17. und 18.06.2020 in Hamburg
Jetzt Ticket sichern Noch 211 Tage

Cybersouveränität – Unterschätzte Risiken durch Lieferanten - Dr. Dirk Fisseler, BaXian

Dr. Dirk Fisseler, BaXian

Unternehmen wollen und müssen die zunehmende weltweite Vernetzung als Chance verstehen und schliessen sich im Zuge der Industrie 4.0 und der branchenübergreifenden und umfassenden Digitalisierung der Plattform-Industrie an. In der Plattform-Industrie lagern Unternehmen immer mehr Aufgaben und Strukturen des eigenen Unternehmens an externe Lieferanten aus. Die resultierende enge digitale Vernetzung der Unternehmen über den Cyber-Raum führt zu komplexen und internationalen Wertschöpfungsketten. Entlang dieser ergeben sich für die Unternehmen nicht nur Chancen, sondern auch neue Risiken – so genannte Cyber-Raum-Risiken. Wegen dieser Risiken ist es für Unternehmen wichtig ihre Cyber-Souveränität auch innerhalb ihrer Wertschöpfungskette aktiv zu steuern.

Verantwortlichkeiten im Cyber-Raum

Der Cyber-Raum ist ein virtueller Raum, in dem sich die Menschheit zu bewegen lernen musste und immer noch muss. So war bei anfänglichen Online-Interaktionen die Anonymität im Cyber-Raum ein grosses Problem. Trotz dieser vorhandenen Anonymität konnten wir es schaffen, Mechanismen zu entwickeln, die ein hinreichendes Vertrauen ermöglichen. So kaufen Nutzer von anderen, ihnen unbekannten Nutzern, Produkte und Dienstleistungen über den Cyber-Raum. Dies funktioniert, denn wenn der Kauf nicht wie gewünscht abläuft, wird bei demselben Lieferanten nicht nur nicht erneut bestellt, sondern es wird auch eine negative Bewertung hinterlegt, um weitere Nutzer zu warnen. Ebay, Amazon oder auch TripAdvisor sind Beispiele für Plattformen, auf welchen Nutzer ihre Erfahrungen und Bewertungen von Produkten und Dienstleistungen teilen können. Der Bewertungsmechanismus sorgt also für Vertrauen von Nutzern untereinander. Dieser Mechanismus funktioniert gut bei wiederkehrenden Interaktionen mit klaren Verantwortungen. So ist zum Beispiel die Verantwortung des Käufers zu zahlen, die des Verkäufers die Ware im beschriebenen Zustand zu liefern.

Da Cyber-Attacken glücklicherweise weniger häufig erfolgreich sind als Kauftransaktionen, funktioniert der oben beschriebene Bewertungsmechanismus für Cyber-Risiken nicht. Zusätzlich sind Verantwortlichkeiten häufig nicht klar genug geregelt. Um dieses Phänomen darzustellen, muss kein Beispiel auf einem anderen Kontinent bemüht werden, denn ein führendes Schweizer Telekommunikationsunternehmen hat unlängst so gehandelt.

Eine hohe Anzahl von Kundendaten wie Namen, Adressen, Telefonnummern und Geburtsdaten wurde im Februar dieses Jahres von einem Angreifer mit französischer IP-Adresse automatisiert entwendet. Die Verantwortung für diesen Fehler wurde jedoch nicht von dem Telekommunikationsunternehmen übernommen, stattdessen wurde die Schuld dem Partnerunternehmen gegeben, das Zugriff auf Daten des Telekommunikationsunternehmens hatte. Dem kooperierenden Unternehmen wurden zwar die Zugangsdaten entwendet. Nichtsdestotrotz liegt an dieser Stelle auch ein Versäumnis des Telekommunikationsunternehmens vor, denn eine übliche Zwei-Faktor-Authentifizierung, wie sie selbst für private Apple- und Google-Konten praktiziert wird, wurde erst nach diesem Vorfall eingeführt. Darüber hinaus ist es dem Telekommunikationsunternehmen erst nach mehreren Monaten im Zuge einer Routinekontrolle gelungen, die verursachende Schwachstelle aufzudecken.

