Cyber-Risiken in Lieferketten verstehen, erkennen und minimieren

Angriffe auf Lieferketten (Supply Chain Attacks) sind eine zunehmende, reale Bedrohung und somit eine berechtigte Sorge vieler Unternehmen. Die Kettenreaktion, die möglicherweise durch einen erfolgreichen Angriff auf einen einzelnen Lieferanten ausgelöst wird, kann ein komplettes Netzwerk von Anbietern und damit die Wertschöpfungskette gefährden – und auch Ihr Unternehmen. In diesem Artikel nehmen wir Lieferkettenangriffe etwas genauer unter die Lupe, zeigen Cyber-Risikofaktoren auf und geben Tipps, um diese zu minimieren.

Die Risiken in der Lieferkette für digitale Komponenten wie Software, virtuelle Plattformen und Dienste sowie Daten haben in den letzten Jahren stark zugenommen, da immer raffiniertere Cyber-Angreifer gezielt Schwachstellen in diesen digitalen Anlagen ausnutzen. Dies gilt insbesondere auch für OT-Umgebungen (Operational Technology) wie Steuerungs- und Überwachungssysteme, denn moderne Anlagen sind vernetzt, digitalisiert und ferngesteuert. Gemäss dem X-Force Threat Intelligence Index 2022 von IBM wird die Industriebranche in naher Zukunft gar am stärksten von Cyber-Attacken betroffen sein.

Lieferkettenangriffe unter der Lupe

Unter einer Lieferkette versteht sich grundsätzlich die Kombination des Ökosystems von Ressourcen, die für die Entwicklung, Herstellung und den Vertrieb eines Produkts erforderlich sind. Im Bereich der Cyber-Sicherheit umfasst eine Lieferkette primär Hard- und Software, Cloud- oder lokale Speicher-Lösungen sowie IT-basierte Produktions- und Vertriebsmechanismen.

Lieferkettenangriffe zielen in der Regel initial auf einen oder mehrere Lieferanten, wobei erst in einem späteren Angriff das Endziel (meist Kundendaten oder Kundenanlagen) anvisiert wird. Somit kann es mehrere Monate dauern, bis ein Angriff erfolgreich ist. Nicht selten bleiben Angreifer trotz dieser grossen Zeitspanne für sehr lange Zeit unentdeckt. Ähnlich wie Advanced Persistence Threats (APT-Angriffe) sind Lieferkettenangriffe meist zielgerichtet, komplex und werden lange im Voraus geplant. Diese Aspekte zeigen, wie raffiniert und hartnäckig Angreifer sind.

Das NIST C-SCRM zur Erkennung der aktuellen Bedrohungslage

Die Bedrohungslandschaft entwickelt sich somit auch in den Lieferketten ständig weiter. Sowohl die «Second Line of Defence» (2LoD; Policy Makers) als auch die «First Line of Defence» (1LoD; Practitioners) müssen daher Zugang zu aktuellen und genauen Informationen über die eigene IT- und OT-Umgebung sowie die Bedrohungslandschaft haben. Wie so häufig stellt sich jedoch die Frage, auf welche Quellen man sich bezüglich Letzterem stützen soll resp. kann. Einen empfehlenswerten Leitfaden für das Management von Cyber-Sicherheitsrisiken in der Lieferkette hat beispielsweise das National Institute of Standards and Technology (NIST) am 5. Mai 2022 mit dem Titel «Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations» (C-SCRM) publiziert. Darin wird festgehalten, dass insbesondere die Komplexität, Digitalisierung, Globalisierung und Virtualisierung das Lieferkettenrisiko für digitale Komponenten weiterentwickelt und erweitert hat. Sämtliche digitalen Komponenten (Firm- und Software, virtuellen Plattformen, Dienste sowie Daten) sind anfällig und können Risiken in der Lieferkette ausgesetzt sein, die aus einer Vielzahl von Bedrohungen, Schwachstellen und ergo Auswirkungen resultieren.

