Anzeige

Supply Chain

Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche Angriffe innerhalb der letzten Jahre richteten sich gegen Drittparteien und Lieferanten. Die zunehmende Vernetzung, Cloud-Infrastrukturen und DevOps-Umgebungen sorgen für mehr Agilität bei den Unternehmen, setzen diese aber gleichzeitig höheren Risiken aus.

Trotzdem konzentriert sich das Lieferketten-Management immer noch stark auf traditionelle Aspekte wie Lieferzuverlässigkeit, Kosten, Qualität statt auf potenzielle Cybersicherheitsrisiken. Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software kommt in jeder Phase der Montage- und Lieferkette vor. Dadurch erhöht sich das Risiko einer externen Kompromittierung.

Dazu wurde Gunnar Braun, Technical Account Manager bei Synopsys befragt. 

Angriffe auf digitale Lieferketten: Welche Rolle spielen Cybersicherheit und Cloud Computing für digitale Lieferketten?

Gunnar Braun: An sich profitieren sie voneinander. Moderne Anwendungen werden mit gemeinsam genutzten Komponenten aus unterschiedlichen Quellen entwickelt, nicht nur von kommerziellen Anbietern. Dadurch entsteht eine digitale Lieferkette, in der nicht nur die Software, sondern auch die Daten aus einer beliebigen Anzahl von Quellen stammen können – einschließlich solcher aus Rechtsräume, die nicht in den normalen Tätigkeitsbereich des Unternehmens fallen. Ein perfektes Beispiel dafür ist das Konzept der Open-Source-Entwicklung, wo die Entwickler des Codes unter Umständen aus unterschiedlichsten Ländern stammen, aber ein gemeinsames Ziel teilen: eine qualitativ hochwertige Software zu entwickeln, die größere geschäftliche Agilität ermöglicht. Ein Ergebnis solcher Bemühungen existiert in dem, was gemeinhin als „die Cloud“ bekannt ist. Cloud-Software-Anbieter wie Amazon, Google und IBM verwenden ausnahmslos Software aus Open-Source Entwicklungen in ihren Cloud-Lösungen. Die Anbieter profitieren davon zweifach. Sie bringen Softwareneuerungen sehr viel schneller auf den Markt und können gleichzeitig hochwertigere Produkte anbieten.

Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software finden wir in jeder Phase der Montage- und Lieferkette. Dadurch erhöht sich das Risiko einer externen Kompromittierung. Mit Cybersicherheitsmaßnahmen versucht man zunächst, das Risiko zu quantifizieren und einzuschätzen. Auf dieser Basis entwickelt man Strategien, um die identifizierten Risiken zu verhindern oder doch wenigstens auf ein Minimum zu reduzieren.

Einer der dabei üblichen Ausgangspunkte ist eine vollständige Inventarliste aller von einem Unternehmen verwendeten und produzierten Software-Bestände. Mithilfe dieser Bestandsaufnahme kann man eine Materialliste erstellen, aus der die Herkunft der einzelnen Komponenten hervorgeht. Diese Angaben sind aus zwei Gründen so wichtig. Zum einen lässt sich anhand dessen feststellen, wann ein Patch zur Verfügung steht, und zum anderen, wie dessen Verfügbarkeit bekannt gemacht wird. Bei vielen Softwarelösungen, die auf Open Source-Technologien basieren, fehlt die traditionelle Lieferantenbeziehung. Wer also eine Open-Source-Technologie verwendet, sollte einen Kontakt zum Urheber der Software herstellen. Nur so lässt sich gewährleisten, dass sie auf dem neuesten Stand und ordnungsgemäß geschützt ist.

Worin liegen potenzielle Schwierigkeiten?

