Lieferketten: Angriffe auf Kunden und Partner verhindern
Viele Firmen gehen davon aus, zu klein zu sein, um gezielt attackiert zu werden. Ein Irrtum: sie werden von Kriminellen als Sprungbrett für Angriffe auf ihre Kunden missbraucht.
Viele kleine und mittlere Unternehmen (KMUs) sind überzeugt, kein potenzielles Ziel für gut vorbereitete und fortgeschrittene Cyberattacken zu seien. Das ist jedoch ein weit verbreiteter Irrtum.
Die meist zu vernehmenden Gründe für diesen Irrglauben decken ein breites Spektrum ab. Sie reichen von „wir haben keinen großen Auftritt im Web“ und „wir sind nur ein unbedeutender Hersteller in unserem Segment“, über „unser Umsatz ist winzig im Vergleich zu unseren Wettbewerbern“ bis zu „kaum jemand hat überhaupt jemals von uns gehört“.
Damit versuchen die betroffenen Unternehmen allerdings oft nicht nur, sich selbst zu beruhigen und in der Annahme zu bestätigen, dass sie schon kein Opfer eines zielgerichteten Angriffs sein werden. Die Ausreden werden teils auch als Begründung genutzt, um nicht noch mehr Geld in ihre IT-Sicherheit zu investieren.
Die Verwundbarkeit der Lieferketten
Jedes Unternehmen, gleichwohl ob groß oder klein, hat Kunden. Und diese Kunden haben oft ebenfalls eigene Kunden. Irgendwo in dieser Kette aus vielschichtigen Beziehungen befindet sich aber möglicherweise das Ziel eines Hackers. Das ins Visier genommene Opfer hat aber eventuell viel für seine Absicherung getan und ein geschultes Team im Einsatz, das das Netzwerk kontinuierlich auf Eindringlinge überwacht und nach verdächtigen Aktivitäten sucht.
Das Umgehen solcher Verteidigungsmaßnahmen ist einer der wichtigsten Gründe dafür, dass Angriffe auf die Lieferkette heute zu einer immer häufiger beobachteten Angriffsmethode geworden sind. Bei einer Supply-Chain-Attacke nutzen die Angreifer einen der Anbieter als Sprungbrett, um über diesen Umweg Zugriff auf das Netzwerk des eigentlichen Ziels zu erhalten.
Die Konsequenz daraus ist, dass jedes Unternehmen, das sich irgendwo in einer Kette befindet, ein potenzielles Ziel ist und daher alle nötigen Maßnahmen ergreifen muss, um Supply-Chain-Attacken zu stoppen. Dazu müssen die eigenen Daten und Netzwerke aber ebenfalls äußerst sorgfältig gesichert werden.
Jedes Unternehmen, das sich irgendwo in einer Kette befindet, ist ein potenzielles Ziel und muss daher alle nötigen Maßnahmen ergreifen muss, um Supply-Chain-Attacken zu stoppen.
Die Datenschutz-Grundverordnung (DSGVO) hat dafür gesorgt, dass viele Unternehmen von ihren potenziellen Geschäftspartnern nun Belege dafür verlangen, dass ihre IT-Security-Strategie zumindest einem „akzeptierbaren Mindeststandard“ entspricht.
Es werden also Beweise benötigt, die zeigen, dass effektive Prozesse und Kontrollmaßnahmen eingesetzt werden, um Eindringlinge nicht nur zu entdecken, sondern auch angemessen darauf zu reagieren. Nur wenn die nötigen Schritte ergriffen werden, können weitergehende Schäden verhindert werden.
Heutzutage stehen bereits in vielen Ausschreibungen für neue Aufträge Anforderungen, dass etwa Standards wie ISO 27001, der Payment Card Industry Data Security Standard (PCI DSS), der Health Insurance Portability and Accountability Act (HIPAA) oder auch die International Traffic in Arms Regulations (ITAR) eingehalten werden müssen. In Deutschland kommen dazu erforderliche Zertifizierungen, wie sie etwa die TÜV-Verbände oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) anbieten.
Gerade für das kleinere Unternehmen ist der Erwerb dieser Zertifikate aber oft äußerst beschwerlich und zeitfressend. Die Zertifikate zeigen aber, dass die von ihnen betriebenen IT-Systeme und die verarbeiteten Daten geschützt sind und dass ihre Mitarbeiter über die wichtige Rolle im Klaren sind, die sie beim Schutz dieser Daten haben. Auch die DSGVO setzt zum Beispiel in Paragraph 32 hohe Anforderungen an die Sicherheit der von einem Unternehmen verarbeiteten und gespeicherten Daten, insbesondere wenn sie personenbezogen sind.
Audits und Sicherheitsberichte spielen eine essenzielle Rolle
Eine eventuell etwas weniger aufwändige Möglichkeit für KMUs ist, einen sogenannten SOC-2-Audit (Security Organization Control) durchführen zu lassen. Er bestätigt, die Effektivität der getroffenen Maßnahmen. Alternativ kann auch ein einfacherer SOC-1-Audit für alle Prozesse erstellt werden, die für Sicherheit im Unternehmen sorgen sollen.
