Eine aktuelle Analyse der Bundesvereinigung Logistik zeigt, dass nicht einmal jedes zweite Mitgliedsunternehmen Cybersicherheit für die gesamte Supply Chain betrachtet. Nicht zuletzt diese Abhängigkeiten gestalten die Abwehr von Supply-Chain-Angriffen besonders komplex. Oft bestehen zwischen den Wertschöpfungspartnern langjährig gewachsene Geschäftsbeziehungen, die auf persönlichem Austausch und Vertrauen basieren. Jeder einzelne von tausenden Kontaktpunkten ist dabei ein potenzieller Angriffsvektor.

Zertifikate per se schaffen keine Sicherheit

Cyberangreifer sind in der Regel Opportunisten. Selten fokussieren sie sich speziell auf ein Opfer. Viel häufiger attackieren sie eine Vielzahl von Firmen und infiltrieren das Unternehmen mit dem geringsten Sicherheitslevel. Ein wirksamer Cyberschutz muss daher die Security-Maßnahmen von Partnern und Lieferanten unmittelbar miteinschließen. Doch gerade mittelständische Unternehmen haben ihre Probleme damit. So verhindern fehlende personelle Kapazitäten und häufig auch eine geringe wirtschaftliche Umsetzungsstärke innerhalb der eigenen Wertschöpfungskette den Aufbau einer resilienten Cyberstruktur. Da ihnen Möglichkeiten fehlen, die Umsetzung spezifischer Sicherheitsmaßnahmen ihrer Lieferanten durchzusetzen, verlassen sie sich auf entsprechende Sicherheitszertifizierungen ihrer Handelspartner.

Doch Zertifikate sind nicht automatisch ein Beleg für ein angemessenes Sicherheitsniveau. Ausschlaggebend sind dabei der Scope und die tatsächliche Ausgestaltung der ergriffenen Maßnahmen. Letzteres zu bewerten, erfordert eine entsprechende fachliche Tiefe seitens der Prüfer und ersteres einen sorgfältigen Blick seitens der Organisation, die auf Basis der Zertifizierung einen Vertragsschluss anstrebt. Da Compliance-Prüfungen (z. B. nach ISO 27001) vergleichsweise günstig sind, sind sie für die Zertifizierer nur dann profitabel, wenn sie effizient und durch kostengünstiges Personal durchgeführt werden können. Obendrein besteht zwischen Unternehmen und Zertifizierer ein Auftraggeber-Kunden-Verhältnis, mit allen daraus resultierenden Interessen(-konflikten). In Summe ist diese Konstellation nicht unbedingt geeignet, echte Transparenz über etwaige materielle Sicherheitsmängel zu schaffen.

Zusammenarbeit im Krisenfall

Unklar bleibt häufig auch, welche Abläufe im Krisenfall konkret vorgesehen sind und in der Praxis umgesetzt werden. Gerade dann sind aber effiziente Informations- und Kommunikationswege entscheidend, um den Angriff schnell und nachhaltig einzudämmen. Zertifizierungen alleine schaffen eben keine Cybersicherheit. Mehrstufige Assessments durch unabhängige Expertenteams und ein neues Verständnis von Sicherheit sind erforderlich.

Letzteres basiert auf „Kritikalität“. Grundsätzlich geht es um die Frage, wie kritisch bestimmte Daten und Lieferanten für die eigenen Geschäftsprozesse sind. Der Mind-Shift dabei: Noch bevor die Sicherheit von IT-Systemen betrachtet wird, muss der Blick auf Informations- und Datensicherheit gerichtet werden. Dies schließt den Datenverkehr innerhalb der Supply Chain unmittelbar mit ein.

Im ersten Schritt geht es konkret darum, herauszufinden, welche IT- und Geschäftsabläufe sowie Informations- und Kommunikationswege für den wirtschaftlichen Erfolg essenziell sind. Aber auch Aspekte wie Arbeits-, Gesundheits- oder Umweltschutz können hier eine wichtige Rolle spielen.

Danach erfolgt die Analyse, welche Informationen und Daten damit im Zusammenhang stehen – beispielsweise Zugänge zu kritischen Anwendungen oder deren Daten. Dies schließt die Frage mit ein, ob die Informationen nur gespeichert werden, ob sie verändert werden oder auch Dritten zur Verfügung stehen müssen. Eine solche Bestandsaufnahme betrifft nicht alleine das Security-Team. Vielmehr sind auch andere Fachexperten wie Geschäftsführung, HR, Juristen oder Kommunikatoren einzubinden.

Das Drittanbieter-Risikomanagement

Auf Basis dieser Analyse kann ein externes Assessment klären, welche Maßnahmen das Unternehmen oder der Drittanbieter zum Schutz dieser Informationen sowie der damit verbundenen Prozesse und Kommunikationswege einsetzt. Ein mehrstufiger Ansatz hat sich dabei bewährt:

1. Selbstauskunft des Unternehmens oder Anbieters
2. Prüfung der genutzten Dokumente
3. Bewertung der Maßnahmen vor Ort beim Lieferanten

Ein solches Assessment, das beispielsweise die DCSO anbietet, umfasst verschiedene Bereiche, zum Beispiel Schutzbedarfsfeststellung, Strukturanalyse, Informationssicherheit, Governance und Dienstleistermanagement. Unbedingte Voraussetzung für ein Drittanbieter-Risikomanagement ist jedoch das wechselseitige Vertrauen aller in einer Wertschöpfungskette eingebundener Partner und Lieferanten. Jeder Teilnehmer am Wirtschaftskreislauf braucht Einblicke in die Art und Weise, wie Partner auf Informationen zugreifen. Welche Formen der Zusammenarbeit wurden vereinbart und was wird tatsächlich gelebt?

Gerade in langjährigen Partnerbeziehungen haben sich im Laufe der Zeit oft informelle und damit unübersichtliche Wege für den Informationsaustauch entwickelt, die nicht mehr aktuellen Compliance-Anforderungen entsprechen. Auch fehlt häufig der Antrieb, für eine wechselseitige Überprüfung des Schutzlevels. Gerade darauf bauen aber Cyberkriminelle. Kommt es tatsächlich zum Angriffsfall, wird es schnell komplex. Denn parallel zum tagesgeschäftlichen Austausch kommen neue Kommunikationswege ins Spiel – beispielsweise mit Justiziaren oder den Ermittlungsbehörden. Gerade in hoch verflochtenen Supply Chains ist zudem die Bereinigung nach einem Incident ausgesprochen kompliziert.

CISOs in der Pflicht

Die Absicherung von Wertschöpfungsketten erfordert daher frühzeitige Vorarbeit. Es hat sich bewährt, den Prozess dazu auf CISO-Ebene zu bündeln. Er tauscht sich mit seinen Fachkollegen aus den Partnerunternehmen oder Lieferanten aus. Dabei müssen Fragen zur Sprache kommen, die speziell den Daten- und Informationsfluss betreffen: Wie sind die Daten und Informationen in der gesamten Lieferkette abgesichert? Welche Informations- und Kommunikationswege sind im Angriffsfall vorgesehen? Dazu kommen viele weitere Fragen.

Natürlich erfordert die Beantwortung dieser Fragen einen gewissen Aufwand. Aber auch mittelständischen Unternehmen muss heute klar sein, dass IT-Security mehr als ein Kostenfaktor ist. Sichere und zuverlässig laufende Systeme bilden die Voraussetzung für den Geschäftserfolg. Dies gilt für die eigenen Systemen ebenso wie für die der Lieferkette. Hier können Unternehmen über ihre Einkaufskonditionen das entsprechende Sicherheitsniveau der Lieferanten regeln. Eine Art Security-Prämie wirkt dann als kaufmännischer Hebel, um die Cybersicherheit zu verbessern. Zudem sollten Kunden neben den technischen Vorkehrungen auch die Kommunikationskultur des Dienstleisters betrachten. Denn nur wer auch im Krisenfall schnell und transparent informiert, unterstützt die effiziente Eindämmung und Behebung eines laufenden Angriffs.

Der deutsche Mittelstand, so kann man zusammenfassend sagen, ist in komplexen Lieferketten eingebunden – und bei einem erfolgreichen Angriff lässt sich daher oft schwer herausfinden, was gerade geschieht und welche Beteiligten betroffen sind. Zur Vorbeugung sollten neben den internen Risiken auch die Gefahren durch andere Unternehmen der Lieferkette berücksichtigt werden. Zertifizierungen reichen dabei nicht aus. Cybersicherheit muss aus Wirtschaftlichkeitsperspektive und weniger aus Compliance-Sicht betrachtet werden. Denn Sicherheit ist nicht nur IT-Security, sondern erfordert vor allem umfassend geschützte Daten und Informationen.