InfoGuard Cyber Security & Cyber Defence Blog

CISO-Perspektive: Proaktives Cyber-SCRM zum Schutz Ihrer Betriebskontinuität

Geschrieben von Markus Limacher | 08. Aug 2024

In einer zunehmend digital vernetzten Welt sind Unternehmen mehr denn je auf ein breites Lieferanten- und Anbieter-Netzwerk angewiesen. Diese Abhängigkeit erhöht die Risiken in der Lieferkette und macht das Cyber Supply Chain Risk Management (C-SCRM) zu einer unverzichtbaren Aufgabe für Unternehmen aller Branchen. Chief Information Security Officers (CISO) sind deshalb gefordert, die vielschichtigen Risiken des C-SCRM zu verstehen, zu managen und proaktiv zu handeln. Dieser Artikel konzentriert sich auf die wichtigsten Strategien und bewährten Praktiken aus der Sicht eines CISO – unter Berücksichtigung renommierter Frameworks und Empfehlungen.

Für eine erfolgreiche Erfüllung seines Verantwortungsgebiets muss ein CISO den vollen Umfang der erweiterten Lieferketten verstehen und Unternehmensinformationen umfassend schützen. Die daraus abzuleitenden Massnahmen überschreiten die reine Sicherung interner Systeme, indem sie das gesamte Ökosystem der Lieferkette umfassen – einschliesslich Drittanbietern, Dienstleistern und Kunden. Dies erfordert eine multidisziplinäre Sichtweise und die Identifizierung aller beteiligten Akteure.

Sicherheits- und Compliance-Management entlang der Lieferkette

Durch die Dokumentation von Richtlinien und Verfahren sowie Anforderungen an die beauftragten Dienstleister (und deren Überprüfung) gewährleisten Unternehmen entlang der gesamten Lieferkette Sicherheit, Integrität, Widerstandsfähigkeit und Qualität.

Die Einhaltung etablierter Standards wie: ISO/IEC 27001 und 27002, NIST Cybersecurity Framework (CSF mit erweiterter Gewichtung in NIST CSF v2.0), CIS Controls, FINMA-Rundschreiben 2023/1 sind von entscheidender Bedeutung.

Ein vollständiges Inventar der Dienstleister, der Informationen über ausgelagerte Daten sowie ein gründliches Verständnis der beschafften Leistungen und IT-Komponenten sind unerlässlich. Eine regelmässige Bewertung der Dienstleister und die Identifizierung von Schwachstellen sind essenziell. Unternehmen müssen sicherstellen, dass ihre beauftragten Dienstleister angemessene Sicherheitsmassnahmen und ihrerseits SCRM-Praktiken umsetzen. Dies erfordert die Einführung von Protokollen zur Bewertung der Sicherheitskultur und der SCRM-Programme der Lieferanten und Unterakkordanten.

Ein Blick auf reale Cyberbedrohungen und weshalb C-SCRM-Massnahmen unverzichtbar sind 

In der Welt des Cyber Supply Chain Risk Managements (C-SCRM) sind Unternehmen mit einer Vielzahl von Bedrohungen konfrontiert, die ihren Betrieb und ihren Ruf gefährden können.

Betrachten wir einige konkrete Cyberrisiken, welche die Bedeutung robuster SCRM-Massnahmen verdeutlichen:

  • Kaseya-Breach: Ransomware-Angriffe zeigen die Verwundbarkeit globaler Lieferketten und die Notwendigkeit effektiver Sicherheitsmassnahmen.
  • SolarWinds: Software-Schwachstellen unterstreichen die Bedeutung einer robusten SCRM-Strategie zum Schutz vor systemischen Schwachstellen.
  • Physische und virtuelle Zugangspunkte können die Kompromittierung von Lieferketten erleichtern, die Verstösse begünstigen.
  • Der Handel mit gestohlenen Anmeldeinformationen im Darknet verdeutlicht die Bedrohung durch Insider und die Notwendigkeit einer umfassenden Überwachung.

