Cyber Supply Chain Risk Management ist essenziell

Das Lieferantenmanagement (Supply Chain Management) hat in den vergangenen Jahren immer mehr an Bedeutung gewonnen – insbesondere in Bezug auf die Berücksichtigung von Aspekten der Informationssicherheit. Denn je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind Supply-Chain-basierte Cyberrisiken.

Die zunehmende Vernetzung hat einen starken Einfluss auf das Lieferantennetzwerk. Um möglichst effizient zu wirtschaften, werden Tätigkeiten vermehrt ausgelagert, womit die Abhängigkeit von Dritten steigt. Wenn es bei einem Lieferanten zu einem Sicherheitsvorfall, Verzögerungen oder Ausfällen kommt, können die Auswirkungen auf die eigenen Prozesse oder die eigene Infrastruktur schwerwiegend sein. Dies kann zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch rechtlichen Konsequenzen führen. Deshalb rückt das Cyber Supply Chain Risk Management (kurz C-SCRM) zu Recht in den Fokus von Schweizer Unternehmen.

Die Herausforderungen bei der Bewältigungvon Cyber-Sicherheitsrisiken innerhalb der Lieferkette sind vielfältig:

Wie anhand dieser vier vertieften, nicht abschliessenden Punkte aufgezeigt, sind die Herausforderungen für Unternehmen vielfältig. Die Wichtigkeit des Themas wird jedoch aufgrund der vergangenen Erfahrungen (Cyberangriffe über Drittparteien und Lieferanten) und den laufenden Entwicklungen (zunehmende Vernetzung und Abhängigkeiten sowie der steigenden Maturität der Angreifer) als zentrales Thema bewertet. SCRM sollte eben nicht nur gewohnte Aspekte wie Lieferzuverlässigkeit, ökonomische Bewertungen etc. umfassen, sondern auch die IT-Sicherheitsrisiken. Denn im Falle eines erfolgreiche Hacks oder überschaueines Datendiebstahls ist das betroffene Unternehmen in der Verantwortung – unabhängig davon, ob die Angreifer direkt über die eigene IT oder die eines Lieferanten auf die Systeme und Daten zugreifen konnten. Zusammengefasst lässt sich sagen, dass Cyber-Risikomanagement sowie Cyber Security bei der Wahl und Bewirtschaftung der Partner noch immer ein untergeordnetes Thema darstellen. So beinhalten die meisten Supply-Chain-Management-Praktiken heute keine Cyber-Security-Aspekte, sondern konzentrieren sich stark auf traditionelle Attribute. Dabei sind gerade Cyberrisiken innerhalb der Supply Chain elementar und dürfen nicht ausser Acht gelassen werden.

Der Umgang mit Cyber-Sicherheitsrisiken innerhalb der Lieferanten- und Partnernetzwerke ist zwar eine grosse Herausforderung, aber es gibt bestehende Standards und Best Practices, die als Orientierungshilfe dienen können. So beschreibt beispielsweise ISO/IEC 27036:2013 als Teil der ISO/IEC-27000-Serie die Informationssicherheit für Lieferantenbeziehungen. Des Weiteren hat NIST in seiner Aktualisierung des NIST Cyber Security Frameworks im vergangenen Jahr die Kategorie «Supply Chain Risk Management» hinzugefügt, was dessen Bedeutung unterstreicht. Dieses Framework ist weitverbreitet und dient in der Schweiz als Basis für den IKT-Minimalstandard.

Spezifisch trägt die Version 1.1 des NIST Cyber Security Frameworks den neuen technologischen Entwicklungen Rechnung und adressiert auch Bereiche wie IoT resp. IIoT. Ein weiterer Schwerpunkt liegt aber auch in der Erkennung von Risiken in der gesamten Supply Chain. NIST hat dazu diese spezifische Kategorie eingeführt, um Prozesse zur Erkennung, Bewertung und Steuerung von Risiken in der Lieferantenkette einzurichten. In diesem Prozess sind, nebst dem eigenen Unternehmen, verschiedenste Akteure involviert wie Gerätehersteller, Netz- und Cloud-Anbieter sowie weitere Dienstleister und Verbraucher. Die Kommunikation und Überprüfung von Cyber-Sicherheitsanforderungen zwischen den Beteiligten ist ein Aspekt des C-SCRM. Dabei muss sichergestellt sein, dass alle Geschäftspartner die verbindliche Verpflichtung eingehen, digitales geistiges Eigentum und Daten genauso zu schützen, wie es die eigenen Cyber-Security-Anforderungen verlangen – und dies im Bedarfsfall auch mittels Security Assessments, Schwachstellen-Scans oder gar einem Penetration-Test.

Das Risikomanagement im Rahmen des strategischen Lieferantenmanagements dient dazu, Gefahren und Risiken frühzeitig zu erkennen, zu behandeln sowie proaktiv Aktionen und Massnahmen für den Ereignisfall zu definieren. Typischerweise werden dabei folgende Risikoarten differenziert: Vertrags-, Compliance- & rechtliche Risiken, Finanz- & Kreditrisiken, aber auch Business-Continuity- & Supply-Chain-Risiken, Cyber- und Datenschutz-Risiken sowie operative Risiken. C-SCRM ist deshalb eigentlich keine neue Disziplin, sondern vielmehr eine Ausweitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten. Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu erhalten. Professionelle Lösungen, wie z. B. SecurityScorecard, ermöglichen es, diese Transparenz zu erhöhen, und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen.