IT-Management.today IT-Management.today
  • Top Themen
  • Cloud
  • Security
  • Rechenzentrum
  • Kommunikation
  • Arbeitsplatz
  • Whitepaper
  • Veranstaltungen
  • Vorträge
Go to...

    Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Laura LangerLaura Langer
    3. März, 2022

    Eigenes Risiko bei Cyberangriffen auf Zulieferer reduzieren

    Kommentar: Supply Chain Risk Management: Auf Cyberangriffe in der Lieferkette gut vorbereitet sein

    Fred Tavas, Country Manager DACH und CEE bei Trustwave

    In der Supply Chain sind verschiedene Unternehmen miteinander verbunden. Doch was, wenn ein Zulieferer einen Cyberangriff erleidet? Ein solcher IT-Sicherheitsvorfall bei einem Mitglied der Lieferkette kann auch das eigene Unternehmen betreffen und drastische Folgen nach sich ziehen. So könnten sich 2022 bis zu 60 % der Sicherheitsfälle außerhalb der Grenzen des eigenen Unternehmens ereignen[1]. Mit vorausschauenden Maßnahmen zum Supply Chain Risk (SCR) Management lässt sich verhindern, dass Cyberangriffe auf Mitglieder der Lieferkette auch das eigene Unternehmen empfindlich treffen.

    Ein Kommentar von Fred Tavas von Trustwave

    Zu den möglichen Folgen eines Cybersicherheitsvorfalls in der Supply Chain zählen vor allem ein drohender Stillstand auch des eigenen Geschäftsbetriebs sowie der Diebstahl von Daten, die beim Lieferanten gespeichert sind. Doch wie lässt sich das verhindern?

    Zunächst sollte Unternehmen ihre Lieferanten kennen. Dieser Punkt klingt selbstverständlich – aber viele Unternehmen wissen gar nicht genau, wer sich hinter ihren Lieferanten verbirgt. Der erste Schritt auf dem Weg zu einem sicheren SCR Management sollte daher die Auflistung aller Supplier sein. Oftmals geschieht dies nur nach der Höhe der Service- oder Lieferkosten. Lieferanten, die diese Schwelle nicht erreichen, werden meistens auch nicht genauer analysiert. Einige der Lieferanten, die auf diese Weise durch das Raster fallen, sollten aber vielleicht doch besser überprüft werden – wie beispielsweise der Drucker der jährlichen Corporate-Geschenke, der die gesamte Kundenliste eines Unternehmens besitzt.

    Anschließend sollte man diese Liste sortieren und alle Zulieferer nach ihrer Kritikalität bewerten: Welche sind für das eigene Unternehmen wichtig? Und welche Auswirkungen könnte ein Cybersicherheitsvorfall bei diesen Lieferanten haben? Besonders wichtig sind solche Lieferanten, die Zugriff auf Systeme des Unternehmens, klassifizierte Daten oder persönlich identifizierbare Informationen (PII) haben. Diese kritischen Zulieferer sollten dann eingehender überprüft und analysiert werden.

    Regelmäßiges Risk Assessment ist elementar

    Cybersecurity Frameworks helfen bei der Definition und Überwachung von Security Policies. Sie enthalten Standards, Richtlinien und Best Practices, um das individuelle Cybersicherheitsrisiko zu bewerten. Bei regelmäßiger Anwendung ist so ein kontinuierliches Monitoring von IT-Sicherheit und -Systemen gewährleistet. Frameworks wie das National Institute of Standards and Technology (NIST) Cybersecurity Framework lassen sich nicht nur auf das eigene Unternehmen anwenden, sondern sind auch für die Bewertung des IT-Sicherheitsrisikos von Zulieferern optimal geeignet.

    Die Bewertungsfragen eines Frameworks beinhalten etwa die Fähigkeit des Anbieters zur Datenverschlüsselung, die Verwendung von Mehrfaktor-Authentifizierung (MFA), Passwortrichtlinien sowie die Verwaltung von Patchprogrammen, Architektur und Segmentierung des Netzwerks sowie Cloud-Nutzung. Da auf Assessment-Fragen auch unwahr geantwortet werden kann, sollten Nachweise angefordert werden. Dies können beispielsweise Bestätigungen zur Einhaltung von Sicherheitsrichtlinien, Berichte von Penetrationstests, Zertifizierungen wie DIN EN ISO 27001 oder Audits des Standards SOC 2 (System and Organization Controls 2) sein.