Dieses Beispiel führt zwei Probleme im Cyber-Raum vor Augen. Einerseits das Verhalten im Cyber-Raum, denn viele Akteure in der aktuellen Gesellschaft versuchen wie der Telekommunikationsanbieter die Verantwortung an Andere weiterzugeben. Andererseits wird gezeigt, dass selbst bei führenden Schweizer Telekommunikationsunternehmen übliche Sicherheitsmassnahmen und konstante Überwachung nicht angewendet werden, um die eigene IT-Infrastruktur und die des Lieferanten zu schützen. Auch wenn andere Sicherheitsmassnahmen ausreichend angewendet werden, gilt der Grundsatz, dass eben auch eine Wertschöpfungskette nur so stark ist wie ihr schwächstes Glied.

Supplier Cyber Risk-Management

Während Unternehmen früher nur ihre eigene Infrastruktur schützen mussten, birgt mittlerweile die IT-Infrastruktur des Lieferanten und die Verbindung zur eigenen Infrastruktur weitere Risiken. Das Risiko für Unternehmen weitet sich auf die gesamte Wertschöpfungskette aus.

Neben den direkten Cyber-Angriffen auf die eigene IT-Infrastruktur nimmt auch die Zahl der Cyber-Angriffe auf Lieferanten zu und somit das Risiko, dass ein Unternehmen über die eigenen Lieferanten angegriffen wird. Gemeinsam verwendete Systeme, wie zum Beispiel Bestellsysteme oder die Verwendung von Software eines Lieferanten, können als Zugang für Cyber-Angreifer dienen.

Wenn Technologien und Innovationen in Unternehmen vorhanden sind, besteht auch ein Risiko, dass Cyber-Angreifer nach einer Schwachstelle suchen, um diese anzugreifen. Da die Schwachstelle der Lieferant sein kann, müssen Unternehmen ein Supplier Cyber Risk-Management aufbauen, um diesem Risiko effizient zu begegnen und ihre Cyber-Souveränität zurück zu gewinnen.

Wandel im Supplier Cyber Risk

In den letzten Jahren wurden Informationssicherheitsrichtlinien für Lieferanten von Banken hauptsächlich aufgrund regulatorischer Anforderungen gelenkt und eingeführt. Grosse Unternehmen sowie Unternehmen im Bereich kritischer Infrastruktur, wie beispielsweise Banken, Versicherungen und Energieanbieter, profitieren von regulatorischen Anforderungen, die den Umgang der Unternehmen mit ihren Lieferanten betreffen.

Durch prominente Vorfälle in nicht reglementierten Unternehmen kann auch allgemein ein Anstieg des Bewusstseins für Supplier Cyber-Risiken verzeichnet werden.

Es kann bei Weitem nicht davon gesprochen werden, dass dies ausreichend ist, jedoch ist es ein erster Schritt in die richtige Richtung. Bei Unternehmen steigt langsam das Verständnis für die Bedeutung und Tragweite von Supplier Cyber Risk-Management. Das heißt, sie nehmen wahr, dass es unzählige negative Beispiele von Schweizer und internationalen Unternehmen gibt, die durch das Vernachlässigen des Supplier Cyber Risk-Managements von Datendiebstahl und Verlust von Geld und Vermögen betroffen sind.

Auch weisen die durch den Regulator vorgeschriebenen Richtlinien nicht die gleiche Effektivität auf wie Kontrollen, die aktiv von Unternehmen ergriffen werden. Um den neuen und zunehmenden Bedrohungen zu begegnen und nicht vollständig von Sicherheitsmassnahmen der Lieferanten abhängig zu sein, bedarf es einer neuen proaktiven Einstellung im Umgang mit diesen Gefahren. Dazu zählen Kontrollen und Beurteilungen der unternehmenseigenen und der vom Lieferanten betriebenen IT-Infrastruktur. Diese Kontrollen fokussieren sich im Allgemeinen auf den Schutz vor Cyber-Angriffen und im Speziellen auf Schwachstellen im Netzwerk, Vereinbarungen in Verträgen, Anforderungen durch Policies, sicheren Prozessen, der Prüfung involvierter Personen und eingeschränkter Zugriffsrechte.

Einige Unternehmen müssen realisieren, dass sie kein ausreichendes Supplier Cyber Risk-Management praktizieren. Bei anderen zeigt sich die alarmierende Realität, dass sie sich im Bereich Supplier Cyber Risk-Management im Blindflug befinden.

