Eine Dreiecksbeziehung mit Risiken – Supply Chain Risk Management

Autor
Michelle Gehri
Veröffentlicht
05. Juli 2021

Der Markt wird zunehmend komplexer. Digitalisierung, Internationalisierung und Wettbewerbsdruck führen dazu, dass Unternehmen immer öfters auf Drittparteien angewiesen sind. Kooperationen machen aus vielen Perspektiven Sinn, gehen jedoch möglicherweise zu Lasten der Cyber Security – Stichwort: Supply Chain Risks (oder Third Party Risks). Welche Lasten das genau sind und was ein effektives Supply Chain Risk Management alles beinhaltet, erklären wir in diesem Blogartikel.

Die Cyber- und IT-Sicherheit von Unternehmen kann noch so gut sein: Ungenügend geschützte Liefer- und Vertriebsfirmen oder Dienstleistende, mit denen zusammengearbeitet wird, stellen ein Risiko dar. Zunehmende Vernetzung, mitsamt Austausch von sensiblen Daten, ist eines der Hauptprobleme. Aber auch gemeinsame IT-Schnittstellen oder Phishing-E-Mails, die von der vermeintlich vertrauenswürdigen Drittpartei verschickt werden, gehören zu den Supply Chain Risks. Noch ausgeklügelter ist es, wenn die Cyberattacke gar nicht auf die Drittpartei abzielt, sondern diese lediglich als «middleman» nutzt, um ein anderes Unternehmen anzugreifen.

Supply Chain Risks – grösser als die meisten denken

Cyberrisiken durch Drittparteien sind vielfältiger als die meisten denken. Erstens, wie bereits erläutert, können Hacker*innen Drittparteien nur als Mittel zum Zweck sehen, um auf die eigentlichen Zielsysteme zu gelangen. Im schlimmsten Fall werden diese von lahmgelegt, was zu Betriebsunterbrüchen oder zu einem kompletten Stillstand führen kann. Zweitens können auch Daten – die Kronjuwelen jedes Unternehmens – entwendet werden, beispielsweise von Kund*innen, was wiederum auch diese gefährdet. Drittens, können aufgrund der Nichteinhaltung von Compliance-Richtlinien der Drittparteien ebenfalls Konsequenzen für Unternehmen entstehen. Und viertens, drohen bei einem erfolgreichen Angriff natürlich erhebliche Reputationsrisiken. Kund*innen und andere Drittparteien werden sich folglich zweimal überlegen, ob eine Zusammenarbeit (weiterhin) Sinn macht.

Datenschutz alleine genügt nicht

Datenschutz war dank der DGSVO/GDPR 2019 bei vielen Unternehmen ganz oben auf der Agenda, was auf jeden Fall ein Schritt in die richtige Richtung war. Auch jene, welche nicht unter diese Bestimmungen fallen, werden in diesem Jahr handeln müssen, denn das revidierte Schweizer Datenschutzgesetz steht schon in den Startlöchern. Dennoch sollte man nicht davon ausgehen, dass die Risiken dadurch verschwinden. Zum einen ist die Autonomie von Unternehmen noch immer gross, auch in Bezug auf Kontrolle. Zum anderen sind Hacker*innen immer einen Schritt voraus und finden meistens irgendein Schlupfloch, um anzugreifen. Schlussendlich sind auch das DSGVO und DSG nicht perfekt und der Weg zur Revision sowie der Umsetzung lang – zu lang, um mit den Angreifenden mitzuhalten.

Wo Drittparteien problematisch sind

Das Problem vieler Unternehmen sind fehlende Transparenz, Sichtbarkeit und Kontrolle. Einerseits sehen Unternehmen häufig nicht, wie Drittparteien selbst mit sensiblen Daten und ihren Systemen umgehen. Andererseits kennen sie deren Cyber Security-Massnahmen selten – und Worten alleine sollte man nie vertrauen. Zudem haben Drittparteien natürlich auch mit anderen Externen zu tun, was die Sache kompliziert. Aber auch scheinbare Harmlosigkeiten können problematisch sein und führen zu Kontrollverlust, beispielsweise, wenn Lieferfirmen über ein Partnerportal oder eine sonstige Schnittstelle auf das Netzwerk Zugriff haben. Ein Supply Chain Risk Management ist somit unerlässlich.

Wie kann man sich vor Supply Chain Risks schützen?

  • Unternehmen sollten eine Risikomanagement-Richtlinie für Drittparteien mit notwendigen Sicherheitselementen erstellen, die für eine Zusammenarbeit erfüllt sein müssen. Diese Vorgaben sollten mit formalen Vereinbarungen (z.B. Verträgen) durchgesetzt werden.
  • Zeit für eine Bestandsaufnahme: Welche Drittparteien haben welchen Zugriff? Sind diese wirklich notwendig? Zugriffe sollten soweit wie möglich eingeschränkt und periodisch überprüft werden.
  • Drittparteien sollte auf die Finger geschaut werden – oder eher auf die Compliance sowie die Cyber Security-Massnahmen. Fragen alleine genügt jedoch nicht. Auch die Umsetzung, Einhaltung und Kontrolle sollten überprüft werden.
  • Es gibt inzwischen effektive Tools, um Supply Chain Risks einschätzen und mögliche Sicherheitslücken einsehen zu können. Unsere Expert*innen empfehlen die Plattform von SecurityScorecard. Diese bietet eine umfassende, benutzerfreundliche Übersicht. Neben Herausforderungen im Bereich IT Security prüft SecurityScorecard auch Schnittstellen-Themen wie Datenschutz, Legal & Compliance sowie Erkenntnisse aus Audits.

SecurityScorecard:  Supply Chain Risk Management im Griff

  • Es sollte frühzeitig ein erfahrenes Cyber Security-Unternehmen evaluiert werden, welches bei der Erstellung der Richtlinie sowie der Verwaltung von kritischen Informationssystemen und Daten unterstützt.
  • Unternehmen dürfen nicht nur wachsam sein, wenn Alerts ausgelöst werden. Eine unmittelbare Reaktion ist auch dann notwendig, wenn eine Drittpartei angegriffen wird. Auch hier sollten Profis hinzugezogen werden, welche die Systeme überprüfen und im Notfall professionell agieren. Mit unserem Incident Response Retainer beispielsweise sind Unternehmen auf der sicheren Seite.

Kurzum: Cyberrisiken lauern überall, auch wenn sie oft nicht offensichtlich sind. Supply Chain Risk Management sollte auf keinen Fall dem Zufall überlassen werden. Unsere Experten helfen dabei – sei es im Bereich Risk Management & Compliance oder beim aktiven Schutz sowie bei der Erkennung und raschen Reaktion auf Cyberangriffe. Interessiert?

Jetzt Kontakt aufnehmen!

Noch nicht genug von Supply Chain Risk Management? Weiter unten haben wir verschiedene frühere Blogposts zu diesem Thema verlinkt. Oder noch besser: Gleich jetzt unsere wöchentlichen Blog-Updates abonnieren, um keinen weiteren Blogpost zu verpassen!

 

Artikel teilen