Der globale IT-Ausfall in diesem Sommer, der Millionen von Computern lahmlegte und Fluggesellschaften weltweit am Boden hielt, hat gezeigt, wie schwierig es ist, eine moderne digitale Lieferkette zu verwalten. Kann ein effektives Kundenrisikomanagement helfen, die Lücken zu schließen?
Am 19. Juli tauchten erstmals Berichte über einen massiven Ausfall von Windows-Systemen auf, der sich über mehrere Branchen erstreckte. Endgeräte waren ausgefallen und konnten nicht ordnungsgemäß neu gestartet werden, was zum größten IT-Ausfall der Geschichte führte. Das Problem war auf einen Logikfehler in einem Update der Sicherheitssoftware von CrowdStrike zurückzuführen, der 8.5 Millionen Systeme lahmlegte. Nach Microsoft. Die Wiederherstellung war ein komplexer, manueller Prozess. Neben den annullierten Flügen litten auch Bankkunden und Patienten, da der Ausfall finanzielle Transaktionen beeinträchtigte und sogar verzögerte chirurgische Eingriffe.
„Der jüngste Vorfall unterstreicht, wie die zunehmende Abhängigkeit von vernetzten IT-Systemen die Risikofläche vergrößert hat“, sagte Mark E. Green, Vorsitzender des Ausschusses für Innere Sicherheit des Repräsentantenhauses, der am 24. September die Zeugenaussage von CrowdStrike hören wird. Es ist schwieriger denn je, das Lieferkettenrisiko zu managen, nicht nur angesichts der Größe dieser Ketten, sondern auch angesichts der Komplexität der von ihnen bereitgestellten Softwareprodukte und -prozesse.
„Hab‘s ja gesagt“, sagt das GAO
Das US Government Accountability Office sagt zwar nicht gerne, dass es Ihnen das gesagt hat, möchte Sie aber auch daran erinnern, dass es das getan hat. Blog-Post Nach dem Vorfall wies es auf starke Ähnlichkeiten zwischen diesem unbeabsichtigten Fehler und dem Cyberangriff hin, der SolarWinds und seine Kunden im Jahr 2020 kompromittiert hat.
Seit Mai 2010 hat das GAO machte 1610 Empfehlungen Die Herausforderungen umfassen vier Bereiche der Cybersicherheit. Einer davon – die Entwicklung einer umfassenden Cybersicherheitsstrategie und die Durchführung einer wirksamen Überwachung – ist der Hauptschwerpunkt im Hinblick auf Lieferkettenrisiken. In einem im Juni veröffentlichten Bericht über die Bemühungen der Regierung, Cyberrisiken zu mindern, erklärte das GAO, dass die Behörden 43 % der Empfehlungen in diesem Bereich nicht umgesetzt hätten.
Verwaltung einer konsolidierten Lieferkette
„Die Bundesregierung muss Maßnahmen ergreifen, um eine wirksame Aufsicht zu gewährleisten, einschließlich der Überwachung der globalen Lieferkette“, fügte das GAO in seinem Bericht hinzu. Aber wie kann man eine wirksame Aufsicht über ein mächtiges Unternehmen implementieren, das den Löwenanteil des Marktes kontrolliert?
Dan Geer, der zum X Windows-System und Kerberos beigetragen hat und heute Senior Fellow bei In-Q-Tel ist, untersuchte in seinem berühmten Bericht von 2003, wie sich Technologiemonokulturen auf die Sicherheit auswirken. Cyber-Insicherheit: Die Kosten des Monopols. Es traf in der Corporate-Tech-Branche einen so großen Nerv, dass er am Tag nach der Veröffentlichung entlassen wurde.
