Erfolgreiche Cyberangriffe auf Lieferketten verdeutlichen immer wieder, wie anfällig diese für Cyberbedrohungen sind. Dabei beginnen die Angriffe meist beim schwächsten Glied. Ist ein Unternehmen in der Lieferkette unzureichend geschützt, kann sich dies auf alle weiteren Partner auswirken. Allerdings scheinen Unternehmen in der Schweiz bisher grosses Vertrauen in ihre Partner zu haben. Denn laut Kaspersky-Umfrage sind sich zu wenig Unternehmen sicher, dass sie alle Schnittstellen überwachen. Nur 57,1 Prozent der mittelständischen sowie 74,3 Prozent der grossen Unternehmen sind der Überzeugung, dass sie das tun. Der Rest scheint auf die Vernunft ihrer Partner zu vertrauen, ohne wirklich Gewissheit darüber zu haben.
Des Weiteren zeigt die Studie, dass Cybersicherheit trotz zunehmender Cyberangriffe bei 10,2 der Unternehmen (7,1 Prozent der KMU und 11,4 Prozent grossen Unternehmen) weniger Priorität eingeräumt wurde. Wie wenig Bedeutung Entscheider dem Thema Cybersicherheit in der Lieferkette beimessen, zeigt sich auch daran, dass diese häufig nicht in das Supply-Chain-Risiko-Management integriert ist: Weniger als ein Sechstel der mittelständischen Firmen (14,3 Prozent) und weniger als die Hälfte der Grossunternehmen (40,0 Prozent) tun dies. Unternehmen jeder Grössenordnung sollten allerdings dringend auf die ansteigende Bedrohungslage reagieren, um ihre Lieferanten, Kunden und vor allem sich selbst zu schützen.
Threat Intelligence ja, Backups nein
Zum Schutz vor Cyberbedrohungen setzen derzeit immerhin 42,9 Prozent der KMU und mehr als die Hälfte (57,1 Prozent) der Grossunternehmen auf Threat Intelligence als Sicherheitsmassnahme – und erwarten dies zum Teil auch von ihren Partnerunternehmen (35,7 Prozent der KMU und 60,0 Prozent der grossen Unternehmen).
Dabei sind zu lasche Cybersicherheitsmassnahmen auch deswegen problematisch, weil längst nicht alle Unternehmen auf Backups setzen, die den Zugriff auf Daten im Falle eines Angriffs ermöglichen würden. Denn in der Schweiz sind lediglich ein Viertel (28,6 Prozent) der IT-Entscheider mittelständischer Unternehmen und nicht mal die Hälfte (42,9 Prozent) der grossen Unternehmen davon überzeugt, dass Backups in ihrem Betrieb vorhanden seien.
„Ein erfolgreicher Angriff auf das eigene Unternehmen oder ein Partnerunternehmen kann desaströse Auswirkungen auf die Lieferkette haben; dabei können mehrere Unternehmen zeitgleich betroffen sein“, erklärt René Bodmer, Head of B2B Switzerland & Austria bei Kaspersky. „Dass viele Firmen, unabhängig von ihrer Grösse, trotz zunehmender Bedrohungen dem Thema Cybersicherheit weniger Priorität einräumen, ist eine besorgniserregende Entwicklung. Entscheider in Unternehmen müssen Cybersicherheit zu einer Geschäftspriorität machen“.
Kaspersky-Empfehlungen
- Eine ausführliche Liste aller Lieferanten und Partner erstellen, die Aufschluss darüber gibt, wer Zugriff auf unternehmensinterne Daten und die IT-Infrastruktur hat.
- Regelmässige Backups der Daten erstellen, um im Falle eines Angriffs Zugriff darauf zu haben.
- Sämtliche Server, Arbeitsstationen, Smartphones, Tablets und andere Geräte, die in verschiedenen Bereichen der Lieferkette genutzt werden, mit einer robusten Sicherheitslösung schützen.
- Sicherheitsmassnahmen von Partnern durch ein umfangreiches Audit bewerten, um Hinweise darauf zu erhalten, welche Bereiche und Schnittstellen weitere Schutzmassnahmen benötigen.
- SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels Threat Intelligence ermöglichen, damit diese über Tools, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleiben.
- Bei festgestellten Sicherheitsschwachstellen in der Lieferkette entsprechende Massnahmen zum Schutz der Bereiche treffen.
- Im Falle eines erfolgreichen Supply-Chain-Angriffes den entstandenen Schaden ermitteln und mit zielgerichteten Diensten eine Ausbreitung des Angriffs verhindern.
- Bei der Zusammenarbeit mit Partnern darauf achten, dass diese zertifizierte Sicherheitsmassnahmen implementiert haben. Zu den wichtigsten gehören unter anderem die Konformität mit ISO 27001, oder ein bestandenes SOC2-Audit, das bestätigt, dass die Sicherheitskontrollen eines Unternehmens mit den Trust Services Criteria (TSC) des AICPA (American Institute of Certified Public Accountants) übereinstimmen.