2016 kam es nach einem schweren Erdbeben in Japan bei etlichen in- und ausländischen Industrieunternehmen zu massiven Beeinträchtigungen in der Produktion. Darunter auch einige OEM wie Toyota, Honda oder Nissan die ihre Werke in Japan in Folge der Naturkatastrophe teilweise schließen mussten. Der Grund für die weitreichenden Folgen: die Produktion vieler Unternehmen ist von den Waren und Dienstleistungen weiterer Zulieferer abhängig. Diese waren zum Teil so schwer vom Erdbeben betroffen, dass sie ihre Geschäftstätigkeit zunächst nicht fortführen konnten.
Neben exogenen Bedrohungen, wie in diesem Fall einer Naturkatastrophe, drohen durch die zunehmende Digitalisierung und Vernetzung von Unternehmen entlang einer Lieferkette neue Risiken, die zu ähnlich weitreichenden Schäden führen. Beispiele wie der „SolarWinds-Hack“, der sich im vergangenen Jahr ereignete, zeigen, dass die Kompromittierung eines einzelnen Unternehmens Auswirkungen auf alle Akteure einer Supply Chain haben kann. Durch eine „Hintertür“ gelang es Hackern einen Trojaner in die Plattform des US-amerikanischen Softwareunternehmens einzuschleusen. Nutzer, die infolgedessen ein Update durchführten, öffneten unwissend ihre Tore für die Angreifer, die Daten auslesen, Netzwerke analysieren oder weiteren Schadcode ausführen konnten. Die Folgen für die gut 300.000 Kunden, darunter etliche Fortune-500-Unternehmen, waren verheerend.
Angriffe wie diese sind längst kein Einzelfall mehr und die moderne Lieferkette eines der beliebtesten Einfallstore für Cyberkriminalität. Doch was können Unternehmen tun, um sich vor dem „Eindringling auf Umwegen“ zu schützen? Und wie sieht einen Lieferkette aus, die nicht nur intelligent und effizient, sondern auch sicher ist?
Der Einsatz innovativer Technologien: Trade-off zwischen Fortschritt und Risiko
Immer mehr Unternehmen investieren in digitale Technologien – die „Produktion der Zukunft“ wird zunehmend flexibel, individuell und effizient. Die Vernetzung begrenzt sich jedoch nicht auf das eigene Unternehmen, sondern erschließt sich über die gesamte Lieferkette – vom Rohmaterial über Verarbeitungsstufen bis hin zum Vertrieb an den Endkunden. So steigt das Bedürfnis nach modernen Lieferketten: optimierte Abläufe zwischen den Unternehmen durch innovative Kommunikationssysteme, erhöhte Leistung durch autonome Prozesse, sowie Flexibilität und Transparenz sind nur einige der Anforderungen an das gesamte Wertschöpfungssystem und die Supply Chain 4.0.
Die steigenden Investitionen in intelligente und digitalisierte Prozesse spiegeln sich auch in aktuellen Statistiken wider:
Investitionen in Industrie 4.0, Quelle: statista.com
Während 2018 lediglich 11% der deutschen Unternehmen angaben, KI zu nutzen, sind es im Jahr 2022 bereits 37%. 66% der Organisationen mit mehr als 20 Beschäftigten setzen IoT-Technologien bereits ein oder planen es zumindest. Die industrielle Fertigung ist dabei am investitionsstärksten, dicht gefolgt von Verfahrenstechnik sowie Automotive und Transport.
Die zunehmende Digitalisierung der Unternehmen bringt jedoch neben etlichen Vorteilen auch erhebliche Gefahren mit sich. Die innovativen und vernetzten Systeme, die in optimierten Produktionsstätten und intelligenten Lieferketten zum Einsatz kommen, erhöhen die Angriffsfläche für Cyberkriminalität. Dabei fungieren unzureichend geschützte Unternehmen als Einfallstor, um auf weitere Akteure, die ihre Netzwerke für externe Zugriffe öffnen, zuzugreifen. Die Folgen eines Cyberangriffs können dabei weitreichend sein und von Umsatzausfällen, über Verlust von geistigem Eigentum und sensiblen Daten bis hin zu einem dauerhaften Imageschaden reichen. Der finanzielle Schaden, der dabei im Jahr 2022 in Deutschland entstand, wirkt mit über 200 Milliarden Euro bedrohlich.
Cyberkriminalität wird zu einem immer konkreteren Risiko, auch für kleine und mittelständische Unternehmen. So konnten folgende Entwicklungen beobachtet werden:
Fallzahlen Cyberkriminalität, Quelle: statista.com
In den vergangenen Jahren galten die Finanz- und Versicherungsindustrie sowie der Healthcare-Sektor zu den beliebtesten Angriffszielen von Cyberkriminellen. Mittlerweile rückt das produzierende Gewerbe immer mehr in das Visier der Hacker – nicht zuletzt aufgrund der Corona-Pandemie, die die Stabilität der Lieferketten auf die Probe gestellt und Cyberkriminellen ein Exempel für die mögliche Tragweite der Kompromittierung nur eines Akteurs geboten hat. Im Jahr 2021 fielen fast 30% aller Angriffe auf die Fertigungsindustrie zurück und machte sie somit erstmals zum ungewünschten Spitzenreiter. Dabei zählen Phishing oder ungepatchte Software noch immer zu den beliebtesten Angriffsmethoden.
