Angriff über die Lieferketten
Eindämmung der Risiken
Was können nun aber Firmen gegen diese Gefahren aus der Lieferkette unternehmen? Die sorgfältige Auswahl der Geschäftspartner auch in Sachen Cybersecurity wäre hier wünschenswert. Allerdings ist dies in der Praxis wohl schwierig umzusetzen. Denn wer hat schon die Zeit und die finanziellen Ressourcen, die IT aller Drittfirmen auf deren Schutz hin zu untersuchen.
Zugegeben, das ist eine diffizile Aufgabe. Aber auch zu diesem Thema hat man sich in der IT-Sicherheitsbranche schon Gedanken gemacht und Standards sowie Best Practices entwickelt. Die IT-Sicherheit in Lieferantenbeziehungen beschreibt etwa die Norm ISO/IEC 27036:2013 als Teil der ISO/IEC-27001-Serie (vgl. Kasten unten).
Zudem findet sich zum Thema die erst vor Kurzem hinzugefügte Kategorie «Supply Chain Risk Management» im «Cyber Security Framework» der US-Normungsbehörde NIST (National Institute of Standards and Technology). Ein solches Risikomanagement für Drittfirmen verlangt von Geschäftspartnern die verbindliche Verpflichtung, die eigene IT, aber auch Daten von Dritten genauso zu schützen, wie es die eigenen Vorgaben in Sachen Cybersecurity vorsehen.
«Cyber Supply Chain Risk Management ist aber eigentlich keine neue Disziplin, sondern vielmehr eine Ausweitung des eigenen Risikomanagements und der Cyber Security auf die Lieferanten», meint InfoGuards Annino. «Die Vorteile liegen auf der Hand: Nur so ist es möglich, die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb der Lieferkette zu gewährleisten», fügt er an. Annino verweist in diesem Zusammenhang auf professionelle Lösungen wie SecurityScorecard. «Diese ermöglichen es, die Transparenz zu erhöhen und helfen, das Cyber Supply Chain Risk Management ressourceneffizient umzusetzen», ist er überzeugt.
Standards und Best Practices
Dass Angreifer auch über die Lieferkette Unternehmen attackieren können, hat schon Eingang in internationale Normen gefunden. Die darin festgehaltenen Best Practices und Standards sind somit ein guter Ausgangspunkt,
um die Sicherheit der eigenen Supply Chain zu verbessern.
um die Sicherheit der eigenen Supply Chain zu verbessern.
Besonders hervorzuheben ist in diesem Zusammenhang die Norm ISO/IEC 27036:2013+ als Teil der ISO/IEC-27001-Serie. Diese beschreibt die IT-Sicherheit in Lieferantenbeziehungen, und zwar insgesamt in vier Teilen. Dabei liefert Teil eins eine Übersicht über die Problematik. Teil zwei befasst sich mit konkreten Vorgaben, z. B. mit fundamentalen IT-Security-Vorgaben für Lieferanten und Partnerfirmen. Dieser Teil soll es den beteiligten Firmen erlauben, gemeinsam die bestehenden Risiken zu identifizieren, sodass alle Beteiligten in Sachen Cyber Security einen ähnlichen Level erreichen. Teil drei formuliert sodann speziell Richtlinien für die ICT-Lieferkette. Schliesslich behandelt Teil vier entsprechende Guidelines für Cloud-Dienste.
Zudem findet sich zum Thema die erst vor Kurzem hinzugefügte Kategorie «Supply Chain Risk Management» im «Framework for Improving Critical Infrastructure Cybersecurity» der US-Normungsbehörde NIST (National Institute of Standards and Technology). Folgen Firmen den Vorgaben der unter der Bezeichnung «ID.SC» veröffentlichten Kategorie, werden sie schlussendlich Prozesse etabliert und eingerichtet haben, um Supply-Chain-Risiken zu identifizieren, zu gewichten und zu managen. Auch hier werden beide Aspekte der Supply Chain Security angesprochen, also konkret sowohl die Risiken mangelnder IT-Security von Partnerunternehmen als auch Risiken innerhalb der sogenannten Cyber Supply Chain.
