sdecoret - stock.adobe.com

Lieferkettensicherheit: Risiken bei der Software minimieren

Softwareanbieter sind ein wichtiger Bestandteil der Lieferkette. Es gilt gute Beziehungen aufzubauen, ohne die Sorgfaltspflicht und die Security der Lieferkette zu vernachlässigen.

Nach einer Reihe aufsehenerregender Supply-Chain-Angriffe, wie etwa auf den Netzmanagement-Software-Anbieter Solarwinds, verursachten Anbieter- und Lieferantenrisiken dringenden Diskussionsbedarf in Führungsetagen vieler Unternehmen.

Ein wichtiger Bestandteil der Lieferkette sind die Softwareanbieter, und so versuchen die IT-Teams, ihre Verfahren zur Risikominderung in diesem Bereich zu verfeinern und zu verbessern. Jeder von uns möchte fruchtbare Beziehungen zu seinen Softwareanbietern unterhalten. Doch wie können wir diese Partnerschaften pflegen und gleichzeitig die Sorgfaltspflichten erfüllen, damit wir unsere Unternehmen keinen unnötigen Gefahren aussetzen?

Es gilt, einen Mittelweg zu finden zwischen ständigem Argwohn im Interesse der Sicherheit und den Problemen, die entstehen können, wenn man einen Anbieter nicht ausreichend prüft. Sicherheitsteams sollten eine Reihe von Grundsätzen beachten, um vertrauensvolle, kooperative Beziehungen zu ihren Anbietern aufbauen zu können, von denen beide Seiten langfristig profitieren. Diese Punkte bedürfen einer genaueren Betrachtung.

Daten dürfen nicht ignoriert werden

Obwohl IT-Teams überall von Daten umgeben sind, werden diese häufig nicht genutzt, um effektive Entscheidungen über die Verwendung von Fremdsoftware zu treffen oder die Risiken im Hinblick auf die Lieferkette zu analysieren.

Ein Beispiel: Wenn Unternehmen ihre Zulieferer auf Sicherheitsschwachstellen überprüfen, die sich auch auf sie selbst auswirken könnten, ziehen sie dazu häufig Extended Enterprise Risk Management (EERM) oder Third-Party Risk Management (TPRM) heran. Das ist zwar sinnvoll, doch wird die Bandbreite der verfügbaren Daten oft nicht in vollem Umfang verwertet, sodass die Informationsnutzung im IT-Risikomanagement unausgereift bleibt.

Allzu lange haben Unternehmen Software in nichtproduktiven wie auch Produktivumgebungen zugelassen, ohne auf Basis von Daten angemessene Risikobeurteilungen zu treffen, die über grundlegende Sicherheits- oder Akzeptanztests hinausgehen.

Nachfolgend wird beschrieben, welche Gefahren es birgt, wenn in diesem Prozess die Daten vernachlässigt werden, und was Unternehmen tun können, um Beziehungen zu Softwareanbietern aufzubauen und besser zu nutzen.

Probleme nicht mit Risiken verwechseln

Wenn es um die Sicherheit der Lieferkette geht, verwechseln viele Unternehmen „Probleme“ mit „Risiken“ – und oft konzentrieren sie sich aus emotionalen Gründen auf weniger wichtige „Risiken“, anstatt die Daten als Grundlage für ihre Beurteilung zu nutzen.

Probleme in diesem Kontext kann man als kompromittierte Software, Softwarelieferketten oder Tool-Ketten definieren – und solche Problemen stellen die verantwortlichen Teams in der Tat vor Herausforderungen. Leider fehlt es den Unternehmen jedoch oft an einer Plattform oder an Daten, mit deren Hilfe sie solche Probleme schnell bewältigen können.

Der Begriff Risiko bezieht sich dagegen nicht auf ein bestehendes Problem, sondern auf die Wahrscheinlichkeit, dass etwas eintreten wird. Auf einen Nenner gebracht, kann man sagen:

Risiko = Schadensschwere x Eintrittswahrscheinlichkeit

Bewertet man Risiken, die durch Softwarelieferanten entstehen könnten, und betrachtet dabei die Schadensschwere und Eintrittswahrscheinlichkeit, sollte man immer das Gesamtbild im Blick haben:

  • Welche Anbieter sind für die firmeneigenen Betriebsabläufe am wichtigsten?
  • Wo sind diese Anbieter zu finden (installierte Software)?
  • Wer hat Zugriff auf welche Teile der IT-Umgebung (Zugriffsberechtigungen für Dritte)?
  • Wann wurden das Risiko und die Sicherheit geprüft (proaktives DevSecOps vs. manuelle Stage Gates)?
  • Welche Bedenken sind rational begründet, welche emotional?
  • Welche Daten stehen zur Verfügung, um die obigen Fragen zu beantworten?

