IT-Management.today IT-Management.today
  • Top Themen
  • Cloud
  • Security
  • Rechenzentrum
  • Kommunikation
  • Arbeitsplatz
  • Whitepaper
  • Veranstaltungen
  • Vorträge
Go to...

    Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Laura LangerLaura Langer
    3. März, 2022

    Eigenes Risiko bei Cyberangriffen auf Zulieferer reduzieren

    Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Fred Tavas, Country Manager DACH und CEE bei Trustwave

    In der Supply Chain sind verschiedene Unternehmen miteinander verbunden. Doch was, wenn ein Zulieferer einen Cyberangriff erleidet? Ein solcher IT-Sicherheitsvorfall bei einem Mitglied der Lieferkette kann auch das eigene Unternehmen betreffen und drastische Folgen nach sich ziehen. So könnten sich 2022 bis zu 60 % der Sicherheitsfälle außerhalb der Grenzen des eigenen Unternehmens ereignen[1]. Mit vorausschauenden Maßnahmen zum Supply Chain Risk (SCR) Management lässt sich verhindern, dass Cyberangriffe auf Mitglieder der Lieferkette auch das eigene Unternehmen empfindlich treffen.

    Ein Kommentar von Fred Tavas von Trustwave

    Zu den möglichen Folgen eines Cybersicherheitsvorfalls in der Supply Chain zählen vor allem ein drohender Stillstand auch des eigenen Geschäftsbetriebs sowie der Diebstahl von Daten, die beim Lieferanten gespeichert sind. Doch wie lässt sich das verhindern?

    Zunächst sollte Unternehmen ihre Lieferanten kennen. Dieser Punkt klingt selbstverständlich – aber viele Unternehmen wissen gar nicht genau, wer sich hinter ihren Lieferanten verbirgt. Der erste Schritt auf dem Weg zu einem sicheren SCR Management sollte daher die Auflistung aller Supplier sein. Oftmals geschieht dies nur nach der Höhe der Service- oder Lieferkosten. Lieferanten, die diese Schwelle nicht erreichen, werden meistens auch nicht genauer analysiert. Einige der Lieferanten, die auf diese Weise durch das Raster fallen, sollten aber vielleicht doch besser überprüft werden – wie beispielsweise der Drucker der jährlichen Corporate-Geschenke, der die gesamte Kundenliste eines Unternehmens besitzt.

    Anschließend sollte man diese Liste sortieren und alle Zulieferer nach ihrer Kritikalität bewerten: Welche sind für das eigene Unternehmen wichtig? Und welche Auswirkungen könnte ein Cybersicherheitsvorfall bei diesen Lieferanten haben? Besonders wichtig sind solche Lieferanten, die Zugriff auf Systeme des Unternehmens, klassifizierte Daten oder persönlich identifizierbare Informationen (PII) haben. Diese kritischen Zulieferer sollten dann eingehender überprüft und analysiert werden.

    Regelmäßiges Risk Assessment ist elementar

    Cybersecurity Frameworks helfen bei der Definition und Überwachung von Security Policies. Sie enthalten Standards, Richtlinien und Best Practices, um das individuelle Cybersicherheitsrisiko zu bewerten. Bei regelmäßiger Anwendung ist so ein kontinuierliches Monitoring von IT-Sicherheit und -Systemen gewährleistet. Frameworks wie das National Institute of Standards and Technology (NIST) Cybersecurity Framework lassen sich nicht nur auf das eigene Unternehmen anwenden, sondern sind auch für die Bewertung des IT-Sicherheitsrisikos von Zulieferern optimal geeignet.

