Bedrohungen mit Sicherheit & Risikomanagement in der Lieferkette bekämpften
Gefahren für Ihr Unternehmen sind überall: Mitarbeiter, Lieferanten und Hacker. Hier wird die Lieferketten-Sicherheit zu einem kritischen Bestandteil einer robusten Sicherheitsstrategie.
Was ist Lieferketten-Sicherheit? Es ist ein Begriff, der umfasst, wie die Lieferkette eines Unternehmens sowohl interne als auch externe physische und Cyber-Gefahren reduzieren kann. Diese Bedrohungen können alles umfassen, von physischem Diebstahl bis hinzu Hackern, die Ihr Netzwerk durchbrechen.
Was ist IT- und Datensystem-Sicherheit in der Lieferkette?
Historisch gesehen hat der Begriff “Lieferkette” sich auf eine bestimmte Gruppe von logistischen Praktiken bezogen, die Waren und Dienstleistungen von einem Ort zum anderen bewegen – das heißt, er hat einen spezifischen physischen Kontext. Auch heute noch bezieht sich “Lieferkette” oft auf Versand, Logistik, LKW-Transport und Reisewege, die den Transport von Gütern von einem Ort zum anderen unterstützen.
Im Hinblick auf digitale Systeme und Infrastrukturen bezieht sich Lieferkette auch auf Hardware, Software, Cloud-Plattformen und Sicherheitsmaßnahmen zur Unterstützung datengetriebener Unternehmen und Regierungsorganisationen. Diese Lieferketten managen den Transfer des im modernen digitalen Zeitalter vielleicht wichtigsten Vermögenswertes von Unternehmen: Daten. Zu den bedeutenden digitalen Lieferketten gehören die in Bank- und Finanzwesen und Regierungsdiensten sowie Verteidigungsunternehmen.
Es gibt Ähnlichkeiten zwischen traditionellen und digitalen Lieferketten. So stützen sich beispielsweise viele Hersteller auf “Upstream”-Lieferketten, in denen Komponenten an einem zentralen Ort zusammenlaufen, um die Herstellung größerer Objekte, wie Autos und Industrieausrüstungen, zu unterstützen. Ebenso stützt sich die digitale Lieferkette auf den “Upstream”-Fluss von Cloud- und Managed Services zur Unterstützung größerer Operationen in den zuvor erwähnten Branchen. Plattformen wie Salesforce, Microsoft Azure oder Office 365 und AWS Cloud Services bringen Funktionalitäten wie Speicherung, Analytik, Sicherheit, Netzwerkunterstützung und -analyse und sogar KI oder maschinelles Lernen in Unternehmen ein, die sie in umfangreichere Logistik integrieren.
IT-Fachleute sind sich der zunehmenden Anzahl von digitalen Lieferketten-Angriffen in den letzten Jahren sehr bewusst. Von Staaten gesponserte Angriffe auf digitale Lieferketten, insbesondere durch Upstream-Hacks, werden zur Hauptfront in der modernen Cyber-Kriegführung. Als Antwort darauf ist das Management von Lieferketten-Risiken nunmehr für viele Organisationen eine strategische Aufgabe.
Wir sehen mehrere gängige Gefährdungsformen und Schwachstellen, die digitale Lieferketten zunehmend betreffen:
- Ausnutzung von Sicherheitslücken: Auch wenn die Technologie sich weiterentwickelt, bleiben viele unserer schlechtesten Praktiken bestehen. Eine der häufigsten Methoden, mit der Hacker Zugang zu Systemen erhalten, um diese für ihre böswilligen Zwecke zu verwenden, ist die Ausnutzung von Bugs, Hintertüren oder gut bekannten Schwachstellen, die aus dem einen oder anderen Grund ignoriert werden.
- Lieferantenbeziehungen: Die Auswirkungen moderner Hacks sind nicht auf das betroffene Unternehmen selbst beschränkt. Viele Cloud-Anbieter haben eine weitreichende Kundenbasis, die private Unternehmen und Regierungsbehörden umfasst. Angriffe auf die Cloud-Infrastruktur können aufgrund von Beziehungen zu verschiedenen Unternehmen und Organisationen einen Dominoeffekt verursachen.
