Kartierung der Risiken: NCSC-Leitfaden zur Lieferkettensicherheit

Von John Leyden • 11 Juli 2023

Cyber-Angriffe, die die Lieferkette eines Unternehmens – und nicht das Unternehmen selbst – betreffen, kommen immer häufiger vor.

Wenn Ihr Lieferant verletzt wird, sind die Vermögenswerte einer Organisation gefährdet. Vor diesem Hintergrund haben Angreifer die Taktik übernommen, Angriffe entlang der Software-Lieferkette durchzuführen. Als zuvor berichtet, eine Angriffsform, die erstmals mit dem NotPetya-Ransomware-Angriff im Jahr 2017 und dem SolarWinds-Angriff im Jahr 2020 bekannt wurde, entwickelt sich zu einer Plage für die Unternehmenssicherheit.

Die Ausnutzung einer Schwachstelle in der Dateiübertragungssoftware MOVEit Daten zu stehlen und zu versuchen, Zahlungen von Nutzern der Technologie zu erpressen, zeigt, wie Lieferkettenangriffe sowohl von Cyberkriminellen als auch von Nationalstaaten als Angriffsvektor genutzt werden.

Kommerzielle Softwarepakete, Open-Source-Komponenten und Elemente der Cloud-Technologie sind durch Angriffe auf die Lieferkette gefährdet.

Die Ziele von Supply-Chain-Angriffen können von Sabotage über die Verbreitung von Malware bis hin zu Ransomware und sogar Cyberspionage reichen. Eine Kette ist nur so stark wie ihre schwächste Komponente, und Probleme können sowohl von Technologieanbietern für die Zulieferer einer Organisation als auch von Anbietern, mit denen jemand eine direkte Geschäftsbeziehung hat, auftreten, was das Bild noch komplizierter macht.

Abhängigkeiten der Lieferkette

Im Jahresrückblick 2022 des britischen National Cyber Security Centre (NCSC) wurde die Sicherheit der Lieferkette als eine zentrale „Herausforderung zukünftiger Bedrohungen“ hervorgehoben. Das NCSC folgte dieser Warnung Anfang des Jahres mit Leitlinien, wie Unternehmen ihre Lieferkettenrisiken abbilden können.

Der Leitfaden richtet sich an mittlere bis große Organisationen und bietet praktische Schritte zur besseren Bewertung der Cybersicherheit in Lieferketten. Dies ist eine anspruchsvolle Aufgabe, wie das NCSC anerkennt.

„Lieferketten sind oft groß und komplex, und eine effektive Sicherung der Lieferkette kann schwierig sein, da an jedem Punkt in der Lieferkette Schwachstellen inhärent sein, eingeführt oder ausgenutzt werden können“, erklärt die Informationssicherheitsbehörde der britischen Regierung.

Die gewaltige Aufgabe, die Abhängigkeiten der Lieferkette abzubilden, lässt sich bewältigen, indem man sie in überschaubare Teile zerlegt, darunter:

Welches Produkt oder welche Dienstleistung von wem bereitgestellt wird und welche Bedeutung dieser Vermögenswert für eine Organisation hat
Eine Bestandsaufnahme der Lieferanten und ihrer Subunternehmer, die zeigt, wie sie miteinander verbunden sind

Assurance-Experten haben die Mapping-Ratschläge des NCSC begrüßt.

Piers Wilson, Direktor des Chartered Institute of Information Security (CIISec), sagte gegenüber ISMS.online: „Die NCSC-Leitlinien unterstreichen die Notwendigkeit, Lieferanten und ihre individuellen Risiken auf allen Ebenen der Kette zu identifizieren und zu verstehen.“ Mit einigen Lieferanten geben Sie möglicherweise Daten weiter, während andere Ihre Daten nicht berühren, während sie kritischen Support leisten. Unabhängig davon erhöht all dies die potenzielle Angriffsfläche.“