    Die Bewertungsfragen eines Frameworks beinhalten etwa die Fähigkeit des Anbieters zur Datenverschlüsselung, die Verwendung von Mehrfaktor-Authentifizierung (MFA), Passwortrichtlinien sowie die Verwaltung von Patchprogrammen, Architektur und Segmentierung des Netzwerks sowie Cloud-Nutzung. Da auf Assessment-Fragen auch unwahr geantwortet werden kann, sollten Nachweise angefordert werden. Dies können beispielsweise Bestätigungen zur Einhaltung von Sicherheitsrichtlinien, Berichte von Penetrationstests, Zertifizierungen wie DIN EN ISO 27001 oder Audits des Standards SOC 2 (System and Organization Controls 2) sein.

    Die richtigen Schlüsse ziehen

    Zu wissen, welche Parameter in die Risikobewertung eines Lieferanten einfließen und wie sich diese Schwachstellen auf das eigene Unternehmen auswirken können, ist elementar. Beispielsweise hat ein Zulieferer SSL-Schwachstellen: Stellen diese nun ein Problem für das eigene Unternehmen dar? Wenn der Anbieter die Kundendaten des Unternehmens auf einem öffentlich zugänglichen System speichern sollte: definitiv; wenn er aber nur Blumen an der Rezeption bereitstellt, wirkt sich diese Schwachstelle nicht auf das eigene Unternehmen aus.

    Die Interpretation der Vielzahl von Cybersicherheitsberichten, Zertifikaten, Scans und Rich-Text-Antworten erfordert eine große Wissensspanne. Über diese verfügen die meisten IT- oder Audit-Generalisten nicht, und KI-basierte Sicherheitsscans können die Daten zudem nicht mit Genauigkeit verarbeiten. Unternehmen können die Auswertung und Interpretation ihres Risk Assessment daher an einen externen Provider auslagern. Neben der schnellen und fachkundigen Auswertung kann ein solcher Provider auch Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken bei Hochrisikolieferanten bieten.

    Threat Detection sollte Teil der SCR-Strategie sein

    Wie die SolarWinds-Schwachstelle aus 2020 zeigte, kann keine noch so gute Risikobewertung vor einem potenziellen nationalstaatlichen Angriff schützen. Ein Dienst oder eine Funktion zur Erkennung von Bedrohungen warnt jedoch in Echtzeit vor Vorfällen und Verstößen. Zumindest lässt sich so schnell reagieren und bestenfalls die Bedrohung stoppen, bevor sie die kritischen Systeme des eigenen Unternehmens erreicht.

    Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann helfen, die Resilienzfähigkeit eines Unternehmens gegen Risiken in der Lieferkette zu verbessern. Die Ergreifung geeigneter Maßnahmen verkürzt die Zeit, die benötigt wird, um ein SCR-Managementprogramm in Gang zu bringen. MSSP können auch helfen, wenn Unternehmen interne Cyberrisikobewertungen überdenken wollen oder einen effizienten externen Anbieter suchen, der diese Aufgabe für sie übernimmt.

    [1] https://www.forrester.com/blogs/predictions-2022-continued-uncertainty-forces-attention-on-securing-relationships/

    Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.

    Firmenkontakt
    Trustwave Germany GmbH
    Stephen Balogun
    The Squaire 12
    60549 Frankfurt am Main
    +447710 712 125
    [email protected]
    https://www.trustwave.com/de-de/

    Pressekontakt
    Sprengel & Partner GmbH
    Samira Liebscher
    Nisterstrasse 3
    56472 Nisterau
    +49 2661-912600
    [email protected]
    https://www.sprengel-pr.com

    Laura Langer

    Laura Langer

    Laura ist seit Mitte 2015 als Redakteurin und Marketing Manager bei dem Business.today Network tätig. Zuvor machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Related Posts

    • So kann Künstliche Intelligenz vor Krypto-Betrug bewahren

      So kann Künstliche Intelligenz vor Krypto-Betrug bewahren

      Wie KI die Kryptobranche revolutioniert: Intelligente Investmentstrategien mit ChatGPT

      Wie KI die Kryptobranche revolutioniert: Intelligente Investmentstrategien mit ChatGPT

      Künstliche Intelligenz: Nur ein Hype oder von jetzt Alltag?