Obwohl indirekte Attacken die Bedrohungslandschaft bereits dominieren, priorisieren die meisten Unternehmen noch immer die IT-Sicherheit ihrer eigenen Systeme und lassen die kontinuierliche Überwachung der Lieferkette außen vor. Dabei geben schon jetzt über 40% der deutschen Unternehmen an, einen Ransomware-Angriff über die Supply Chain erlebt zu haben – diese Zahl umfasst jedoch lediglich die gemeldeten Vorfälle. Da betroffene Unternehmen einen erheblichen Reputationsschaden und Vertrauensverlust befürchten, kommunizieren sie einen Angriff jedoch nicht immer an Auftraggeber und Kunden. So gehen viele IT-Führungskräfte davon aus, dass ihre Partner eine reelle Cybersicherheitsgefahr für sie darstellen.
Wie können sich Unternehmen vor Angriffen auf die Supply Chain schützen?
Unabhängig davon, ob Cyberangriffe direkt auf das eigene Unternehmen abzielen, oder über die Lieferkette kommen – eine grundlegende IT-Sicherheit sollte jedes Unternehmen vorweisen können. Neben der Implementierung umfassender Cybersicherheit durch EDR-, MDR- oder Threat Intelligence-Technologien, spielen die Einführung und Kommunikation entsprechender Richtlinien und Mitarbeitersensibilisierung eine entscheidende Rolle. Um sich vor Angreifern über die Lieferkette zu schützen, ist die kontinuierliche Überwachung des Supply-Chain-Prozesses unumgänglich. Zulieferer, Dienstleister und Kommunikationspartner sollten in die Sicherheitsstrategie einbezogen werden, mit dem Ziel externe Zugriffe auf das eigene System zu überwachen und den Datenverkehr nachvollziehbar zu machen.
Um mehr Transparenz innerhalb der Lieferkette zu schaffen, müssen alle Akteure aufgelistet und entsprechend ihrer Kritikalität bewertet werden. Dabei sollten unter anderem folgende Fragen berücksichtigt werden:
- Hat das Unternehmen Zugriff auf unsere Systeme?
- Welche Daten werden geteilt? Wie sensibel sind diese?
- Wie sind die Fähigkeiten des Anbieters zur Datenverschlüsselung?
- Gibt es Richtlinien zur Nutzung von MFA, Passwörtern oder Cloud-Nutzung?
Auf Grundlage dieser Erkenntnisse, können konkrete Cybersicherheitsanforderungen für alle Vendoren erarbeitet werden. Dazu zählen Vorgaben zum Einsatz bestimmter IT-Sicherheitsmaßnahmen, Richtlinien zum Umgang mit sensiblen Daten oder die Einführung eines Notfallplans. Im Rahmen von wiederkehrenden Audits muss die Einhaltung regelmäßig überprüft werden, um die Umsetzung in den Unternehmen sicherzustellen.
Steigende IT-Sicherheitsanforderungen an kleine und mittelständische Unternehmen
Mit zunehmender Frequenz und Komplexität der Cyberangriffe, steigt nicht nur das Bewusstsein für die indirekte Bedrohung über die Lieferkette, sondern auch die IT-Sicherheitsanforderungen an Zulieferer und Dienstleister. Gut geschützte Unternehmen sehen sich durch die mangelnden Vorkehrungen anderer Akteure der Supply Chain gefährdet und verlangen die Erfüllung konkreter Cybersicherheitsanforderungen.
Da das Assessment aufwendig und zeitintensiv sein kann, gewinnen standardisierte Zertifizierungen wie die TISAX oder ISO 27001 zunehmend an Bedeutung. Das bringt vor allem kleine und mittelständische Unternehmen, die sich bislang nur wenig mit dem Thema Cybersicherheit beschäftigt haben, in Zugzwang – gleichzeitig fehlt es hier oftmals an Fachpersonal und entsprechenden Ressourcen. Ein grundlegender Schutz kann dabei jedoch schon mit kleinem finanziellem und personellem Aufwand und ohne dediziertes IT-Personal erreicht werden. Die meisten Cybersecurity-Maßnahmen wie Threat Intelligence
and Response, Cloud- und Email-Security oder Mobile Device Management können an Drittanbieter ausgelagert werden. Auch die Implementierung eines Informationssicherheits-Managementsystem (ISMS) und dessen Zertifizierung nach aktuellen Standards wie ISO 27001 oder TISAX, kann effizienter und kostensparender durchgeführt werden.
Wichtig ist jedoch, dass in den steigenden Anforderungen nicht nur eine Hürde, sondern ebenso eine Chance erkannt wird, durch die ein höherer Sicherheitsstandard über Branchen hinweg erreicht wird und Unternehmen, die die Relevanz entsprechender Zertifikate frühzeitig erkennen, einen Wettbewerbsvorteil generieren.