Sashkin - stock.adobe.com

Risiken in Lieferketten und Ökosystemen entgegenwirken

Haben Zulieferer, Kunden oder Softwareanbieter Security-Probleme, stellt das ein Risiko für das eigene Unternehmen dar. Es genügt nicht, sich nur um die eigene Security zu kümmern.

2020 war ein schwieriges Jahr, das viele Unternehmen finanziell und operativ an ihre Grenzen gebracht hat. So sahen sich viele Firmen gezwungen, schnelle Entscheidungen zu treffen, um trotz Pandemie weiterarbeiten zu können.

In einigen Fällen wurden dafür Abstriche bei Prozessen gemacht, die neue Risiken entstehen ließen. Für viele bedeutete die Krise anfangs, ums Überleben zu kämpfen. Die Sicherheit rückte aus der Not heraus in den Hintergrund, obwohl das eigentlich nicht passieren sollte – sie wurde in die zweite Reihe geschoben und musste sich hinter der Geschäftskontinuität und Aufrechterhaltung des Betriebs einreihen.

Erst später sollte Sicherheit wieder zu einem zentralen Aspekt der Unternehmensstrategie werden. Gleichzeitig kam auch die Frage auf, wie man Geschäftsabläufe sichern und optimieren konnte.

Das Jahresende 2020 bescherte den Sicherheits- und Betriebsexperten allerdings weitere unangenehme Überraschungen. Die Angriffe auf große Sicherheitsunternehmen machten nur allzu deutlich, dass es sich lohnt, im Zuge der Maßnahmen zur digitalen Transformation auch die Risiken durch Drittanbieter zu prüfen.

Solche Risiko- und Governance-Prozesse sollten keine einmaligen Maßnahmen sein, die nur am Anfang der Zusammenarbeit mit einem neuen Anbieter vollzogen werden. Vielmehr sollten sie genau wie andere Sicherheits- und Risikobewertungen kontinuierlich durchgeführt werden. Wenn Unternehmen die folgenden sieben Due-Diligence-Aspekte beachten, können sie potenzielle Risiken in der Lieferkette weitgehend eindämmen.

1. Ökosystem-Architektur

Das Problem der Risiken durch Drittanbieter hat sich in letzter Zeit verschärft, da viele Unternehmen zu einer Ökosystemarchitektur übergegangen sind, die verschiedene extern bereitgestellte Produkte und Dienstleistungen umfasst, zum Beispiel Cloud-Dienste. Diese Umstellung bringt viele Vorteile: So können Dienste flexibel hoch- und heruntergefahren werden und auch unterschiedliche Kostenstrukturen sind möglich. Gleichzeitig entstehen aber zusätzliche Risiken, die beachtet werden müssen. Dazu zählen etwa erweiterte Angriffsvektoren und ein gehöriger Vertrauensvorschuss in die Softwarelieferkette.

2. Finanzielles Risiko

Das Risiko durch finanzielle Schwierigkeiten von Drittanbietern beschränkt sich nicht nur auf eventuelle Unterbrechungen ihrer Geschäftsabläufe und die potenziellen Auswirkungen auf ihre Kunden. Finanzielle Probleme könnten einen Anbieter auch dazu veranlassen, Kompromisse bei seinen Technologien einzugehen und weniger in technische Aufrüstung und Innovationen zu investieren. Dadurch können Sicherheitsrisiken für Unternehmen entstehen.

Das Problem besteht hier darin, dass es nicht immer einfach ist, die finanzielle Solidität eines Lieferanten oder Partners zu beurteilen. Da das vergangene Jahr für eine Reihe von Branchen sehr schwierig war, werden viele Unternehmen ihre Reserven aufgebraucht haben und mit finanziellen Problemen kämpfen müssen.

Wenn der Anbieter ein börsennotiertes Unternehmen ist, sind die entsprechenden Jahres- oder Quartalsberichte von Wirtschaftsprüfern einsehbar; andernfalls bedarf es Analysten- oder Medienberichten. Die Liquidität eines Lieferanten kann ein finanzielles Risiko für das eigene Unternehmen darstellen. Entscheider sollten deshalb die Situation bei Partnern und Kunden im Auge behalten.

3. Technologie und Cyberhygiene

Ähnlich wie die Vernachlässigung der persönlichen Hygiene zu Krankheiten führen kann, kann mangelnde Technologie- und IT-Sicherheitshygiene zu einer digitalen Infektion führen. In einer Welt, in der jedes Endgerät eines Benutzers (sei es ein firmeneigenes oder privates Notebook, Tablet oder Telefon) zur Sicherheitsfront geworden ist, müssen Unternehmen unbedingt dafür sorgen, dass diese Geräte gut verwaltet werden.

Die Funktion der Firewall, digitale Mauer und Burggraben des Unternehmens zu sein sowie die physische Sicherheit der Büroräume sind schließlich nicht sonderlich effektiv, wenn sich die Endgeräte gar nicht im Büro befinden. Dies erhöht die Bedeutung des Endpunkts – sowohl bei der Absicherung als auch bei der Verwaltung.

Zulieferer benötigen ein genaues Inventar ihrer IT-Assets, müssen deren Patch-Status kennen und wissen, welche Softwareversionen installiert sind. Sie müssen auch in der Lage sein, Patches aufzuspielen, schnelle Aktualisierungen durchzuführen und alle Probleme auf den Endgeräten zu beseitigen, um mit den ständigen Veränderungen der digitalen Risikolandschaft Schritt zu halten.

