PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

Sicherheit_BusinessmännerBesonders für Logistikdienstleister als Partner der produzierenden Industrie kommt es darauf an, zweifelsfrei zuverlässige Prozesse nachweisen zu können. Schließlich hängt doch ihre Auftragslage maßgeblich davon ab, dass sie sichere, störungsfreie und durchgängige Lieferketten für ihre Kunden organisieren. Entscheidender Faktor dabei ist die Glaubwürdigkeit.

Nur wer belegen kann, dass er seine Leistungen konstant in dieser Qualität erbringt, bewahrt den erfolgskritischen Ruf. In dem vertrauenssensitiven Logistik-Markt können sich Dienstleister über ein systematisches Sicherheitsmanagement den entscheidenden Vorsprung erarbeiten. Denn wer nicht mit verlorenen Smartphones, gegen Plagiate ausgetauschten Arzneimitteln oder gänzlich verschwundenen Lkw Schlagzeilen machen will, ergreift frühzeitig geeignete Abwehrmaßnahmen. „Abgestimmt auf die spezifischen Produkte eines Kunden lässt sich die Sicherheit der Lieferkette durch eine Vielzahl systematischer Maßnahmen verbessern“, erklärt Dr. Ulrich Franke, Leiter des Institute for Supply Chain Security (ISCS). Dabei können sämtliche erforderlichen Schritte in ein systematisches Gesamtkonzept integriert werden, das drei wesentliche Schutzstandards in sich vereint: die Normen ISO/IEC 27001 (Informationssicherheits-Managementsysteme) und ISO 28001 (Sicherheit der Lieferkette) sowie die Anforderungen der TAPA (Transported Asset Protection Association). „Wir raten zu einer Kombination dieser Regelwerke, weil moderne Sicherheitsrisiken komplex geworden sind und nur mit Maßnahmenbündeln angemessen bearbeitet werden können“, betont der Sicherheitsexperte.

Risikoanalyse als Ausgangspunkt

Um die Sicherheitslage der eigenen Arbeit zu verbessern, ist eine Risikoanalyse erforderlich. Dabei werden sowohl physische als auch informationstechnische Prozesse auf den Prüfstand gestellt – innerhalb der eigenen Organisation und bei externen Partnern. „Im Sicherheitskontext ist eine ganzheitliche Betrachtung unbedingt erforderlich“, rät Wolfgang Engel, Leiter des Competence Center Logistics (CCL) der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS GmbH). Das belegen auch Beispiele von Überfällen auf Lkw, die nur möglich wurden, weil Hacker in die Bordelektronik der Fahrzeuge eingedrungen waren. Dort konnten sie die Scheibenwischer stilllegen, aber die Waschdüsen gleichzeitig aktivieren – sodass der Fahrer wegen schlechter Sicht anhalten musste. „Ein umfassendes Informationssicherheits-Managementsystem ist heute auch für Logistikunternehmen unverzichtbar geworden“, fügt der erfahrene Auditor hinzu. „Oft geht Datenklau den Diebstählen voraus, weil unverschlüsselt übertragene Auftragsdaten kriminellen Banden als leicht verfügbare Informationsquellen dienen.“ Neben den IT-Systemen gehört die physische Sicherheit von Lagerstandorten samt Zutrittskontrolle, die Prüfung von Frachtführern, die sorgfältige Auswahl von Transportrouten und Umschlagpunkten sowie eine sorgfältige Schwachstellenbetrachtung zu den wichtigsten Analysepunkten. Entlang dieser Faktoren gilt es, die Einhaltung von Kundenanforderungen, eigenen Bestimmungen und gesetzlichen Vorschriften zu überprüfen.

Sicherheitsstruktur bilden

Anhand der Ergebnisse entwickeln Berater wie das ISCS eine Sicherheitsstruktur, die Gefährdungspotenziale in die folgenden vier Stufen einordnet:

1. Risiken, die sich vollständig vermeiden lassen

2. Risiken, die minimiert werden können

3. Risiken, die auf Dritte übertragen werden können

4. Restrisiken, die bewertet und nachgewiesen werden müssen

Im nächsten Schritt erfolgt für die Risiken der Stufen zwei bis vier eine Folgebetrachtung mit Blick auf die Haftung des Unternehmens, seiner Eigentümer, Vorstände oder Geschäftsführer. Dabei wird auch ihre jeweilige Verantwortung abgegrenzt. Für Risiken, die auf Dritte übertragen werden können, liegt das zentrale Ziel eines Sicherheitsmanagements bei der Senkung der für sie anfallenden Versicherungsprämien.

