Supply Chain Reaction Wie Unternehmen ihre Lieferketten sicherer vor Hackerangriffen machen

Von Christian Geckeis

Während sich Cyberangriffe lange Zeit gegen einzelne Unternehmen richteten, geraten seit einiger Zeit ganze Lieferketten zunehmend in den Fokus von Hackern. Die rechtlichen Anforderungen an die IT-Sicherheit von Unternehmen entlang der Lieferkette werden daher in vielen Ländern verschärft. Auch in Deutschland sind mit dem IT-Sicherheitsgesetz 2.0 zahlreiche Unternehmen betroffen. Sie benötigen smarte, datengetriebene End-to-End-Lösungen, um die gestiegenen Anforderungen zu erfüllen.

Anbieter zum Thema

Lieferketten werden immer häufiger Ziel von Hackerangriffen. Hier erfahren Sie, was Sie tun können, um Ihre Supply Chain sicherer zu machen.
Lieferketten werden immer häufiger Ziel von Hackerangriffen. Hier erfahren Sie, was Sie tun können, um Ihre Supply Chain sicherer zu machen.
(Bild: Pexels)

Lieferketten werden immer häufiger zum Ziel von Angriffen. Das liegt im Prinzip „Kette“ begründet – „Kette“ wie „Kettenreaktion“. Ein einzelnes kompromittiertes Unternehmen wird zum trojanischen Pferd, um weitere Ziele zu infiltrieren. Angriffe wie der „SolarWinds“-Hack oder die Kaseya-Ransomware-Attacke sind eindringliche Beispiele aus der jüngeren Vergangenheit. Im Fall von Kaseya hatten die Hacker ein Update der Fernwartungssoftware des Anbieters manipuliert. Die Unternehmenskunden von Kaseya überspielten das Update und damit den Erpressungstrojaner und gaben ihn unbemerkt an ihre eigenen Kunden weiter. Am Ende der Kettenreaktion standen unter anderem hunderte Filialen der Supermarktkette Coop, die wegen blockierter Kassensysteme geschlossen bleiben mussten. Der Erfolg solcher Attacken motiviert Nachahmer, was die Bedrohungslage in Zukunft noch weiter verschärfen wird.

Für sensible Just-in-time-Lieferketten ist das Risikopotenzial enorm. Einen Eindruck davon bekam die Welt 2021, als Lieferengpässe bei Chips ganze Branchen lahmlegten. Diese Krise war jedoch nichts im Verhältnis zu dem, was eine gezielte Cyberattacke anrichten kann. Ein Ransomware-Angriff, der einen Hafen oder ein anderes wichtiges Logistikzentrum ausschaltet, kann Wirtschaftszweige zum Erliegen bringen und durch die Auswirkungen auf nachgelagerte Produktionsbetriebe unkalkulierbare Schockwellen auslösen. Für Hacker ist es durch die Verwerfungen der Pandemie einfacher geworden, in Systeme einzudringen, die früher abgeschottet waren. Datengetriebene Kontrollmechanismen, die Angriffe schnell identifizieren und eindämmen können, müssen deshalb angepasst und Risiken neu bewertet werden, um vorbereitet zu sein und im Ernstfall schnell handeln zu können.

Sind IT-Sicherheitsrisiken der unvermeidliche Preis der Digitalisierung?

Enisa, die Agentur der Europäischen Union für Cybersicherheit, veröffentlichte im Juli 2021 ihre Auswertung der Bedrohungslandschaft für Supply Chains. In dem Report warnte die Behörde auch vor der erschreckenden Einfachheit der Techniken, die dabei zum Einsatz kommen. Neben der Ausnutzung von Schwachstellen in ERP- oder SCM-Software kamen Malware und Phishing zum Einsatz. Ransomware, also Verschlüsselungstrojaner, wie sie beim Kaseya-Angriff verwendet wurden, erfordern wenig Expertise und können im Darknet erworben werden.