4. Software / Virtuelle Lieferkette

Ein Problem, das bis vor kurzem noch unter der Oberfläche brodelte, ist die Anfälligkeit der Unternehmen für Risiken in der digitalen Lieferkette: Digitale Prozesse wie der Softwareentwicklungszyklus von Zulieferern können direkte Auswirkungen auf das eigene Unternehmen haben.

Durch komplexe, automatisierte DevOps-Setups, den Einsatz von quelloffenem Softwarecode, unsichere Cloud-Computing-Konfigurationen und ungepatchte Schwachstellen können Sicherheitslecks entstehen, die Kriminelle ausnutzen können – mit massiven Folgen. Wenn Unternehmen verhindern wollen, dass durch die Nutzung solch potenziell kompromittierter Technologieplattformen Reputationsschäden entstehen, müssen sie unbedingt sicherstellen, dass die Risiken in ihrem Ökosystem angemessen eingegrenzt und alle Standards und Kontrollmechanismen eingehalten werden.

Oliver Cronk, Tanium

„Es reicht nicht mehr aus, sich nur um die eigene interne Sicherheit zu kümmern – es gilt, sich auch auf die Sicherheit Ihrer gesamten Ökosystemarchitektur verlassen können.“

Oliver Cronk, Tanium

Es reicht nicht mehr aus, sich nur um die eigene interne Sicherheit zu kümmern – es gilt, sich auch auf die Sicherheit Ihrer gesamten Ökosystemarchitektur verlassen können. Um dies zu erreichen, müssen Unternehmen durchgängige Risikobewertungen für Quellcode-Repositories, Cloud-Dienste, die DevOps-Toolkette, die Bereitstellungs- und Testprozesse und mehr durchführen. Digitale Geschäftsmodelle ermöglichen schnelles Agieren, doch darf das nicht auf Kosten der Sicherheit gehen. Tests über den gesamten Lebenszyklus hinweg und die Anwendung von DevSecOps-Ansätzen sind hier wesentliche Erfolgsfaktoren.

5. Ethik und Nachhaltigkeit

Das Jahr 2020 hat viele Menschen wieder naturbewusster gemacht. Politiker reden bereits davon, dass der Wiederaufbau nach der Pandemie nachhaltig gestaltet werden muss. Firmen sollten sich vergewissern, dass ihre Anbieter im vergangenen Jahr nicht zu viele operative Abstriche gemacht haben, um sich über Wasser zu halten. Die Menschen werden wenig für Marken übrighaben, die sich nicht um das Wohl der Kunden und Mitarbeiter oder um die Umwelt kümmern.

6. Physische Risiken

Werden die Abstandsregeln an den Arbeitsplätzen eingehalten? Ist Schutzausrüstung für diejenigen, die sie brauchen, in ausreichender Menge vorhanden?

Welche Betriebsabläufe wurden bei Zulieferern ausgesetzt oder werden nur noch mit wenigen Mitarbeitern vor Ort weitergeführt? Unterbesetzte Standorte sind potenziell anfälliger für Social Engineering oder physische Einbrüche.

7. Bereit sein für die Zeit nach COVID-19

Die jetzt beginnenden Impfprogramme sollten bewirken, dass die Wirtschaft in den nächsten Monaten teilweise wieder anlaufen kann, einschließlich der Reisebranche und des Gastgewerbes. Viele Anbieter hatten im letzten Jahr jedoch weniger Geschäft als sonst. Werden sie den Betrieb bedarfsgerecht wieder hochfahren können oder wird sich die nahtlose Wiederaufnahme des Tagesgeschäfts als schwierig erweisen, weil Personal abgebaut wurde und Standorte geschlossen wurden?

Außerdem gilt es, auch die entstehenden Risiken und bestimmte Teile des Business-Continuity-Plans zu überprüfen, wenn der Geschäftsbetrieb angepasst und nach der Pandemie stärker auf Digitalisierung gesetzt werden soll.

Welche Auswirkungen hätte es, wenn eine der wichtigsten Drittanbieter-Technologien ausfällt? Damit Mitarbeiter produktiv bleiben und Kunden auch in der unvorhersehbaren Zukunft bedienen können, ist es wichtig, vorausschauend zu planen und die Risiken einer physischen oder digitalen Unterbrechung der Lieferkette zu minimieren. Im gesamten Jahr 2021 wird es von zentraler Bedeutung sein, bei den digitalen und physischen Dienstleistungen das richtige Gleichgewicht zwischen Angebot und Nachfrage zu wahren.

Ein Blick nach vorn

2021 wird ein Jahr der weiteren Anpassungen sein müssen, mit noch stärkerem Fokus auf längerfristiges Technologiemanagement und Maßnahmen zur Risikominderung. Es wird unerlässlich sein, sich Gedanken über eine neue Ökosystemarchitektur und die oben besprochenen Themen zu machen. Auch werden Firmen ihren Zulieferern und Ökosystempartnern einige unbequeme Fragen stellen müssen – zum Beispiel, welche Änderungen sie beim Einsatz von Technologien vorgenommen haben und welche Auswirkungen das auf die Sicherheit hat.

Vor allem aber unterstreicht all dies die Notwendigkeit einer guten IT-Governance und Sicherheitshygiene im gesamten Ökosystem, was mit einer zuverlässigen Bestandsaufnahme aller Assets beginnt. Die Bedeutung der Endpunkte ist stark gestiegen, und den Status dieser Geräte im erweiterten Unternehmen zu kennen ist eine entscheidende Voraussetzung für effektives Risikomanagement im Jahr 2021 und darüber hinaus.

Über den Autor:
Oliver Cronk ist Chief IT Architect EMEA bei Tanium.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit