Wenn ein Cyberangriff die Regale leerfegt: Was tun bei Angriffen auf die Lieferkette?

Verbraucher betrachten Cyberangriffe oft als etwas, das anderen Menschen passiert, bis sie selbst davon betroffen sind. Der Diebstahl von E-Mail-Adressen und anderen persönlichen Daten ist mittlerweile alltäglich geworden. Doch wenn ein Krimineller am anderen Ende der Welt einen Knopf drückt und Lebensmittel aus den Regalen verschwinden, wird die Sache plötzlich ernst.

Genau das geschah im Juni, als ein Angriff auf den Lebensmittelgroßhändler United Natural Foods (UNFI) dessen Online-Geschäft zum Erliegen brachte. Der Angriff beeinträchtigte die Fähigkeit des Unternehmens, seine 30,000 Filialen zu beliefern, und führte dazu, dass Lebensmittelgeschäfte Warnung der Kunden vor Lebensmittelknappheit und verursachte erhebliche Störungen bei Whole Foods, einem Unternehmen der Amazon-Gruppe, darunter die Schließung von Sandwich-Stationen.

Angriffe wie diese verdeutlichen den Schaden, den ein Cyber-Vorfall auch über ein einzelnes Unternehmen hinaus anrichten kann. Diese Störungen können auch andere Unternehmen betreffen, die in ihren Lieferketten darauf angewiesen sind. Das wirft die Frage auf: Was können Unternehmen tun, um sich zu schützen?

Cyberrisiken in der Lieferkette erreichen krisenhafte Ausmaße

Dies ist nicht der erste Angriff, der Lieferketten unterbrochen hat. Die Versicherungsgesellschaft Cowbell veröffentlichte eine berichten Ende letzten Jahres zeigte sich ein Anstieg der Angriffe auf die Lieferkette um 431 % seit 2021.

Dem Bericht zufolge treten derartige Angriffe immer häufiger auf, da die Geschäftsabläufe immer stärker vernetzt sind und die Lieferketten immer komplexer werden, da sie dadurch schwieriger abzusichern sind.

Eine der größten Herausforderungen für Unternehmen ist der Single Point of Failure. Ein einzelnes Unternehmen, auf dessen Produkte und Dienstleistungen viele andere angewiesen sind, ist ein wertvolles Ziel. Eine erfolgreiche Kompromittierung verstärkt die Auswirkungen eines einzelnen Angriffs.

Störungen durch Angriffe auf die Lieferkette können rein digitaler Natur sein. Die Kompromittierung der SolarWinds-Software im Jahr 2020 machte Hunderte von Systemen bei Kunden des Unternehmens anfällig für Informationsdiebstahl. Die Ausnutzung einer Schwachstelle in der lokalen Version des File-Sharing-Systems MOVEit im Jahr 2023 ermöglichte es Angreifern, Dateien von Hunderten Kunden zu stehlen. Beiden Angriffen lag das gleiche zugrunde: Schadsoftware in einem digitalen Produkt (eine absichtlich eingebracht, eine versehentlich einprogrammiert) beeinträchtigte Tausende von Kunden.

Andere Cyberangriffe, wie der UNFI-Hack, führen zu physischen Schäden. Sie verdeutlichen die Fragilität moderner Just-in-Time-Lieferketten und stellen nicht nur eine Bedrohung für Kundendaten, sondern auch ein gesellschaftliches Risiko dar.

Zu den bemerkenswerten Vorfällen der Vergangenheit, die physische Lieferketten beeinträchtigten, gehört der Angriff auf die Colonial Pipeline im Jahr 2021. Während das Verwaltungsnetzwerk des Unternehmens betroffen war, stellte das Unternehmen aus Vorsicht seinen Benzinlieferbetrieb ein. Dies führte zu Engpässen, von denen Millionen betroffen waren.

Im selben Jahr betraf ein Ransomware-Angriff auf den Remote-Management-Software-Anbieter Kaseya Kunden, die Managed-IT-Services anboten. Davon waren auch Kunden betroffen, darunter die schwedische Lebensmittelkette Coop, die 800 Filialen schließen musste. Diese Angriffe erfolgten zwar digital, doch die Folgen waren drastisch: Anstatt ihre Daten offenzulegen, konnten die Menschen weder Auto fahren noch essen.

