Um Cybersicherheits-Risiken entlang der Lieferkette einzudämmen, müssen Organisationen ihre Risiken kennen und bewerten, die Voraussetzungen und Vorgaben für ihre Lieferanten, Zulieferer und Provider festlegen und die Einhaltung derselben überprüfen. Hierzu sollten Unternehmen, Behörden und Organisationen einen strategischen Ansatz für die Cybersicherheits-Risiken in der IT/OT-Lieferkette verfolgen, das sogenannte Cyber-Supply Chain Risk Management (C-SCRM).
Die Strategie basiert idealerweise auf einer kontinuierlichen Überprüfung aller Abhängigkeiten in der IT/OT-Lieferkette. Das National Institute of Standards and Technology (NIST) hat hierzu eine Publikation sowie key practices (NISTIR 8276) veröffentlicht.
Pilotprojekt mit Planzer Transport AG
Damit Unternehmen, Behörden und Organisationen in der Schweiz ihre Anforderungen an die Cybersicherheit in der Lieferkette pragmatisch umsetzen können, führt das Bundesamt für Cybersicherheit (BACS) zusammen mit der Planzer Transport AG ein Pilotprojekt durch und hat einen einfachen Kreislauf mit konkreten Hilfsmitteln erarbeitet. Die Rückmeldungen zum Pilotprojekt werden laufend via Feedback-Formular gesammelt.
Massnahmen zum Schutz vor Cyberangriffen in der Lieferkette
1. Die Lieferkette kennen und sich der Cyberrisiken bewusst werden
Lieferketten erstrecken sich oftmals über viele Unternehmen weltweit. Um Risiken managen zu können, welche sich aus der Beziehung der Zulieferer zu deren Zulieferern oder aus anderen technischen und nicht-technischen Einflüssen ergeben, sollte eine bestmögliche Transparenz geschaffen werden.
Ein gutes Verständnis der eigenen IT/OT-Lieferkette hilft Organisationen, potenzielle Cyberrisiken für die eigene Organisation und für den Endkunden im Zusammenhang mit den Leistungen der verwendeten Lieferanten und Dienstleister zu verstehen.
2. Auswahl und Priorisierung von Lieferanten
Die richtige Auswahl der Lieferanten, Zulieferer und Provider ist eine wichtige Voraussetzung, um einen sicheren Betrieb der eigenen Organisation zu gewährleisten. Die Identifizierung des Business Impacts je Lieferant hilft bei der Priorisierung derselben. Dabei werden im Pilotprojekt grundsätzlich drei Typen von Lieferanten unterschieden:
- Partner, welche privilegierten Zugriff auf die internen Systeme bei der Organisation haben, und somit die IT/OT Umgebung der Organisation negativ beeinflussen können. Beispiele sind Partner die für den Betrieb eines Systems im Netzwerk der Organisation verantwortlich sind.
- Partner, welche der Organisation Hardware oder Software bereitstellen und bei Kompromittierung Schaden verursachen können. Dies sind zum Beispiel Microsoft Office oder andere selbst betrieben Fachanwendungen oder Systeme.
- Partner, welche der Organisation wichtige Dienstleistungen bereitstellen. Ein Wegfall dieser Dienstleistungen hat Auswirkungen auf die Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Dies sind zum Beispiel SaaS Partner, Logistikpartner, Outsource-partner wie Service Desks oder Zulieferer von Produkten.
Zum Priorisieren der Lieferanten muss sich die Organisation der potentiellen Cyberrisiken des Lieferanten bewusst sein, welche Art der Abhängigkeit besteht und welche Informationen mit dem Lieferanten geteilt werden. Damit sich die Organisationen die richtigen Fragen stellen können und bereits selber konkrete Massnahmen zur eigenen Cyberresilienz umsetzten können, hat das Bundesamt für Cybersicherheit (BACS) in Zusammenarbeit mit Planzer Transport AG Leitfragen ausgearbeitet.
3. Bestandesaufnahme
Die Bestandesaufnahme der Organisation wird durch den IT/OT-Verantwortlichen durchgeführt und ausgewertet. Bei Bedarf werden die eigenen Schutzmassnahmen verbessert und auf den aktuellen Stand der Technik gebracht.
4. Vorgespräch mit Lieferanten und Besprechung der Lieferantenprüfung
Die Leitfragen werden durch die Organisation je Lieferanten angepasst und dienen als Vorbereitung für das erste Lieferantengespräch. In diesem Gespräch wird der Lieferant auf das Thema Cybersicherheit in der Lieferkette sensibilisiert. Zudem werden die Leitfragen bei Bedarf gemeinsam durchgegangen und Unterstützung wird seitens Organisation angeboten.
5. Lieferantenprüfung
Die Organisationen können die Cybersicherheits-Risiken entlang der eigenen Lieferkette eindämmen, wenn sie einen engen Kontakt zu den Lieferanten pflegen und falls nötig entsprechende Kontrollstrukturen einführen.
Erfahrungen von Planzer Transport AG haben gezeigt, dass sich Bedingungen in der eigenen Lieferkette nur dann verbessern lassen, wenn Lieferanten die Veränderungsnotwendigkeit und den Vorteil für ihr Unternehmen erkennen. Daher sollte beim Lieferkettenmanagement der Kompetenzaufbau von Lieferanten im Mittelpunkt stehen. In der Praxis werden zwei Ansätze der Lieferantenprüfung unterschieden: Selbsteinschätzung und Vor-Ort-Überprüfungen.
Selbstauskünfte sind eine gute Grundlage für weitere Instrumente der Überprüfung wie z. B. Vor-Ort-Besuche oder Audits. Audits basieren grundsätzlich auf der Annahme, dass Lieferanten nicht gewillt sind, Anforderungen von Kunden umzusetzen und daher ein Kontrollansatz notwendig ist. Praxiserfahrungen von Planzer Transport AG deuten darauf hin, dass Lieferanten in der Regel zwar Anforderungen umsetzen möchten, jedoch nicht in der Lage sind, dies zu tun oder Anreize benötigen. Damit Organisationen die richtigen Fragen an ihre Lieferanten stellen können, hat das Bundesamt für Cybersicherheit (BACS) in Zusammenarbeit mit Planzer Transport AG Leitfragen ausgearbeitet.
6. Auswertung Lieferantenprüfung / Festlegen von Massnahmen
Die Selbsteinschätzung des Lieferanten wird im Anschluss durch die Organisation ausgewertet. Werden Abweichungen von den Anforderungen festgestellt, so ist der Lieferant angehalten, seine Leistung zu verbessern. Das Ziel der Lieferantenprüfung ist die Verbesserung der Lieferantenleistung und Cyberresilienz.
7. Lieferantenverträge
Bei einer erfolgreichen Lieferantenprüfung ist der nächste und letzte Zyklusschritt die Erstellung oder Überprüfung/Anpassung der Verträge. Der Lieferantenvertrag stellt eine rechtsgültige Verbindlichkeit zwischen der Organisation und dem Lieferanten dar und soll die Einhaltung der informationssicherheits- und datenschutzrechtlichen Vorgaben sicherstellen. Im Lieferantenvertrag regelt die Organisation unter anderem Haftungsfragen, Qualitätsanforderungen und Liefermodalitäten.
Weiterführende Links
- Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (nist.gov)
- NISTIR 8276 Key Practices in C-SCRM | CSRC
- Richtlinie EU: L_2022333DE.01008001.xml (europa.eu)
- ISO - ISO 9001 and related standards — Quality management
- CCMv4.0 Auditing Guidelines | CSA (cloudsecurityalliance.org)
Letzte Änderung 01.01.2024
