Der Markt wird zunehmend komplexer. Digitalisierung, Internationalisierung und Wettbewerbsdruck führen dazu, dass Unternehmen immer öfters auf Drittparteien angewiesen sind. Kooperationen machen aus vielen Perspektiven Sinn, gehen jedoch möglicherweise zu Lasten der Cyber Security – Stichwort: Supply Chain Risks (oder Third Party Risks). Welche Lasten das genau sind und was ein effektives Supply Chain Risk Management alles beinhaltet, erklären wir in diesem Blogartikel.
Die Cyber- und IT-Sicherheit von Unternehmen kann noch so gut sein: Ungenügend geschützte Liefer- und Vertriebsfirmen oder Dienstleistende, mit denen zusammengearbeitet wird, stellen ein Risiko dar. Zunehmende Vernetzung, mitsamt Austausch von sensiblen Daten, ist eines der Hauptprobleme. Aber auch gemeinsame IT-Schnittstellen oder Phishing-E-Mails, die von der vermeintlich vertrauenswürdigen Drittpartei verschickt werden, gehören zu den Supply Chain Risks. Noch ausgeklügelter ist es, wenn die Cyberattacke gar nicht auf die Drittpartei abzielt, sondern diese lediglich als «middleman» nutzt, um ein anderes Unternehmen anzugreifen.
Cyberrisiken durch Drittparteien sind vielfältiger als die meisten denken. Erstens, wie bereits erläutert, können Hacker*innen Drittparteien nur als Mittel zum Zweck sehen, um auf die eigentlichen Zielsysteme zu gelangen. Im schlimmsten Fall werden diese von lahmgelegt, was zu Betriebsunterbrüchen oder zu einem kompletten Stillstand führen kann. Zweitens können auch Daten – die Kronjuwelen jedes Unternehmens – entwendet werden, beispielsweise von Kund*innen, was wiederum auch diese gefährdet. Drittens, können aufgrund der Nichteinhaltung von Compliance-Richtlinien der Drittparteien ebenfalls Konsequenzen für Unternehmen entstehen. Und viertens, drohen bei einem erfolgreichen Angriff natürlich erhebliche Reputationsrisiken. Kund*innen und andere Drittparteien werden sich folglich zweimal überlegen, ob eine Zusammenarbeit (weiterhin) Sinn macht.
Datenschutz war dank der DGSVO/GDPR 2019 bei vielen Unternehmen ganz oben auf der Agenda, was auf jeden Fall ein Schritt in die richtige Richtung war. Auch jene, welche nicht unter diese Bestimmungen fallen, werden in diesem Jahr handeln müssen, denn das revidierte Schweizer Datenschutzgesetz steht schon in den Startlöchern. Dennoch sollte man nicht davon ausgehen, dass die Risiken dadurch verschwinden. Zum einen ist die Autonomie von Unternehmen noch immer gross, auch in Bezug auf Kontrolle. Zum anderen sind Hacker*innen immer einen Schritt voraus und finden meistens irgendein Schlupfloch, um anzugreifen. Schlussendlich sind auch das DSGVO und DSG nicht perfekt und der Weg zur Revision sowie der Umsetzung lang – zu lang, um mit den Angreifenden mitzuhalten.
Das Problem vieler Unternehmen sind fehlende Transparenz, Sichtbarkeit und Kontrolle. Einerseits sehen Unternehmen häufig nicht, wie Drittparteien selbst mit sensiblen Daten und ihren Systemen umgehen. Andererseits kennen sie deren Cyber Security-Massnahmen selten – und Worten alleine sollte man nie vertrauen. Zudem haben Drittparteien natürlich auch mit anderen Externen zu tun, was die Sache kompliziert. Aber auch scheinbare Harmlosigkeiten können problematisch sein und führen zu Kontrollverlust, beispielsweise, wenn Lieferfirmen über ein Partnerportal oder eine sonstige Schnittstelle auf das Netzwerk Zugriff haben. Ein Supply Chain Risk Management ist somit unerlässlich.
Kurzum: Cyberrisiken lauern überall, auch wenn sie oft nicht offensichtlich sind. Supply Chain Risk Management sollte auf keinen Fall dem Zufall überlassen werden. Unsere Experten helfen dabei – sei es im Bereich Risk Management & Compliance oder beim aktiven Schutz sowie bei der Erkennung und raschen Reaktion auf Cyberangriffe. Interessiert?
Noch nicht genug von Supply Chain Risk Management? Weiter unten haben wir verschiedene frühere Blogposts zu diesem Thema verlinkt. Oder noch besser: Gleich jetzt unsere wöchentlichen Blog-Updates abonnieren, um keinen weiteren Blogpost zu verpassen!