Supply Chain Risk Management

So wird Ihre Lieferkette resilient

Cyberkriminelle haben Ihre Zulieferer im Visier. So verhindern Sie riskante Lieferkettenunterbrechungen in drei Schritten.
Von  und
CSO | 02. August 2022 06:04 Uhr
Eine resiliente Lieferkette ist in Zeiten zunehmender Supply-Chain-Attacken Pflicht.
Eine resiliente Lieferkette ist in Zeiten zunehmender Supply-Chain-Attacken Pflicht.
Foto: General photographer - shutterstock.com

Die COVID-Pandemie hat uns unter anderem gelehrt, dass eine widerstandsfähige Lieferkette essenziell ist. Eine resiliente Supply Chain kann den entscheidenden Unterschied machen, wenn es darum geht, kritische Geschäftsunterbrechungen zu verhindern - einschließlich solcher, die durch Cyberattacken verursacht werden. Denn kommt es dazu, kann sich das nicht nur auf Ihren Umsatz, sondern auch auf die Unternehmensmarke und -reputation auswirken.

Das moderne Unternehmensökosystem ist ein zunehmend komplexes Geflecht: Jeder ist im Grunde der Lieferant eines anderen. Das ist auch Cyberkriminellen nicht entgangen - Angriffe auf (Software-)Lieferketten haben in den letzten Monaten deutlich zugenommen. Das liegt auch daran, dass Supply-Chain-Attacken für Kriminelle besonders einträglich und effizient sind: Trotzdem sie nur eine Schwachstelle bei einem Service Provider oder Softwareanbieter ausnutzen, können sie damit potenziell eine Vielzahl von Opfern treffen. Je komplexer die Lieferkettenbeziehungen, umso schwerer haben es Unternehmen, einen widerstandsfähigen Ansatz für ihr Third-Party-Risikomanagement zu implementieren.

Eine resiliente Lieferkette erfordert vor allem Disziplin und einen kohärenten Risk-Management-Ansatz. Diese drei Schritte führen Sie zur Supply-Chain-Härtung.

1. Anbieter validieren

Kennen Sie alle Bedingungen Ihrer Drittanbieter und stimmen diese mit Ihren Erwartungen überein? Wenn Sie sich auf den Resilienzplan Ihres Anbieters blind verlassen, kann das nach hinten losgehen. Je komplexer und größer ein Unternehmen ist, desto aufwendiger kann die Planung sein.

Systemkritische Anbieter, also diejenigen, auf die sich Ihr Unternehmen bei der Auslieferung seiner Produkte und Dienstleistungen an die Kunden verlässt, verdienen besondere Aufmerksamkeit hinsichtlich ihrer Widerstandsfähigkeit. Sie sollten sich bei diesen Partnern erkundigen, wie genau diese ihre Ausfallsicherheit planen und testen. Das sollte dabei kein Frage-Antwortspiel auf Entfernung bleiben. Auch wenn es verlockend ist, dem Anbieter zu vertrauen und sich eine physische Validierung zu sparen - das kann sich später rächen.

Es ist von entscheidender Bedeutung, Ihre kritischen Anbieter zu identifizieren und sie in Ihre eigenen Ausfallsicherheitstests und Validierungsübungen einzubeziehen. Unabhängig davon, ob es sich um Table-Top-Übungen oder tatsächliche Failover-Tests handelt, bietet die Zusammenarbeit mit diesen Anbietern die Gewissheit, im Falle der Fälle nicht im Regen zu stehen.

Doch damit nicht genug: Bei systemkritischen Anbietern müssen auch deren Drittanbieter untersucht werden. Wenn Sie das nicht prüfen, sind Sie unter Umständen angreifbar. Fragen Sie bei Ihren Partnerunternehmen nach, welche Viertanbieter sie für die Produktbereitstellung nutzen und erkundigen Sie sich, wie sie sich von deren Ausfallsicherheit überzeugen können.

2. Konzentrationsrisiko mindern

Ist die Bestandsaufnahme und Validierung von Dritten abgeschlossen, tritt ein weiterer Risikofaktor für die Ausfallsicherheit zu Tage: das Klumpenrisiko. Dieses liegt vor, wenn viele Services an einem Standort oder mit einem einzigen Anbieter erbracht werden. In der heutigen Cloud-Welt handelt es sich oft um eine Konzentration auf einen Cloud-Dienstanbieter und einen geografischen Standort. So werden beispielsweise viele Unternehmen an der Ostküste der USA, die AWS nutzen, eine große Konzentration ihrer Deployments im Osten der USA feststellen. Diese Art von Klumpenrisiko ist neu und wird im Laufe der Zeit immer deutlicher, da der Übergang zur Cloud immer intensiver wird.

Um dieses Risiko zu mindern, beziehungsweise zu verteilen, stehen Unternehmen verschiedene Lösungen zur Verfügung. Zunächst sollten Sie sicherstellen, dass die Failover-Region für den vom Anbieter ausgewählten Cloud-Service-Anbieter getestet wurde. Vergewissern Sie sich physisch, dass das Produkt in der Lage ist, ein Failover in die vorgesehene Region durchzuführen und achten Sie dabei darauf, wie lange es dauert, diese Aufgabe zu erledigen. Allzu oft werben Unternehmen mit einem "sofortigen" Failover - in der Praxis kann das allerdings zu Problemen führen und Daten- oder Funktionsverluste mit sich bringen. Ein weiterer Ansatz, wenn Sie neue Drittanbieter hinzuziehen (oder bestehende erneuern): Suchen Sie nach einer Möglichkeit, das System in einer anderen Region als derjenigen einzusetzen, in der sich Ihr Risiko derzeit konzentriert.

Vorfälle, bei denen Ihr Unternehmen direkt angegriffen wird, sind in der Regel gut dokumentiert und es gibt Teams, die für die Identifizierung, Eindämmung und Schadensbegrenzung zuständig sind. Ein Vorfall bei Ihren Drittanbietern hat jedoch oft Auswirkungen auf Ihre Fähigkeit, auf Kundendaten zuzugreifen oder die Verbindung zu einem systemkritischen Anbieter herzustellen. Achten Sie deshalb bei der Aushandlung von Verträgen darauf, Bedingungen für die Benachrichtigung über einen Vorfall festzulegen (nicht länger als 24 Stunden) und achten Sie dabei vor allem auf transparente Kommunikation.

3. Ausfälle einkalkulieren

Schließlich sollten Sie überprüfen, was passieren würde, wenn einer oder mehrere Ihrer systemkritischen Partner über einen längeren Zeitraum nicht verfügbar sind. Resilienzplanung für den Fall der Nichtverfügbarkeit wird oft als "zu schwierig" oder "zu weit hergeholt" übersehen. Nicht nur der Angriff auf die Colonial Pipeline beweist, dass dieses Szenario real ist.

Diese Übung beginnt mit Fragen: Falls der Anbieter eine Verbindung zu Ihrem Netzwerk hat, sollten Sie sich die Frage stellen, wie sich eine Unterbrechung auswirken würde und was Sie tun können, um das Risiko zu mindern, dass der Vorfall auf Ihr Netzwerk übergreift. Welche manuellen Möglichkeiten haben Sie, Daten zu verarbeiten? Können Sie auf einen alternativen Anbieter ausweichen - eventuell mit reduzierter Kapazität? (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Chris Hughes schreibt für unsere US-Schwesterpublikation CSO Online.
Greg Rasner ist Cybersecurity-Experte mit langjähriger Erfahrung und schreibt für unsere US-Schwesterpublikation CSO Online.