Anzeige

Supply Chain

Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche Angriffe innerhalb der letzten Jahre richteten sich gegen Drittparteien und Lieferanten. Die zunehmende Vernetzung, Cloud-Infrastrukturen und DevOps-Umgebungen sorgen für mehr Agilität bei den Unternehmen, setzen diese aber gleichzeitig höheren Risiken aus.

Trotzdem konzentriert sich das Lieferketten-Management immer noch stark auf traditionelle Aspekte wie Lieferzuverlässigkeit, Kosten, Qualität statt auf potenzielle Cybersicherheitsrisiken. Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software kommt in jeder Phase der Montage- und Lieferkette vor. Dadurch erhöht sich das Risiko einer externen Kompromittierung.

Dazu wurde Gunnar Braun, Technical Account Manager bei Synopsys befragt. 

Angriffe auf digitale Lieferketten: Welche Rolle spielen Cybersicherheit und Cloud Computing für digitale Lieferketten?

Gunnar Braun: An sich profitieren sie voneinander. Moderne Anwendungen werden mit gemeinsam genutzten Komponenten aus unterschiedlichen Quellen entwickelt, nicht nur von kommerziellen Anbietern. Dadurch entsteht eine digitale Lieferkette, in der nicht nur die Software, sondern auch die Daten aus einer beliebigen Anzahl von Quellen stammen können – einschließlich solcher aus Rechtsräume, die nicht in den normalen Tätigkeitsbereich des Unternehmens fallen. Ein perfektes Beispiel dafür ist das Konzept der Open-Source-Entwicklung, wo die Entwickler des Codes unter Umständen aus unterschiedlichsten Ländern stammen, aber ein gemeinsames Ziel teilen: eine qualitativ hochwertige Software zu entwickeln, die größere geschäftliche Agilität ermöglicht. Ein Ergebnis solcher Bemühungen existiert in dem, was gemeinhin als „die Cloud“ bekannt ist. Cloud-Software-Anbieter wie Amazon, Google und IBM verwenden ausnahmslos Software aus Open-Source Entwicklungen in ihren Cloud-Lösungen. Die Anbieter profitieren davon zweifach. Sie bringen Softwareneuerungen sehr viel schneller auf den Markt und können gleichzeitig hochwertigere Produkte anbieten.

Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software finden wir in jeder Phase der Montage- und Lieferkette. Dadurch erhöht sich das Risiko einer externen Kompromittierung. Mit Cybersicherheitsmaßnahmen versucht man zunächst, das Risiko zu quantifizieren und einzuschätzen. Auf dieser Basis entwickelt man Strategien, um die identifizierten Risiken zu verhindern oder doch wenigstens auf ein Minimum zu reduzieren.

Einer der dabei üblichen Ausgangspunkte ist eine vollständige Inventarliste aller von einem Unternehmen verwendeten und produzierten Software-Bestände. Mithilfe dieser Bestandsaufnahme kann man eine Materialliste erstellen, aus der die Herkunft der einzelnen Komponenten hervorgeht. Diese Angaben sind aus zwei Gründen so wichtig. Zum einen lässt sich anhand dessen feststellen, wann ein Patch zur Verfügung steht, und zum anderen, wie dessen Verfügbarkeit bekannt gemacht wird. Bei vielen Softwarelösungen, die auf Open Source-Technologien basieren, fehlt die traditionelle Lieferantenbeziehung. Wer also eine Open-Source-Technologie verwendet, sollte einen Kontakt zum Urheber der Software herstellen. Nur so lässt sich gewährleisten, dass sie auf dem neuesten Stand und ordnungsgemäß geschützt ist.

Worin liegen potenzielle Schwierigkeiten?

Gunnar Braun: Cloud- und Cybersicherheitslösungen sind von Natur aus flexibel. Das macht sie gleichzeitig sehr komplex. Eines der größten Probleme entsteht, wenn Unternehmen existierende Best Practices für die IT-Governance auf die über Cloud-Lösungen bereitgestellten Dienste anwenden. Diese Best Practices mögen sich seit ihrer Erstellung durchaus bewährt haben. Entscheidend ist allerdings, dass sie auf Paradigmen beruhen, die sich nicht unbedingt für Cloud-basierende Lösungen eignen. Oder anders ausgedrückt: Wer eine Cloud-basierte Lösung einführt, der sollte sich fragen wie diese Lösung die Sicherheit der Geschäftsprozesse verbessern oder Risiken anderweitig reduzieren kann. Im Anschluss daran sollte man prüfen, welche Änderungen an Richtlinien oder Prozessen nötig sind, um das mit der Einführung der Lösung verbundene Potenzial zu maximieren. Wenn man auf diese Bewertung verzichtet, besteht ein reales Risiko, dass die bestehenden Best Practices sich auf die Sicherheit einer Cloud-Lösung negativ auswirken.

Wie kann die Branche unter diesen Vorzeichen Datenschutz gewährleisten?

Gunnar Braun: Unabhängig von spezifischen Vorschriften und Regularien ist die Sicherheit von Daten eine Frage grundlegender Prinzipien. Welchen Zweck erfüllt die Erhebung von Daten? Weiß der Urheber der Daten, dass und wie die Daten verarbeitet oder gespeichert worden sind? Wo werden die Daten gespeichert, wer greift darauf zu und wie können Sie wissen, ob jemand auf die Daten zugegriffen hat? Wie lange werden die Daten aufbewahrt, und wie könnte ein Vorgang aussehen, wenn der Urheber eine Datenlöschung fordert? Mit der zunehmenden Nutzung von APIs und Webdiensten Dritter wird es noch schwieriger, diese Fragen zu beantworten. Einfach aufgrund der Tatsache, dass diese Dritten möglicherweise unterschiedliche Antworten geben. Aber der Vertrag, den Sie mit Ihren Kunden geschlossen haben, legt fest, welche Erwartungen sie haben, wenn es den Umgang mit ihren Daten betrifft.

Welche aktuellen Trends bei digitalen Lieferketten erwarten uns?

Gunnar Braun: Unterbrechungen der Lieferkette werden immer häufiger. Lieferanten müssen nicht nur verstehen, welche Gefahr ein Angriff für sie selbst bedeutet, sondern auch, wie sich eine Unterbrechung ihrer Geschäftstätigkeit auf ihre Kunden auswirkt. Bei Cyberangriffen bestimmt der Angreifer die Regeln. Er bestimmt den Zeitpunkt und die Art und Weise einer Attacke. Wenn die Angreifer dabei erfolgreich sind, haben sie es in der Hand, welche Art von Störungen sie verursachen. Das kann eine Ransomware-Attacke sein oder der Versuch, den Betrieb einer Anlage zu manipulieren oder sie sogar stillzulegen. Andere werden vielleicht „nur“ versuchen, Daten zu stehlen.

Ein Bewusstsein für Cybersicherheit muss zwangsläufig in den allgemeinen Geschäftsbetrieb einfließen und mehr Transparenz zwischen den Partnern geschaffen werden. Wenn man sich bestimmte Branchen wie beispielsweise die fertigende Industrie ansieht, dann ist hier wahrscheinlich das Sicherheitsbewusstsein auf Werksebene schwächer ausgeprägt als in einem Technologieunternehmen. Allerdings ist das Schadenspotenzial infolge eines Angriffs ungleich höher – etwa durch Störungen oder Betriebsunterbrechungen. Eines der schlagzeilenträchtigsten Beispiele dieser Art war der Angriff auf den Aluminiumgiganten Norsk Hydro im letzten Jahr. Er führte im ersten Quartal zu Verlusten in Höhe von 52 Millionen US-Dollar. 

Gunnar Braun, Technical Account Manager
Gunnar Braun
Technical Account Manager, Synopsys

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Mann scannt Pakete im Lager
Feb 22, 2020

Klimaschutz in der Supply Chain

Das Thema Klimaschutz ist nicht nur in aller Munde, es nimmt auch in den Strategien von…
Hacker
Okt 08, 2019

Erhöhte Gefahr für deutsche Lager- und Logistikbranche

Mimecast Limited (NASDAQ: MIME) warnt vor der aktuellen Bedrohungssituation in…
Supply Chain
Aug 12, 2019

5 Tipps für ein erfolgreiches Supply Chain Management

Vom Rohstofflieferanten bis zum Endabnehmer müssen sämtliche Transportschritte entlang…

Weitere Artikel

E-Mail security

Sichere E-Mail-Kommunikation - gerade jetzt

Verschlüsselung ist wichtiger denn je, denn aufgrund der Einschränkungen, die das Coronavirus mit sich bringt, kommunizieren Unternehmen und Privatpersonen mehr denn je via Collaboration-Tools und Video-Konferenzen, aber auch via E-Mail. Nachfolgend daher ein…
Web Security

Neuer JavaScript-Scanner

Einfaches Scannen moderner Webanwendungenverspricht Crashtest Security mit einem neuen JavaScript-Scanner. Zusätzlich veröffentlicht das Unternehmen ein Update, das agilen Sicherheitsbedürfnissen mit vollständigen SaaS-Funktionen.
Hijacking

Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

Die Cloud bietet Cyberkriminellen eine große Angriffsfläche, da enorme Datenmengen an einem Ort gespeichert sind. Cloud Account Hijacking auf Unternehmensebene ist besonders verheerend, wenn dadurch vertrauliche oder geschäftskritische Daten durchsickern oder…
Cyber Resilience

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. Aber wie…
Homeoffice

Unsichere Home-IT wird plötzlich zur Arbeitsumgebung

Das Home-Office, vor kurzem noch eine Option für wenige Mitarbeiter in wenigen Unternehmen, wird vor dem Hintergrund der Corona-Krise vielerorts zum Rückgrat des Geschäftsbetriebes. Die Verlagerung von Büroarbeitsplätzen vom Unternehmen in die eigenen vier…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!