      Künstliche Intelligenz: Nur ein Hype oder von jetzt Alltag?

    Security

    • Dell Technologies stärkt die Cybersicherheit in Unternehmen mit neuen MDR-Services
      Dell Technologies stärkt die Cybersicherheit in Unternehmen mit neuen MDR-Services
    • Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?
      Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?
    • Akamai analysiert Risiken einer kritischen Spoofing-Schwachstelle in der Windows CryptoAPI
      Akamai analysiert Risiken einer kritischen Spoofing-Schwachstelle in der Windows CryptoAPI

    Kommunikation

    • Wie gelingt die Integration von MS Teams  in die bestehende Kommunikationsstruktur
      Wie gelingt die Integration von MS Teams in die bestehende Kommunikationsstruktur
    • Intelligente Assistenten für den Geschäftserfolg
      Intelligente Assistenten für den Geschäftserfolg
    • App-Promo-Erklärvideo: Unterschied Android & iOS
      App-Promo-Erklärvideo: Unterschied Android & iOS

    Cloud

    • CloudBees-Umfrage zeigt: Value-Stream-Management essenziell für den Erfolg der digitalen Transformation
      CloudBees-Umfrage zeigt: Value-Stream-Management essenziell für den Erfolg der digitalen Transformation
    • Akamai stellt Connected Cloud und neue Cloud-Computing-Services vor
      Akamai stellt Connected Cloud und neue Cloud-Computing-Services vor
    • proALPHA bringt mit skalierbaren tisoware-Paketen Zeiterfassung unkompliziert in die Cloud
      proALPHA bringt mit skalierbaren tisoware-Paketen Zeiterfassung unkompliziert in die Cloud

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt
    • Kompakt & aktuell
    • Völlig kostenfrei
    • Abmeldung ist jederzeit möglich.
    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Rechenzentrum

    • Die Vorteile von modernen ERP-Systemen in Groß- und Einzelhandel
      Die Vorteile von modernen ERP-Systemen in Groß- und Einzelhandel
    • Sieben Trends, auf die sich Cybersecurity-Verantwortliche 2023 einstellen sollten
      Sieben Trends, auf die sich Cybersecurity-Verantwortliche 2023 einstellen sollten
    • NetApp vereinfacht den Betrieb der Hybrid Cloud und schützt vor Ransomware
      NetApp vereinfacht den Betrieb der Hybrid Cloud und schützt vor Ransomware

    Arbeitsplatz

    • proALPHA bringt mit skalierbaren tisoware-Paketen Zeiterfassung unkompliziert in die Cloud
      proALPHA bringt mit skalierbaren tisoware-Paketen Zeiterfassung unkompliziert in die Cloud
    • PROXESS Release 2022 R1: Neue Funktionen, Dokumentradar, Integrationstool für Drittsysteme und Integration in Microsoft Dynamics 365 Business Central
      PROXESS Release 2022 R1: Neue Funktionen, Dokumentradar, Integrationstool für Drittsysteme und Integration in Microsoft Dynamics 365 Business Central
    • Digitalisierung und Automatisierung im Reporting

    Whitepaper Downloads

    • Die Vorteile von modernen ERP-Systemen in Groß- und Einzelhandel
      Die Vorteile von modernen ERP-Systemen in Groß- und Einzelhandel
    • Partnermanagement optimieren durch moderne B2B-Integration
      Partnermanagement optimieren durch moderne B2B-Integration
    • Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?
      Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?

    Menü

    • Home
    • Cloud
    • Security
    • Rechenzentrum
    • Kommunikation
    • Arbeitsplatz
    • Whitepaper
    • Veranstaltungen

    Service

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN-Portale

    • IT-Cloud.today
    • IT-Outsourcing.today
    • ITSicherheit.today
    • Virtualisierung.today
    • Datenmanagement.today
    • Mobile-Computing.today

    Eine Marke von

    BTN Logo
    © 2022 IT-Management.today | All Rights Reserved