Supply-Chain-Management-Software (SCM) ist von ihrer Architektur her so konzipiert, dass Unternehmen über sie miteinander kommunizieren sowie Planungsdaten, Spezifikationsdokumente oder auch Bestandsinformationen austauschen können. Klassischerweise laufen SCM-Lösungen On-Premises und kommunizieren im Zweifelsfall nicht einmal mit dem Internet. Mittlerweile aber werden solche Prozesse zwischen Unternehmen und ihren Zulieferern mehr und mehr in Cloud-Lösungen beziehungsweise in hybride Landschaften verlagert. Das Risiko, dass Kriminelle über die dabei verwendeten Schnittstellen Angriffe gegen die Lieferkette starten können, steigt dadurch. Wer das System A von Lieferant B knackt, hat schnell auch Zugriff auf das System C vom Kunden D.

Die Lieferketten werden also anfälliger – und dies, obwohl sie angesichts der weltweiten Krisenlage ohnehin bereits instabil sind. Gegen die neuen Gefahren im Zuge der Cloudifizierung müssen sie folglich ebenfalls abgesichert werden. Das funktioniert zum einen über die Härtung von Schnittstellen, beispielsweise via Web Application Firewall.

Zum anderen müssen darüber hinaus die neuen, hybriden Prozesse ausreichend überwacht und gemanaged werden. In vielen Unternehmen aber ist das Risikomanagement innerhalb der Supply Chain nur unzureichend definiert. Gibt es jemanden, der dafür zuständig ist, dass alle Lieferanten ISO-27001-zertifiziert sind? Der festlegt, dass nur mit solchen Lieferanten Geschäfte gemacht werden, die eben dieses Sicherheitsniveau nachweisen können? Wer ist beim Zulieferer, beim Zwischenhändler oder beim Kundenunternehmen dafür verantwortlich, dass über die reine Zertifizierung hinaus jemand deren Einhaltung überwacht und entsprechende interne Prozesse aufsetzt (Internal Control System)?

Das Grundproblem bei der Verletzbarkeit von Supply Chains ist ihnen inhärent – es ist eben gerade die Vernetzung zwischen verschiedenen IT-Systemen, über die ein permanenter Datenaustausch stattfindet. Wird dann allein ein Glied der Kette angegriffen, ist der Weg für Cyberkriminelle auf die Systeme des Partners nicht mehr weit – eine Gefahr, die mit der Verlagerung der SCM in hybride Landschaften eben noch zugenommen hat.

Aus diesen Gründen kann es nicht damit getan sein, dass sich Unternehmen nur um den Schutz der eigenen IT-Infrastruktur kümmern. Vielmehr müssen sie auch ihre Umwelt – das heisst ihre Partner innerhalb der Supply Chain – in ihre Security-Strategie einbeziehen. Zum Beispiel in der Art und Weise, dass sie den Verkäufer zu bestimmten Massnahmen verpflichten, wie der Durchführung von Audits, dem Erwerb von ISO-Zertifizierungen, dem Einfordern von Sicherheitszertifizierungen, der Einhaltung dezidierter Vertragsvereinbarungen und so weiter. Solange es keine konkreten Vorfälle gibt, werden solche Massnahmen allerdings bislang nur selten umgesetzt.

Je intensiver man in der Cloud oder hybrid unterwegs ist, umso mehr ist man darauf angewiesen, dass der Hosting-Partner, der die Cloud-Lösung zur Verfügung stellt, das Thema Sicherheit im Blickfeld hat. Dies wird bei jedem professionellen Dienstleister natürlich der Fall sein. Nur muss man genau klären, wer für welchen Part zuständig ist und wer im Falle eines Angriffs haftet.

Keinesfalls ist es so, dass die Verantwortung für die Software und den Betrieb allein beim jeweiligen Cloud-Provider liegt. Es kommt vielmehr auf die Ausgestaltung der Service Level Agreements (SLA) an. Wenn es hart auf hart kommt, sind in der Regel der CIO oder CISO beziehungsweise letzten Endes der CEO des Kundenunternehmens haftbar. Vor allem muss man sich darüber im Klaren sein: Der Hoster sichert zwar seine Infrastruktur ab, aber nicht die Software, die darauf läuft. Es macht also einen grossen Unterschied, was man unter «cloudbasiert» im Einzelnen versteht: Handelt es sich um Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS)?

In der Private Cloud findet sich oft ein Mix aus IaaS mit bestimmten Managed Services on top. Punkto Sicherheit und Haftung gilt es deshalb auseinanderzuhalten: Der Hoster verantwortet Infrastruktur und operatives System, die Software-Anwendungen hingegen wird er nicht anfassen und darin Einstellungen vornehmen, denn dies würde einen expliziten Eingriff in die Geschäftsprozesse der Kundenunternehmen bedeuten. Es kann also von Vorteil sein, Supply-Chain-Management-Lösungen – von SAP oder anderen Herstellern – an einen Cloud-Provider auszulagern. Die Sicherheitslage betreffend muss dafür aber vorab detailliert geregelt werden, wer für welche Komponenten zuständig und verantwortlich ist.

Bei DDoS-Attacken auf die Cloud-Software ist man fein raus – was bleibt, ist der geschäftliche Schaden. Diesen ersetzt dem Unternehmen aber auch der Cloud-Provider nicht. Was ist zudem bei einem Angriff auf den Internetanschluss oder die Standleitung, die wiederum im eigenen Verantwortungsbereich liegen?

Hier könnte ein hybrides Szenario ein Ausweg sein, bei dem die eigene Produktion und Supply Chain in Teilen autark funktionieren. Beispiel: Die für den Produktionsprozess erforderlichen Funktionen laufen On-Premises, alle weiteren Szenarien (für Prognosen, Analysen und so weiter), die nicht dem laufenden Betrieb, sondern eher der Weiterentwicklung und Optimierung dienen, werden aus der Cloud bezogen. Dann kann die Produktion auch bei DDoS-Angriffen, oder wenn die Cloud-Software ausfällt, ungehindert weiterlaufen.