Firmenfachbeitrag
02.09.2019, 08:00 Uhr
Cyber Supply Chain Risk Management ist essenziell
Unternehmen sind zunehmend von ihren Lieferanten abhängig. Cyberrisiken stellen dabei eine omnipräsente Bedrohung dar und beeinflussen alle beteiligten Parteien. Cyber Supply Chain Risk Management ist somit ein zunehmend wichtiger Aspekt im Sicherheitsdispositiv.
Cyber Supply Chain Risk Management ist ein wichtiger Aspekt im ganzen Sicherheitsdispositiv
(Quelle: 123RF.com)
Das Lieferantenmanagement (Supply Chain Management) hat in den vergangenen Jahren immer mehr an Bedeutung gewonnen – insbesondere in Bezug auf die Berücksichtigung von Aspekten der Informationssicherheit. Denn je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind Supply-Chain-basierte Cyberrisiken.
Cyber-Sicherheitsrisiken werden oft vernachlässigt
Die zunehmende Vernetzung hat einen starken Einfluss auf das Lieferantennetzwerk. Um möglichst effizient zu wirtschaften, werden Tätigkeiten vermehrt ausgelagert, womit die Abhängigkeit von Dritten steigt. Wenn es bei einem Lieferanten zu einem Sicherheitsvorfall, Verzögerungen oder Ausfällen kommt, können die Auswirkungen auf die eigenen Prozesse oder die eigene Infrastruktur schwerwiegend sein. Dies kann zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch rechtlichen Konsequenzen führen. Deshalb rückt das Cyber Supply Chain Risk Management (kurz C-SCRM) zu Recht in den Fokus von Schweizer Unternehmen.
Die Herausforderungen bei der Bewältigungvon Cyber-Sicherheitsrisiken innerhalb der Lieferkette sind vielfältig:
- Die erste Herausforderung stellt die Auswahl der potenziellen Lieferanten dar. Es ist so gut wie unmöglich, alle (theoretisch) notwendigen Informationen in Bezug auf deren IT- und internen Prozesse zu erhalten. Ausserdem können sich die wenigsten Unternehmen – vorwiegend aus Effizienz- und Kostengründen – im Vorfeld ein detailliertes Bild über die IT-Sicherheit eines potenziellen Lieferanten verschaffen.
- Eine Bewertung bei einer kleinen Anzahl von Lieferanten ist mit einem überschaubaren Aufwand zu bewältigen und die Sicherheitsanforderungen sowie Prozesse sind meist weniger komplex als bei grösseren Unternehmen. Die benötigte Zeit für das C-SCRM nimmt aber mit der wachsenden Anzahl an Dienstleistern drastisch zu. Dies ist in unserer hochglobalisierten Welt ganz normal. Trotzdem vernachlässigen viele Unternehmen ihr C-SCRM aufgrund der Komplexität und des Kostendrucks.
- Viele Unternehmen unterschätzen die generellen Cyber-Security-Risiken. Die Gefahren, die ihnen drohen, sind auch bei deren Partnern und Dienstleistern allgegenwärtig. Deshalb ist nicht nur eine einmalige Risikobewertung bei der Auswahl der Partner wichtig. Auch nachher muss eine regelmässige Überprüfung stattfinden und eine Risikostrategie festgelegt werden (Reduzieren, Akzeptieren, Auslagern etc.), um schliesslich einem «Leading-Practice-Ansatz» bei der Lieferantenbewertung gerecht zu werden.
- Als vierter Punkt kommt hinzu, dass nicht nur die Verantwortlichen im Bereich IT Security in die Thematik involviert sind. Schnittstellen zu den Themen Datenschutz, Legal & Compliance, dem Risikomanagement, der Einkaufs- und Audit-Abteilung sowie weiteren Stakeholdern sind typische Konstellationen im Umfeld eines Lieferanten-Ökosystems. Diese Vernetzung erschwert die bereits sonst schon aufwendige Aufgabe für Unternehmen zusätzlich.