Gunnar Braun: Cloud- und Cybersicherheitslösungen sind von Natur aus flexibel. Das macht sie gleichzeitig sehr komplex. Eines der größten Probleme entsteht, wenn Unternehmen existierende Best Practices für die IT-Governance auf die über Cloud-Lösungen bereitgestellten Dienste anwenden. Diese Best Practices mögen sich seit ihrer Erstellung durchaus bewährt haben. Entscheidend ist allerdings, dass sie auf Paradigmen beruhen, die sich nicht unbedingt für Cloud-basierende Lösungen eignen. Oder anders ausgedrückt: Wer eine Cloud-basierte Lösung einführt, der sollte sich fragen wie diese Lösung die Sicherheit der Geschäftsprozesse verbessern oder Risiken anderweitig reduzieren kann. Im Anschluss daran sollte man prüfen, welche Änderungen an Richtlinien oder Prozessen nötig sind, um das mit der Einführung der Lösung verbundene Potenzial zu maximieren. Wenn man auf diese Bewertung verzichtet, besteht ein reales Risiko, dass die bestehenden Best Practices sich auf die Sicherheit einer Cloud-Lösung negativ auswirken.

Wie kann die Branche unter diesen Vorzeichen Datenschutz gewährleisten?

Gunnar Braun: Unabhängig von spezifischen Vorschriften und Regularien ist die Sicherheit von Daten eine Frage grundlegender Prinzipien. Welchen Zweck erfüllt die Erhebung von Daten? Weiß der Urheber der Daten, dass und wie die Daten verarbeitet oder gespeichert worden sind? Wo werden die Daten gespeichert, wer greift darauf zu und wie können Sie wissen, ob jemand auf die Daten zugegriffen hat? Wie lange werden die Daten aufbewahrt, und wie könnte ein Vorgang aussehen, wenn der Urheber eine Datenlöschung fordert? Mit der zunehmenden Nutzung von APIs und Webdiensten Dritter wird es noch schwieriger, diese Fragen zu beantworten. Einfach aufgrund der Tatsache, dass diese Dritten möglicherweise unterschiedliche Antworten geben. Aber der Vertrag, den Sie mit Ihren Kunden geschlossen haben, legt fest, welche Erwartungen sie haben, wenn es den Umgang mit ihren Daten betrifft.

Welche aktuellen Trends bei digitalen Lieferketten erwarten uns?

Gunnar Braun: Unterbrechungen der Lieferkette werden immer häufiger. Lieferanten müssen nicht nur verstehen, welche Gefahr ein Angriff für sie selbst bedeutet, sondern auch, wie sich eine Unterbrechung ihrer Geschäftstätigkeit auf ihre Kunden auswirkt. Bei Cyberangriffen bestimmt der Angreifer die Regeln. Er bestimmt den Zeitpunkt und die Art und Weise einer Attacke. Wenn die Angreifer dabei erfolgreich sind, haben sie es in der Hand, welche Art von Störungen sie verursachen. Das kann eine Ransomware-Attacke sein oder der Versuch, den Betrieb einer Anlage zu manipulieren oder sie sogar stillzulegen. Andere werden vielleicht „nur“ versuchen, Daten zu stehlen.

Ein Bewusstsein für Cybersicherheit muss zwangsläufig in den allgemeinen Geschäftsbetrieb einfließen und mehr Transparenz zwischen den Partnern geschaffen werden. Wenn man sich bestimmte Branchen wie beispielsweise die fertigende Industrie ansieht, dann ist hier wahrscheinlich das Sicherheitsbewusstsein auf Werksebene schwächer ausgeprägt als in einem Technologieunternehmen. Allerdings ist das Schadenspotenzial infolge eines Angriffs ungleich höher – etwa durch Störungen oder Betriebsunterbrechungen. Eines der schlagzeilenträchtigsten Beispiele dieser Art war der Angriff auf den Aluminiumgiganten Norsk Hydro im letzten Jahr. Er führte im ersten Quartal zu Verlusten in Höhe von 52 Millionen US-Dollar. 

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Mann scannt Pakete im Lager
Feb 22, 2020

Klimaschutz in der Supply Chain

Das Thema Klimaschutz ist nicht nur in aller Munde, es nimmt auch in den Strategien von…
Hacker
Okt 08, 2019

Erhöhte Gefahr für deutsche Lager- und Logistikbranche

Mimecast Limited (NASDAQ: MIME) warnt vor der aktuellen Bedrohungssituation in…
Supply Chain
Aug 12, 2019

5 Tipps für ein erfolgreiches Supply Chain Management

Vom Rohstofflieferanten bis zum Endabnehmer müssen sämtliche Transportschritte entlang…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!