Gina Sanders - stock.adobe.com
Mit diesen Tipps die Risiken in den Lieferketten minimieren
Das ein Angriff über die Lieferkette weitreichende Folgen haben kann, hat der SolarWinds-Hack gezeigt. Unternehmen müssen die Sicherheit der Supply Chain daher sehr ernst nehmen.
Im vergangenen Jahr begann einer der größten Cyber-Security-Angriffe in der Geschichte: der sogenannte SolarWinds-Hack. Bei dieser Attacke auf die Supply Chain haben vermutlich staatliche Akteure die Lösungen und Dienste von Firmen wie SolarWinds, Microsoft und VMware missbraucht, um über diesen Umweg auf die Systeme sowohl privater als auch behördlicher Kunden zuzugreifen.
Tausende von Unternehmen sowie Regierungsstellen in Europa und den USA wurden dabei unterwandert. Die betroffenen Systeme mussten nach dem Bekanntwerden der Angriffe mühsam gesäubert und neu konfiguriert werden. Die Kosten für diese Maßnahmen sind immens.
Bislang sind aber noch nicht alle Auswirkungen des SolarWinds-Hacks bekannt. Es ist aber deutlich geworden, dass Unternehmen jeder Größenordnung die Sicherheit ihrer Lieferketten genauestens unter die Lupe nehmen und zusätzliche Maßnahmen umsetzen sollten, um nicht das Opfer vergleichbarer oder neuer Attacken zu werden.
Warum Supply-Chain-Angriffe so gefährlich sind
Bei einer Attacke auf die Lieferkette, gelegentlich auch als Drittanbieter- oder Wertschöpfungskettenangriff bezeichnet, greift ein böswilliger Akteur auf das Netzwerk eines Unternehmens zu, indem er sich vorher in einen Teil der Lieferkette des avisierten Opfers einschleicht.
Diese Art von Angriffen ist deswegen so verhängnisvoll, weil die Zeit, die für ihre Aufdeckung benötigt wird, erheblich länger ist als bei anderen Arten von sicherheitsrelevanten Vorfällen. In der Tat hat es rund neun Monate gedauert, bis der SolarWinds-Hack entdeckt wurde.
Durch das Einschleusen von Schadsoftware in Drittanbieter-Dienste verändert sich die gesamte Bedrohungslandschaft. In der Folge können weit mehr Opfer – die Kunden des zunächst attackierten Unternehmens – angegriffen werden. Außerdem ist es mit einer Attacke auf die Supply Chain oft möglich, auch hochgradig separierte Systeme zu infiltrieren.
Aus diesen Gründen können IT-Security-Verantwortliche nicht mehr davon ausgehen, dass sie sicher sind, nur weil sie noch nicht von einem attackierten Lieferanten kontaktiert wurden.
Maßnahmen zum Schutz vor Angriffen auf die Supply Chain
Wir leben in einem Zeitalter moderner Geschäftsmodelle, die ähnlich wie Ökosysteme aufgebaut sind. Gemeinsam genutzte Tech-Plattformen, Marktplätze für Apps, zahllose APIs (Application Programming Interfaces) und das Teilen von Daten sind zur allgemein akzeptierten Norm geworden.
Diese Agilität der Lieferketten ist aber zugleich der Schlüssel zu einer erhöhten Widerstandskraft. Viele bislang genutzte Cyber-Security-Strategien können damit jedoch nicht mehr Schritt halten. Die zunehmend vernetzte und von Daten getriebene Situation bewirkt, dass IT-Security-Verantwortliche über mehr als nur die üblichen Sicherheitsmaßnahmen nachdenken sollten.
Eine Organisation, ein Unternehmen oder eine Behörde ist nur so stark wie das schwächste Verbindungsglied. Es ist daher unverzichtbar, eine Sicherheitsstrategie zu entwickeln, die das gesamte heutige Ökosystem schützt. Das Umsetzen der im Folgenden beschriebenen Maßnahmen zum Schutz der gesamten Supply Chain reduziert die Risiken durch Drittanbieter-Lösungen und erfüllt trotzdem gleichzeitig die Bedürfnisse der sich laufend ändernden Ökosysteme in den Unternehmen.
1. Inventarisieren Sie nicht nur die Assets, sondern auch die Zugänge
Eine umfassende und zugleich aktuelle Inventur aller Güter im Unternehmen ist ein wichtiger erster Schritt. Verzeichnen Sie alle Spezifikationen für Ihre Hard- und Software sowie alle Updates, Patches und auch wie sich die Daten im Netzwerk verhalten. Nur eine maximale Transparenz kann dafür sorgen, dass zielgerichtete Maßnahmen zur Abwehr von Bedrohungen entwickelt werden können. Das gilt besonders für die immer größer und heterogener werdenden IT-Umgebungen, die mittlerweile auch IT/OT, zahllose Endpunkte und zunehmend Remote-Dienste umfassen.