9-Punkte-Plan: Strukturierte Einführung eines C-SCRM

Die Wirksamkeit eines SCRM-Programms hängt von seiner Anpassungsfähigkeit an sich verändernde Bedrohungen ab. Regelmässige Evaluierungen sind notwendig, um festzustellen, ob das Programm effektiv ist und wo Optimierungen erforderlich sind.

Die Implementierung eines C-SCRM erfordert einen strukturierten Ansatz. Die Massnahmen überschreiten die reine Sicherung interner Systeme.

Zu den Schlüsselelementen eines Cyber-SCRM-Plans gehören:

  1. Ausführliche Zusammenfassung:
    Der C-SCRM-Plan sollte ein umfassendes Verständnis der IKT-Lieferkette, ihrer Risiken sowie eine Zusammenfassung des Zwecks, der Ziele und der Schlüsselelemente des Plans enthalten.
  2. Identifizierung kritischer Lieferanten:
    Unternehmen müssen die für ihren Geschäftsbetrieb kritischen Lieferanten (Dienstleister, ausgelagerte Funktionen und Daten) identifizieren und deren Bedeutung und die damit verbundenen Risiken regelmässig bewerten.
  3. Identifizierung von Risiken in der Lieferkette:
    Ein gründliches Verständnis der im Betrieb verwendeten Daten, Hard- und Softwarekomponenten ist für die Identifizierung und Priorisierung von Risiken in der Lieferkette unerlässlich.
    a) Identifizierung von Änderungen im Lieferantenstatus (Kritikalität).
    b) Überprüfung sowie Kontrollen zur Sicherstellung, dass die Lieferanten alle rechtlich verbindlichen Anforderungen erfüllen.
    c) Regelmässige Neubewertung der Einhaltung von Sicherheitspraktiken in der Lieferkette durch die Lieferanten.
  4. Implementierung von Lieferantenvielfalt:
    Die Aufrechterhaltung einer diversifizierten Lieferantenbasis reduziert die Abhängigkeit von einem einzigen Lieferanten und mindert die damit verbundenen Risiken.
  5. Entwicklung einer Lieferantenbewertung:
    Durch die Förderung von Transparenz und Informationsaustausch zwischen Organisationen und Lieferanten wird die Qualität und die Einhaltung der Vorschriften durch die Lieferanten sichergestellt.
  6. Entwicklung eines Notfallplans:
    Unternehmen sollten Notfallpläne entwickeln, um auf Störungen in der Lieferkette effektiv reagieren zu können, einschliesslich der Identifizierung alternativer Lieferanten und Abhilfestrategien. Notfallpläne sollten vom Worst-Case-Szenario ausgehen.
  7. Mitarbeitende schulen:
    Schulungsprogramme sollten C-SCRM-Elemente enthalten, um sicherzustellen, dass die Mitarbeitenden die Bedeutung des Managements von Lieferkettenrisiken und ihre Rolle in diesem Prozess verstehen.
  8. Kontinuierliche Überwachung und Optimierung:
    Es ist entscheidend, dass ein effektives SCRM-Programm durch kontinuierliche Überwachung und Neubewertung der mit den Lieferanten verbundenen Risiken aufrechterhalten wird, um auf neuen Erkenntnissen und Erfahrungen basierende Verbesserungen einzubringen.
  9. Lieferanten-«On- und Off-Boarding-Prozesse»:
    a) Implementierung eines effektiven Lieferanten-«On- und Off-Boarding-Prozesses», um sicherzustellen, dass nur vertrauenswürdige Partner Zugang erhalten und Risiken minimiert werden.
    b) Überprüfung der Sicherheitspraktiken und sofortiges Deaktivieren der Zugriffsrechte bei Beenden der Geschäftsbeziehung.
    c) Sicherstellung der Sicherheitspraktiken bei Dienstleistern, ausgelagerten Funktionen und Daten.

