InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
In einem früheren Artikel haben wir aufgezeigt, weshalb viele Unternehmen das Cyber Supply Chain Risk Management (kurz C-SCRM) unterschätzen, obschon die Auswirkungen auf das eigene Unternehmen enorm sein können. Dies liegt nicht am fehlenden Interesse – ganz im Gegenteil! Die Ursache liegt – wie so oft – in den intern fehlenden Ressourcen. Wie Sie effizient ein C-SCRM aufbauen können und so zu wichtigen Erkenntnissen für Ihre Risikolandschaft kommen, zeigen wir Ihnen in diesem Beitrag.
Die Wertschöpfungskette von Unternehmen war nie verletzlicher als in der heutigen Zeit. Schuld daran sind Einflussfaktoren wie veränderte Produktionsmethoden, Globalisierung, Technologisierung / Digitalisierung, wirtschaftliche und politische Einflüsse etc. Um das Gefahrenpotential abschätzen zu können, ist es wichtig, die Prozessketten, deren Abhängigkeiten und Folgen bei Störungen (Verfügbarkeit, finanzielle Folgen, Reputation, Einhaltung von SLAs etc.) zu kennen. Dies ist die Grundlage für die Bestimmung von Massnahmen zur Schadenminderung im Rahmen des Risikomanagements.
Cyber Supply Chain Risk Management (C-SCRM) rückt immer stärker in den Fokus von Schweizer Unternehmen. Dabei gilt es, sich an bestehenden Standards und Best Practices zu orientieren. So beschreibt beispielsweise ISO/IEC 27036:2013 als Teil der ISO/IEC 27001-Serie die Informationssicherheit für Lieferantenbeziehungen. Des Weiteren hat NIST in seiner Aktualisierung des NIST Cyber Security Frameworks im vergangenen Jahr die Kategorie «Supply Chain Risk Management» ergänzt, was die Bedeutung von SCRM in der unternehmerischen Sicherheitsbetrachtung unterstreicht.
Die Version 1.1 des NIST Cyber Security Frameworks (in der Schweiz dient dieses Framework als Basis für den IKT-Minimalstandard) will insbesondere den neuen technologischen Entwicklungen Rechnung tragen und adressiert auch Bereiche wie Supply Chain oder IoT. Ein weiterer Schwerpunkt liegt in der Erkennung von Risiken in der gesamten Supply Chain. NIST hat dazu eine eigene Kategorie (ID.SC) eingeführt, um Prozesse zur Erkennung, Bewertung und Steuerung von Risiken in der Lieferantenkette einzurichten.
In diesem Prozess sind, nebst dem eigenen Unternehmen, verschiedenste Akteure involviert wie Gerätehersteller, Netz- und Cloud-Anbieter, weitere Dienstleister und Verbraucher. Die Kommunikation und Überprüfung von Cyber-Sicherheitsanforderungen zwischen den Beteiligten ist ein Aspekt des C-SCRM. Dabei definiert NIST das Hauptziel wie folgt:
«Produkte und Dienstleistungen zu identifizieren, zu bewerten und zu mindern, die potenziell schädliche Funktionen enthalten können, gefälscht sind oder aufgrund schlechter Herstellungs- und Entwicklungspraktiken innerhalb der Cyber-Lieferkette anfällig sind.»
Bezogen auf die Cyber Security bedeutet das u.a.:
Konkret heisst das für Sie: Es muss sichergestellt sein, dass alle Geschäftspartner die verbindliche Verpflichtung eingehen, digitales geistiges Eigentum und Daten genauso zu schützen, wie es Ihre Cyber Security-Anforderungen verlangen. Darüber hinaus müssen sich alle Parteien bewusst sein, dass Sie sich das Recht vorbehalten, dies auch zu überprüfen.
Das Ziel eines Supplier Lifecycle-Prozesses ist es, Drittanbieter Ihres Unternehmens optimal in Ihre Prozesse zu integrieren, zu verwalten und die Überwachung sowie das Management der Anbieter so weit wie möglich zu automatisieren, um den Arbeitsaufwand zu reduzieren. Dies gilt auch für den Bereich C-SCRM, der Teil des Supplier Lifecycle Managements ist und spezifische Kenntnisse und Erfahrungen im Bereich der Cyber Security erfordert. Der gesamte Lieferanten-Lebenszyklus kann wie folgt beschrieben werden:
Die Herausforderungen von C-SCRM, auf die sich Ihr Unternehmen konzentrieren muss, lassen sich dabei in folgende Bereiche unterteilen:
Sie sehen ‒ Cyber Supply Chain Risk Management ist eigentlich keine neue Disziplin, sondern vielmehr eine Ausweitung des eigenen Risk Managements und Ihrer Cyber Security auf die Lieferanten. Die Vorteile liegen auf der Hand: Sie erhalten die erforderliche Transparenz über die Cyberrisiken und die Maturität bezüglich Cyber Security innerhalb Ihrer Lieferkette. Dadurch können Sie die vielfältigen Compliance-Anforderungen erfüllen und sehen gleichzeitig Ihre kritischen Assets in Abhängigkeit zu den Lieferanten. Mit dem Einsatz eines geeigneten Werkzeuges wie beispielsweise «SecurityScorecard», ist dies auch mit verhältnismässig geringem Aufwand machbar.
Mit unserer langjährigen Erfahrung im Bereich Cyber Security verfügen wir über die nötige Expertise, um Sie bei der Definition und beim Aufbau Ihres Cyber Supply Chain Risk Managements zu unterstützen. Wir helfen Ihnen, Ihre aktuelle Risikolandschaft zu verstehen und Ihre Risiken zu messen, Ihre Supply Chain Risk Management-Strategie zu definieren und die erforderlichen Massnahmen umzusetzen. Mehr dazu erfahren Sie auf unserer Webseite.