- Mangel an Wissen oder Schulung: Leider ist einer der schwächsten Punkte jeder digitalen Lieferkette oft die beteiligten Personen. Ein Mangel an Schulungen in Bezug auf die Auswahl sicherer Passwörter und die Erkennung von Phishing-Angriffen kann zur vollständigen Destabilisierung eines Unternehmens und seiner Kunden führen.
- Persistente aktive Bedrohungen (APT): Die bedrohlichste Form eines Sicherheitsverstoßes ist eine APT. Diese Bedrohungen infizieren nicht einfach und reißen ein System nieder. Es handelt sich um ausgeklügelte Programme, die sich in ein System einnisten, sich seitwärts durch eine Organisation bewegen, dann aufwärts, und das alles unter Vermeidung von Entdeckung. Sind sie erst eingedrungen, können sie alle Systemereignisse überwachen und wochen-, monate- oder gar jahrelang Daten entwenden, bevor sie identifiziert werden.
Datenverstöße sind kostspielige Ereignisse, die Ihr Geschäft sowie die Geschäfte Ihrer Partner völlig destabilisieren können. Laut IBM und dem Ponemon Institute belaufen sich die durchschnittlichen Kosten eines Datenverstoßes auf $4,24 Millionen, doch diese Zahl berücksichtigt nicht die zusätzlichen Kosten in Bezug auf Zeit, Anstrengung und Ruf.
Reicht Cybersicherheit für die Lieferketten-Sicherheit aus?
Die kurze Antwort ist nein. Einfache Bemühungen um Cybersicherheit kratzen oft nur an der Oberfläche der potenziell in einer Lieferkette existierenden Schwachstellen. Stattdessen müssen Organisationen ihren Fokus auf die Sicherheit auf mehreren Fronten legen:
- Überprüfung von potenziellen Anbietern und Bewertung bestehender Anbieterbeziehungen: Ihre Anbieter sollten mindestens Ihren Sicherheitserwartungen entsprechen, wenn sie mit Ihren Daten umgehen. Darüber hinaus sollten sie bereit und in der Lage sein, ihre Einhaltung Ihrer Anforderungen durch regelmäßige Bewertungen und Analysen nachzuweisen. Schließlich sollte Ihre IT-Führung jährliche Bewertungen in alle Anbieterverträge integrieren, um Risiken durch Dritte zu ermitteln.
- Aktive Cybersicherheitstests: Sie müssen regelmäßige Tests über alle Systeme implementieren und durchführen. Dies kann regelmäßige Penetrationstests, Red-Team-Übungen oder eine Kombination aus klar geplanten Systemtests bedeuten, um Schwachstellen über mehrere miteinander verbundene Schichten Ihres Systems aufzudecken.
- Regelmäßiges Scannen, Überwachen und Aktualisieren: Sie können und sollten regelmäßige Schwachstellen-Scans außerhalb regelmäßiger Tests verwenden. Während Schwachstellen-Scans nicht so gründlich sind wie Penetrationstests, können sie häufiger durchgeführt werden, um flache Schwachstellen aufzudecken, sobald sie auftreten.
- Verstehen von Compliance-Standards: Während Compliance-Regulierungen wie HIPAA und CMMC, für sich genommen, nicht alle Ihre Sicherheitsanforderungen abdecken, bieten sie ein gutes Rahmenwerk dafür, was Experten in Ihrer Branche als Hauptbedrohungen und Sicherheitsprioritäten sehen. Darüber hinaus können Sie außerhalb Ihrer Branche auf Rahmenwerke wie NIST CSF und ISO 27001 und andere zurückgreifen, um zu sehen, wie Fachleute Risikobewertungen und Überwachungspraktiken nutzen, um ihre Systeme zu sichern.
- Sicherung von physischen Standorten: Nehmen Sie nicht als selbstverständlich an, wie anfällig Ihre physischen Standorte sein können. Ein herumliegendes Laptop oder eine ungesicherte Tür kann Angreifern oder böswilligen internen Benutzern einen Weg bieten, Informationen zu stehlen. Schützen Sie alle Geräte mit Passwörtern, stellen Sie sicher, dass diese Geräte verschlüsselte Kommunikation und sichere Verbindungen nutzen, und schützen Sie Rechenzentren und Arbeitsstationen mit Kameras und verschlossenen Türen.