IT und OT – eine nicht ungefährliche Konvergenz bezüglich Cyber-Risiken

IT- und OT-Systeme sind zunehmend automatisiert, vernetzt, digitalisiert und ferngesteuert, zum Beispiel in intelligenten Städten, im Energie-Management, in der Logistik, in Wertschöpfungsketten etc. Mit der fortschreitenden Konvergenz von IT und OT steigt jedoch auch die Abhängigkeit von digitalen Lieferketten, weshalb diese besondere Aufmerksamkeit im Rahmen der Cyber-Sicherheit benötigen. Für eine umfassende Bewertung sollten daher alle digitalen Elemente in der Lieferkette berücksichtigt werden:

• Firmware für die grundlegende Steuerung und spezifische Hardware eines Geräts (heute keine permanente Software mehr). Jede Komponente, die über Speicher, integrierte Schaltungen oder programmierbare Steuerungen verfügt, arbeitet mit einer Firmware.
• Software, sprich Anwendungen, die auf Systemen ausgeführt werden, welche Funktionen ausführen und Daten verarbeiten.
• Virtuelle Plattformen und Dienste, also cloudbasierte Plattformen im Internet oder vor Ort, auf denen Anwendungen laufen.
• Daten resp. Informationen aus Ein- und Ausgaben von Prozessen sowie Funktionen.

Starke Sicherheitsvorkehrungen reichen jedoch inzwischen nicht mehr, wenn Angreifer ihre Aufmerksamkeit bereits auf die Zulieferer verlagert haben. Zu diesem Schluss kommt auch die «Agentur der Europäischen Union für Cybersicherheit» (ENISA) in einem diesjährigen Bericht.

Zehn Massnahmen, um die Cyber-Risiken in Lieferketten zu minimieren

Selbstverständlich gibt es bewährte Massnahmen, um das Risiko eines Cyber-Angriffs auf Lieferketten zu minimieren. Folgend haben wir die wichtigsten Empfehlungen zusammengefasst:

1. Identifizieren und dokumentieren Sie sämtliche Lieferanten sowie Dienstleister.
2. Identifizieren – und verstehen! – Sie die Komponenten und Dienstleistungen, die für die Sicherheit relevant sind.
3. Nehmen Sie vor der Beschaffung von Komponenten und Dienstleistungen eine Überprüfung der Lieferanten sowie Dienstleister vor, ebenso wie eine Risikoeinstufung.
4. Arbeiten Sie nicht mit Zulieferern und Dienstleistern zusammen, die als hochriskant eingestuft werden.
5. Legen Sie Risikokriterien fest für verschiedene Arten von Lieferanten und Dienstleistungen wie zum Beispiel Abhängigkeiten zwischen Lieferanten und Kunden, kritische Software-Abhängigkeiten oder Single-Points-of-Failure (SPoF).
6. Überwachen Sie aktiv Risiken und Bedrohungen in Ihrer Lieferkette.
7. Verwalten Sie Lieferanten während des gesamten Lebenszyklus eines Produkts oder einer Dienstleistung, einschliesslich Verfahren für den Umgang mit Produkten oder Komponenten am Ende ihrer Lebensdauer.
8. Klassifizieren Sie Assets und Informationen, die mit Zulieferern geteilt werden oder ihnen zugänglich sind. Legen Sie auch entsprechende Verfahren fest für den Zugang und Umgang mit diesen.
9. Achten Sie im Rahmen der Beschaffung sowie Entwicklung von Produkten und Dienstleistungen auf die Einhaltung von «Good-Practice-of-Cybersecurity».
10. Bevorzugen Sie Komponenten und Dienstleistungen nach «Secure-by-Design-Grundsätzen», einer starken Erfolgsbilanz in Bezug auf Transparenz und Aufrechterhaltung der Sicherheit in ihren eigenen Systemen und digitalen Lieferketten.

Den Lieferanten wird zudem empfohlen, bewährte Verfahren für die Verwaltung von Schwachstellen und Patches anzuwenden. Zu den wichtigsten Empfehlungen gehören:

• Die Sicherstellung, dass die für den Entwurf, die Entwicklung, die Herstellung und die Lieferung von Produkten, Komponenten sowie Dienstleistungen verwendete Infrastruktur den «Good-Practice-of-Cybersecurity» entspricht.
• Die Implementierung eines Good-Practice-Produktentwicklungs-, Wartungs- und Unterstützungsprozesses.
• Die Überwachung von intern und extern gemeldeten Sicherheitsschwachstellen.
• Die Führung eines Verzeichnisses von Assets, welches Patch-relevante Informationen enthält.
• Der Abgleich der «Software Bill of Materials» (SBOM) bezüglich Schwachstellenliste und Bedrohungslandschaft.

Identitätszentrische Sicherheit im Fokus

IDie Einführung neuer technischer Komponenten und Architekturen sowie deren Integration führen zu einem steten Wandel der Architekturen – und folglich der Risiken. Insgesamt findet eine Entwicklung statt hin zu einer identitätszentrischen Sicherheit. (Mehr zu diesem Thema finden Sie im Artikel «Identitätszentrische Sicherheit in der Praxis umsetzen».)

