Globale Lieferketten prägen heutzutage unseren Arbeitsalltag und bilden das Rückgrat unserer modernen Wirtschaft. Gerade diese enge Vernetzung und Abhängigkeit machen sie jedoch auch zu attraktiven Zielen für sogenannte „Supply Chain Attacks“ durch Cyberkriminelle. Schon eine einzelne Schwachstelle in der Lieferkette kann ausreichen, um ganze Warenströme und Produktionsnetzwerke zu unterbrechen und erhebliche wirtschaftliche Schäden anzurichten.
Die Europäische Union hat deshalb mit NIS-2 auf diese wachsenden Bedrohungen im Cyberraum reagiert. Neben KRITIS-Betreibern werden zukünftig auch für ca. 30.000 weitere betroffene deutsche Unternehmen rechtliche Vorgaben zur Cybersicherheit verpflichtend werden, darunter auch Sicherheitsmaßnahmen zur Sicherung der Lieferkette (Artikel 21d).
In diesem Beitrag erläutern wir, warum Angriffe auf die Lieferkette für Cyberkriminelle besonders lukrativ sind und wie Sie als Unternehmen der IT-Sicherheit in der Lieferkette praxisorientiert begegnen können, damit Ihre Lieferkette nachhaltig robust aufgestellt ist und funktionsfähig bleibt. Denn eines steht fest: Die Absicherung der Lieferkette ist heutzutage Pflicht und keine Kür – unabhängig von gesetzlichen Vorgaben wie NIS-2!
Inhalte:
- Warum Hacker beim schwächsten Glied der Kette ansetzen
- So lässt sich die Lieferkette sicherer gestalten
- Anforderungen von NIS-2 werden in der Lieferkette weitergereicht
- ISMS als Basis für die erfolgreiche NIS-2 Umsetzung
- Fazit zur IT-Sicherheit in der Lieferkette
Warum Hacker beim schwächsten Glied der Kette ansetzen
Cyberkriminelle zielen darauf ab, sich unautorisierten Zugriff auf lukrative Unternehmen und Organisationen mit vielen sensiblen Daten zu verschaffen. Da diese profitablen Ziele aber meist über gut abgesicherte Systeme verfügen, wählen sie oft den Umweg über ein vermeintliches schwächeres Glied in der Lieferkette. Ihr Ziel ist es, entlang der Wertschöpfungskette eine Schwachstelle zu finden und dort gezielt anzusetzen.
Ein mögliches Szenario könnte so aussehen: Der Hacker entdeckt eine Sicherheitslücke bei einem Dienstleister oder Lieferanten, beispielsweise veraltete Software oder unzureichend gesicherte Fernwartungszugänge. Über diese Schwachstelle verschafft er sich Zugriff auf das Netzwerk des Dienstleisters. Da der Dienstleister vertrauenswürdige Verbindungen zum Netzwerk des Kundenunternehmens hat, kann der Hacker die Verbindung nutzen, um sich weiter in das Zielnetzwerk vorzuarbeiten. Falls keine direkte Verbindung besteht, können die erlangten Informationen genutzt werden, um nun gefälschte E-Mails im Namen der kompromittierten Accounts zu versenden. Diese können Schadsoftware oder Phishing-Links enthalten. Wenn Mitarbeitende des Kundenunternehmens diese E-Mail öffnen, breitet sich die Schadsoftware weiter im Netzwerk des Kunden aus. Mit jeder weiteren Infiltration werden die Angriffe ausgeweitet, bis das Endziel erreicht ist – sei es der Datendiebstahl, Lösegelderpressung oder der vollständige Stillstand von Geschäftsprozessen.
So lässt sich die Lieferkette sicherer gestalten
Viele Organisationen stehen vor der Herausforderung, wie sie das Thema der Supply Chain Security angehen können. Klar ist: Cybersicherheit wird spätestens 2024 mit NIS-2 „noch mehr“ zur Chefsache, was bedeutet, dass die Führungsebene sich mit der eigenen Cybersicherheit auseinandersetzen muss und nach dem Top-Down-Prozess eine klare Sicherheitsstrategie sowie entsprechende Richtlinien festlegen sollte.
Ein erster wichtiger Schritt ist die Erstellung eines umfassenden Inventars aller mit dem Unternehmen verbundenen direkten Lieferanten und Dienstleister, um einen klaren Überblick zu gewinnen. In diesem Zusammenhang gilt es auch zu ermitteln, wer die wichtigsten Lieferanten sind, welche spezifischen Verbindungen bzw. Beziehungen zu ihnen bestehen und welche wertvollen Informationen geteilt werden. Als Unternehmen können Sie sich dabei z.B. folgende Fragen stellen: Welche Netzwerkverbindungen existieren? Welche Fernwartungsverbindungen existieren? Sind klare Berechtigungsstrukturen etabliert? Welche Folgen hätte ein Ausfall eines Dienstleisters z.B. durch einen Cyberangriff? Der Ausfall welches Lieferanten würde das Unternehmen am meisten treffen?
