New Africa - stock.adobe.com
Datenpannen als Cyberrisiko in der Lieferkette
Lieferanten erhalten häufig Zugriff auf Kundendaten eines Unternehmens und arbeiten mit den Beschäftigten der Firma zusammen. Deshalb muss der Datenschutz hinterfragt werden.
Angriffe aus und auf die Lieferkette werden zu Recht häufig genannt, wenn es um die führenden Cyberrisiken geht. So berichtet zum Beispiel das BSI (Bundesamt für Sicherheit in der Informationstechnik) im aktuellen Lagebericht: „Als ein nur schwer zu kontrollierender Angriffsweg hat sich im Berichtszeitraum erneut die Kompromittierung von Software-Supply-Chains herausgestellt. Dabei greifen die Angreifer zunächst Softwarehersteller an und fügen dort Schadcode in legitime Software-Produkte ein“.
Auch der ENISA-Bericht „Threat Landscape for Supply Chain Attacks“ macht deutlich, dass ein starker Sicherheitsschutz für Unternehmen nicht mehr ausreicht, wenn die Angreifenden ihre Aufmerksamkeit bereits auf die Lieferanten gerichtet haben, also einen indirekten Angriffsweg wählen.
Die Cyberangriffe nutzen dazu Schwachstellen in der Security eines Lieferanten aus, um im zweiten Schritt die infizierten Produkte, manipulierten Services oder auch gekaperten Zugriffsberechtigungen des kompromittierten Lieferanten für eine Attacke auf das Unternehmen zu missbrauchen.
Juhan Lepassaar, Exekutivdirektor der EU-Agentur für Cybersicherheit ENISA, bekräftigt die damit verbundene Risikolage: „Aufgrund der Kaskadenwirkung von Angriffen auf die Lieferkette können Angreifer weitreichende Schäden anrichten, die Unternehmen und ihre Kunden auf einmal betreffen“.
Risiken der Lieferkette nicht zu einseitig sehen
Wie so häufig bei hohen Risiken konzentriert sich die Diskussion aber auf den dominierenden Risikofaktor, weitere Risiken, die mit Lieferketten aus Sicht der IT-Sicherheit und des Datenschutzes verbunden sind, geraten schnell ins Hintertreffen.
So rät ENISA: Supply-Chain-Angriffe sind sehr effektiv und schwerwiegend, da sie es Angreifern ermöglichen, ihre Ziele indirekt zu schädigen und ihnen ermöglichen, mehrere Systeme gleichzeitig zu erreichen. Entsprechend sollten Best Practices befolgt werden, wie die Verwendung von Zwei-Faktor-Authentifizierung, da sie die Grundlagen der Cybersicherheit darstellen und sie einen Angriff oft schon im Ansatz stoppen können.
Was aber nicht vergessen werden sollte: Attacke auf die und aus der Lieferkette müssen nicht damit beginnen, dass Identitäten und Berechtigungen gestohlen und missbraucht werden. Es kann auch sein, dass legitime Inhaber der Identitäten und Berechtigungen diese selbst missbrauchen. Es gibt auch Insider-Attacken in der Supply Chain, aber nicht nur das.
So berichtet der Digitalverband Bitkom zum digitalen Wirtschaftsschutz in Deutschland: In 61 Prozent der von Diebstahl, Spionage und Sabotage betroffenen Unternehmen wurden Schäden durch Mitarbeiterinnen und Mitarbeiter verursacht, teils auch nachdem sie bereits aus dem betroffenen Unternehmen ausgeschieden waren. 42 Prozent der betroffenen Unternehmen berichten von Mitarbeiterinnen und Mitarbeitern, die unabsichtlich gehandelt haben. 28 Prozent der Unternehmen gehen dagegen davon aus, dass Schäden vorsätzlich herbeigeführt wurden.
Hinzu kommt ein weiterer, wichtiger Risikofaktor: Fast zehn Prozent der Vorfälle gehen auf das Konto von Beschäftigten eines Lieferanten.
Datenmissbrauch innerhalb der Lieferkette
Es bleibt also festzuhalten, dass Supply-Chain-Angriffe nicht zwingend von außen kommen, also von externen Kriminellen ausgehen, es können auch die eigenen Beschäftigten ungewollt oder aber wissentlich die Täter sein, ebenso die Lieferanten und Dienstleister.
Ein weiterer Aspekt, der bei den Cyberrisiken in der Lieferkette nicht ausreichend diskutiert wird: Die Lieferanten und Dienstleister haben häufig Zugriff auf Kundendaten eines Unternehmens, zudem arbeiten sie eng mit den Beschäftigten des Unternehmens zusammen, haben also ebenfalls Zugang zu bestimmten Beschäftigtendaten.
Diese Daten des jeweiligen Unternehmens als Kunden des Lieferanten unterliegen auch in der globalen Lieferkette den Vorgaben der Datenschutz-Grundverordnung (DSGVO).
So besagt die DSGVO zum räumlichen Anwendungsbereich: Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
Daraus folgt insbesondere: Daten, die unter der DSGVO zu einem bestimmten Zweck erhoben wurden, dürfen durch die Lieferanten nicht etwa zu anderen Zwecken ausgewertet und verarbeitet werden.
Verantwortung für den Datenschutz in der Lieferkette
Der Schutz der personenbezogenen Daten obliegt aber dem Unternehmen als Auftraggeber der Lieferanten. Also sind nicht nur die technischen Schwachstellen bei einem Lieferanten etwas, was zum Problem für ein Unternehmen werden kann, sondern auch die Datenpannen, die Datenschutzverletzungen, die bei dem Lieferanten mit den Daten des Unternehmens passieren.
Genau wie es ein Sicherheitsmanagement und Schwachstellenmanagement für die ganze Lieferkette geben muss, darf auch ein Datenschutzmanagement für die ganze Lieferkette nicht fehlen.
Dazu gehört, dass nicht nur das Sicherheitsniveau, sondern auch das angemessene Datenschutzniveau nach DSGVO ein Auswahlkriterium für Lieferanten sein muss, nicht nur bei Lieferanten, die offensichtlich Datenverarbeitung im Auftrag übernehmen, sondern für alle Datenzugriffe der Lieferanten, die diesen ermöglicht werden, zum Beispiel für den Versand.
Wenn es also um Supply Chain Attacken geht, sollte immer auch an Supply Chain Privacy gedacht werden.