Moderne Produkte und Dienstleistungen hängen von ihren Lieferketten ab, die ein weltweites Netz von Herstellern, Software-Entwicklern und anderen Managed Service Providern (MSP) oder Dienstleistern verbinden. Bei Betrachtung der Sicherheitsrisiken mit MSP sind jene Dienstleister im Fokus, die Zugang zu Einrichtungen, Systemen oder Daten haben. Auch hier gibt es einige grundlegende Regeln und Praktiken, die befolgt werden sollten, um die Cyber-Risiken zu minimieren. Dazu gehören unter anderem das Führen eines Registers der verwalteten Dienste oder die periodische Sicherheitsbewertung von Cloud-Diensten und deren Anbieter.

Die Verpflichtungen zum Schutz der Daten unterscheiden sich bei der Nutzung eines verwalteten Dienstes oder eines Cloud-Dienstes nicht von jenen bei der Nutzung eines internen Dienstes. Daher sollte in den vertraglichen Vereinbarungen zwischen Anbietern und Kunden geregelt werden, wie die Sicherheitsrisiken verwaltet werden. Es kann jedoch auch vorkommen, dass verwaltete oder Cloud-Dienste genutzt werden (müssen), bevor alle Sicherheitsanforderungen von einem Anbieter umgesetzt worden sind. Hier sollten die vertraglichen Vereinbarungen angemessene Fristen für die Umsetzung der Sicherheitsanforderungen und Ausstiegsklauseln enthalten für den Fall, dass diese nicht eingehalten werden.

Weitere empfehlenswerte Punkte, die in einem Vertrag festgehalten werden sollten:

• Der Anbieter bietet ein angemessenes Schutzniveau für die anvertrauten Daten oder Dienste.
• Die Dokumentation der Sicherheitsanforderungen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit der dem Anbieter anvertrauten Daten.
• Das Recht, die Einhaltung der Sicherheitsanforderungen zu überprüfen (und was Sie natürlich auch tun sollten).
• Die Dokumentation der Art der Daten und die Eigentumsverhältnisse.
• Die Regionen oder Verfügbarkeitszonen, in denen die Daten verarbeitet, gespeichert und übermittelt werden.
• Der Zugang zu allen Protokollen, die sich auf Daten und Dienste einer Organisation beziehen.
• Die Art und Weise der Speicherung von Daten in einer portablen Form, von Backups, Informationen zur Migration von Diensten und dem allfälligen Stilllegen von Diensten ohne Datenverlust.
• Eine Mindestfrist von einem Monat für die Benachrichtigung über die Einstellung von Diensten durch einen Anbieter.

Cyber-Risiken in der Lieferkette nehmen zu – seien Sie vorbereitet!

Der Fernbetrieb von miteinander verbundenen IT-/OT-Systemen wird zunehmen. Unternehmen sowie Hersteller, welche die digitalen Komponenten für Anlagen liefern, arbeiten seit einigen Jahren intensiv daran, die Systeme miteinander zu verbinden und sie so aus der Ferne zu betreiben. Dies geht einher mit einem zunehmenden Sicherheitsrisiko. Erschwerend kommt hinzu, dass sich das Lieferkettenrisiko für digitale Komponenten durch die zunehmende Globalisierung und Komplexität, Digitalisierung und Virtualisierung stetig weiterentwickelt und erweitert.

Umso grösser ist der Appell an Sie: Bauen Sie Widerstandsfähigkeit in die erweiterte Lieferkette ein. Gehen Sie proaktiv mit Cyber-Bedrohungen um. Stellen Sie die Einhaltung von Vorschriften sicher und sorgen Sie für eine sichere Beschaffung. Denn wie bereits zu Beginn erläutert, reicht ein erfolgreicher Angriff innerhalb der Lieferkette – und sei es auch «nur» bei einem indirekten Partner – aus, um auch Ihr Unternehmen zu gefährden.

Sie brauchen Unterstützung bei der Einschätzung und Optimierung Ihrer Cyber-Sicherheit bezüglich Lieferketten? Unsere Dienstleistungen zum Thema Cyber Supply Chain Risk Management finden Sie hier im Überblick. Oder kontaktieren Sie uns! Ich und meine Kolleg*innen beraten Sie gerne in sämtlichen Aspekten.