Solche Audits und Berichte werden in der Regel durch unabhängige, zertifizierte Prüfinstitutionen durchgeführt. Sie sollen einschätzen, ob das geprüfte Unternehmen die erforderlichen IT-Security-Maßnahmen ordnungsgemäß durchgeführt hat. Hierzulande spielt auch eine Zertifizierung nach dem IT-Grundschutzstandard eine wichtige Rolle. Wenn jedoch keine der genannten Optionen finanziell tragbar ist, dann ist möglicherweise auch eine selbst durchgeführte Zertifizierung auf Basis von SOC 2 für manche Kunden ausreichend.
Ein sogenanntes Self-Assessment-Audit erfolgt üblicherweise in zwei Stufen:
Angemessenheitsprüfung: Diese Überprüfung soll belegen, dass die getroffenen Maßnahmen und Prozeduren zum Schutz der Daten in einem Unternehmen ausreichend sind.
Compliance-Audit: Hierbei handelt es sich um eine evidenzbasierte Bewertung der Umsetzung und Effektivität der verwendeten Richtlinien und Prozeduren.
Dadurch, dass Sie zuerst eine Angemessenheitsprüfung durchführen, können noch Unzulänglichkeiten korrigiert werden, bevor Sie mit dem eigentlichen Compliance-Audit beginnen. Es bringt nur wenig, zu prüfen, ob eine Unternehmenseinheit oder ein System den Vorgaben entspricht, wenn nicht vorher für ausreichend dokumentierte Richtlinien und Prozeduren gesorgt wurde.
Nicht nur Kästchen ankreuzen
Es gibt eine Reihe von wesentlichen Sicherheitsmaßnahmen, die kleine und mittlere Unternehmen umsetzen sollten, um Supply-Chain-Angriffe auf ihre Kunden und Partner zu verhindern. Ein paar Beispiele:
Starke Authentifizierung:Gestohlene Zugangsdaten werden oft genutzt, um sich in einem fremden Netzwerk festzusetzen. Daher sollte eine Zweifaktor- oder Multifaktor-Authentifizierung zwingend vorgeschrieben werden, wenn es um Zugriffe auf vertrauliche oder geteilte Daten geht.
Starke Verschlüsselung: Das Verschlüsseln von abgelegten Daten sowie denen in Bewegung ist unverzichtbar, um die Gefahr eines Datenverlusts zu minimieren.
Geschäftskontinuität und Notfallwiederherstellung: Seien Sie darauf vorbereitet, Ihre Pläne zur Geschäftskontinuität und Notfallwiederherstellung auch mit Ihren Kunden abzustimmen, so dass Sie gemeinsam koordinierte Maßnahmen gegen gerade ablaufende Angriffe durchführen können.
Security-Awareness-Trainings sowie Anforderungen aus Sicherheitssicht: Stellen Sie sicher, dass Ihre Mitarbeiter wissen, was von ihnen erwartet wird. Schulen Sie sie, so dass sie auch selbst potenzielle Gefahren erkennen und verhindern können. Jede Stellenbeschreibung sollte zudem einen Abschnitt enthalten, der die sicherheitsrelevanten Verantwortlichkeiten jedes einzelnen erläutert.
Kontrolle der Sicherheitsmaßnahmen: Ein systematisches Untersuchen und Überprüfen der getroffenen Sicherheitsmaßnahmen liefert wertvolle Informationen über den aktuellen Status der Sicherheitsbemühungen eines Unternehmens. Außerdem erfahren die Mitarbeiter dadurch, wie sich das Thema IT-Security auf ihre tägliche Arbeit auswirkt. Das kann positiv als auch negativ sein. Zudem ist diese Kontrolle eine gute Gelegenheit, um zu zeigen, welche hohe Bedeutung die Unternehmensleitung dem Thema IT-Security beimisst.
Das Ziel des Audits darf aber nicht nur sein, Kästchen abzuhaken. Sondern er muss als Möglichkeit gesehen werden, den Schutz der Netzwerkressourcen und der Daten zu optimieren. Das dabei erforderliche strukturierte und dokumentierte Vorgehen wird ganz automatisch für eine sicherere IT-Umgebung sorgen.
Denken Sie daran, dass IT-Sicherheit Geld kostet und dass der ROI (Return on Investment) teilweise nur schwer eingeschätzt werden kann. Die positiven Auswirkungen auf das gesamte Geschäftsergebnis sind jedoch wichtiger denn je. Eine umfassende IT-Security-Strategie sorgt nicht nur dafür, dass Sie Ihre IT-Systeme am Laufen halten und dass Sie teure Datendiebstähle verhindern. Sie bietet auch einen eindeutigen Wettbewerbsvorteil, wenn es etwa um die Suche nach neuen Geschäftsmöglichkeiten geht.
