A balance of rigorous supplier validation, purposeful data exposure, and meticulous preparation is key to managing and mitigating risk.
KOMMENTAR
Israels Angriffe mit elektronischen Pagern gegen die Hisbollah im September haben die gefährlichen Auswirkungen einer waffenfähigen Lieferkette deutlich gemacht. Die Anschläge, bei denen in Pager-Batterien versteckter, ferngezündeter Sprengstoff zum Einsatz kam, verletzten fast 3.000 Menschen im Libanon und erinnerten im schlimmsten Fall an die Risiken, die mit globalen Liefernetzwerken verbunden sind.
Die Situation war nicht nur ein weiteres Weltuntergangsszenario, das von finanziell motivierten Anbietern in der Hoffnung auf den Verkauf von Sicherheitsprodukten entworfen wurde. Es handelte sich um ein legitimes, reales Nebenprodukt unserer aktuellen Realität inmitten der eskalierenden Ausbreitung von Cyberkriminalität durch Gegner. Es unterstreicht auch die Gefahren, die entstehen, wenn man sich auf Hard- und Software von Drittanbietern verlässt, die ihre Wurzeln im Ausland haben - etwas, das häufiger vorkommt, als man vielleicht erwartet. Zum Beispiel, am 12. September, eine Untersuchung des Sonderausschusses des US-Repräsentantenhauses ergab dass 80% der Ship-to-Shore-Kräne in amerikanischen Häfen von einem einzigen chinesischen Unternehmen in Staatsbesitz hergestellt werden. Der Ausschuss hat zwar keine Beweise dafür gefunden, dass das Unternehmen seinen Zugang böswillig genutzt hat, aber die Schwachstelle könnte es China ermöglicht haben die Manipulation von US-Seeausrüstung und -Technologie im Zuge eines geopolitischen Konflikts.
Da nationalstaatliche Akteure neue Wege suchen, um sich geopolitische Vorteile zu verschaffen, muss die Sicherung der Lieferketten eine gemeinsame Priorität der Cybersicherheitsgemeinschaft im Jahr 2025 sein. Verizons "2024 Data Breach Investigations Report" festgestellt, dass die Verwendung von Zero-Day-Exploits um Sicherheitsverletzungen zu initiieren, stieg im Vergleich zum Vorjahr um 180% - und 15% davon betrafen einen Drittanbieter. Die richtige Schwachstelle zur falschen Zeit kann kritische Infrastrukturen in das Fadenkreuz eines folgenschweren Ereignisses bringen.
Die Umsetzung eines wirksamen Schutzes der Lieferkette ist aufgrund der Komplexität, des Umfangs und der Integration moderner Lieferketten-Ökosysteme viel leichter gesagt als getan. Es gibt zwar kein Patentrezept für die vollständige Beseitigung von Bedrohungen, aber die gezielte Konzentration auf wirksame Risikomanagement in der Lieferkette Grundsätze im Jahr 2025 ist ein entscheidender Ansatzpunkt. Dies erfordert ein optimales Gleichgewicht von strenger Lieferantenvalidierung, gezielter Datenexposition und sorgfältiger Vorbereitung.
Strenge Lieferantenvalidierung: Mehr als nur die Checkboxen
Ob Cyber-Kriegsführung oder Ransomware, moderne Angriffe auf die Lieferkette sind zu ausgeklügelt, als dass Unternehmen bei der Lieferantenvalidierung zu kurz kommen könnten. Jetzt ist es an der Zeit, sich von selbst erstellten Sicherheitsbewertungen und Lieferantenfragebögen zu lösen und zu umfassenderen Validierungsprozessen überzugehen, die die Einhaltung von Vorschriften, die Reaktionsbereitschaft und die Sicherheit durch Design in den Vordergrund stellen.
Die Sicherstellung der Einhaltung sich entwickelnder Industriestandards muss ein grundlegender Faktor jeder Lieferantenvalidierungsstrategie sein. Ist Ihr Lieferant in der Lage, die Anforderungen des Digital Operational Resilience Act der Europäischen Union (DORA) und Cyber Resilience Act (CRA) Vorschriften? Stehen sie im Einklang mit den Zielen der National Security Agency? CNSA 2.0 Zeitvorgaben für die Verteidigung gegen quantenbasierte Angriffe? Verfügen ihre Produkte über die kryptografische Beweglichkeit, um die vom National Institute of Standards and Technology (NIST) neue Algorithmen der Post-Quantum-Kryptographie (PQC) bis 2025? All diese Beispiele sind wichtige Werttreiber, die bei der Auswahl eines neuen Partners zu berücksichtigen sind.
Chief Information Security Officers (CISOs) sollten noch weiter gehen, indem sie den tatsächlichen Nachweis der Cyber-Resilienz verlangen. Führen Sie jährliche Vor-Ort-Sicherheitsaudits für Lieferanten durch, bei denen alles bewertet wird, von physischen Sicherheitsmaßnahmen und Lösungspaketen bis hin zu IT-Arbeitsabläufen und Schulungsprogrammen für Mitarbeiter. Verlangen Sie außerdem, dass Ihre Lieferanten vierteljährlich Berichte über Penetrationstests und Schwachstellenbewertungen vorlegen, die Dokumente dann gründlich prüfen und die Abhilfemaßnahmen verfolgen.