    Die richtigen Schlüsse ziehen

    Zu wissen, welche Parameter in die Risikobewertung eines Lieferanten einfließen und wie sich diese Schwachstellen auf das eigene Unternehmen auswirken können, ist elementar. Beispielsweise hat ein Zulieferer SSL-Schwachstellen: Stellen diese nun ein Problem für das eigene Unternehmen dar? Wenn der Anbieter die Kundendaten des Unternehmens auf einem öffentlich zugänglichen System speichern sollte: definitiv; wenn er aber nur Blumen an der Rezeption bereitstellt, wirkt sich diese Schwachstelle nicht auf das eigene Unternehmen aus.

    Die Interpretation der Vielzahl von Cybersicherheitsberichten, Zertifikaten, Scans und Rich-Text-Antworten erfordert eine große Wissensspanne. Über diese verfügen die meisten IT- oder Audit-Generalisten nicht, und KI-basierte Sicherheitsscans können die Daten zudem nicht mit Genauigkeit verarbeiten. Unternehmen können die Auswertung und Interpretation ihres Risk Assessment daher an einen externen Provider auslagern. Neben der schnellen und fachkundigen Auswertung kann ein solcher Provider auch Empfehlungen für Maßnahmen zur Behebung von Sicherheitslücken bei Hochrisikolieferanten bieten.

    Threat Detection sollte Teil der SCR-Strategie sein

    Wie die SolarWinds-Schwachstelle aus 2020 zeigte, kann keine noch so gute Risikobewertung vor einem potenziellen nationalstaatlichen Angriff schützen. Ein Dienst oder eine Funktion zur Erkennung von Bedrohungen warnt jedoch in Echtzeit vor Vorfällen und Verstößen. Zumindest lässt sich so schnell reagieren und bestenfalls die Bedrohung stoppen, bevor sie die kritischen Systeme des eigenen Unternehmens erreicht.

    Die Zusammenarbeit mit einem Managed Security Service Provider (MSSP) kann helfen, die Resilienzfähigkeit eines Unternehmens gegen Risiken in der Lieferkette zu verbessern. Die Ergreifung geeigneter Maßnahmen verkürzt die Zeit, die benötigt wird, um ein SCR-Managementprogramm in Gang zu bringen. MSSP können auch helfen, wenn Unternehmen interne Cyberrisikobewertungen überdenken wollen oder einen effizienten externen Anbieter suchen, der diese Aufgabe für sie übernimmt.

    [1] https://www.forrester.com/blogs/predictions-2022-continued-uncertainty-forces-attention-on-securing-relationships/

    Trustwave ist ein führender Anbieter von Cybersicherheitslösungen und Managed Security Services mit dem Fokus auf Threat Detection and Response. Der Security-Experte unterstützt weltweit Unternehmen bei der Bekämpfung von Cyberkriminalität, beim Schutz von Daten sowie bei der Minimierung von Sicherheitsrisiken. Mit einem umfassenden Portfolio an Managed Security Services, Security-Tests, Beratung, Technologielösungen und Cybersecurity-Schulungen hilft Trustwave Unternehmen dabei, die digitale Transformation sicher zu meistern. Trustwave ist ein Singtel-Unternehmen und der globale Sicherheitszweig von Singtel, Optus und NCS mit Kunden in 96 Ländern.

    Firmenkontakt
    Trustwave Germany GmbH
    Stephen Balogun
    The Squaire 12
    60549 Frankfurt am Main
    +447710 712 125
    [email protected]
    https://www.trustwave.com/de-de/

    Pressekontakt
    Sprengel & Partner GmbH
    Samira Liebscher
    Nisterstrasse 3
    56472 Nisterau
    +49 2661-912600
    [email protected]
    https://www.sprengel-pr.com

    Laura Langer

    Laura Langer

    Laura ist seit Mitte 2015 als Redakteurin und Marketing Manager bei dem Business.today Network tätig. Zuvor machte Sie Ihren Master-Abschluss in BWL mit Schwerpunkt Marketing.