Nur wenige Unternehmen kennen ihre Supplier Cyber-Risiken und treffen eine bewusste Entscheidung, welcher Grad an Abhängigkeit für sie akzeptabel ist bzw. inwiefern ihre Souveränität gesichert sein muss.

Typischer Supplier Cyber-Angriff

Ein typischer Angriff, mit dem das Supplier Cyber Risk-Management eines Unternehmens konfrontiert wird, ist ein Cyber-Angriff auf den Lieferanten und die Nutzung der Cyber-Raum-Verbindung von Unternehmen und Lieferanten zueinander, um aus dem Zielunternehmen Daten zu entwenden oder die IT-Infrastruktur im Sinne des Angreifers zu manipulieren.

Im Jahr 2014 ereignete sich dieses Szenario mit dem Computerwurm «Stuxnet». Dieser wurde erstellt, um das iranische Atomprogramm anzugreifen. Dazu wurde der Zugang über einen Lieferanten, einen deutschen Maschinenbauer, gewählt. Zuerst haben die Angreifer den Lieferanten über den Cyber-Raum attackiert. Dieser Angriff war erfolgreich und die Angreifer konnten sich Zugriff auf die IT-Infrastruktur des Lieferanten verschaffen. Durch diesen Zugang injizierten Angreifer Schadsoftware in die Updates des Maschinenbauers.

Die Kunden, die das Update herunterluden, um die Maschinensoftware auf den neuesten Stand zu bringen, wurden durch die manipulierte Schadsoftware infiziert. Alle Kunden des deutschen Maschinenbauers, die mit dessen Maschinen sowie der dazugehörigen aktualisierten Software arbeiteten, waren betroffen. So haben die Angreifer es geschafft Schadsoftware bei den Kunden zu platzieren und konnten so auf diese Weise die Infrastruktur der Kunden manipulieren, ohne den Kunden direkt angreifen zu müssen. Das iranische Atomprogramm wurde über das schwächste Glied in der Kette, also ein Unternehmen mit schwachem Schutz vor Cyber-Angriffen, erfolgreich angegriffen.

Methodologie des Supplier Cyber Risk-Managements

Im Moment werden Supplier Cyber-Risiken mit grundlegenden Methoden des Risikomanagements beurteilt, wie zum Beispiel durch die Risikoanalyse bei der das Risiko in einer Matrix aus Schadenspotenzial und Eintrittswahrscheinlichkeit bewertet wird.

Unter Berücksichtigung der Tragweite der möglichen negativen Konsequenzen ist es verwunderlich, dass nur vereinzelt Risikobewertungsmechanismen verwendet werden, die über dieses einfache Maß hinausgehen. Die Datengrundlage mag weniger stark ausgeprägt sein, als beispielsweise in der Finanzbranche, dennoch gibt es zahlreiche Risikobewertungsmechanismen, die zu einem besseren Umgang mit Supplier Cyber-Risiken führen können. Dass Erforderliches zwar möglich ist aber nicht umgesetzt wird, zeigt den dringenden Handlungsbedarf im Supplier Cyber Risk-Management.

Grundvoraussetzung für ein erfolgreiches Supplier Cyber Risk-Management ist die Erstellung einer Liste aller Lieferanten. Durch eine risikobasierte Priorisierung kann entschieden werden, auf welchen Lieferanten ein initialer Fokus liegen soll. Ebenso wie neue Lieferanten durchlaufen die fokussierten Lieferanten den Supplier Cyber Risk-Management-Prozess:

  1. Analysen zielen darauf ab, den Sicherheitsstand der Lieferanten einschätzen zu können. Als Mittel funktionieren neben klassischen Fragebögen, Interviews und Anforderungslisten auch neuartige Sicherheits-Scoring-Tools.
  2. Erreichen von Einigungen mit den Lieferanten über Sicherheitsanforderungen durch vertragliche Vereinbarungen, Policies, Prozessen, Governance-Strukturen und Audit-Pläne.
  3. Onboarding oder Überprüfung von Personen und Systemzugängen. Dazu gehört eine Sicherheitsüberprüfung von Personen gemäss den Anforderungen und ob Personen oder Systeme nur die notwendigen Zugriffsrechte haben.
  4. Überwachung, ob Anforderungen erfüllt werden, durch kontinuierliche Überwachung und periodische Überprüfungen wie Penetrationstests oder den in den Schritten eins und drei beschriebenen Analysen.
  5. Vorbereitung von Prozessen und Plänen, um auf Sicherheitsvorfälle ad hoc zu reagieren, inklusive Übungen.
  6. Vorbereitung von Prozessen und Plänen, um nach Sicherheitsvorfällen und der ersten Reaktion aus Schritt fünf den Normalzustand wiederherzustellen, inklusive Übungen.