Es wird gern betont, dass seit Beginn der Covid-19-Pandemie aufgrund der beschleunigten Digitalisierung von Prozessen das Risiko gestiegen ist. Das ist zwar nicht falsch. Die Ursachen allein in der Pandemie zu suchen, greift aber zu kurz. Die Verlagerung zu Heimarbeit oder Fernwartung wirkte, wenn man so will, als „Brandbeschleuniger“, weil der Datenfluss in ungesicherte Umgebungen explosionsartig zunahm. Doch auch davor sammelten, verwalteten und nutzten Unternehmen im Kontext ihrer Digitalisierung bereits immer größere Mengen sensibler Daten. Im Zeitalter globalisierter Warenströme sind Unternehmen stärker denn je mit ihren Partnern in der Lieferkette vernetzt und müssen dabei in einem diversifizierten Ökosystem agieren, in dem jede Änderung – wie etwa die Zusammenarbeit mit einer neuen Partei – auch ein neues Risiko birgt.

Reaktion auf die dynamische Bedrohungslage: neue Bestimmungen

Immer mehr Länder reagieren auf das Risikopotenzial von Supply-Chain-Cyberattacken mit einer Verschärfung der rechtlichen Vorgaben. Im Vereinigten Königreich soll die Product Security & Telecommunications Infrastructure Bill die Sicherheitsvorgaben für vernetzte Geräte standardisieren und erhöhen, mit dem Cyber Assessment Framework (CAF) des National Cyber Security Centre wird zudem ein Instrument zur systematischen Bewertung der Resilienz gegen Cyberrisiken eingeführt. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2021 mit der Verabschiedung des IT-Sicherheitsgesetzes 2.0 eine neue Kategorie besonders zu schützender Unternehmen, die sogenannten „Unternehmen im besonderen öffentlichen Interesse“ geschaffen, in die auch Unternehmen aus der Supply Chain einbezogen werden.

Dabei sollen auch Zulieferer erfasst werden, die „auf die Wertschöpfung der größten Unternehmen Einfluss haben, zum Beispiel, weil ein Ausfall der Zulieferung ihrer Produkte oder der Erbringung ihrer Dienstleistungen auch einen Ausfall der Wertschöpfung der größten Unternehmen“ bedeuten kann. Betroffene Unternehmen müssen sich daher darauf einstellen, dass sie künftig höhere Sicherheitsauflagen erfüllen und gegenüber dem BSI nachweisen müssen. Unternehmen, die auf Waren und Dienstleistungen entlang der Lieferkette angewiesen sind, müssen ihre Vorkehrungen entsprechend verstärken. Globale Zuliefer- und Produktionsbeziehungen sind heute jedoch für die meisten Unternehmen Realität. Wie können Sie also gewährleisten, dass eingekaufte Produkte, Komponenten oder Services nicht zum Risiko werden? Was sind die Möglichkeiten der Überwachung und Gewährleistung von Vertrauenswürdigkeit und Datenschutz und wo liegen die Grenzen?

Data Governance: Datenanalyse kann helfen, Lieferketten sicherer zu machen

Bestehende Data-Governance-Tools werden bereits seit Vor-Corona-Zeiten von On-premise-Umgebungen auf Cloud- und Multi-Cloud-Umfelder übertragen. Davon profitieren Unternehmen bei der Einführung neuer Cloud-gehosteter Geschäftsmodelle. Vertrauenswürdige Daten können Tools zur Risikobewertung unterstützen und idealerweise mit einem automatisierten Datenschutz auf der Grundlage von Bedrohungen mit hoher Priorität verbunden werden. Viele Unternehmen haben jedoch Schwierigkeiten, diejenigen Daten zu beschaffen und zu integrieren, die zur Bewertung des Lieferantenrisikos erforderlich sind, geschweige denn, die Daten zur Analyse und Vorhersage des Risikos zu nutzen.

Um die richtigen Entscheidungen zu treffen und die Einhaltung von Vorschriften zu gewährleisten, benötigen Unternehmen Zugang zu genauen und vollständigen Informationen zu Sicherheit, Umwelt, Nachhaltigkeit, Recht und Finanzen. Sie müssen auch wissen, mit wem ihre Zulieferer zusammenarbeiten oder wer die Unterlieferanten sind. Lieferketten sind komplex und vielschichtig, und auf die vielen möglichen „Einfallstore“ haben nachgelagerte Unternehmen wenig oder gar keinen Einfluss. So genannte SBOM (Security Oriented Bills of Materials) – Komponentenverzeichnisse, die Transparenz schaffen sollen und zum Beispiel Lieferantenlisten und Sicherheitszertifizierungen umfassen – könnten deshalb künftig Teil von Liefervereinbarungen werden.

Datengetriebene Lösung: Intelligente End-to-End-Lieferantenansicht für die gesamte Wertschöpfungskette

Um neuen Risiken und Auflagen überhaupt gerecht werden zu können, benötigen die Abteilungen IT, Recht, Zulieferer- und Kundenmanagement lückenlose, datengetriebene Informationen. Dabei helfen können sogenannte Master-Data-Management-(MDM-)Lösungen, die eine intelligente, durchgängige Sicht auf alle geschäftskritischen Zuliefererinformationen, deren Beziehungen und die von ihnen gelieferten Produkte, Komponenten und Dienstleistungen ermöglichen. Sie helfen, das Lieferantenmanagement durch die Bereitstellung vertrauenswürdiger und kontrollierter Daten als Grundlage für Auftrags- und Analyseanwendungen zu optimieren und sowohl Lieferantenbeziehungen als auch Lebenszyklusmanagement zu vereinfachen und zu konsolidieren.

Einzige modulare End-to-End-MDM-Lösung am Markt.
Einzige modulare End-to-End-MDM-Lösung am Markt.
(Bild: Informatica)

Informaticas MDM-Anwendung Supplier 360 wurde speziell für den Einsatz in Unternehmen entlang der Lieferkette entwickelt und basiert auf der bislang einzigen modularen End-to-End-Lösung der Branche. Kunden profitieren von der Intelligent Data Management Cloud, branchenführender proaktiver Datenqualität, ganzheitlicher Data Governance und End-to-End-Datenintegrationslösungen. Supplier 360 ist nahtlos in Product 360 eingebettet, um Produktkataloge-Upload, Produktinformationsmanagement und Lieferanteninteraktionen in einer einzigen Anwendung zu ermöglichen. Das Data-as-a-Service-(DaaS-)Angebot kann für die Überprüfung und Anreicherung von Kontaktdaten genutzt werden. Supplier 360 ist on premise oder als Cloud-gehostete Version verfügbar und kann auf Public Clouds einschließlich Microsoft Azure, Google Cloud und AWS gehostet werden.

Fazit

Das Risiko durch Cyberangriffe auf Lieferketten steigt ebenso wie die rechtsverbindliche Verpflichtung von Unternehmen, der geänderten Bedrohungslage adäquat zu begegnen. Die Cybersicherheit des Endprodukts hängt von den Zulieferern und wiederum deren Zulieferern ab. Hersteller tragen die Verantwortung dafür, dass vernetzte Geräte in Haushalt, Industrie, Medizin oder Forschung nicht zum Einfallstor für Hacker werden. Die Sicherung der Integrität der unternehmenseigenen Zulieferkette ist eine geschäftskritische Aufgabe, die nur erfüllt werden kann, wenn Product Lifecycle Management, IT-Sicherheit und Supply-Chain-Management auf Basis einer standardisierten und vertrauenswürdigen Datengrundlage in einer einheitlichen Umgebung nahtlos ineinandergreifen. ■

* Christian Geckeis ist General Manager DACH bei der Informatica GmbH in 70499 Stuttgart, Tel. +49 711 139840, prteam@informatica.com

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48012123)