Thought Leadership
Die Digitalisierung in allen Bereichen des privaten wie auch geschäftlichen Lebens sowie die daraus resultierenden digitalen Verbindungen vergrößern die Angriffsfläche für Cyberkriminelle. So warnte auch das BSI in seinem Lagebericht zur IT-Sicherheit in Deutschland 2020 vor einer stark zunehmenden Zahl von Angriffen auf die IT-Infrastruktur.
Noch vor einigen Jahren kam dem Thema Cybersicherheit innerhalb der Lieferkette nicht allzu viel Bedeutung zu. Das hat sich jedoch mit dem Bekanntwerden großer Cyberangriffe geändert, denn diese haben gezeigt, wie anfällig internationale und nationale Lieferketten sind.
Trotzdem räumen Unternehmen dem Thema Cybersicherheit noch immer zu wenig Priorität ein. Das bestätigt eine aktuelle Kaspersky-Umfrage unter Entscheidern in Unternehmen in Deutschland. Cybersicherheit findet kaum Beachtung als Teil des Supply-Chain-Risiko-Managements – schlimmer noch: Entscheider haben dem Thema in den vergangenen Monaten noch weniger Bedeutung zugeschrieben als zuvor. Das ist durchaus paradox, da ein Viertel der mittelständischen und weit mehr als die Hälfte der großen Unternehmen eigenen Angaben zufolge mehr Cyberangriffen ausgesetzt waren.
Finanzielle Auswirkungen, Reputationsverlust, mangelhafte Produkte
Unternehmensentscheider sind sich der Auswirkungen eines erfolgreichen Angriffs bewusst. Denn drei Viertel aller Entscheider in Unternehmen – unabhängig von deren Größe – gehen davon aus, dass sie als Resultat eines erfolgreichen Angriffs das Vertrauen ihrer Kunden verlieren könnten. Darüber hinaus befürchten sie, dass ihre Reputation in Mitleidenschaft gezogen würde (64 Prozent der mittelständischen und 81 Prozent der großen Unternehmen) und sie sich rechtlichen Konsequenzen stellen müssten (66 Prozent der kleinen und 72 Prozent der großen Unternehmen), die sich beispielsweise aus der DSGVO ergeben.
All diese Faktoren sowie die Lieferung mangelhafter Produkte oder gar eine vollständige Unterbrechung der Produktion könnten sich schlussendlich auch auf die Beziehung zu Partnern und die Geschäftstätigkeit auswirken. So fürchten 60 Prozent der kleinen Unternehmen und 74 Prozent der Großunternehmen, dass sie im Falle eines Angriffs Partner verlieren könnten. Des Weiteren fürchten drei Viertel der Unternehmen, dass ein erfolgreicher Angriff finanzielle Auswirkungen haben könnte.
Unternehmen schützen aus den falschen Gründen
Obwohl viele Unternehmen Cybersicherheitslösungen – und der Großteil auch Threat Intelligence – einsetzen, scheinen Entscheider vor allem auf die gute Zusammenarbeit mit Partnern zu setzen. Denn nur rund drei Viertel sowohl der kleinen als auch der großen Unternehmen sind überzeugt, alle Schnittstellen und Zugriffe von Partnern ausreichend zu überwachen. Der Rest scheint auf die Vernunft ihrer Partner zu vertrauen. Dabei sind zu lasche Cybersicherheitsmaßnahmen problematisch, weil längst nicht alle Unternehmen auf Backups setzen, die den Zugriff auf Daten im Falle eines Angriffs ermöglichen würden. Denn in Deutschland sind lediglich die Hälfte (50 beziehungsweise 46 Prozent) der IT-Entscheider mittelständischer und großer Unternehmen davon überzeugt, dass in ihrem Betrieb Backups vorhanden seien.
Weiter zeigt die Kaspersky-Studie interessante Ergebnisse hinsichtlich der Hauptgründe, weshalb überhaupt Cyberschutzmaßnahmen implementiert werden. Denn diese haben wenig damit zu tun, was IT-Entscheider im Falle eines Angriffs tatsächlich befürchten. Während die meisten Cybersicherheitsmaßnahmen wählen, um ihre Daten und Kunden zu schützen sowie die Geschäftskontinuität zu gewährleisten, vernachlässigen viele ihr Bauchgefühl, das sich vor allem um finanzielle Schäden, Reputationsverlust sowie den Verlust von Kundenvertrauen als mögliche Auswirkungen eines erfolgreichen Cyberangriffs sorgt.
Wie sich Unternehmen umfassend schützen können
Die Umfrage zeigt eine Diskrepanz zwischen den befürchteten Auswirkungen und den Hauptgründen, warum Entscheider letztlich Cybersicherheitsmaßnahmen ergreifen. Dabei sollten sich Entscheider lieber auf ihr Bauchgefühl verlassen und auch das schützen, was ihnen am meisten Sorgen bereitet. Am besten setzen sie auf einen mehrschichtigen Cybersicherheitsansatz. Dieser sollte sowohl technische Lösungen, die sämtliche Server, Arbeitsstationen, Smartphones, Tablets und andere Geräte schützen, umfassen – zum Beispiel Kaspersky Endpoint Detection and Response – als auch Experten-Services. Dazu gehören unter anderem Dienste für Threat Intelligence sowie Managed Services, die – auch bei internem Ressourcenmangel hinsichtlich Finanzen und/oder Mitarbeitern – umfassend schützen. Umfangreiche und stets aktuelle Bedrohungsinformationen ermöglichen es Unternehmen, über Tools, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden zu bleiben und so potenzielle Risiken zu antizipieren. Hinzu kommt eine Backup-Strategie, die die regelmäßige Sicherung aller Daten vorsieht, so dass Unternehmen im Falle eines Angriffs Zugriff auf diese haben.
Neben diesem klassischen Ansatz sollte im Unternehmen klar definiert sein, wer mit wem zusammenarbeitet, um potenzielle Lücken zu entdecken und Risiken zu mindern. Dabei hilft eine ausführliche Liste aller Lieferanten und Partner: Wer hat Zugriff auf unternehmensinterne Daten? Wer auf die IT-Infrastruktur? Des Weiteren sollten die Sicherheitsmaßnahmen durch ein umfangreiches Audit bewertet werden. Denn nur so lässt sich erkennen, welche Bereiche und Schnittstellen weitere Schutzmaßnahmen benötigen. Unternehmen sollten darauf achten, dass ihre Lieferanten und Partner zertifizierte Sicherheitsmaßnahmen implementiert haben – beispielsweise eine Zertifizierung nach ISO 27001 oder ein bestandenes SOC2-Audit. Denn diese bestätigen, dass Maßnahmen zum Schutz von Daten und Systemen ergriffen und adäquat eingesetzt werden.
Den Report zur Supply Chain-Studie von Kaspersky gibt es hier kostenfrei zum Download: https://kas.pr/ce37