Eine umfassende Risikobewertung benötigt Zeit

Leider kommt es nur selten vor, dass Unternehmen Antworten auf alle obigen Fragen haben, bevor sie mit einem Anbieter zusammenzuarbeiten beginnen – oder dass diese Fragen überhaupt gestellt werden.

Oliver Cronk, Tanium

„Unternehmen müssen ihre Verfahren zur Analyse von Anbieterrisiken schnell überdenken und dabei von den verfügbaren Daten Gebrauch machen.“

Oliver Cronk, Tanium

Oft fokussieren sich die IT-Teams so stark auf die Umsetzung einer großen neuen Initiative – beispielsweise einer Zero-Trust-Architektur für den Benutzerzugriff oder den Einsatz von Cloud-Plattformen zur Förderung der digitalen Interaktion –, dass sie sich nicht die Zeit nehmen, das Lieferantenrisiko gründlich zu bewerten.

Stattdessen setzen sie übermäßiges Vertrauen in die Softwareanbieter. Dieses Vertrauen basiert häufig auf der Reputation der jeweiligen Marke – etwa nach dem Motto „bei denen gab es noch nie eine Sicherheitsverletzung“ oder „sie sagen, dass sie Milliarden für Sicherheit ausgeben, also müssen sie ja wohl sicher sein“.

Statt sich in falscher Sicherheit zu wiegen, sollten sich die IT-Teams Fragen wie die folgenden stellen: Weiß man wirklich, wie gut der jeweilige Anbieter seinen Betrieb im Griff hat, einschließlich Prozesse wie das Patchen? Wie kann man feststellen, wie groß die technischen Versäumnisse sind? Könnte der Anbieter, der vor drei Jahren eine Sicherheitspanne hatte (und danach massiv in die Sicherheitsaufrüstung investiert hat), vielleicht ein geringeres Risiko darstellen als ein Anbieter, bei dem noch nie eine Sicherheitslücke öffentlich bekannt gegeben wurde?

Leitlinien für Lieferantenbeziehungen festlegen

Sobald diese Fragen – mithilfe von Daten – beantwortet sind und eine neue Lieferantenbeziehung begonnen hat, sollten beide Partner gemeinsam die Grundlagen für eine produktive Vereinigung schaffen.

Ohne Anspruch auf Vollständigkeit werden nachstehend einige Prinzipien aufgeführt, die sich der Erfahrung nach als Schlüssel einer tragfähigen Partnerschaft bewährt haben:

  • Stets danach streben, strategische, langfristige Beziehungen aufzubauen
  • Enge Zusammenarbeit mit dem Anbieter, ermöglicht optimale Ergebnisse
  • Immer offen bleiben, voneinander lernen und (in angemessenem Maß) Wissen austauschen
  • Einfühlungsvermögen zeigen und versuchen, die andere Seite und deren Motive zu verstehen
  • Man sollte nicht einfach die billigsten Anbieter wählen, sondern die besten – vorzugsweise in Zusammenarbeit mit dem Einkauf
  • Ein angemessenes „kaufmännisches Verständnis“ einsetzen
  • Dem Anbieter Vertrauen entgegenbringen, ihn aber trotzdem aufmerksam überprüfen und wachsam bleiben (auf Warnzeichen achten)

Bei der Zusammenarbeit mit einem Anbieter kommt es immer auf das richtige Gleichgewicht an: Zu wenig Offenheit wird verhindern, dass ein gemeinsames Verständnis aufgebaut werden kann; zu viel Offenheit könnte dagegen den Datenschutz oder NDAs (Geheimhaltungsvereinbarungen) verletzen. Für den Aufbau tragfähiger Lieferantenbeziehungen kann es hilfreich sein, wenn IT-Teams über ein Grundverständnis für Verhandlungstaktiken verfügen. So können sie bei Gesprächen mit Anbietern leichter die andere Seite der Gleichung sehen und dann Lösungen finden, die für alle Beteiligten von Vorteil sind.

Eines steht fest: Unternehmen müssen ihre Verfahren zur Analyse von Anbieterrisiken schnell überdenken und dabei von den verfügbaren Daten Gebrauch machen. Nie war das wichtiger als in einer Welt, in der schlagzeilenträchtige Sicherheitspannen bei Zulieferern das Thema Anbieterrisikomanagement in den Chefetagen weit oben auf die Agenda gehievt haben.

Über den Autor:
Oliver Cronk ist Chief IT Architect EMEA bei Tanium.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen