Sergey Nivens - Fotolia

Zulieferer und Supply Chains vor Cyberrisiken absichern

Vernetzte Lieferketten sorgen für Abhängigkeiten und Unternehmen haben kaum Transparenz, wie es in der Software Supply Chain um Sicherheitslücken steht. Das birgt Risiken.

Accellion, SolarWinds und Kaseya sind nur drei der Namen, die in den letzten Jahren ein Sinnbild für verwundbare IT-Lieferketten waren. Besonders für Ransomware-Gruppen stellen die Infiltrierung von standardmäßig verbreiteter Software und die anschließende Ausnutzung dort gefundener Sicherheitslücken ein beliebtes Einfallstor dar.

Laut Roll Call sind dadurch Kosten in Höhe von mehr als 100 Milliarden US-Dollar entstanden. Cyberkriminelle Gruppierungen konnten durch ihre Angriffe auf Drittanbieter Zugang zu führenden Banken, Rüstungsunternehmen, Versorgungsunternehmen, Gesundheitseinrichtungen und Behörden erlangen.

Die Absicherung von Softwarelieferketten ist ein schwieriges Unterfangen und beruht in der Regel auf dem Konzept des Vertrauens. Im Grunde ist Vertrauen die Voraussetzung für die gesamte IT-Branche. Kein Unternehmen kann es sich leisten, den Programmiercode jeder Software, die im eigenen Netzwerk oder in der Cloud genutzt wird, zu überprüfen.

Dies muss von den Anbietern selbst geleistet werden, sie müssen sicherstellen, dass die Software keine schwerwiegenden Sicherheitslücken aufweist. Lieferketten sind häufig untereinander verlinkt, was zu Überlappungen und komplizierten Abhängigkeiten führt. Aufgrund ihrer Vielschichtigkeit kann es vorkommen, dass vertrauliche Informationen bei Dritt- oder sogar Viertanbietern gespeichert oder auch verarbeitet werden. Zudem fehlt es häufig an Transparenz: sich den Überblick über ein komplettes Zulieferernetzwerk zu verschaffen, kann schwierig und kostspielig sein, von dessen Absicherung ganz zu schweigen.

Sicherheitsvorfälle durch kompromittierte Drittanbieter

In einer Umfrage, die BlueVoyant in Zusammenarbeit mit Opinion Matters im Jahr 2021 unter IT-Sicherheitsexperten durchgeführt hat, wurde besonderen Wert auf das Thema der Absicherung von solchen IT-Lieferketten gelegt. Befragt wurden 1.650 CIOs, CISOs und CPOs (Chief Procurement Officers) mit Verantwortung in den Bereichen Lieferkette und Cyberrisikomanagement in Unternehmen mit mindestens 1.000 Mitarbeitern.

99 Prozent dieser IT-Sicherheitsexperten gaben an, dass ihre Unternehmen in den letzten zwölf Monaten einer Sicherheitsverletzung aufgrund von Schwachstellen bei Drittanbietern zum Opfer gefallen ist. Die Hälfte von ihnen meldete zwischen zwei und fünf Cyberangriffen in diesem Zeitraum.

Fast ein Viertel berichtet sogar von sechs bis zehn dieser Sicherheitsvorfälle. Im Vergleich mit Unternehmen in anderen Regionen räumen Umfrageteilnehmer in der Region DACH bereitwilliger ein, dass Cyberrisiken bei Drittanbietern für sie kein Thema sind. Der Anteil liegt mit 35,5 Prozent höher als der Gesamtdurchschnitt bei allen Regionen (29 Prozent). 43 Prozent gaben an, die Verwaltung von Cyberrisiken bei Drittanbietern habe für ihr Unternehmen höchste Priorität. Sie gehen sogar noch weiter, denn 22 Prozent überwachen ihren Angaben zur Folge alle ihre externen Zulieferer auf potenzielle Probleme bei der Cybersicherheit.

40 Prozent der Teilnehmer sagten aus, dass sie nichts von Problemen bei Sicherheitsherstellern wissen. Letztlich werden nur die Unternehmen die Risiken beherrschen können, die sich der komplexen Herausforderungen der Software Supply Chain stellen. Acht von zehn (80 Prozent) dieser Unternehmen sagten, sie überwachen ihre Zulieferer höchstens vierteljährlich. Wöchentlich findet das Monitoring lediglich bei fünf Prozent statt, eine monatliche Überwachung nur bei 14 Prozent. Eine tägliche Bewertung der Sicherheitssituation findet sogar nur bei einem Prozent statt.

Markus Auer, BlueVoyant

„Attacken auf Drittanbieter sind ein unberechenbares Risiko für Unternehmen. Allein mit Budgets wird sich jedoch keine positive Änderung der Situation herbeiführen lassen.“

Markus Auer, BlueVoyant

Laut der Umfrage werden Zulieferer von 28 Prozent der Unternehmen nur alle sechs Monate bewertet. Bei 23 Prozent führen die Verantwortlichen diese Analyse jährlich oder fast noch seltener durch.

In der DACH-Region wird die Geschäftsführung im internationalen Vergleich etwas weniger gut über die Ergebnisse der Risikoüberwachung informiert. Zehn Prozent der Befragten gaben an, dass sie ihre Geschäftsleitung monatlich auf den Stand bringen. Ganze fünf Prozent erklärten, dass sie wöchentliche Briefings abhalten, lediglich ein Prozent klärt täglich auf.

Mehr Budget ist keine Lösung

Supply Chains und Drittanbieter stehen unter besonderer Beobachtung. Attacken auf diese Lieferketten bergen Cyberrisiken für alle Unternehmen, die Glieder dieser Ketten sind. Aufklärung der Geschäftsleitung und der Vorstände über diese Risiken kommt daher eine größere Bedeutung zu.

Das Problem ist, dass all diese Analysen und Daten nicht genug bewirken, wenn Unternehmen nicht das richtige Risikobewusstsein entwickelt haben. Der besondere Blick auf die Umfrageergebnisse auf die DACH-Region verdeutlicht diese Problemlage.

Mehr als 35 Prozent sagten, sie sehen keine Risiken bei Drittanbietern und 40 Prozent wissen auch nichts davon. Immerhin steigen die Budgets für das Drittanbieter-Risikomanagement bei Unternehmen in der Region DACH deutlich an. 53 Prozent der Umfrageteilnehmer gaben eine Anhebung des Budgets um 51 bis 100 Prozent an, bei weiteren 14 Prozent lag der Anstieg sogar bei über 100 Prozent. Lediglich bei 6 Prozent bleiben die Budgets unverändert oder gingen sogar zurück. Dadurch, dass Unternehmen viele ähnliche Probleme bei der Überwachung von Drittanbietern haben, lässt darauf schließen, dass größere Budgets allein nicht ausreichend zu einer Risikoreduzierung beitragen werden.

Fazit

Attacken auf Drittanbieter sind ein unberechenbares Risiko für Unternehmen, dies haben die Vorfälle in den letzten Jahren deutlich gezeigt. Um sich zu schützen, bedarf es gemeinsamer Anstrengungen nicht nur der Hersteller der Software und Komponenten, sondern auch der potenziellen Opfer. Allein mit Budgets wird sich jedoch keine positive Änderung der Situation herbeiführen lassen, stattdessen bedarf es besserer Monitoring- und Analyse-Fähigkeiten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management