Ebenso wichtig für eine rigorose Validierung ist es, die Bereitschaft eines Zulieferers zur Reaktion auf einen Vorfall durch Benachrichtigungsverfahren, Kommunikationsprotokolle, Fachwissen und funktionsübergreifende Zusammenarbeit zu prüfen. Jede gemeinsame Strategie zur Cyberabwehr sollte auch durch ein gemeinsames Bekenntnis zu "Secure-by-Design"-Prinzipien und robusten Protokollen zur Prüfung der Produktsicherheit untermauert werden, die in die Risikobewertungen der Lieferkette integriert werden. In den frühen Phasen der Produktentwicklung implementiert, secure-by-design hilft bei der Reduzierung die Angriffsfläche einer Anwendung, bevor sie für eine breite Nutzung zur Verfügung gestellt wird. Prüfung der Produktsicherheit bietet ein umfassendes Verständnis wie sich die Verwendung eines bestimmten Produkts auf Ihr Bedrohungsmodell und Ihre Risikolage auswirkt.
Gezielte Datenexposition: Weniger ist immer mehr
Weniger (Zugang) ist mehr, wenn es um den Schutz von Daten in Lieferkettenumgebungen geht. Unternehmen sollten sich darauf konzentrieren, zielgerichtete Ansätze für die gemeinsame Nutzung von Daten zu verfolgen und sorgfältig zu prüfen, welche Informationen für eine erfolgreiche Partnerschaft mit Dritten wirklich notwendig sind. Die Begrenzung der Weitergabe sensibler Informationen an externe Lieferanten durch skalierte Zero-Trust-Konzepte trägt dazu bei, die Angriffsfläche in der Lieferkette exponentiell zu verringern, was wiederum die Verwaltung von Risiken Dritter vereinfacht.
Ein wichtiger Schritt in diesem Prozess ist die Einführung strenger Zugangskontrollen, die den Zugriff auf die wichtigsten Daten und Systeme beschränken. Richtlinien zur Datenalterung und -aufbewahrung spielen hier ebenfalls eine entscheidende Rolle. Die Automatisierung von Prozessen zur Löschung veralteter oder überflüssiger Daten trägt dazu bei, dass selbst im Falle eines Verstoßes der Schaden begrenzt und die Privatsphäre gewahrt bleibt. Die konsequente Nutzung von Verschlüsselungen an allen Berührungspunkten mit Daten, die für Dritte zugänglich sind, bietet zusätzlichen Schutz vor unentdeckten Verstößen, die im gesamten Ökosystem der Lieferkette auftreten.
Sorgfältige Vorbereitung: Die Annahme eines Bruchs als Denkweise
Da die Angriffe auf die Lieferkette zunehmen, müssen Unternehmen davon ausgehen, dass ein Einbruch nicht nur möglich, sondern wahrscheinlich ist. Ein Umdenken in Bezug auf die Annahme eines Einbruchs wird dazu beitragen, dass die Vorbereitung auf einen Einbruch durch eine umfassende Reaktion auf Vorfälle in der Lieferkette und eine Risikominderung sorgfältiger erfolgt.
Die Vorbereitungsmaßnahmen sollten mit der Entwicklung und regelmäßigen Aktualisierung flexibler Verfahren zur Reaktion auf Zwischenfälle beginnen, die speziell auf die Risiken Dritter und der Lieferkette zugeschnitten sind. Um wirksam zu sein, müssen diese Prozesse gut dokumentiert und häufig durch realistische Simulationen und Tischübungen geübt werden. Solche Übungen helfen dabei, potenzielle Lücken in der Reaktionsstrategie zu erkennen und sicherzustellen, dass alle Teammitglieder ihre Rollen und Verantwortlichkeiten während einer Krise verstehen.
Das Führen einer aktuellen Kontaktliste für alle wichtigen Anbieter und Partner ist ein weiterer wichtiger Bestandteil der Vorbereitung. Wenn Sie im Ernstfall genau wissen, wen Sie bei Anbieter X, Y oder Z anrufen müssen, können Sie wertvolle Zeit sparen und das Ausmaß einer Sicherheitsverletzung möglicherweise begrenzen. Diese Liste sollte regelmäßig überprüft und aktualisiert werden, um personelle Veränderungen oder Verschiebungen in den Lieferantenbeziehungen zu berücksichtigen.
Unternehmen sollten auch die Abschalt- und Eindämmungsverfahren für jede kritische Anwendung oder jedes System innerhalb ihrer Lieferkette genau kennen. Es ist zwar unmöglich, jedes potenzielle Szenario vorherzusagen, aber ein gut aufgestelltes Team, das über umfassende Reaktionspläne und genaue Kenntnisse der Lieferkettenumgebung verfügt, ist weitaus besser für die Bekämpfung gegnerischer Bedrohungsakteure gerüstet.