Eine Absicherung der gesamten Supply Chain setzt voraus, in weit größeren Dimensionen als bisher zu denken. So sollten Ihre IT-Security-Teams auch jegliche Zugriffe überwachen, um jederzeit genauestens über alle Teilnehmer und Aktivitäten informiert zu sein.
Viele Unternehmen sind nicht in der Lage, alle Hersteller oder Drittparteien zu identifizieren oder zu registrieren, die auf ihre Daten und Dienste zugreifen. Dadurch entstehen jedoch teilweise gigantische blinde Flecken in der Absicherung ihrer IT-Systeme, beim Management der Bedrohungen und bei der Verwaltung der Zugriffe. Um den Schutz ihrer Daten zu erhöhen, sollten Unternehmen Zugriffe daher nur noch auf der Basis von eindeutig definierten klaren und zeitlich begrenzten Berechtigungen gewähren.
2. Verbessern Sie das Risikomanagement in der Lieferkette
Das Thema IT-Security gehört nun endlich auch bei Vorständen, Geschäftsführung und Regierungsvertretern zu den Topprioritäten. Trotzdem sind die geleisteten Investitionen und Anstrengungen immer noch nicht ausreichend, um für einen umfassenden Schutz zu sorgen. Organisationen sollten ihre Strategien und Taktiken zur Bekämpfung von Risiken nun auch auf die Drittanbieter erweitern. Dafür sind folgende Maßnahmen geeignet:
- Erweitern Sie Ihre Verträge mit Herstellern um Sicherheitsrichtlinien: Schaffen Sie eine kulturelle Basis, um sicherer mit anderen Organisationen zusammenzuarbeiten und legen Sie Parameter zum Schutz der Daten über ihren gesamten Lebenszyklus fest. Dabei sollten auch Informationspflichten und regelmäßige Kontrollen festgelegt werden.
- Bestehen Sie auf einer Überprüfung der Sicherheitslage bei den Anbietern: Prüfen Sie, ob die Hersteller zum Beispiel Penetrationstests durchführen, Security Ratings erstellen und ob sie sich an Compliance-Vorgaben wie die Datenschutz-Grundverordnung (DSGVO) oder die Cybersecurity Maturity Model Certification halten.
- Führen Sie kontinuierlich Risikoeinschätzungen durch: Integrieren Sie wiederholte Inspektionen, Fragebögen und Simulationen, um die Reaktionsfähigkeit Ihrer Partner auf sicherheitsrelevante Vorfälle zu testen.
3. Stellen Sie sicher, dass die Beziehungen zu Dritten kooperativ aufgebaut sind
Die oben vorgestellten empfehlenswerten Maßnahmen zur Absicherung der Supply Chain konzentrieren sich auf Risiken durch Drittanbieter, die Sie kontrollieren können. Dabei geht es aber nicht darum, bestimmte Verhaltensweisen bei Drittanbietern zu erzwingen oder „zu befehlen“. Das würde nicht funktionieren.
Die beste Methode, um Bedrohungen im System zu lösen, ist Zusammenarbeit. Der SolarWinds-Hack ist eine gute Gelegenheit für Organisationen, um die anstehenden Probleme gemeinsam mit ihren Partnern und unabhängig von normalen Unternehmensentscheidungen zu lösen. So können Sie für eine gemeinsame Kultur sorgen, um das gesamte Ökosystem besser abzusichern:
- Laden Sie zur Risikobewertung ein, bei denen alle betroffenen Parteien gemeinsam und proaktiv an der Minimierung der für sie bestehenden Risiken arbeiten. Dazu gehören wiederum Penetrationstests, die Steuerung von Zugriffen sowie das Schließen von Schwachstellen.
- Verbessern Sie die Kommunikation und sorgen Sie dafür, dass die Sicherheitsteams ihre Erkenntnisse mit den Partnern austauschen. Damit unterstützen sich die Mitarbeiter gegenseitig, die richtigen Schlüsse aus sicherheitsrelevanten Vorfällen zu ziehen. Ein vermeintlich harmloses Ereignis in einem Bereich kann zu einer erhöhten Dringlichkeit an anderen Stellen oder zu Risiken führen, die erst über einen längeren Zeitraum sichtbar werden.
- Vermeiden Sie es, zu viele essenzielle Dienste von nur einem einzigen Anbieter zu beziehen. Verteilen Sie das Risiko stattdessen, indem Sie eine Zusammenarbeit mit neuen Partnern mit in Ihre Gesamtstrategie aufnehmen.
Da Angriffe auf die Supply Chain ein systemisches Problem sind, erfordern sie auch einen systemischen Ansatz, um sie zu lösen. Multilaterale Zusammenarbeit, Koordinierung und Kooperation sind entscheidend für eine effektive Eindämmung der sicherheitsrelevanten Vorfälle, die durch Attacken auf die Lieferketten verursacht werden.