Internationale Cyber-Agenturen geben nach dem jüngsten Anstieg von Cyber-Angriffen Leitlinien für die Lieferkette heraus

Letzten Monat haben Cybersicherheitsgremien aus den USA, Großbritannien, Australien, Kanada und Neuseeland im Rahmen einer gemeinsamen Beratung eine Stellungnahme veröffentlicht Offizielle Leitlinien zur Cybersicherheit in der Lieferkette um Organisationen dabei zu helfen, ihre Informationen und Daten sicher zu halten.   

Die neuen Leitlinien konzentrieren sich auf die Unterstützung mittlerer bis großer Unternehmen und derjenigen innerhalb von Organisationen, die für das Risiko-, Informations- und Cybersicherheitsmanagement verantwortlich sind, und werden dazu beitragen, organisatorische Ansätze zur Bewertung von Cybersicherheitsrisiken in der Lieferkette zu etablieren oder zu verbessern. 

Warum konzentrieren sich Cyber-Agenturen auf die Sicherheit der Lieferkette?

Kompromisse in der Lieferkette sorgen in beispiellosem Ausmaß für Schlagzeilen. Der SolarWinds-Angriff im Jahr 2020 schien die Schleusen geöffnet zu haben, und die Verstöße werden nicht aufhören.  

Allein im letzten Monat wurden bei der MediBank in Australien über 4 Millionen Patientenakten kompromittiert und online durchgesickert. Supeo, ein Zulieferer von DSB, dem größten Zugnetz Dänemarks, erlitt einen Sicherheitsverstoß, der die Züge mehr als zwei Stunden lang physisch daran hinderte, weiterzufahren. Und Chase UK erlitt einen Angriff, der seinen Kunden fast zwei Tage lang den Zugriff auf ihre Banking-App verwehrte.  

Da Unternehmen bei der Bereitstellung von Produkten, Systemen und Dienstleistungen auf eine wachsende Zahl von Lieferanten angewiesen sind, steigt das Risiko, dass über diese Lieferanten Schwachstellen eingeführt oder ausgenutzt werden. Diese zunehmende Komplexität macht es für Unternehmen schwierig zu wissen, wie sicher ihre Lieferkette ist und ob sie über ausreichende Schutzmaßnahmen verfügen.  

Letztlich können diese Cyberangriffe verheerende Auswirkungen auf Unternehmen haben und kostspielige und langfristige Folgen für die betroffenen Organisationen, ihre kritischen Lieferanten und ihre Kunden haben.  

Warum ist die Sicherheit der Lieferkette für Unternehmen so schwierig?   

Trotz der gut dokumentierten Risiken verlieren viele Unternehmen immer noch den Überblick über ihre Lieferketten. Tatsächlich, laut der Umfrage zu Sicherheitsverstößen 2022„Etwas mehr als jedes zehnte Unternehmen überprüft die von seinen unmittelbaren Lieferanten ausgehenden Risiken (13 %), und der Anteil für die breitere Lieferkette ist halb so hoch (7 %).“ 

Die mit einem Angriff auf die Lieferkette verbundenen Cyberrisiken waren noch nie so hoch. Angreifer entwickeln Angriffsmethoden und -tools in immer alarmierendem Tempo weiter. Doch trotz des wachsenden öffentlichen Bewusstseins für die Bedrohungen und der zunehmenden Regulierungsaufsicht können Unternehmen nicht mithalten.  

Nach Angaben des National Cyber ​​Security Center (NCSC) sind sich viele Unternehmen zwar darüber im Klaren, dass ihre Lieferkette Anlass zur Sorge geben sollte, es gibt jedoch weiterhin Folgendes:  

• Mangel an Investitionen zum Schutz vor diesem Cyberrisiko 
• eingeschränkte Transparenz der Lieferketten 

• unzureichende Tools und Fachkenntnisse zur Bewertung der Cybersicherheit der Lieferanten 
• Unklarheit darüber, was Sie von Ihren Lieferanten verlangen sollten

Durch diese Probleme sind Lieferketten ungeschützt und dem Risiko ausgesetzt, von Cyberkriminellen ausgenutzt zu werden.   

Praktische Schritte für Unternehmen zur Sicherung ihrer Lieferkette 

Die von den Cyber-Regierungsbehörden herausgegebenen Leitlinien unterteilen den besten Ansatz in fünf Schlüsselschritte: 

1. Verstehen Sie, warum sich Ihr Unternehmen um die Sicherheit der Lieferkette kümmern sollte 

 Organisationen müssen verstehen, was in ihrem Ökosystem geschützt werden muss und warum es gesichert werden muss, um eine sinnvolle Kontrolle über die Lieferkette zu erlangen.  

