Ende 2022 wurden wir gebeten, die aufzulisten Top-Cyber-Trends, von denen wir erwartet haben, dass sie im Jahr 2023 die Schlagzeilen dominieren werden, und wir haben die Lieferkette markiert. Und, Junge, hatten wir Recht! In den letzten drei Monaten stand die Sicherheit der Lieferkette im Rampenlicht, und das aus völlig falschen Gründen.

Im März der IT-Outsourcing-Riese Capita erlitt einen Ransomware-AngriffDies wirkt sich auf viele Kunden aus dem öffentlichen und privaten Sektor aus, darunter Royal Mail, Axa und USS, einer der größten Pensionsfonds Großbritanniens. Während die Der stellvertretende britische Premierminister Oliver Dowden warnte vor dem Risiko für kritische Lieferketten der nationalen Infrastruktur und gab eine formelle Warnung an Unternehmen vor eingehenden Angriffen durch unvorhersehbare Akteure heraus

In jüngerer Zeit wurden namhafte Marken, darunter BA, Boots und die BBC, von einem Verstoß gegen persönliche und finanzielle Daten betroffen, der Mitarbeiter und Kunden betraf. Der Schuldige? Ein Fehler in einem Dateiübertragungstool namens MOVEit, das ihr Lohn- und Gehaltsabrechnungsanbieter Zellis verwendet.

Die Herausforderungen für die Sicherheit der Lieferkette

Warum scheint es für Unternehmen so schwierig zu sein, die Sicherheit der Lieferkette in den Griff zu bekommen? Eine der entscheidenden Herausforderungen ist die zunehmende Komplexität und gegenseitige Abhängigkeit globaler Lieferketten. Organisationen haben oft nur begrenzte Transparenz und Kontrolle über ihr erweitertes Netzwerk, was es schwierig macht, die Sicherheit von Daten und Systemen außerhalb ihrer unmittelbaren Reichweite zu gewährleisten.

Darüber hinaus ist die Informationssicherheit in der Lieferkette mit Schwachstellen wie unzureichenden Sicherheitspraktiken der Lieferanten, schwachen Authentifizierungsmechanismen, veralteter Software und sogar potenziellen Unterbrechungen der Lieferkette aufgrund von Naturkatastrophen oder geopolitischen Ereignissen konfrontiert.

Die Auswirkungen einer Verletzung der Lieferkette können schwerwiegend und weitreichend sein. Dies kann nicht nur zu finanziellen Verlusten, Reputationsschäden und rechtlichen Konsequenzen führen, sondern auch den Betrieb stören und das Vertrauen von Kunden und Stakeholdern gefährden. Aufgrund der Vernetzung von Lieferketten kann ein Verstoß in einer Organisation kaskadierende Auswirkungen auf mehrere Einheiten innerhalb der Kette haben und so den potenziellen Schaden verstärken.

Was uns der Bericht zum Stand der Informationssicherheit über die Sicherheit der Lieferkette verrät

Trotz gut dokumentierter Risiken und wachsender Schlagzeilen verlieren viele Unternehmen immer noch den Überblick über ihre Lieferketten. Tatsächlich, laut unserer Bericht zum Stand der Informationssicherheit 2023, Nur 30 % der Unternehmen gaben an, Probleme mit der Verwaltung ihrer Lieferkette zu haben, doch über 57 % gaben zu, in den letzten 12 Monaten mindestens einen Cyber-Vorfall infolge einer Beeinträchtigung der Lieferkette erlebt zu haben, wobei viele von mehr als einem Vorfall zugaben.

Woher kommt diese Trennung? Der NCSC hat kürzlich eigene Untersuchungen durchgeführt und stellte fest, dass „etwas mehr als jedes zehnte Unternehmen die von seinen unmittelbaren Lieferanten ausgehenden Risiken überprüft (13 %), und der Anteil für die breitere Lieferkette beträgt die Hälfte dieser Zahl (7 %).“

Obwohl viele Unternehmen verstehen, dass ihre Lieferkette Anlass zur Sorge geben sollte, gibt es dennoch Folgendes:

  • Mangel an Investitionen zum Schutz vor diesem Cyberrisiko
  • eingeschränkte Transparenz der Lieferketten
  • unzureichende Tools und Fachkenntnisse zur Bewertung der Cybersicherheit der Lieferanten

Unklarheit darüber, was Sie von Ihren Lieferanten verlangen sollten

Durch diese Probleme sind Lieferketten ungeschützt und dem Risiko ausgesetzt, von Cyberkriminellen ausgenutzt zu werden.

Regulatorische Herausforderungen und Lieferkettensicherheit

In den letzten 12 Monaten haben fast zwei Drittel (60 %) der britischen Unternehmen eine Geldstrafe wegen Datenschutzverletzungen oder Verstößen gegen Vorschriften erhalten. Die durchschnittliche Gesamtstrafe betrug fast 250,000 £.

Die häufigsten Bußgelder für Datenschutzverstöße lagen zwischen 50,000 und 100,000 £ (21 %), gefolgt von 100,000 bis 250,000 £ (17.5 %). Fast 21 % der Befragten erhielten Geldstrafen über 250,000 £, wobei knapp die Hälfte zugab, eine Strafe zwischen 500,000 £ und unglaublichen 1,000,000 £ erhalten zu haben.

Besorgniserregende 42 % dieser Bußgelder waren entweder direkt oder indirekt auf einen Datenschutzverstoß oder einen Vorfall zurückzuführen, der einen Aspekt der Lieferkette oder der Kompromittierung von Drittanbietern beinhaltete. Heben Sie hervor, wie wichtig das Lieferantenmanagement für die Informationssicherheit und die Einhaltung gesetzlicher Vorschriften eines Unternehmens ist.

Wichtige Trends, die sich auf die Sicherheit der Lieferkette auswirken

Eine der wichtigsten Erkenntnisse aus dem State of Information Security Report ist die zunehmende Komplexität von Cyberangriffen auf Lieferketten. Cyberkriminelle nutzen Advanced Persistent Threats (APTs), heimliche und sehr gezielte Angriffe, die darauf abzielen, die Integrität der Lieferkette zu gefährden. Diese Angriffe können über längere Zeiträume unentdeckt bleiben und es den Bedrohungsakteuren ermöglichen, sich unbefugten Zugriff auf sensible Daten zu verschaffen oder sogar kritische Systeme zu manipulieren oder die Kontrolle über sie zu übernehmen.

Sobald Angreifer im System sind, fordern sie häufig ein Lösegeld für den Zugriff auf diese kritischen Systeme oder drohen damit, sensible Daten ohne Bezahlung freizugeben. Fast 25 % der in unserer Umfrage befragten Organisationen waren in den letzten 12 Monaten Opfer von Lösegeldforderungen geworden, weitere 25 % gaben an, im gleichen Zeitraum auch Netzwerkeinbrüche erlebt zu haben.

Darüber hinaus beleuchtet der Bericht die zunehmende Verbreitung von Angriffen zur Kompromittierung der Lieferkette: 19 % der Befragten gaben an, in den letzten 12 Monaten auf diese Weise betroffen gewesen zu sein. In diesen Szenarien nutzen Angreifer Schwachstellen in einer oder mehreren Komponenten der Lieferkette aus, um das gesamte Ökosystem zu infiltrieren.

Wenn Angreifer beispielsweise das Netzwerk oder die Systeme eines Lieferanten kompromittieren, können sie sich unbefugten Zugriff auf nachgelagerte Partner verschaffen, was zu Sicherheitsverletzungen führt. Dies unterstreicht die Vernetzung und gegenseitige Abhängigkeit der Lieferkettensicherheit und macht es für Unternehmen von entscheidender Bedeutung, Risiken nicht nur innerhalb ihrer Systeme, sondern im gesamten Lieferkettennetzwerk zu bewerten und zu mindern.

Ein weiterer besorgniserregender Trend, der im Bericht festgestellt wird, ist die Zunahme von Phishing-Angriffen auf die Lieferkette. Cyberkriminelle nutzen Social-Engineering-Techniken, um Einzelpersonen innerhalb der Lieferkette zu täuschen, sie dazu zu bringen, vertrauliche Informationen preiszugeben oder versehentlich schädliche Software herunterzuladen.

Diese Phishing-Angriffe können überzeugend sein und geben sich häufig als vertrauenswürdige Lieferanten, Lieferanten oder interne Interessenvertreter aus. Daher ist es vielleicht nicht verwunderlich, dass 28 % der Umfrageteilnehmer angaben, in den letzten 12 Monaten Opfer eines Phishing-Angriffs gegen ihre Mitarbeiter geworden zu sein. Unternehmen müssen ihre Mitarbeiter über diese Bedrohungen aufklären und robuste E-Mail-Sicherheitsmaßnahmen implementieren, um diese immer raffinierteren Phishing-Versuche zu bekämpfen.

Häufige Schwachstellen und Angriffsvektoren in der Lieferkette

Der State of Information Security Report von ISMS.online deckt außerdem mehrere häufige Schwachstellen und Angriffsvektoren auf, die Bedrohungsakteure ausnutzen, um die Sicherheit von Lieferanten zu gefährden.

Eine häufige Schwachstelle sind schwache Lieferantenkontrollen. Viele Lieferanten verfügen möglicherweise nicht über robuste Sicherheitsmaßnahmen, was sie zu einem leichten Ziel für Cyberangriffe macht. Zu diesen Schwachstellen können veraltete Software, unzureichendes Patch-Management oder laxe Zugriffskontrollen gehören. Angreifer nutzen diese Schwachstellen aus, um sich unbefugten Zugriff auf sensible Informationen zu verschaffen oder bösartigen Code in das Ökosystem der Lieferkette einzuschleusen.

Eine weitere Schwachstelle ergibt sich aus der mangelnden Sorgfaltspflicht beim Lieferanten-Onboarding. Unternehmen übersehen oft, wie wichtig es ist, die Sicherheitspraktiken ihrer Lieferanten gründlich zu überprüfen, bevor sie Geschäftsbeziehungen eingehen. Durch dieses Versehen entsteht eine potenzielle Lücke in der Verteidigung der Lieferkette, die es Angreifern ermöglicht, das schwächste Glied auszunutzen. Beispielsweise kann ein Lieferant mit unzureichenden Sicherheitsmaßnahmen unbeabsichtigt die gesamte Lieferkette erheblichen Risiken aussetzen.

Unzureichendes Sicherheitsbewusstsein und mangelnde Schulung in der gesamten Lieferkette sind eine weitere Schwachstelle, die Angreifer ausnutzen. Mitarbeiter auf verschiedenen Ebenen innerhalb der Lieferkette verfügen möglicherweise nicht über ausreichende Kenntnisse über Best Practices im Bereich Cybersicherheit oder die potenziellen Bedrohungen, denen sie ausgesetzt sind. Diese Wissenslücke macht sie anfällig für Social-Engineering-Angriffe, Phishing-Versuche oder die unbeabsichtigte Einführung von Malware in das System.

Tatsächlich hat weniger als die Hälfte der befragten Organisationen in den letzten 12 Monaten regelmäßig Schulungen zum Thema Informationssicherheit oder Datenbewusstsein durchgeführt (47 %), was darauf hindeutet, dass 53 % der Organisationen überhaupt noch keine regelmäßigen Schulungen zur Sensibilisierung ihrer Mitarbeiter durchgeführt haben. Unternehmen müssen der Schulung des Sicherheitsbewusstseins Priorität einräumen und eine Kultur der Wachsamkeit in der gesamten Lieferkette etablieren.

Der Bericht betont auch die Risiken, die mit Software- und Hardwarekomponenten von Drittanbietern verbunden sind. Die Integration dieser Komponenten in die Lieferkette führt zu einer gewissen Abhängigkeit von externen Einheiten, was die Angriffsfläche und potenzielle Schwachstellen erhöht. Böswillige Akteure können diese Komponenten kompromittieren, was zu Unterbrechungen der Lieferkette, Datenschutzverletzungen oder der Einführung kompromittierter Software oder Hardware führen kann.

Darüber hinaus stellen Insider-Bedrohungen innerhalb der Lieferkette ein erhebliches Risiko dar. Insider-Bedrohungen können auftreten, wenn Personen mit autorisiertem Zugriff auf das Ökosystem der Lieferkette ihre Privilegien missbrauchen oder sich wissentlich an böswilligen Aktivitäten beteiligen. Dabei kann es sich um einen verärgerten Mitarbeiter, einen Auftragnehmer mit unbefugtem Zugriff oder einen kompromittierten Insider handeln. Über 20 % der Teilnehmer unserer Umfrage hatten in den letzten 12 Monaten einen Vorfall infolge einer Insider-Bedrohungskompromittierung erlebt. Solche Bedrohungen können schwerwiegende Folgen haben, einschließlich Datenschutzverletzungen, Diebstahl geistigen Eigentums oder Sabotage.

Das Verständnis dieser Schwachstellen ist für Unternehmen von entscheidender Bedeutung, um gezielte Strategien zur Risikominderung zu entwickeln. Unternehmen können die Informationssicherheit ihrer Lieferkette erheblich verbessern, indem sie schwache Lieferantenkontrollen identifizieren und beheben, strenge Due-Diligence-Prozesse implementieren, Sicherheitsbewusstsein und Schulungsprogramme fördern und Software- und Hardwarekomponenten von Drittanbietern genau verwalten.

Navigieren durch die Komplexität der Informationssicherheit in der Lieferkette

Die zunehmende Abhängigkeit von Beziehungen zu Dritten und die sich entwickelnde Bedrohungslandschaft erfordern einen umfassenden Ansatz zur Risikominderung und zum Schutz sensibler Daten. Lassen Sie uns einige Schlüsselbereiche untersuchen, die bei der Bewältigung der Feinheiten der Informationssicherheit in der Lieferkette zu berücksichtigen sind.

Strategien zur Risikobewertung und -minderung:

Eine gründliche Risikobewertung ist die Grundlage für eine effektive Informationssicherheit in der Lieferkette. Dabei geht es um die Identifizierung und Bewertung potenzieller Schwachstellen und Bedrohungen innerhalb des Lieferketten-Ökosystems. Durch die Durchführung regelmäßiger Bewertungen können Organisationen Risiken priorisieren, Ressourcen effektiv zuweisen und gezielte Risikominderungsstrategien umsetzen. Zu diesen Strategien können Datenverschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsüberprüfungen und kontinuierliche Überwachung gehören, um Schwachstellen umgehend zu erkennen und zu beheben.

Aufbau eines robusten Sicherheitsrahmens für die Lieferkette:

Unternehmen müssen einen robusten Sicherheitsrahmen schaffen, um die Informationssicherheit in der Lieferkette effektiv zu verwalten. Dieses Rahmenwerk sollte klare Richtlinien, Verfahren und Leitlinien darlegen, um konsistente Sicherheitspraktiken in der gesamten Lieferkette sicherzustellen. Es sollte Sicherheitsanforderungen für Lieferanten, Auftragnehmer und andere Drittpartner sowie Richtlinien für den sicheren Datenaustausch und die sichere Übertragung enthalten. Regelmäßige Bewertungen und Audits können die Wirksamkeit des Rahmenwerks bestätigen und eine kontinuierliche Verbesserung vorantreiben.

Kooperationen und Partnerschaften:

Unternehmen sollten eine offene Kommunikation und Zusammenarbeit mit Lieferanten, Anbietern und anderen Interessengruppen fördern, um Sicherheitspraktiken aufeinander abzustimmen, Bedrohungsinformationen auszutauschen und die Sicherheitslage zu stärken. Zu den Kooperationsinitiativen können Plattformen zum Informationsaustausch, gemeinsame Sicherheitsüberprüfungen sowie regelmäßige Sicherheitsschulungs- und Sensibilisierungsprogramme gehören.

Risikomanagement von Drittanbietern:

Es ist wichtig, robuste Risikomanagementprozesse für Dritte einzurichten. Dazu gehört die Durchführung einer Due-Diligence-Prüfung bei der Auswahl der Partner, die Bewertung ihrer Sicherheitspraktiken und die Festlegung vertraglicher Vereinbarungen, in denen die Sicherheitserwartungen und -verantwortlichkeiten dargelegt werden. Um eine kontinuierliche Compliance sicherzustellen, sollten regelmäßige Überwachungen und Prüfungen der Sicherheitskontrollen Dritter durchgeführt werden.