Cyberangriffe beeinflussen die gesamte Supply Chain
Wie anhand dieser vier vertieften, nicht abschliessenden Punkte aufgezeigt, sind die Herausforderungen für Unternehmen vielfältig. Die Wichtigkeit des Themas wird jedoch aufgrund der vergangenen Erfahrungen (Cyberangriffe über Drittparteien und Lieferanten) und den laufenden Entwicklungen (zunehmende Vernetzung und Abhängigkeiten sowie der steigenden Maturität der Angreifer) als zentrales Thema bewertet. SCRM sollte eben nicht nur gewohnte Aspekte wie Lieferzuverlässigkeit, ökonomische Bewertungen etc. umfassen, sondern auch die IT-Sicherheitsrisiken. Denn im Falle eines erfolgreiche Hacks oder überschaueines Datendiebstahls ist das betroffene Unternehmen in der Verantwortung – unabhängig davon, ob die Angreifer direkt über die eigene IT oder die eines Lieferanten auf die Systeme und Daten zugreifen konnten. Zusammengefasst lässt sich sagen, dass Cyber-Risikomanagement sowie Cyber Security bei der Wahl und Bewirtschaftung der Partner noch immer ein untergeordnetes Thema darstellen. So beinhalten die meisten Supply-Chain-Management-Praktiken heute keine Cyber-Security-Aspekte, sondern konzentrieren sich stark auf traditionelle Attribute. Dabei sind gerade Cyberrisiken innerhalb der Supply Chain elementar und dürfen nicht ausser Acht gelassen werden.
Good Practices und Standards nutzen
Der Umgang mit Cyber-Sicherheitsrisiken innerhalb der Lieferanten- und Partnernetzwerke ist zwar eine grosse Herausforderung, aber es gibt bestehende Standards und Best Practices, die als Orientierungshilfe dienen können. So beschreibt beispielsweise ISO/IEC 27036:2013 als Teil der ISO/IEC-27000-Serie die Informationssicherheit für Lieferantenbeziehungen. Des Weiteren hat NIST in seiner Aktualisierung des NIST Cyber Security Frameworks im vergangenen Jahr die Kategorie «Supply Chain Risk Management» hinzugefügt, was dessen Bedeutung unterstreicht. Dieses Framework ist weitverbreitet und dient in der Schweiz als Basis für den IKT-Minimalstandard.
Spezifisch trägt die Version 1.1 des NIST Cyber Security Frameworks den neuen technologischen Entwicklungen Rechnung und adressiert auch Bereiche wie IoT resp. IIoT. Ein weiterer Schwerpunkt liegt aber auch in der Erkennung von Risiken in der gesamten Supply Chain. NIST hat dazu diese spezifische Kategorie eingeführt, um Prozesse zur Erkennung, Bewertung und Steuerung von Risiken in der Lieferantenkette einzurichten. In diesem Prozess sind, nebst dem eigenen Unternehmen, verschiedenste Akteure involviert wie Gerätehersteller, Netz- und Cloud-Anbieter sowie weitere Dienstleister und Verbraucher. Die Kommunikation und Überprüfung von Cyber-Sicherheitsanforderungen zwischen den Beteiligten ist ein Aspekt des C-SCRM. Dabei muss sichergestellt sein, dass alle Geschäftspartner die verbindliche Verpflichtung eingehen, digitales geistiges Eigentum und Daten genauso zu schützen, wie es die eigenen Cyber-Security-Anforderungen verlangen – und dies im Bedarfsfall auch mittels Security Assessments, Schwachstellen-Scans oder gar einem Penetration-Test.
Risk Management als Faktor der Lieferantenbewertung
Das Risikomanagement im Rahmen des strategischen Lieferantenmanagements dient dazu, Gefahren und Risiken frühzeitig zu erkennen, zu behandeln sowie proaktiv Aktionen und Massnahmen für den Ereignisfall zu definieren. Typischerweise werden dabei folgende Risikoarten differenziert: Vertrags-, Compliance- & rechtliche Risiken, Finanz- & Kreditrisiken, aber auch Business-Continuity- & Supply-Chain-Risiken, Cyber- und Datenschutz-Risiken sowie operative Risiken. C-SCRM ist deshalb eigentlich keine neue Disziplin, sondern vielmehr eine Ausweitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten. Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu erhalten. Professionelle Lösungen, wie z. B. SecurityScorecard, ermöglichen es, diese Transparenz zu erhöhen, und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen.
Zum Autor
Michel Herzog: Senior Cyber Security Consultant, InfoGuard AG
Zum Unternehmen: Die InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerkund Security-Lösungen. Cloud-, Managed-und Cyber-Defence-Services erbringt der Schweizer Cyber-Security-Experte aus dem ISO-27001-zertifizierten InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar/Zug und eine Niederlassung in Bern. Ihre über 130 Sicherheitsexperten sorgen sich tagtäglich um die Cyber Security bei über 300 Kunden in der Schweiz.
Mehr Informationen: www.infoguard.ch
Dieser Beitrag wurde von InfoGuard zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.