Zwei entscheidende Faktoren für eine effektive Anwendung sind die Verantwortlichkeit und die Fortführung des Prozesses.

  • Der beschriebene Prozess entfaltet seine grösste Wirkung, wenn er kontinuierlich fortgeführt und an neue Anforderungen angepasst wird. Lieferanten, bei denen ein hohes oder gestiegenes Risiko festgestellt wird werden entsprechend ausführlicher oder häufiger untersucht.
  • Die Verantwortlichkeit innerhalb eines Unternehmens für Supplier Cyber Risk-Management sollte eindeutig einer Partei zugeteilt sein. Zudem sollten nicht nur die Hauptinteressenten (Chief Information Security Officer, Chief Risk Officer, Chief Procurement Officer) involviert sein, sondern der gesamte Vorstand das Supplier Cyber Risk-Management unterstützen.

Die kontinuierliche Überwachung des Lieferanten ist ein wichtiger Bestandteil eines aktuellen Supplier Cyber Risk-Management und das richtige Werkzeug um den permanent neu auftretenden Risiken zu begegnen.

Unternehmen, die als Ziel eine schnelle Implementierung eines umfassenden und effizienten Supplier Cyber Risk-Management haben, ist empfohlen, verfügbare Lösungen, Produkte und Services insbesondere im Hinblick auf die Integration in einen gesamthaften Prozess zu evaluieren. Die Prozesse des Supplier Cyber Risk-Management sollten Teil eines ganzheitlichen Modells sein, das auf die Bedürfnisse des Unternehmens zugeschnitten ist.

Alle nötigen, methodischen Prozesse sowie technischen Instrumente für das Supplier Cyber Risk-Management und die kontinuierliche Überwachung des Lieferanten sind verfügbar und warten auf ihre Anwendung.

Verantwortung im Supplier Cyber Risk-Management

Die Verantwortung für die eigenen Lieferanten und somit für das Supplier Cyber Risk-Management liegt bei den Unternehmen, denn sie selbst tragen den Schaden von Attacken. Vermehrt herrscht die fälschliche Denkweise, dass Zertifizierungen von Lieferanten alleine das Risiko genügend minimieren. Zertifizierungen wie die weitverbreiteten ISO-Zertifizierungen sind jedoch zu generalistisch und befassen sich nicht mit den entscheidenden Details. Sie sind nicht ausreichend, da sie sich nicht auf Cyber-Risiken fokussieren sowie im Speziellen auf die Beziehung von Unternehmen und Lieferanten eingehen.

Die Verantwortung für Risiken liegt grundsätzlich bei allen Unternehmen in der Wertschöpfungskette, das heisst, sowohl für die eigene IT-Infrastruktur als auch für die der Lieferanten. Ebenfalls liegt die Verantwortung für Supplier Cyber Risk-Management sowohl bei dem Unternehmen, das auslagert, als auch bei dem, das die ausgelagerten Dienste anbietet. Jeder Teil der Wertschöpfungskette muss sich über seine Verantwortung für die eigenen Risiken und das Supplier Cyber Risk-Management bewusst sein und dieser gerecht werden.

Aufgrund der Tragweite dieser Verantwortung und der potenziellen negativen Konsequenzen muss dieses Thema nicht nur auf operativer Ebene, sondern auch auf Management-Ebene erörtert werden. Diese Risiken haben sowohl operative Aspekte, wie die einzelnen Schwächen in der IT Infrastruktur des Unternehmens, als auch strategische, wie der Diebstahl von unternehmensrelevanten und hochsensiblen Daten und Technologien.