21 Jahre später und eine Woche nach dem CrowdStrike-Ausfall, er erinnerte uns von dem Problem:
„Wir wissen, dass Redundanz im Schutzbereich nicht einfach so entsteht, und wir wissen, dass eine Million Geräte, die alle gleich sind, überhaupt keinen Schutz bieten, sondern eher das Gegenteil“, sagte er. „Wir wissen, dass die Quelle des Risikos die Abhängigkeit ist, und wir wissen, dass das Gesamtrisiko proportional zur Gesamtabhängigkeit ist.“
Wie Geer betont, ist die Marktkonsolidierung, die zu Millionen gleichartiger Geräte führt, ein wirtschaftlicher Trend. Windows hält über 70 % des Desktop-Betriebssystemmarktes, und zwei Unternehmen – Microsoft und CrowdStrike – besitzen zusammen 44 % des Endpoint-Protection-Marktes.
Dieser Trend hat sich seit 2003 nicht umgekehrt. Und er wird sich auch in Zukunft nicht umkehren. Es gibt viele Gründe, warum Unternehmen die gleiche Software wie ihre Konkurrenten wählen. Diese reichen von der Verfügbarkeit (die Anzahl der verfügbaren Lösungen konsolidiert sich mit der Zeit) über die Risikoaversion (niemand wurde jemals gefeuert, weil er IBM gekauft hat) bis hin zur Verwaltbarkeit (es ist einfacher, eine Flotte von tausend Windows-Rechnern zu verwalten und zu unterstützen als eine ganze Palette unterschiedlicher Endgeräte-Betriebssysteme).
Zweifellos tun große Unternehmen ihr Bestes, um Best Practices in Sachen Cybersicherheit zu befolgen, aber es passieren Fehler. Das Cyber Safety Review Board der US-Regierung gefunden dass die Sicherheitskultur von Microsoft „unzureichend war und einer Überholung bedarf“, nachdem Cyberkriminelle die Systeme gehackt und einen kryptografischen Schlüssel kompromittiert hatten, der ihnen Zugang zu den Konten der leitenden Angestellten verschaffte. CrowdStrike, während angemessen bescheiden so lange wie es ist kostet nicht zu viel, hat ein fehlerhaftes Update veröffentlicht, das es nicht erkannt hat.
Microsoft und CrowdStrike hielten am 10. September ein Treffen hinter verschlossenen Türen ab, um zu besprechen, wie sie verhindern können, dass sich so etwas wiederholt. Sie diskutierten Maßnahmen wie die geringere Nutzung des Kernelmodus, in dem fehlerhafte Software den im Juli beobachteten extremen Schaden anrichten kann. Wie CrowdStrike , erklärt, das erfordert einige Arbeit seitens Microsoft.
CrowdStrike teilte außerdem mit, dass das Unternehmen nun weitere Maßnahmen ergreifen werde, etwa die Verwendung von Canary Releases – eine grundlegende Best Practice für die skalierte Bereitstellung –, um den Schaden auf eine kleinere Anzahl von Maschinen zu begrenzen.
Während es lobenswert ist, dass so große Unternehmen diese Lektion jetzt lernen, ist es besorgniserregend, dass sie dies auf Kosten ihrer Kunden tun.
Was Kunden dagegen tun können
Es ist wichtig, Lieferantenmanagementkontrollen zu befolgen, wie sie in ISO 27001 Anhang A 5.22, aber wie ISMS.online sagt, ist es wichtig, pragmatisch zu sein, was den Einfluss angeht, den man auf einen großen Lieferanten haben kann.
Dennoch bietet ISO 27001 viel zur Vorbereitung auf Vorfälle. Es beginnt mit der Risikoplanung durch eine gründliche Bewertung, wie in ISO 27001 beschrieben. Abschnitt 6. Es bietet auch wertvolle Hinweise in Steuer 5.30, das Organisationen auf die Geschäftskontinuität im Problemfall vorbereitet.
Diese Vorgehensweisen schützen ein Unternehmen zwar nicht vor schwerwiegenden Zwischenfällen im vorgelagerten Teil der Lieferkette, sie können jedoch dazu beitragen, die Auswirkungen solcher Ereignisse im nachgelagerten Teil zu minimieren und so die Dienstleistungen für Kunden und Geschäftspartner aufrechtzuerhalten.