Wilson fuhr fort: „Dann gibt es systemische Risiken durch Cloud- oder Managed-Service-Anbieter, die möglicherweise nicht nur Ihrem Unternehmen, sondern auch anderen Organisationen, auf die Sie sich verlassen, zugrunde liegen.“

Ein Teil des Prozesses umfasst die Zuordnung von Abhängigkeiten, ein Prozess, der einer Bestandsaufnahme von Vermögenswerten ähnelt. Wilson erklärte: „Die zur Abbildung der Lieferkette verwendeten Bewertungs- und Prüfprozesse müssen zweckmäßig und wiederholbar sein und den Geschäftsanforderungen gerecht werden. Sie müssen außerdem die notwendigen Informationen über Risiken, den Status der Cyber-Hygiene und die weitere Angriffsfläche bereitstellen. Die Leitlinien des NCSC sind ein Schritt in diese Richtung.“

Risiken in der Lieferkette erwiesen sich als eine entscheidende Herausforderung Der aktuelle Bericht „State of Information Security“ von ISMS.online. In einer Umfrage unter 500 erfahrenen Informationssicherheitsexperten gaben 30 % der Befragten an, dass die Verwaltung von Anbieter- und Drittanbieterrisiken eine „größte Herausforderung für die Informationssicherheit“ sei. Über die Hälfte (57 %) der befragten Unternehmen erlebten einen Verstoß aufgrund einer Kompromittierung der Lieferkette.

Überlastung

CIISec warnte davor, dass die Zuordnung der Lieferkette die ohnehin schon stark unter Druck stehenden Sicherheitsteams wahrscheinlich noch stärker belasten würde.

Wilson von CIISec kommentierte: „Die Befolgung der NCSC- und ISO-Richtlinien wird Sicherheitsteams dabei helfen, den effizientesten und effektivsten Weg zu finden, ihre Lieferketten abzubilden und zu schützen. Darüber hinaus muss die Branche jedoch weiterhin in die Ausbildung und die Gewinnung von Nachwuchs investieren, damit die Teams die Fähigkeiten und die Unterstützung erhalten, die sie benötigen, und nicht ausbrennen.“

EsAufstellung eines Rahmenwerks

ISO 27001 ist ein internationaler Standard für Informationssicherheits-Managementsysteme. Das Framework bietet Richtlinien zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten.

Der Best-Practice-Ansatz des Informationssicherheitsstandards unterstützt Unternehmen bei der Verwaltung ihrer Informationssicherheit mit Empfehlungen, die Personen, Prozesse und Technologie abdecken.

Der Mapping-Ratgeber des NCSC zitiert seinen eigenen Cyber-Grundlagen und ISO- und Produktzertifizierungen als Werkzeuge, die dabei helfen, die Lieferkettenzuordnung darzustellen.

Luke Dash, Geschäftsführer von ISMS.online, sagte, dass Unternehmen gemeinsam mit ihren Lieferanten zusammenarbeiten müssen, um Risiken in der Lieferkette abzubilden und sich dabei an ISO 27001 orientieren. „ISO 27001, bekannt für seinen umfassenden Ansatz zum Management von Informationssicherheitsrisiken, ergänzt die NCSC-Beratung zur Lieferkettenkartierung perfekt, indem es einen robusten Rahmen für Organisationen bietet, die ihre digitalen Vermögenswerte schützen möchten“, erklärte Dash. „Beide Unternehmen priorisieren den Schritt der kritischen Risikobewertung und betonen die Notwendigkeit für Unternehmen, Risiken im Zusammenhang mit ihren Informationsbeständen und Lieferketten zu identifizieren und zu bewerten.