Reaktions- und Wiederherstellungspläne für Vorfälle:

Trotz proaktiver Sicherheitsmaßnahmen kann es immer noch zu Zwischenfällen kommen. Es ist von entscheidender Bedeutung, über klar definierte Reaktions- und Wiederherstellungspläne für Vorfälle zu verfügen. Diese Pläne sollten die Schritte darlegen, die im Falle einer Sicherheitsverletzung zu ergreifen sind, einschließlich der Erkennung, Eindämmung, Untersuchung und Wiederherstellung von Vorfällen. Unternehmen sollten regelmäßig Übungen und Simulationen zur Reaktion auf Vorfälle durchführen, um die Wirksamkeit ihrer Pläne zu testen und Verbesserungsmöglichkeiten zu identifizieren.

Ein proaktiver und umfassender Ansatz zur Informationssicherheit in der Lieferkette ist entscheidend für den langfristigen Erfolg und die Geschäftskontinuität in einer sich ständig weiterentwickelnden Bedrohungslandschaft.

Wie ISO 27001 zu einem effektiven Supply Chain Management beitragen kann

ISO 27001 ist ein international anerkannter Standard für Informationsmanagement, aber es geht wirklich darum Risikomanagement. Die Arbeit innerhalb des ISO 27001-Rahmenwerks wird Verhaltens- und Sicherheitsvorteile für jedes Unternehmen fördern, das seine Cyber-Resilienz verbessern und die Sicherheit seiner Lieferkette effektiv verwalten möchte.

ISO 27001 empfiehlt Unternehmen, Folgendes zu tununkomplizierter Prozess für die Einbindung und Verwaltung von Lieferanten. Konzentrieren Sie sich insbesondere auf Folgendes:

  1. Festlegung einer formellen Richtlinie für Lieferanten, die Ihre Anforderungen zur Risikominderung im Zusammenhang mit Dritten darlegt
  2. Vereinbarung und Dokumentation dieser Anforderungen mit jedem Lieferanten
  3. Die Überprüfung, ob Lieferanten über Prozesse verfügen, um ein angemessenes Maß an Grundsicherheit zu gewährleisten (einschließlich ihrer eigenen Lieferketten). Dies könnte durch gezielte Audits, Fragebögen oder Prüfungen zur Akkreditierung nach ISO 27001 erfolgen
  4. Führen einer regelmäßig aktualisierten Liste zugelassener Lieferanten
  5. Überprüfen Sie regelmäßig, ob Lieferanten Ihre Sicherheitsanforderungen erfüllen.
  6. Stellen Sie sicher, dass alle technischen oder Prozessänderungen umgehend gemeldet werden und dass Sie deren Auswirkungen auf das Lieferantenrisiko verstehen.

 

Das mag wie ein wesentlicher, vernünftiger Ratschlag erscheinen, aber er kann Unternehmen Zeit, Geld, Reputationsschäden und Frustration ersparen, wenn er richtig umgesetzt wird. Darüber hinaus kann die Einhaltung des ISO 27001-Frameworks einen erheblichen Geschäftsvorteil bieten, indem Sie aktuellen und zukünftigen Kunden Ihre zertifizierten Sicherheitsnachweise demonstrieren.

Mit zunehmender Größe und Komplexität der Lieferketten nehmen auch die damit verbundenen Cyberrisiken zu. Organisationen müssen entschlossene Maßnahmen ergreifen, um ihre Informationen und Vermögenswerte zu schützen. Durch die Nutzung von Ressourcen wie z Die vom NCSC angebotenen Leitlinien zur Lieferkettenkartierung Durch die Implementierung eines auf ISO 27001 basierenden ISMS können Unternehmen ihre Risikomanagementpraktiken in der Lieferkette stärken und ihre Abläufe vor sich entwickelnden Cyber-Bedrohungen schützen. Jetzt ist es an der Zeit, proaktive Maßnahmen zur direkten Bewältigung dieser Herausforderungen zu priorisieren.

Den vollständigen Bericht zum Stand der Informationssicherheit können Sie hier lesen: https://de.isms.online/state-of-infosec-23/

Lesen Sie den Bericht