InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
In einer zunehmend digital vernetzten Welt sind Unternehmen mehr denn je auf ein breites Lieferanten- und Anbieter-Netzwerk angewiesen. Diese Abhängigkeit erhöht die Risiken in der Lieferkette und macht das Cyber Supply Chain Risk Management (C-SCRM) zu einer unverzichtbaren Aufgabe für Unternehmen aller Branchen. Chief Information Security Officers (CISO) sind deshalb gefordert, die vielschichtigen Risiken des C-SCRM zu verstehen, zu managen und proaktiv zu handeln. Dieser Artikel konzentriert sich auf die wichtigsten Strategien und bewährten Praktiken aus der Sicht eines CISO – unter Berücksichtigung renommierter Frameworks und Empfehlungen.
Für eine erfolgreiche Erfüllung seines Verantwortungsgebiets muss ein CISO den vollen Umfang der erweiterten Lieferketten verstehen und Unternehmensinformationen umfassend schützen. Die daraus abzuleitenden Massnahmen überschreiten die reine Sicherung interner Systeme, indem sie das gesamte Ökosystem der Lieferkette umfassen – einschliesslich Drittanbietern, Dienstleistern und Kunden. Dies erfordert eine multidisziplinäre Sichtweise und die Identifizierung aller beteiligten Akteure.
Durch die Dokumentation von Richtlinien und Verfahren sowie Anforderungen an die beauftragten Dienstleister (und deren Überprüfung) gewährleisten Unternehmen entlang der gesamten Lieferkette Sicherheit, Integrität, Widerstandsfähigkeit und Qualität.
Die Einhaltung etablierter Standards wie: ISO/IEC 27001 und 27002, NIST Cybersecurity Framework (CSF mit erweiterter Gewichtung in NIST CSF v2.0), CIS Controls, FINMA-Rundschreiben 2023/1 sind von entscheidender Bedeutung.
Ein vollständiges Inventar der Dienstleister, der Informationen über ausgelagerte Daten sowie ein gründliches Verständnis der beschafften Leistungen und IT-Komponenten sind unerlässlich. Eine regelmässige Bewertung der Dienstleister und die Identifizierung von Schwachstellen sind essenziell. Unternehmen müssen sicherstellen, dass ihre beauftragten Dienstleister angemessene Sicherheitsmassnahmen und ihrerseits SCRM-Praktiken umsetzen. Dies erfordert die Einführung von Protokollen zur Bewertung der Sicherheitskultur und der SCRM-Programme der Lieferanten und Unterakkordanten.
In der Welt des Cyber Supply Chain Risk Managements (C-SCRM) sind Unternehmen mit einer Vielzahl von Bedrohungen konfrontiert, die ihren Betrieb und ihren Ruf gefährden können.
Betrachten wir einige konkrete Cyberrisiken, welche die Bedeutung robuster SCRM-Massnahmen verdeutlichen:
Die Wirksamkeit eines SCRM-Programms hängt von seiner Anpassungsfähigkeit an sich verändernde Bedrohungen ab. Regelmässige Evaluierungen sind notwendig, um festzustellen, ob das Programm effektiv ist und wo Optimierungen erforderlich sind.
Die Implementierung eines C-SCRM erfordert einen strukturierten Ansatz. Die Massnahmen überschreiten die reine Sicherung interner Systeme.
Zu den Schlüsselelementen eines Cyber-SCRM-Plans gehören:
Die ersten Schritte sind immer die schwierigsten. Damit Ihnen diese leichter fallen, haben wir einen pragmatischen Ansatz formuliert, der Ihnen klare Handlungsempfehlungen und konkrete Massnahmen an die Hand gibt:
Die ersten Schritte |
Was ist im Detail zu tun: |
1. Durchführen einer IST-Analyse, indem die Lieferkette gründlich untersucht und die beteiligten Akteure identifiziert werden.
|
Inventar der Dienstleister, der ausgelagerten Daten, Leistungen und IT-Komponenten:
|
2. Entwicklung klarer Richtlinien und Verfahren auf der Grundlage von Best Practices und Industriestandards. |
|
3. Durchführung regelmässiger Lieferanten- und Komponentenbewertungen sowie Kontrollen, um potenzielle Risiken frühzeitig zu erkennen und anzugehen. |
|
4. SCRM-Bewusstsein in Ihrer Organisation schaffen und Mitarbeitende hinsichtlich der Notwendigkeit des Lieferketten-Risikomanagements sensibilisieren. |
|
Die Komplexität des C-SCRM erfordert einen ganzheitlichen und proaktiven Ansatz. C-SCRM stellt Unternehmen vor vielschichtige Herausforderungen, die proaktives Handeln und kontinuierliche Sorgfalt erfordern.
Als CISO liegt die Verantwortung bei uns, robuste SCRM-Praktiken zu implementieren, die die Vermögenswerte unserer Unternehmen schützen und die Geschäftskontinuität gewährleisten. Durch die Einhaltung etablierter Frameworks und die Implementierung von Best Practices können Unternehmen die Komplexität der digitalen Lieferkettenlandschaft mit Zuversicht meistern.
Cyberrisiken sind oft komplex und nicht auf den ersten Blick erkennbar. Die Sicherstellung einer robusten betrieblichen Kontinuität durch effektives Cyber Supply Chain Risk Management sollten Sie daher nicht dem Zufall überlassen.
Unser Team von Cybersicherheits-Expert*innen steht Ihnen mit ihrer Expertise zur Seite und bietet umfassende Unterstützung in den Bereichen Risk Management & Compliance, implementiert massgeschneiderte Sicherheitslösungen und sorgt für eine proaktive Reaktion auf potenzielle Bedrohungen.
Kontaktieren Sie uns für eine detaillierte Beratung und erfahren Sie, wie wir Ihre Cybersicherheitsstrategie optimieren können.