verantwortlichen.
(Bild: pla2na - stock.adobe.com)

Eigentlich wäre es Chefsache! Doch das ­Supply Chain Risk Management wird in ­einem Großteil der Unternehmen sträflich vernachlässigt, obwohl die Angriffe auf ­Lieferketten und Ökosystempartner zunehmen. Einer Studie des IT-Beratungs­unternehmens Tata Consultancy Services (TCS) zufolge sehen die rund 600 befragten Chief Risk Officers (CROs) und Chief Information Security Officers (CISOs) die höchste Gefahr für Cyber-Attacken bei der Finanzabteilung, den Kundendatenbanken sowie im Bereich Forschung und Entwicklung. Mögliche Angriffe auf die Lieferkette rangieren erst auf Platz neun. Digitale Ökosysteme belegen den Platz dahinter. ­Eine mögliche Ursache für diesen blinden Fleck könnte TCS zufolge sein, dass die ­Befragten über diese Faktoren weniger Kontrolle haben.

Ökosysteme sind eine Schwachstelle

Angriffe in diesen Bereichen erfolgen häufig mittels Schnittstellen, beispielsweise über Application Programming Interfaces (APIs), die die Unternehmen zum Datenaustausch mit Partnern, Kunden und ­Auftraggebern verwenden. Sind diese Zugangspunkte ungesichert, können Cyberkriminelle die Schlupflöcher nutzen, um Angriffe auf Systeme von Auftragnehmern, Händlern und Lieferanten auszuführen.

Bildergalerie

„Das Ignorieren der Gefahren, die von diesen Ökosystemen ausgehen, stellt eine Schwachstelle dar, die dringend behoben werden muss“, rät Santha Subramoni, Global Head, Cybersecurity bei TCS. Vor allem ungeschulte Mitarbeiter, die auf ausgefeilte Phishing- oder Social-Engineering-­Attacken hereinfallen, sieht das Beratungsunternehmen als Gefahrenquelle. Um Angriffen innerhalb digitaler Lieferketten vorzubeugen, empfiehlt die Security-­Expertin deshalb den Einsatz eines Zero-Trust-Modells. „Bei diesem Ansatz wird niemandem automatisch vertraut, sondern jeder Zugriff auf ein Unternehmensnetzwerk geprüft – gleich ob von Mensch oder Maschine“, erläutert Subramoni.

Cybersecurity muss auf die Agenda

Insgesamt stiefmütterlich wird das Thema ­Cybersicherheit in der Chefetage behandelt. 18 Prozent der befragten europäischen, britischen und US-amerikanischen CROs und CISOs gaben an, dass sich die Geschäftsleitung erst dann des Risikos bewusst werden, wenn das eigene Unternehmen von einem Cyberangriff betroffen ist. Ein Drittel der Chefs nimmt sich des Themas an, wenn es darauf aufmerksam gemacht wird. In 42 Prozent der Firmen steht die Cybersecurity regelmäßig auf der Tages­ordnung der Chefetage und wird auch aktiv angesprochen. Doch in immerhin sieben Prozent der Unternehmen sind Cyberrisiken und die Cybersicherheit so gut wie nie ein Thema.

Strategie

Eine gut geplante Strategie kann das Risiko eines Angriffs auf die Supply Chain minimieren. Grundlage der Strategie ist zunächst ein Überblick über die gesamte Supply Chain und bereits ergriffene Schutzmaßnahmen. Anschließend werden Ziele für die Sicherheit festgelegt, die alle Produkte und Dienstleistungen entsprechend einbeziehen.

Diese Aufgaben fallen den CISOs und CROs zu, deren Zusammenarbeit der Studie zufolge gut zu funktionieren scheint. Das ist insofern wichtig, als die Klärung der Zuständigkeiten geregelt sein muss. Durchschnittlich 40 Prozent treffen sich mit ihren entsprechenden Ansprechpartnern wöchentlich, um die Aufgaben zu koordinieren und mögliche Vorgehensweisen zu besprechen. Rund 35 Prozent tun dies sogar täglich oder mehrmals wöchentlich. Umso finanziell erfolgreicher das Unternehmen ist, desto öfter finden die Meetings statt. Häufiger gibt es dagegen Probleme in der Zusammenarbeit der CISOs unterschiedlicher Geschäftsbereiche.

(ID:48564328)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung