Wie sicher sind Lieferketten noch?

Supply-Chain-Management-Software (SCM) ist von ihrer Architektur her so konzipiert, dass Unternehmen über sie miteinander kommunizieren sowie Planungsdaten, Spezifikationsdokumente oder auch Bestandsinformationen austauschen können. Klassischerweise laufen SCM-Lösungen On-Premises und kommunizieren im Zweifelsfall nicht einmal mit dem Internet. Mittlerweile aber werden solche Prozesse zwischen Unternehmen und ihren Zulieferern mehr und mehr in Cloud-Lösungen beziehungsweise in hybride Landschaften verlagert. Das Risiko, dass Kriminelle über die dabei verwendeten Schnittstellen Angriffe gegen die Lieferkette starten können, steigt dadurch. Wer das System A von Lieferant B knackt, hat schnell auch Zugriff auf das System C vom Kunden D.

Die Lieferketten werden also anfälliger – und dies, obwohl sie angesichts der weltweiten Krisenlage ohnehin bereits instabil sind. Gegen die neuen Gefahren im Zuge der Cloudifizierung müssen sie folglich ebenfalls abgesichert werden. Das funktioniert zum einen über die Härtung von Schnittstellen, beispielsweise via Web Application Firewall.

Zum anderen müssen darüber hinaus die neuen, hybriden Prozesse ausreichend überwacht und gemanaged werden. In vielen Unternehmen aber ist das Risikomanagement innerhalb der Supply Chain nur unzureichend definiert. Gibt es jemanden, der dafür zuständig ist, dass alle Lieferanten ISO-27001-zertifiziert sind? Der festlegt, dass nur mit solchen Lieferanten Geschäfte gemacht werden, die eben dieses Sicherheitsniveau nachweisen können? Wer ist beim Zulieferer, beim Zwischenhändler oder beim Kundenunternehmen dafür verantwortlich, dass über die reine Zertifizierung hinaus jemand deren Einhaltung überwacht und entsprechende interne Prozesse aufsetzt (Internal Control System)?

Das Grundproblem bei der Verletzbarkeit von Supply Chains ist ihnen inhärent – es ist eben gerade die Vernetzung zwischen verschiedenen IT-Systemen, über die ein permanenter Datenaustausch stattfindet. Wird dann allein ein Glied der Kette angegriffen, ist der Weg für Cyberkriminelle auf die Systeme des Partners nicht mehr weit – eine Gefahr, die mit der Verlagerung der SCM in hybride Landschaften eben noch zugenommen hat.

Aus diesen Gründen kann es nicht damit getan sein, dass sich Unternehmen nur um den Schutz der eigenen IT-Infrastruktur kümmern. Vielmehr müssen sie auch ihre Umwelt – das heisst ihre Partner innerhalb der Supply Chain – in ihre Security-Strategie einbeziehen. Zum Beispiel in der Art und Weise, dass sie den Verkäufer zu bestimmten Massnahmen verpflichten, wie der Durchführung von Audits, dem Erwerb von ISO-Zertifizierungen, dem Einfordern von Sicherheitszertifizierungen, der Einhaltung dezidierter Vertragsvereinbarungen und so weiter. Solange es keine konkreten Vorfälle gibt, werden solche Massnahmen allerdings bislang nur selten umgesetzt.

Je intensiver man in der Cloud oder hybrid unterwegs ist, umso mehr ist man darauf angewiesen, dass der Hosting-Partner, der die Cloud-Lösung zur Verfügung stellt, das Thema Sicherheit im Blickfeld hat. Dies wird bei jedem professionellen Dienstleister natürlich der Fall sein. Nur muss man genau klären, wer für welchen Part zuständig ist und wer im Falle eines Angriffs haftet.