Letztendlich muss eine wirksame Cybersicherheit zu Ihren Systemen, Ihren Prozessen, Ihren Mitarbeitern, Ihrer Kultur und der Höhe des Risikos, das Sie einzugehen bereit sind, passen.   

2. Entwickeln Sie einen Ansatz zur Bewertung der Lieferkettensicherheit 

 Bestimmen Sie die kritischen Aspekte in Ihrem Unternehmen, die Sie am meisten schützen müssen (Ihre „Kronjuwelen“), und berücksichtigen Sie dabei potenzielle Bedrohungen, Schwachstellen, Auswirkungen und die Risikobereitschaft Ihres Unternehmens.  

Erstellen Sie anhand der identifizierten Schlüsselaspekte Ihrer Organisation eine Reihe von abgestufte Lieferantensicherheitsprofile. Jedes Profil sollte einen zunehmenden Wirkungsbereich darstellen und diese dann jedem Ihrer Lieferanten zuordnen.  

3. Wenden Sie den Ansatz auf Gespräche mit neuen Lieferanten an 

Integrieren Sie neue Sicherheitspraktiken im gesamten Vertragslebenszyklus neuer Lieferanten, von der Beschaffung und Lieferantenauswahl bis zum Vertragsabschluss.   

Dieser Prozess sollte auch zu einem besseren Sicherheitsbewusstsein bei Ihren Mitarbeitern führen und eine Kultur der kontinuierlichen Überwachung der Sicherheits- und Informationsmanagement-Compliance schaffen.  

4. Integrieren Sie den Ansatz in bestehende Lieferantenvereinbarungen

Nachdem Sie sich auf einen neuen Ansatz geeinigt haben, überprüfen Sie Ihre bestehenden Verträge entweder bei der Verlängerung oder früher, wenn es um kritische Lieferanten geht. 

5. Kontinuierlich verbessern

Wenn Sie Ihren Ansatz regelmäßig verfeinern, wenn neue Probleme auftauchen, verringert sich die Wahrscheinlichkeit, dass sich Risiken über die Lieferkette auf Ihr Unternehmen auswirken.  

Wie ISO 27001 eine nachhaltige Lieferkettensicherheit ermöglichen kann  

ISO 27001 ist ein international anerkannter Standard für Informationsmanagement, aber es geht wirklich darum Risikomanagement. Und darauf greifen die von NCSC, CISA, FBI, ACSC, CCCS und NZ NCSC veröffentlichten Leitlinien immer wieder zurück, weshalb die Arbeit innerhalb des ISO 27001-Rahmenwerks Verhaltens- und Sicherheitsvorteile für jedes Unternehmen, das seine Cyber-Resilienz verbessern möchte, fördert und sich von der Konkurrenz abheben.  

ISO 27001 rät Unternehmen, eine zu haben unkomplizierter Prozess für die Einbindung und Verwaltung von Lieferanten. Konzentrieren Sie sich insbesondere auf Folgendes:  

• Verwahrung Infosec-Richtlinien, Verfahren und Kontrollen auf dem neuesten Stand 
• Betroffene kritisch aufrechterhalten Geschäftsinformationen, Systeme und Prozesse 
• Stellen Sie sicher, dass Sie alle identifizierten Risiken neu bewerten und überprüfen, ob die Lieferanten die laufenden Sicherheitsanforderungen erfüllen  

Das mag wie ein wesentlicher, vernünftiger Ratschlag erscheinen, aber er kann Unternehmen Zeit, Geld, Reputationsschäden und Frustration ersparen, wenn er richtig umgesetzt wird. Darüber hinaus kann die Einhaltung des ISO 27001-Frameworks einen erheblichen Geschäftsvorteil bieten, indem Sie aktuellen und zukünftigen Kunden Ihre zertifizierten Sicherheitsnachweise demonstrieren. 

Stärken Sie noch heute die Sicherheit Ihrer Lieferkette  

Wenn Sie Ihre Reise zu einer besseren Lieferkettensicherheit beginnen möchten, können wir Ihnen helfen.   

Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für das Informationsmanagement mit ISO 27001, NIST und anderen Frameworks. Es bietet Supply-Chain-Sicherheitsmodule, die schnell übernommen, angepasst und im Laufe der Zeit ergänzt werden können, um eine erfolgreiche Cybersicherheit und eine bessere Einführung sicherer Verhaltensweisen in Ihrem Unternehmen zu erreichen. Erschließen Sie sich noch heute Ihren Wettbewerbsvorteil.  

Demo buchen