    Related Posts

    • IT-Fachkräfte in aller Munde: Wie Unternehmen trotz Mangel die passenden Mitarbeiterinnen und Mitarbeiter finden

      IT-Fachkräfte in aller Munde: Wie Unternehmen trotz Mangel die passenden Mitarbeiterinnen und Mitarbeiter finden

      Reply Studie ‘Hybrid Work’ über die Entwicklung von Technologien zur Unterstützung neuer Arbeitsformen

      Reply Studie ‘Hybrid Work’ über die Entwicklung von Technologien zur Unterstützung neuer Arbeitsformen

      Kaspersky führt zentralisierte Plattform für Threat-Intelligence-Management ein

      Kaspersky führt zentralisierte Plattform für Threat-Intelligence-Management ein

    Security

    • Prävention ist die effektivste Lösung gegen Cyberangriffe
      Prävention ist die effektivste Lösung gegen Cyberangriffe
    • So sieht die IT-Security von morgen aus
      So sieht die IT-Security von morgen aus
    • Studie belegt: Kubernetes ist die Achillesferse beim Schutz vor Ransomware
      Studie belegt: Kubernetes ist die Achillesferse beim Schutz vor Ransomware

    Kommunikation

    • Wie gelingt die Integration von MS Teams  in die bestehende Kommunikationsstruktur
      Wie gelingt die Integration von MS Teams in die bestehende Kommunikationsstruktur
    • Intelligente Assistenten für den Geschäftserfolg
      Intelligente Assistenten für den Geschäftserfolg
    • App-Promo-Erklärvideo: Unterschied Android & iOS
      App-Promo-Erklärvideo: Unterschied Android & iOS

    Cloud

    • Weniger Ausfallzeiten mit der Cloud: So schützen Sie Ihr Unternehmen vor Cloud-Ausfällen
      Weniger Ausfallzeiten mit der Cloud: So schützen Sie Ihr Unternehmen vor Cloud-Ausfällen
    • Transformation in die digitale Zukunft | SAP S/4HANA beschleunigt Cloud-Shift im Handel
      Transformation in die digitale Zukunft | SAP S/4HANA beschleunigt Cloud-Shift im Handel
    • Trotz überwältigender Vorteile arbeiten nur 17 % aller CPaaS-Nutzer weltweit mit einer hochentwickelten CPaaS-Lösung
      Trotz überwältigender Vorteile arbeiten nur 17 % aller CPaaS-Nutzer weltweit mit einer hochentwickelten CPaaS-Lösung

    Newsletter abonnieren

    • Alle wichtigen News aus der Businesswelt
    • Kompakt & aktuell
    • Völlig kostenfrei
    • Abmeldung ist jederzeit möglich.
    • Melden Sie sich jetzt an:

      Vielen Dank für Ihre Registrierung! Bitte prüfen Sie Ihren Posteingang oder Spam-Ordner, um das Abonnement zu bestätigen.

    Rechenzentrum

    • Risikominimierung als Service für das Rechenzentrum
      Risikominimierung als Service für das Rechenzentrum
    • Globaler Markt für Rechenzentren: Wachstum bis 2022 erwartet
      Globaler Markt für Rechenzentren: Wachstum bis 2022 erwartet
    • Flexera 2022 State of ITAM Report: Aufholjagd in Sachen IT-Management
      Flexera 2022 State of ITAM Report: Aufholjagd in Sachen IT-Management

    Arbeitsplatz

    • Homeoffice mit cleveren Lösungen aufwerten
      Homeoffice mit cleveren Lösungen aufwerten
    • Mitarbeiter*innen im Arbeitsalltag unterstützen
      Mitarbeiter*innen im Arbeitsalltag unterstützen
    • CIOs sind der Treiber der Automatisierung in europäischen Unternehmen
      CIOs sind der Treiber der Automatisierung in europäischen Unternehmen

    Whitepaper Downloads

    • Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?
      Checkliste: Wie DSGVO-konform sind Ihre Videokonferenzen wirklich?
    • Die Vorteile von digitalen Purchase-to-Pay Lösungen
      Die Vorteile von digitalen Purchase-to-Pay Lösungen
    • Partnermanagement optimieren durch moderne B2B-Integration
      Partnermanagement optimieren durch moderne B2B-Integration

    Menü

    • Home
    • Cloud
    • Security
    • Rechenzentrum
    • Kommunikation
    • Arbeitsplatz
    • Whitepaper
    • Veranstaltungen

    Service

    • Mediadaten
    • Newsletter abonnieren
    • Newsletter abmelden
    • Impressum
    • Datenschutz
    • AGB

    Weitere BTN-Portale

    • IT-Cloud.today
    • IT-Outsourcing.today
    • ITSicherheit.today
    • Virtualisierung.today
    • Datenmanagement.today
    • Mobile-Computing.today

    Eine Marke von

    BTN Logo
    © 2020 IT-Management.today | All Rights Reserved