Dies erfordert eine Reaktion auf Vorstandsebene

Risiken in der Lieferkette stellen neue Anforderungen an die Unternehmensführung, insbesondere da die Regulierungsbehörden das Thema zunehmend vorantreiben. Beispielsweise EU-Gesetz zur digitalen Betriebsstabilität (DORA) Die neue Richtlinie stellt verschiedene Anforderungen an Finanzdienstleistungsunternehmen. Sie schreibt strenge Sorgfaltspflichten bei der Zusammenarbeit mit Technologie- und Dienstleistungsanbietern sowie Mindestsicherheitsanforderungen in Verträgen vor. Verträge mit Lieferanten müssen zudem Verpflichtungen zur kontinuierlichen Bewertung beinhalten, die regelmäßige Cybersicherheitsbewertungen der Anbieter erfordern.

Die Richtlinie zur Netz- und Informationssicherheit 2 (NIS2)-Richtlinie schreibt außerdem strengere Sicherheitsanforderungen für Lieferketten vor.

Laut Gartner werden Supply-Chain-Experten das Cybersicherheitsrisiko zunehmend als wichtigen Faktor bei der Einbindung von Drittpartnern betrachten. Es erwartet 60 % von ihnen werden dies in diesem Jahr tun.

Diese Bedenken machen das Lieferantenrisikomanagement zu einem entscheidenden Bestandteil jeder Strategie zur Lieferkettenstabilität. Effektive Due Diligence bedeutet, zu prüfen, ob Lieferanten Sicherheitsmaßnahmen implementiert haben. Unternehmen, die keine Due Diligence vorgeschrieben haben, tun gut daran, alle ihre Lieferanten zu überprüfen und idealerweise auf die Akkreditierung nach relevanten Cybersicherheitsrahmen oder -standards zu achten. Diese können branchenspezifisch sein.

Auch danach kann es immer noch zu Angriffen kommen. Die Aufnahme von Lieferanten, die die Anforderungen erfüllen, auf eine Liste bevorzugter Lieferanten minimiert das Risiko einer Unterbrechung Ihrer Lieferkette durch Angriffe. Dieses Risiko lässt sich jedoch nicht vollständig ausschließen. Deshalb ist es wichtig, für mögliche Störungen vorzusorgen.

Nicht nur vorbeugen, sondern anpassen

Je nach Art der Kompromittierung könnte sich ein Strategieplan für den Umgang mit Lieferkettenangriffen rein auf Logistik und Betrieb konzentrieren oder auch die digitale Wiederherstellung umfassen. Fällt ein Lebensmittellieferant aufgrund eines kompromittierten Systems aus, wird sein digitales Problem zum physischen Problem seiner Kunden. Die nachgelagerten Lieferanten müssen sich dann darauf konzentrieren, den Warenfluss zu ihren Regalen aufrechtzuerhalten.

Wenn Ihr Netzwerkverwaltungsanbieter hingegen versehentlich Malware auf einen Ihrer Server herunterlädt, wird dessen digitales Problem zu Ihrem digitalen Problem. Das erfordert eine andere Reaktion.

ISO-Normen decken die Vorbereitung auf diese Szenarien ab. Beispielsweise befasst sich ISO 22301 mit der Geschäftskontinuität angesichts von Risiken in der Lieferkette. ISO 27001 enthält Kontrollen zur Verwaltung von Informationsrisiken, die Sie durch eine Gefährdung der Lieferkette betreffen könnten. ISO 28000 befasst sich mit der Verbesserung der Lieferkettensicherheit.

Um dieses komplexe und vielschichtige Lieferkettenrisiko zu managen, müssen Sie möglichst viele präventive Kontrollen durchführen und sich durch die sorgfältige Auswahl Ihrer Lieferanten schützen. Gleichzeitig bedeutet es aber auch, sich an neu auftretende Probleme anzupassen, anstatt sich auf deren Prävention zu verlassen.