InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Angriffe auf Lieferketten (Supply Chain Attacks) sind eine zunehmende, reale Bedrohung und somit eine berechtigte Sorge vieler Unternehmen. Die Kettenreaktion, die möglicherweise durch einen erfolgreichen Angriff auf einen einzelnen Lieferanten ausgelöst wird, kann ein komplettes Netzwerk von Anbietern und damit die Wertschöpfungskette gefährden – und auch Ihr Unternehmen. In diesem Artikel nehmen wir Lieferkettenangriffe etwas genauer unter die Lupe, zeigen Cyber-Risikofaktoren auf und geben Tipps, um diese zu minimieren.
Die Risiken in der Lieferkette für digitale Komponenten wie Software, virtuelle Plattformen und Dienste sowie Daten haben in den letzten Jahren stark zugenommen, da immer raffiniertere Cyber-Angreifer gezielt Schwachstellen in diesen digitalen Anlagen ausnutzen. Dies gilt insbesondere auch für OT-Umgebungen (Operational Technology) wie Steuerungs- und Überwachungssysteme, denn moderne Anlagen sind vernetzt, digitalisiert und ferngesteuert. Gemäss dem X-Force Threat Intelligence Index 2022 von IBM wird die Industriebranche in naher Zukunft gar am stärksten von Cyber-Attacken betroffen sein.
Unter einer Lieferkette versteht sich grundsätzlich die Kombination des Ökosystems von Ressourcen, die für die Entwicklung, Herstellung und den Vertrieb eines Produkts erforderlich sind. Im Bereich der Cyber-Sicherheit umfasst eine Lieferkette primär Hard- und Software, Cloud- oder lokale Speicher-Lösungen sowie IT-basierte Produktions- und Vertriebsmechanismen.
Lieferkettenangriffe zielen in der Regel initial auf einen oder mehrere Lieferanten, wobei erst in einem späteren Angriff das Endziel (meist Kundendaten oder Kundenanlagen) anvisiert wird. Somit kann es mehrere Monate dauern, bis ein Angriff erfolgreich ist. Nicht selten bleiben Angreifer trotz dieser grossen Zeitspanne für sehr lange Zeit unentdeckt. Ähnlich wie Advanced Persistence Threats (APT-Angriffe) sind Lieferkettenangriffe meist zielgerichtet, komplex und werden lange im Voraus geplant. Diese Aspekte zeigen, wie raffiniert und hartnäckig Angreifer sind.
Die Bedrohungslandschaft entwickelt sich somit auch in den Lieferketten ständig weiter. Sowohl die «Second Line of Defence» (2LoD; Policy Makers) als auch die «First Line of Defence» (1LoD; Practitioners) müssen daher Zugang zu aktuellen und genauen Informationen über die eigene IT- und OT-Umgebung sowie die Bedrohungslandschaft haben. Wie so häufig stellt sich jedoch die Frage, auf welche Quellen man sich bezüglich Letzterem stützen soll resp. kann. Einen empfehlenswerten Leitfaden für das Management von Cyber-Sicherheitsrisiken in der Lieferkette hat beispielsweise das National Institute of Standards and Technology (NIST) am 5. Mai 2022 mit dem Titel «Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations» (C-SCRM) publiziert. Darin wird festgehalten, dass insbesondere die Komplexität, Digitalisierung, Globalisierung und Virtualisierung das Lieferkettenrisiko für digitale Komponenten weiterentwickelt und erweitert hat. Sämtliche digitalen Komponenten (Firm- und Software, virtuellen Plattformen, Dienste sowie Daten) sind anfällig und können Risiken in der Lieferkette ausgesetzt sein, die aus einer Vielzahl von Bedrohungen, Schwachstellen und ergo Auswirkungen resultieren.
IT- und OT-Systeme sind zunehmend automatisiert, vernetzt, digitalisiert und ferngesteuert, zum Beispiel in intelligenten Städten, im Energie-Management, in der Logistik, in Wertschöpfungsketten etc. Mit der fortschreitenden Konvergenz von IT und OT steigt jedoch auch die Abhängigkeit von digitalen Lieferketten, weshalb diese besondere Aufmerksamkeit im Rahmen der Cyber-Sicherheit benötigen. Für eine umfassende Bewertung sollten daher alle digitalen Elemente in der Lieferkette berücksichtigt werden:
Starke Sicherheitsvorkehrungen reichen jedoch inzwischen nicht mehr, wenn Angreifer ihre Aufmerksamkeit bereits auf die Zulieferer verlagert haben. Zu diesem Schluss kommt auch die «Agentur der Europäischen Union für Cybersicherheit» (ENISA) in einem diesjährigen Bericht.
