Illustration: Absmeier, Kellepics

Da bei größeren Unternehmen inzwischen das IT-Risikobewusstsein wächst und man strengere Maßnahmen zur Absicherung kritischer Daten und Infrastrukturen trifft, konzentrieren Hacker ihre Aufmerksamkeit immer häufiger auf deren Zulieferer, um ihre Ziele zu erreichen. Gegen diese auf das »schwächste Glied« der Kette abzielende Angriffsstrategie hilft nur eine engere Zusammenarbeit unter den involvierten Unternehmen der gesamten Lieferkette. Die Analyse von Stormshield.

Liefer- und Logistikkette: das primäre Ziel der Hacker

Die größeren Konzerne erlangen allmählich eine gewisse digitale Reife bezüglich der Cyberbedrohungen und sichern sich nicht nur besser ab, sondern fördern auch die allgemeine Sensibilisierung der Mitarbeiter. Diese Maßnahmen erscheinen auf den ersten Blick ausreichend, verschleiern allerdings die tönernen Füße dieser Giganten: deren Zulieferer und Dienstleister.

Komponenten verschiedener Lieferanten, deren Verarbeitung und Zusammenfügung, die Lagerung der Endprodukte oder auch die Übergabe ans Vertriebsnetz: Das sind jeweils Schwachstellen eines jeden Herstellungsverfahrens und stellen als solche die Weichen für potenzielle Manipulationen. Wer verdächtigt ein Paket, das mit dem üblichen Kurier geliefert wird? Ebenso: Wer würde gegenüber Software misstrauisch werden, die von seinem vertrauenswürdigen Dienstanbieter bereitgestellt wird? Anstatt große Unternehmen direkt anzugreifen, wenden sich Cyberkriminelle nun an involvierte Dritte, die verwundbarer sind und daher leichter als Pforten zum Netzwerk und zu den Geräten ihrer Großkunden ausgenutzt werden können. Da es sich in der Regel um kleinere Unternehmen handelt, in denen Cybersicherheit und digitale Hygiene oft nicht im Vordergrund stehen, sind Auftragnehmer in der Tat ein begehrtes Ziel für Cyberangriffe.

Nach einer Studie des Ponemon Institute im Jahr 2018 erlitten 56 % der an der Analyse beteiligten Unternehmen eine Verletzung ihrer Daten über das Netzwerk eines Anbieters. Zudem verfügen nur 35 % der Firmen über eine klare Aufstellung der Unternehmen, mit denen sie sensible Daten und Informationen austauschen. Eine weitere Studie des Vanson Bourne Institute aus dem Jahr 2018 identifizierte Arzneimittel, Biotechnologie, Medien und Unterhaltung, Gastgewerbe und Informationsdienste als die Bereiche, die für Cyberkriminelle am relevantesten sind. Auch Softwarehersteller können betroffen sein, da ihre Anwendungen als zuverlässig gelten und viele Unternehmen ungehindert erreichen, wie der Fall der Buchhaltungs-Software MeDoc in der Ukraine, der Ausgangspunkt von NotPetya im Jahr 2017, zeigt.

Die durch die Liefer- und Logistikkette dargestellten IT-Risiken sind konkreter, als man vermutet: »Denken Sie an Unternehmen, bei denen die Computer nach einer Reparatur zurückkehren und direkt an die Mitarbeiter abgegeben werden, ohne zu überprüfen, ob während der Wiederherstellung oder des Transports Malware installiert wurde«, erwähnt Uwe Gries, Country Manager DACH bei Stormshield. Und für jeden Knoten der Lieferkette gibt es unzählige Ziele für Cyberkriminelle: Informationen über vertrauliche Herstellungsverfahren oder geistiges Eigentum sammeln, Daten von Kunden und Partnern stehlen oder einfach ganze Produktionslinien blockieren. Zahlungsverzögerungen, Umsatzeinbußen und Reputationsschäden sind nur einige der häufigsten Folgen.

Die Versuchung, das Risiko zu unterschätzen

Für Hacker kann auch das kleinste Unternehmen – dessen Geschäft auf den ersten Blick vielleicht zweitrangig erscheint – ein relevantes Ziel sein. Und doch »glauben die meisten kleinen Unternehmen, dass sie keinen Cyberbedrohungen ausgesetzt seien«, bemerkt Gries. Da sie über keine beträchtlichen Finanzressourcen oder nach eigenem Ermessen über keine besonders sensiblen Informationen verfügen, ergreifen sie oft keine geeigneten Maßnahmen. Sich gegen Cyberkriminelle abzusichern, ist wie eine Versicherung: Es ist nutzlos, bis man es braucht. Dann ist es aber zu spät. Diese Haltung führt unweigerlich zu einer Art Omertà im Falle einer Sicherheitspanne.

»Angesichts der zunehmenden Vernetzung der Systeme zwischen Käufern und Auftragnehmern ist es notwendig, alle Beteiligten in Präventionsmaßnahmen einzubeziehen, um die globale Sicherheit zu gewährleisten«, so Gries abschließend.

Eine Lösung: Zusammenarbeit

Aktuelle Schutztechniken wie die Identifizierung von Vorfällen durch abnormales Verhalten oder Angriffssimulationen scheinen nicht mehr ausreichend zu sein, um das immer ausgedehntere Unternehmensperimeter abzudecken. Tatsächlich ist der Wirkungsgrad dieser Instrumente begrenzt, wenn sie nur zum alleinigen Schutz des Unternehmens eingesetzt werden, ohne den Rest des Ökosystems zu berücksichtigen. »Das Sicherheitsniveau einer Kette ist und bleibt das ihres schwächsten Gliedes«, erinnert Gries. Die größte Herausforderung für jedes Unternehmen besteht daher darin, das Risikobewusstsein seiner Auftragnehmer zu erhöhen – und ebenso das seiner Mitarbeiter.

Zur Gewährleistung eines besseren und sichereren Informationsaustausches zwischen Lieferanten und Käufern spielen letztere eine entscheidende Rolle. »Die Auftraggeber können zum Beispiel im Rahmen einer Ausschreibung vorschreiben, dass die teilnehmenden Lieferanten bestimmte Cybersicherheitskriterien erfüllen«, sagt Gries. Die Bedeutung dieses Wandels wird umso klarer, je mehr das aktuelle Modell des massiven Outsourcings von Dienstleistungen durch Allianzen Fuß fasst. Ein Modell, wodurch nur die Unternehmen überleben werden, die in der Lage sind, die Integrität ihrer Prozesse und Daten zu wahren, einschließlich derjenigen, die sie nicht direkt kontrollieren. Dieses Bestreben erfordert von den Unternehmen, ihre Partner sehr rigoros auszuwählen, die Abläufe immer weiter zu automatisieren und vor allem einen echten Geist der Zusammenarbeit von einem Ende der Lieferkette zum anderen zu schaffen. Sind wir dazu bereit?

189 Artikel zu „Sicherheit Lieferkette“