Die Supply Chain bietet Angriffspunkte für Cyberattacken, die weitreichende Schäden verursachen können. Unternehmen sollten daher ihre Lieferanten in das Risikomanagement einbeziehen. Die Spezialisten von Kudelski Security haben einen Leitfaden dafür zusammengestellt.
Sicherkeitsleck: „Über die Sicherheitsmaßnahmen, die bei externen Partnern wie beispielsweise IT-Anbietern, Teilelieferanten und Personaldienstleistern zum Einsatz kommen, haben Unternehmen nur begrenzte Kontrolle“, erklärt Philippe Borloz, Vice President Sales EMEA bei Kudelski Security. „Daher wird jeder erfolgreiche Angriff auf Partner auch zu einer potenziellen Gefahr für dessen Kunden und Partner.“ Die Notwendigkeit des Risikomanagements ist für jedes Unternehmen von grundlegender Bedeutung. Je komplexer die Lieferkette ist und je mehr Dritte ihr angehören, desto höher das Risiko.
Die Liste der geschäftssensiblen Daten, zu denen externe Dritte potenziell Zugang erhalten können, ist lang – von Geschäftsgeheimnissen und geistigem Eigentum bis hin zu persönlichen Daten oder Unternehmensrichtlinien. Diese Daten sind gefährdet, wenn Lieferanten nicht über angemessene Sicherheits- und Datenschutzvorkehrungen verfügen. Kudelski skizziert in vier Schritte die Basis eines Programms für das Vendor Risk Management, das auf Best Practices zum Schutz sämtlicher digitalen und physischen Assets eines Unternehmens beruht.
1. Cybersicherheitsrisiken innerhalb der Lieferkette identifizieren
Die Identifizierung von Risiken innerhalb einer Lieferkette und der Lieferantenlandschaft eines Unternehmens beginnt mit dem Aufbau eines Inventars von Lieferanten und deren Einordnung in Risikostufen. Dazu gilt es, die Verbindungen der jeweiligen Lieferanten mit sämtlichen internen Daten, Systemen und Netzwerken sowie sämtliche Erfahrungen im bisherigen Kontakt zu bewerten.
Sind die Cybersicherheitsrisiken eines Lieferanten erkannt und bewertet, kann ein Cybersicherheitsprogramm starten, das unbedingt in das Lieferantenmanagement des Unternehmens integriert werden sollte. Beim Aufbau eines solchen Programms für das Vendor Risk Management ist eine enge Kooperation zwischen dem Beschaffungswesen und der Rechtsabteilung geboten. Bei der Auswahl neuer Lieferanten sowie bei der Verhandlung und dem Vertragsabschluss empfiehlt es sich, Sicherheit und Datenschutz als Punkte in die Verträge einzubeziehen. So entsteht ein konsistentes System, das sämtliche kritischen Bereiche einschließlich finanzieller Rentabilität, Sicherheit und Einhaltung von Gesetzen berücksichtigt.
2. Flexible Monitoringprogramme für Lieferanten
Zur Bewertung und Überwachung von Lieferanten hinsichtlich ihres Cybersicherheitsrisikos gibt es viele Möglichkeiten. Bei der Ausgestaltung des Programms empfiehlt sich ein flexibles Vorgehen auf Basis eines risikobasierten Ansatzes. Anbieter mit höherem Risiko erfordern engmaschigere Sicherheitsmaßnahmen wie beispielsweise das Ausfüllen von Sicherheitsfragebögen, Vor-Ort-Besuche oder -Audits oder Sicherheitszertifizierungen. Unternehmen sollten den Umfang der nachgefragten Daten mit Blick auf das Risikomanagement begrenzen und nur relevante Informationen sammeln.
Zur effizienten Verwaltung des Vendor Risk Management-Programms sind Automatisierungslösungen verfügbar. Die meisten dieser Lösungen operieren als Software-as-a-Service. Viele von ihnen beinhalten Informationen über die Cybersicherheitsprofile, die finanzielle Lage und das Geschäftsgebaren eines Lieferanten als Ergänzung zu anderen häufig verwendeten Bewertungsmethoden wie Sicherheitsfragebögen und Vor-Ort-Audits. Auch die Integration mit Beschaffungssystemen, Service-Management-Tools und ERP-Lösungen (Enterprise Resource Planning) wird nach und nach zum Standard.
Gartner listet Vendor Risk Management-Programme als eigene Softwarekategorie, die sich stetig weiterentwickelt. Es entstehen Angebote, die das Vendor Risk Management als Service beinhalten und die Administration signifikant erleichtern. Inzwischen gibt es mehrere Lösungen zum gemeinsamen Bewerten der Risiken. Diese verringern die Belastung für Lieferanten, die ansonsten Hunderte von Fragebögen ausfüllen müssten. Da viele Lieferanten ihren Kunden die Gewissheit geben wollen, dass ihre Sicherheitsprogramme anerkannten Industriestandards entsprechen, gewinnen Zertifizierungsprogramme an Bedeutung.
3. Krisenreaktionsplan für Vorfälle bei einem Lieferanten
Ist ein Lieferant von einem Datenleck oder einem anderen sicherheitskritischen Vorfall betroffen, kann sich das auch auf das Geschäft seiner Kunden auswirken. Die Notfallmaßnahmen sollten daher das Risikomanagement des Lieferanten in die unmittelbare Krisenreaktion einbeziehen. Dazu müssen die Cybersicherheitsanforderungen an Geschäftspartner festlegen, wie schnell ein Kunde über eine potenzielle Sicherheitsverletzung oder einen Vorfall zu informieren ist. Die Playbooks zur Reaktion auf Vorfälle sollten zudem Maßnahmen benennen, die im Ernstfall zu ergreifen sind. Die Reaktionspläne und Simulationsszenarien sollten insbesondere jene Lieferanten mit kritischem Status für die eigene Sicherheit beinhalten.
4. Sensibilisierung der Unternehmensleitung für das Vendor Risk Management
Das Management Programm sollte Dashboards und Metriken enthalten, die das Risiko, das durch Dritte entsteht, messen und als Bericht aufbereiten. Vorstand und Aufsichtsrat haben diesbezüglich einen zunehmend hohen Informationsbedarf. Daher sollte das Programm die Kennzahlen der darin aufgenommenen Lieferanten, den Anteil derer mit höherem Risiko, die evaluiert oder unter ständiger Überwachung stehen, sowie die erzielte Risikoreduzierung erfassen. Jürgen Frisch
Anzeige | Fachartikel
Investieren in bewegten Zeiten | Clever digitalisieren
Autor: Frank Naujoks | Managing Consultant | Trovarit AG
- Investition in IT-Projekte
- IT-Roadmap
- Digitalisierung der Geschäftsprozesse