Selbstverständlich gibt es bewährte Massnahmen, um das Risiko eines Cyber-Angriffs auf Lieferketten zu minimieren. Folgend haben wir die wichtigsten Empfehlungen zusammengefasst:
Den Lieferanten wird zudem empfohlen, bewährte Verfahren für die Verwaltung von Schwachstellen und Patches anzuwenden. Zu den wichtigsten Empfehlungen gehören:
IDie Einführung neuer technischer Komponenten und Architekturen sowie deren Integration führen zu einem steten Wandel der Architekturen – und folglich der Risiken. Insgesamt findet eine Entwicklung statt hin zu einer identitätszentrischen Sicherheit. (Mehr zu diesem Thema finden Sie im Artikel «Identitätszentrische Sicherheit in der Praxis umsetzen».)
Moderne Produkte und Dienstleistungen hängen von ihren Lieferketten ab, die ein weltweites Netz von Herstellern, Software-Entwicklern und anderen Managed Service Providern (MSP) oder Dienstleistern verbinden. Bei Betrachtung der Sicherheitsrisiken mit MSP sind jene Dienstleister im Fokus, die Zugang zu Einrichtungen, Systemen oder Daten haben. Auch hier gibt es einige grundlegende Regeln und Praktiken, die befolgt werden sollten, um die Cyber-Risiken zu minimieren. Dazu gehören unter anderem das Führen eines Registers der verwalteten Dienste oder die periodische Sicherheitsbewertung von Cloud-Diensten und deren Anbieter.
Die Verpflichtungen zum Schutz der Daten unterscheiden sich bei der Nutzung eines verwalteten Dienstes oder eines Cloud-Dienstes nicht von jenen bei der Nutzung eines internen Dienstes. Daher sollte in den vertraglichen Vereinbarungen zwischen Anbietern und Kunden geregelt werden, wie die Sicherheitsrisiken verwaltet werden. Es kann jedoch auch vorkommen, dass verwaltete oder Cloud-Dienste genutzt werden (müssen), bevor alle Sicherheitsanforderungen von einem Anbieter umgesetzt worden sind. Hier sollten die vertraglichen Vereinbarungen angemessene Fristen für die Umsetzung der Sicherheitsanforderungen und Ausstiegsklauseln enthalten für den Fall, dass diese nicht eingehalten werden.
Weitere empfehlenswerte Punkte, die in einem Vertrag festgehalten werden sollten:
Der Fernbetrieb von miteinander verbundenen IT-/OT-Systemen wird zunehmen. Unternehmen sowie Hersteller, welche die digitalen Komponenten für Anlagen liefern, arbeiten seit einigen Jahren intensiv daran, die Systeme miteinander zu verbinden und sie so aus der Ferne zu betreiben. Dies geht einher mit einem zunehmenden Sicherheitsrisiko. Erschwerend kommt hinzu, dass sich das Lieferkettenrisiko für digitale Komponenten durch die zunehmende Globalisierung und Komplexität, Digitalisierung und Virtualisierung stetig weiterentwickelt und erweitert.
Umso grösser ist der Appell an Sie: Bauen Sie Widerstandsfähigkeit in die erweiterte Lieferkette ein. Gehen Sie proaktiv mit Cyber-Bedrohungen um. Stellen Sie die Einhaltung von Vorschriften sicher und sorgen Sie für eine sichere Beschaffung. Denn wie bereits zu Beginn erläutert, reicht ein erfolgreicher Angriff innerhalb der Lieferkette – und sei es auch «nur» bei einem indirekten Partner – aus, um auch Ihr Unternehmen zu gefährden.
Sie brauchen Unterstützung bei der Einschätzung und Optimierung Ihrer Cyber-Sicherheit bezüglich Lieferketten? Unsere Dienstleistungen zum Thema Cyber Supply Chain Risk Management finden Sie hier im Überblick. Oder kontaktieren Sie uns! Ich und meine Kolleg*innen beraten Sie gerne in sämtlichen Aspekten.