Herausforderungen des Supplier Cyber Risk-Management

Aktuell haben viele Unternehmen Schwierigkeiten mit dem richtigen und effizienten Umgang mit Supplier Cyber-Risiken. Eine der grössten Herausforderungen besteht darin, die Komplexität der Vielzahl an Lieferanten zu bewältigen und zu überwachen. Es entsteht ein mögliches folgenreiches Risiko für ein Unternehmen, sofern es nicht erkennt, dass ein Lieferant oder mehrere Lieferanten nicht dazu in der Lage sind, den Cyber-Raum-Risiken ausreichend zu begegnen.

Unternehmen haben teilweise mehrere tausende Lieferanten durch die ein solcher Angriff möglich wäre. Selbst wenn ein Grossteil über einen ausreichenden Schutz verfügen würde, so ist dennoch die Gefahr groß, dass durch Andere Schwachstellen bestehen. Deshalb kann und darf es für ein Unternehmen nicht reichen, den Lieferanten dahingehend zu vertrauen, dass diese die eigene IT-Infrastruktur ausreichend schützen. Dem Angreifer reicht ein Lieferant aus der Vielzahl an Lieferanten aus, um das Unternehmen zu attackieren. Ein umsichtiges Unternehmen muss die gesamte Wertschöpfungskette, in dem sich das Unternehmen befindet, betrachten und für diese Verantwortung übernehmen.

Im Zuge der Bewertung, ob ein Anbieter als Lieferant infrage kommt, werden im traditionellen Lieferanten-Management unter anderem Präsenzbesuche und Vor-Ort-Kontrollen durch die Einkaufsabteilung durchgeführt. Diese traditionellen Massnahmen sowie die aktuell häufig verwendeten periodischen Überprüfungen wie Penetrationstests sind veraltet und genügen alleine nicht mehr den Anforderungen des Supplier Cyber Risk-Management.

Eine weitere Herausforderung ist die gelebte Intransparenz der Unternehmen und Lieferanten bezüglich eigener Sicherheitsrisiken und -vorfälle. In der Regel werden Vorfälle wie ein Datendiebstahl verschwiegen. Sofern Kundendaten entwendet werden, sind die Unternehmen zur Publikation des Vorfalls verpflichtet. Ist dies jedoch nicht der Fall, erfährt die Öffentlichkeit und damit auch Kunden meistens nicht von dem Datendiebstahl oder Cyber-Angriffen.

Diese Intransparenz der Unternehmen sollte weniger werden und es sollte mehr Kooperation zwischen den Unternehmen geben. Denn das Teilen von Informationen von Vorfällen führt dazu, dass andere Unternehmen die aktuellsten Erkenntnisse und Informationen verwenden können, um ihren Schutz zu optimieren. Durch diese Zusammenarbeit kann unter anderem das Risiko zweier ähnlicher Angriffe auf verschiedene Unternehmen gesenkt werden. Dazu bestehen einige Online-Plattformen, auf denen Informationen über Vorfälle gemeldet und geteilt werden können.

Auch die Kooperation stellt Herausforderungen für Unternehmen dar. Es bedarf einer Vielzahl an Informationen und Daten, die ausgetauscht werden müssten, um Supplier Cyber Risk-Management effizient anzuwenden. An dieser Stelle gilt: Je mehr Unternehmen und Lieferanten miteinander kooperieren und Informationen sowie Daten austauschen, desto effizienter kann das Supplier Cyber Risk-Management sein.

Die aktuellen Erfahrungen zeigen, dass es häufig an der Kooperation und dem Datenaustausch mangelt. So sind Lieferanten oft nicht dazu bereit, Informationen über ihre Sicherheitsrisiken zur Verfügung zu stellen. Die Empfehlung ist keinesfalls, Informationen über sämtliche Schwachstellen zu teilen, denn auch dies wäre ein Risiko. Stattdessen kann ein Dialog über Risiken, die sich auf Kunden auswirken, offen geführt werden. Die langfristige und effektive Lösung im Supplier Cyber Risk-Management ist die Kooperation zwischen Unternehmen und Lieferanten. Dies inkludiert einen zeitnahen Informations- und Datenaustausch in beide Richtungen. Es profitiert also nicht nur der Kunde, denn Schwachstellen können häufig am effektivsten mit Hilfe der externen Perspektive identifiziert werden, die auch ein Angreifer verwenden würde.