4 konkrete Schritte zur Umsetzung

Die ersten Schritte sind immer die schwierigsten. Damit Ihnen diese leichter fallen, haben wir einen pragmatischen Ansatz formuliert, der Ihnen klare Handlungsempfehlungen und konkrete Massnahmen an die Hand gibt:

Die ersten Schritte

 Was ist im Detail zu tun:

1. Durchführen einer IST-Analyse, indem die Lieferkette gründlich untersucht und die beteiligten Akteure identifiziert werden.

  1. War ein wichtiger Lieferant kürzlich Opfer eines Ransomware-Angriffs?
  2. Wird das Thema Security und Ausfallsicherheit aktiv bewirtschaftet?
  3. Gibt es eine Security Governance?

Inventar der Dienstleister, der ausgelagerten Daten, Leistungen und IT-Komponenten:

  • Lieferanten, externe Dienstleister, Subunternehmer
  • externe Hardware-/Software-Entwicklung
  • CI/CD-Pipeline
  • von Ihren Lieferanten genutzte Drittanbieter
  • Repositories und ihre Verbindungen
  • Zugriff von Entwickler*innen auf Systeme
  • Tool-Konfiguration und -Integrationen
2. Entwicklung klarer Richtlinien und Verfahren auf der Grundlage von Best Practices und Industriestandards.
  • Richtlinien für den Umgang mit sensiblen Daten
  • (Remote-)Zugang zu Systemen
  • Kommunikation mit Lieferanten
3. Durchführung regelmässiger Lieferanten- und Komponentenbewertungen sowie Kontrollen, um potenzielle Risiken frühzeitig zu erkennen und anzugehen. 
  • interne Audits
  • externe Audits
  • regelmässige Schwachstellen-Scans
4. SCRM-Bewusstsein in Ihrer Organisation schaffen und Mitarbeitende hinsichtlich der Notwendigkeit des Lieferketten-Risikomanagements sensibilisieren.
  • Informationen zu potenziellen Bedrohungen
  • Verständnis der Rolle jedes Einzelnen im SCRM-Prozess
  • Schulungen zu Phishing-Angriffen

Fazit: Dank proaktiver SCRM-Praktiken zum erfolgreichen Cyber Supply Chain Risk Management

Die Komplexität des C-SCRM erfordert einen ganzheitlichen und proaktiven Ansatz. C-SCRM stellt Unternehmen vor vielschichtige Herausforderungen, die proaktives Handeln und kontinuierliche Sorgfalt erfordern.

Als CISO liegt die Verantwortung bei uns, robuste SCRM-Praktiken zu implementieren, die die Vermögenswerte unserer Unternehmen schützen und die Geschäftskontinuität gewährleisten. Durch die Einhaltung etablierter Frameworks und die Implementierung von Best Practices können Unternehmen die Komplexität der digitalen Lieferkettenlandschaft mit Zuversicht meistern.

Optimieren Sie Ihre Cybersicherheitsstrategie mit Expertenhilfe

Cyberrisiken sind oft komplex und nicht auf den ersten Blick erkennbar. Die Sicherstellung einer robusten betrieblichen Kontinuität durch effektives Cyber Supply Chain Risk Management sollten Sie daher nicht dem Zufall überlassen.

Unser Team von Cybersicherheits-Expert*innen steht Ihnen mit ihrer Expertise zur Seite und bietet umfassende Unterstützung in den Bereichen Risk Management & Compliance, implementiert massgeschneiderte Sicherheitslösungen und sorgt für eine proaktive Reaktion auf potenzielle Bedrohungen.

Kontaktieren Sie uns für eine detaillierte Beratung und erfahren Sie, wie wir Ihre Cybersicherheitsstrategie optimieren können.
Vollständigen Beitrag anzeigen