Gina Sanders - stock.adobe.com
NIS2: Was für die Sicherheit der Lieferkette notwendig ist
Eine Vielzahl von Organisationen ist indirekt von NIS2 betroffen, da sie zur Lieferkette der regulierten Einrichtungen zählen. Der Lieferkettenschutz wird zur Pflicht.
Der deutsche Gesetzesentwurf zur Umsetzung der EU-Richtlinie NIS2 macht deutlich, warum dem Schutz der Lieferkette mehr Rechnung getragen werden muss. Im Bereich der Wirtschaft zählen demnach Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen.
Das klingt für IT-Sicherheitsfachkräfte nicht unbekannt, hat aber in Verbindung mit einer Gesetzgebung wie dem NIS2 Umsetzungsgesetz (NIS2UmsuCG) deutliche Konsequenzen.
So fordert das kommende Gesetz zur Umsetzung von NIS2: Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.
Dazu gehört auch die „Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern“. Dabei soll dieser Lieferkettenschutz den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen.
NIS2: Direkt und indirekt betroffene Einrichtungen
Die Forderung nach Sicherheit der Lieferkette betrifft zum einen die unter NIS2 fallenden besonders wichtige Einrichtungen und wichtige Einrichtungen, aber eben auch die Lieferanten und Dienstleister, die indirekt mit den Verpflichtungen von NIS2 in Berührung kommen.
So erklärt der Gesetzesentwurf: „Unter Maßnahmen zur Sicherheit der Lieferkette sind beispielsweise vertragliche Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement, sowie der Berücksichtigung von Empfehlungen des BSI in Bezug auf deren Produkten und Dienstleistungen zu nennen. Ebenfalls kann dies beinhalten, Zulieferer und Dienstleister zur Beachtung von grundsätzlichen Prinzipien wie Security by Design oder Security by Default anzuhalten.“
Man kann auch sagen: Die erhöhten Sicherheitsanforderungen nach NIS2 werden zumindest teilweise an die Lieferanten und Dienstleister „weitergegeben“ oder „vererbt“, denn eine Lieferkette kann nur sicherer werden, wenn alle Glieder in dieser Kette ihre Sicherheitsmaßnahmen steigern.
IT-Sicherheitsbehörden geben Hinweise zur Umsetzung
Ohne Zweifel ist der Schutz der Lieferkette und damit die Supply Chain Security mehr als vielfältig. Es reicht nicht aus, die Forderung nach Cybersicherheit in die Einkaufsbedingungen zu schreiben, es sind auch Nachweise und Lieferantenaudits erforderlich.
Den IT-Sicherheitsbehörden ist dies durchaus bewusst, sie geben deshalb bereits schon seit längerem Hinweise dazu, wie für mehr Schutz in der Lieferkette gesorgt werden kann. Mit NIS2 ist dies nun auch eine rechtliche Verpflichtung, die viele Unternehmen betrifft.
So erklärt das BSI (Bundesamt für Sicherheit in der Informationstechnik): „Lieferketten abzusichern ist zukünftig nicht nur ein Best Practice, sondern wird zunehmend zur gesetzlichen Pflicht für Unternehmen“. Ein Management Blitzlicht (PDF) des BSI bietet eine Übersicht zur Umsetzung eines Cyber-Supply Chain Risk Managements. Es beleuchtet, warum Lieferkettensicherheit eine Herausforderung darstellt, und bietet Handlungsempfehlungen, um dieser zu begegnen.
Ebenso hat das Bundesamt für Sicherheit in der Informationstechnik die Technische Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Softwarestücklisten (SBOM). Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Softwarebestandteile in Software-Produkten enthalten sind, und macht Abhängigkeiten zu Komponenten Dritter transparent. Die Empfehlung zur Gestaltung von SBOMs soll die Sicherheit in der Software-Lieferkette (Software Supply Chain Security) erhöhen.
Auch die EU-Agentur für Cybersicherheit ENISA hat bereits „Good Practices for Supply Chain Cybersecurity“ veröffentlicht. Nicht zuletzt der ENISA-Report „Threat Landscape for Supply Chain Attacks“ ist ein gutes Hilfsmittel, um sich der möglichen Angriffe und Risiken in Verbindung mit der Lieferkette zu vergegenwärtigen.
Dabei wird auch deutlich: Es reicht nicht, die Lieferanten auf mehr Cybersicherheit zu verpflichten. Man muss sich auch gegen Angriffe aus der Lieferkette schützen, nicht nur gegen Attacken auf die Lieferkette. Viele Cyberangriffe aus der Lieferkette werden durch die Schwachstellen möglich, die einzelne Glieder der Kette offen lassen, sei es in Form von Software- oder Hardware-Sicherheitslücken, sei es durch organisatorische Fehler. Doch es sind immer auch Insider-Attacken aus der Lieferkette denkbar. Auch hiergegen muss der Schutz erhöht werden, damit eine NIS2-Compliance möglich wird.