Nachdem ein Überblick geschaffen wurde, ist es entscheidend, für jeden Lieferanten eine Risikoanalyse durchzuführen, um die potenziellen Risiken zu evaluieren. Hierbei sollte analysiert werden, welche Angriffsszenarien und Risiken denkbar sind und welche potenziellen Auswirkungen ein Ausfall für das eigene Unternehmen entstehen könnten. In diesem Zuge empfiehlt es sich, die technisch-organisatorischen IT-Sicherheitsmaßnahmen der Geschäftspartner abzufragen. Dies erfordert deren aktive Mitwirkung.
Anschließend sollten konkrete Risikokriterien und Anforderungen festgelegt werden, die Geschäftspartner erfüllen müssen, um eine erfolgreiche und sichere Zusammenarbeit zu gewährleisten. Auch an eine kontinuierliche Überwachung dieser Kriterien sollte gedacht werden z.B. in Form von Audits, um sicherzustellen, dass die Partnerschaften stets den höchsten Standards entsprechen und Risiken minimiert werden. Eine abteilungsübergreifende Zusammenarbeit ist dabei hilfreich.
Anforderungen von NIS-2 werden in der Lieferkette weitergereicht
Um das Risiko im vulnerablen Lieferketten-System zu mindern und potenzielle Schwachstellen zu verhindern, können Sie als von NIS-2 betroffenes Unternehmen ihre Zulieferer oder Dienstleister vertraglich dazu verpflichten, gewisse IT-Sicherheitsstandards zu erfüllen. Das erfordert dann selbst von kleineren Zulieferern eine intensive Auseinandersetzung mit dem Thema IT-Sicherheit, um wettbewerbsfähig zu bleiben und nicht aufgrund fehlender Sicherheitsstandards benachteiligt zu werden. Auch wenn Unternehmen nicht direkt von der NIS-2 Richtlinie betroffen sind, können sie durch die Lieferkette dennoch gezwungen werden, definierte IT-Sicherheitsmaßnahmen umzusetzen, der sogar ein Nachweis über einen zertifizierten Standard sowie die Umsetzung der Risikomaßnahmen aus NIS-2 vorzuweisen. Daher ist es stets ratsam, die Absicherung der eigenen IT-Landschaft auch unabhängig von der Unternehmensgröße zu priorisieren.
ISMS als Basis für die erfolgreiche NIS-2 Umsetzung
Mit einem zertifizierten Informationssicherheits-Managementsystem (ISMS) z.B. nach ISO 27001 hat Ihr Unternehmen eine solide Basis, um im nächsten Schritt die Anforderungen der NIS-2 Richtlinie zu erfüllen. Ein ISMS stellt nicht nur dar, dass Sie bereits wesentliche Schutzmaßnahmen in Ihrem Unternehmen umgesetzt haben, sondern auch, dass Sie sich kontinuierlich und intensiv mit Cybersicherheit und Informationssicherheit auseinandersetzen. Die Etablierung eines Risikomanagements und weiterer Maßnahmen im Rahmen des ISMS decken viele Anforderungen der NIS-2 Richtlinie ab, die nur noch um wenige zusätzliche bzw. konkretere Anforderungen erweitert werden müssen.
Fazit zur IT-Sicherheit in der Lieferkette
In unserer globalisierten Wirtschaft ist eine sichere Lieferkette für jedes Unternehmen unerlässlich, um kostenintensive Betriebsunterbrechungen zu verhindern und das langfristige Vertrauen der Kund:innen zu bewahren. Eine robuste Supply Chain Security mit gut abgesicherten Partnerunternehmen spielt dabei eine zentrale Rolle. NIS-2 sollte deshalb nicht nur als neue unangenehme gesetzliche Verpflichtung betrachtet werden, sondern auch als Chance, mit verbesserter Cybersicherheit die eigene Wettbewerbsfähigkeit und Effizienz auf dem Markt zu stärken. Nutzen Sie daher den Übergangszeitraum und investieren Sie in ganzheitliche präventive Sicherheitsmaßnahmen, wie beispielsweise die Einführung eines ISMS, um potenzielle Imageverluste oder wirtschaftliche Schäden zu vermeiden. Wir stehen Ihnen auf dem Weg zu mehr Informationssicherheit unterstützend zur Seite!
Informieren Sie sich jetzt zur Umsetzung der NIS-2 Richtlinie!
Wir beraten Sie mit einer fundierten rechtlichen Expertise sowie unserer langjährigen Erfahrung in der Implementierung von sicheren IT-Lösungen und Informationssicherheits-Managementsystemen.