Dash fügte hinzu: „Durch eine gemeinsame Risikobewertung können Unternehmen potenzielle Schwachstellen umfassend verstehen und so gezielte Sicherheitsmaßnahmen umsetzen.“

Ein Teil des Risikomanagementprozesses besteht darin, die Sicherheitsreife der Lieferanten zu beurteilen, bevor diese Daten als Grundlage für Beschaffungsentscheidungen verwendet werden. Dash von ISMS.online erklärte: „Der NCSC-Rat zur Lieferkettenkartierung betont die Bedeutung der Bewertung der Sicherheitspraktiken der Lieferanten, einschließlich ihres Verständnisses neuer Bedrohungen und ihrer Fähigkeiten zur Reaktion auf Vorfälle. Die Harmonisierung dieser Kriterien ermöglicht es Unternehmen, fundierte Entscheidungen zu treffen und Lieferanten mit robusten Sicherheitsvorkehrungen auszuwählen, die ihren strengen Standards entsprechen.“

Auch vertragliche Vereinbarungen spielen eine wesentliche Rolle bei der Schaffung eines stimmigen Rahmens. „ISO 27001 unterstreicht, wie wichtig es ist, klare Vereinbarungen zu treffen, die die Verantwortlichkeiten für die Informationssicherheit und die Erwartungen der Lieferanten definieren“, sagte Dash von ISMS.online. „In perfekter Abstimmung ermutigt die NCSC-Beratung zur Lieferkettenkartierung Unternehmen, Sicherheitsanforderungen in vertragliche Vereinbarungen zu integrieren und so die Einhaltung strenger Sicherheitsstandards in der gesamten Lieferkette sicherzustellen.“

Kontinuierliche Überwachung und Überprüfung sind wichtige Komponenten sowohl in der Lieferketten-Mapping-Beratung des NCSC als auch in ISO 27001, sodass die komplementären Rahmenwerke parallel angewendet werden können.„Der Schwerpunkt von ISO 27001 auf kontinuierlicher Verbesserung passt nahtlos zur Empfehlung des NCSC für eine regelmäßige Neubewertung der Lieferkettenrisiken und regelmäßige Überprüfungen der Lieferantensicherheitspraktiken“, schlussfolgerte Dash von ISMS.online.

„Durch die Übernahme dieses gemeinsamen Ansatzes bleiben Unternehmen agil, können aufkommende Bedrohungen proaktiv angehen und die fortlaufende Sicherheit ihrer Lieferketten gewährleisten.“

Vereinfachen Sie noch heute Ihr Supply Chain Management

Erfahren Sie, wie unsere ISMS-Lösung einen einfachen, sicheren und nachhaltigen Ansatz für Supply Chain Management und Informationsmanagement mit ISO 27001 und über 50 weiteren Frameworks ermöglicht.

Erfahren Sie mehr

John Leiden

John Leyden schreibt seit mehr als 20 Jahren über Computernetzwerke und Cybersicherheit. Vor dem Aufkommen des Internets arbeitete er als Kriminalreporter bei einer Lokalzeitung in Manchester. John hat einen Abschluss in Elektrotechnik von der City, University of London.

Lesen Sie mehr von John Leyden

Datenschutz 22 August 2024

Unternehmen werden aufgefordert, die sich schnell entwickelnden KI-Vorschriften zu verfolgen

Unternehmen müssen sich an die sich rasch entwickelnden KI-Vorschriften halten

Künstliche Intelligenz (KI) verändert den Informationstechnologiesektor in schwindelerregendem Tempo. KI hat Anwendungen, einschließlich Daten, verändert ...

John Leiden

Internet-Sicherheit 20 Juni 2024

Warum Anbieter Schwierigkeiten haben könnten, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Warum es Anbietern schwerfallen könnte, die Dynamik von „Secure by Design“ aufrechtzuerhalten

Zahlreiche Technologieanbieter haben sich der von der US-Regierung unterstützten „Secure by Design“-Verpflichtung angeschlossen. Doch stellt diese Verpflichtung einen Bruch mit der Vergangenheit dar?

John Leiden

Internet-Sicherheit 28. Mai 2024

Dekodierung der neuen NCSC-Richtlinien für Cloud-gehostete Scada-Banner

Entschlüsselung der neuen Leitlinien des NCSC für Cloud-gehostetes SCADA

Operational Technology (OT)-Systeme überwachen und steuern automatisch Prozesse und Geräte, die alles von Kraftwerken bis hin zu intelligenten Krankenhäusern betreiben.

John Leiden