Wenn Lieferanten kein Interesse an einer Kooperation im Supplier Cyber Risk-Management haben, entsteht dadurch ein Risiko für ihre Kunden und diese Einstellung sowie die Beziehung sollte hinterfragt werden. Da ein verschwiegenes Verhalten der Lieferanten weit verbreitet ist und auch eine Kooperation alleine nicht genügend Kontrolle gibt, sollten Unternehmen zusätzlich ein eigenes kontinuierliches Überwachungssystem aufbauen.

Kontinuierliche Überwachung im Supplier Cyber Risk-Management

Aufgrund der Dynamik des Cyber-Raums und der steigenden Zahl der Angriffe auf Unternehmen mittels Lieferanten wird eine kontinuierliche Identifikation, Beurteilung sowie Überwachung und Kontrolle der Risiken benötigt, um Unternehmen ausreichend zu schützen.

Die kontinuierliche Überwachung im Supplier Cyber Risk-Management ist mehr als eine Zusammenstellung von Methoden und Tools. Vielmehr erfordert sie ein Umdenken von einzelnen Analysen hin zu ständiger Wachsamkeit. Ziel ist es, permanent neue Schwachstellen des Lieferanten zu identifizieren und die sich daraus ergebenden Risiken zu erkennen.

Durch die kontinuierliche Überwachung wird die dynamische und ständig wechselnde Bedrohungssituation adressiert. In diesem Prozess sind häufig Tools im Einsatz, die eine kontinuierliche cyberbasierte Überwachung ermöglichen, indem sie eine Outside-in-Analyse mit Hilfe von öffentlich verfügbaren Daten durchführen. Unter Verwendung der Domains und Subdomains sowie der dazugehörigen IP-Adressbereiche wird die IT-Infrastruktur auf Schwachstellen untersucht. Durch die Überwachung entstehen grosse Datenmengen, die durch das Tool ausgewertet werden können.

Anhand dieser umfassenden Informationen werden die gefundenen Schwachstellen mit Datenbanken von führenden Informationssicherheit Institutionen wie der Common Vulnerabilities and Exposures (CVE) Security Vulnerability Database abgeglichen. Durch diesen Abgleich kann das Tool die Schwachstellen kategorisieren und bewerten.

Automatisch erhalten die verantwortlichen Personen diese Informationen gebündelt auf einer Plattform aufbereitet. Ihnen steht das Wissen zur Verfügung, welche Schwachstellen vorhanden sind und welche aufgrund der grossen Wichtigkeit fokussiert werden sollten.

Ein Anwendungsbeispiel ist die Identifikation einer Schwachstelle mit hohem Schweregrad, also potenziell starkem negativen Einfluss auf die IT-Infrastruktur des Lieferanten. Eine Schwachstelle in der IT-Infrastruktur des Lieferanten, die länger als 30 Tage besteht, ist nicht akzeptabel. Es wird empfohlen, Schwachstellen mit hohem Schweregrad innerhalb dieser Zeit zu verringern oder zu patchen. Dies kann sehr effizient durch die generierten Daten und Informationen über diese Schwachstelle gelingen.

Die kontinuierliche Überwachung bietet nicht bloß den Vorteil, einen Einblick über Schwachstellen zu haben. Sie ermöglicht es auch, einen Dialog mit dem Lieferanten zu starten und damit die Basis für eine erfolgreiche Kooperation zu bilden. Was zunächst als Misstrauensvotum verstanden werden kann, führt somit am Ende zu einer höheren Sicherheit von beiden Parteien und nutzt somit nicht nur dem Kunden, sondern auch dem Lieferanten.

Durch die Kooperation gewinnt ein Unternehmen Kontrolle über Supplier Cyber- Risiken und erhöht damit seine Cyber-Souveränität. Dies gilt mit den neuen Methoden des Supplier Cyber Risk-Management erstmals auch für mittlere und grosse Unternehmen, die neu Konzerne kontrollieren können. Nach wie vor garantiert dies natürlich keine hundertprozentige Sicherheit, jedoch wird dadurch das Risiko substantiell gesenkt, dass Sicherheitslücken des Lieferanten missbraucht werden.

Dr. Dirk Fisseler, BaXian

Dr. Dirk Fisseler
BaXian
dirk.fisseler@baxian-group.com