Was sind die besten Praktiken zur Gewährleistung der Sicherheit der Lieferkette?
Um die Sicherheit der Lieferkette bestmöglich zu gewährleisten, ist es wichtig, das Gesamtbild zu verstehen. Es gibt einige Best-Practice-Hinweise, die Sie beachten sollten, wenn Sie Ihre Daten entlang der digitalen Lieferkette sichern:
- Erkennen Sie Ihre Assets: Sie sollten in der Lage sein, Ihre Assets, Daten, Anbieter und alle verbindenden Technologien und Infrastrukturen zu kartieren. Es sollte niemals einen Grund geben, warum Ihr Inventar oder Katalog Ihrer Ressourcen nicht auf dem neuesten Stand ist. Sie können nicht schützen, was Sie nicht sehen.
- Umarmen Sie das Risikomanagement: Das Supply-Chain-Risikomanagement (SCRM) ist die Kunst und Wissenschaft, die Unterschiede zwischen Ihren bestehenden Sicherheitskontrollen, Ihren potenziellen Schwachstellen, Ihren Regulierungsanforderungen und Ihren Geschäftszielen zu verstehen und auszugleichen. Ein risikobasierter Ansatz kann Ihnen helfen, Ihre Sicherheitslandschaft besser zu verstehen und zu sehen, wo Sie Probleme beheben müssen.
- Übernehmen Sie einen praxisorientierten Ansatz für Anbieterbeziehungen: Wie zuvor erwähnt, sollten Sie eine klare Kartierung aller Anbietervereinbarungen und -beziehungen haben, einschließlich regelmäßiger Audits, Überprüfungen und Bewertungen aufgrund von Upgrades oder Technologieänderungen. Dieser Ansatz kann Ihnen helfen, Herausforderungen aufgrund von Schwachstellen von Partnern und Upstream-Cloud- oder Managed-Services zu bewältigen.
- Verstehen Sie Compliance: Kennen Sie die Compliance-Standards, die Sie erfüllen müssen, und wenn möglich, übertreffen Sie diese, um die Sicherheit zu erhöhen.
- Streben Sie nach vollständiger Sichtbarkeit: Überwachen Sie Systeme, Systemereignisse, Technologien, Upgrades und alles, was benötigt wird, um am besten zu verstehen, wer Zugang zu Ihren Daten hat, was sie damit machen und wie sie sie schützen. Beziehen Sie Auftragnehmer, Lieferanten, Anbieter und sogar Regulierungsbehörden und Kunden in Ihre Überwachungs- und Verbesserungspläne mit ein.
Die Sicherheit der Lieferkette ist ein gemeinsames Gut und eine gemeinsame Verantwortung
Die Sicherheit der Lieferkette ist eine notwendige Praxis für jedes Unternehmen, nicht nur für große Unternehmen. Wie mein Chief Product Officer sagte: “Sie sind nur so interessant wie Ihr interessantester Kunde.” Komplexe Angreifer – ob organisierte Verbrechersyndikate oder Nationen – haben schon vor langer Zeit gelernt, dass sie eine bessere Chance haben, an Ihre Daten zu gelangen, indem sie Ihre Partner in der Lieferkette nutzen.
Sie können das Risiko in der Lieferkette erheblich verringern, wenn Sie Ihre Vorschriften, Ihre Infrastruktur und Ihre Lieferantenbeziehungen verstehen. Nutzen Sie die Best-Practice-Methoden des Supply-Chain-Risikomanagements, um Ihr umfassenderes Sicherheitsprogramm aufzubauen oder zu stärken. Überwachen Sie kontinuierlich Systeme, verstehen Sie Upgrades und Patches, überprüfen und bewerten Sie Ihre Anbieter und schulen Sie Ihre Mitarbeiter kontinuierlich, um so gut wie möglich vor Schwachstellen zu bleiben.