Für alle Risiken, die nicht vollständig vermieden werden können, sind systematische Lösungen zu finden. Je nach Güterart differenziert, werden sie priorisiert und implementiert. So können beispielsweise Lkw mit besonders wertvoller Fracht ausschließlich auf bewachten Parkplätzen abgestellt werden. Aber nicht alle Risiken, die auf kriminellem Vorsatz anderer beruhen, lassen sich umstandslos minimieren. Ungleich größer ist die Gefahr für Dienstleister von Pharmaunternehmen, dass ihre hochwertigen Arzneimittel bereits während der Lagerung durch gleich aussehende, wirkungslose Plagiate ersetzt werden. In der Folge entstehen für die Hersteller ungeahnte Produkthaftungsrisiken. Mit der entsprechenden kriminellen Energie finden Verbrecherorganisationen bei unzureichend gesicherten Fahrzeugen auch Optionen, diese für terroristische Zwecke einzusetzen, beispielsweise wenn sie bei Gefahrguttransporten die Bremsen manipulieren. Und im Bereich der IT-Risiken nimmt Wirtschaftsspionage eine immer größere Bedeutung ein. Sei es, weil Unternehmen die Kunden- und Absatzdaten ihrer Konkurrenten ausspähen. Oder weil im Zusammenhang mit Auftragsfertigung auch patentgeschützte Designmuster von den Logistikdienstleistern verwahrt werden.

Notfallpläne vorbereiten

Grundsätzlich sind Unterbrechungen entlang der Lager- und Transportkette unbedingt zu verhindern. Für Dienstleister, die in kritischen und hochpreisigen Segmenten aktiv sind, kann das bedeuten, dass ihre Notfallpläne bis zum Einsatz von Hubschraubern reichen, um die Versorgung sicherzustellen. Zu den Situationen, für die sie gewappnet sein müssen, gehören darüber hinaus auch natürliche Risiken wie Unwetter und Stau oder Streik und Vandalismus. Kein Dienstleister kann diese Konstellationen verhindern. Treten sie ein, muss er jedoch durch alternative Prozesse seine Versorgerfunktion weiter aufrechterhalten. „Was die physische Sicherheit der Güter betrifft, enthält der TAPA-Standard einen umfassenden Maßnahmenkatalog, anhand dessen Unternehmen gute Schutzkonzepte entwickeln können“, berichtet Wolfgang Engel. „Für das gesamte Sicherheits- und Informationssicherheits-Management kommt es gemäß der Normen ISO 28001 und ISO/IEC 27001 besonders darauf an, die Steuerungsprozesse nach ihrer Implementierung regelmäßig zu überprüfen und bei Bedarf durch einen besseren Schutz zu ergänzen“, resümiert der Leiter des CCL.

www.dqs.de/ccl

GRID LIST
Tb W190 H80 Crop Int B105883123d2264a138f7eac7750dea8

McAfee integriert „Advanced Analytics“ für optimierte SOC-Effizienz

McAfee stellt neue Endpunkt- und Cloud-Lösungen vor. Diese nutzen die Geschwindigkeit und…
Tb W190 H80 Crop Int 4af3435e2cda495d376effd0fa1bcc7b

G DATA Business-Version 14.1

Angriffe durch Ransomware haben in diesem Jahr deutlich zugenommen – das haben die…
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

Gigamon stellt Integrationen mit Splunk und Phantom vor

Gigamon Inc. (NYSE: GIMO), Anbieter von Traffic-Visibility-Lösungen, hat neue…
Deloitte

Deloitte-Hack: kryptografische Verfahren schützen vor Datenklau

Die Beratungsgesellschaft Deloitte wurde Opfer eines Hackerangriffs: Unbekannte Hacker…
Security Schloss

Neue Lösung für Endpoint Detection and Response (EDR)

Komplexe, zielgerichtete und andauernde Cybergefahren (Advanced Persistent Threats, APTs)…
Wellen Schloß

"Encrypted Waves" ermöglichen in Zukunft die Verschlüsselung

Für globale Unternehmen ist es schwierig, kritische und sensible Daten wirksam zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet