Supply Chain Security - wie man laut Boll die Hintertür absichert
Mit NIS-2 ist der Bereich Supply Chain Security um ein wichtiges Thema reicher geworden. Obwohl es eine EU-Richtlinie ist, wirkt sie sich auch auf Schweizer Unternehmen aus. Was es hierzulande zu beachten gilt, sagt Thomas Boll, CEO von Boll Engineering.
Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?
Thomas Boll: Es besteht natürlich immer die potenzielle Gefahr, dass ein Unternehmen durch die Kommunikation mit seinen Partnern Malware einfängt. Namentlich dann, wenn direkte Verbindungen zu den Netzen der Lieferanten bestehen (zum Beispiel via API). Aber auch die Lieferung infektiöser Software oder infizierter Hardware hat das Potenzial, Schadcode ins eigene Netz einzuschleusen. Bleibt dies unbemerkt, wird der Schadcode weiter "distribuiert".
Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?
Es gilt unter anderem, das eigene Netzwerk kontinuierlich auf Schadcode zu scannen, Zugänge dichtzumachen, Übertragungswege zu verschlüsseln und kontinuierlich zu prüfen, ob beispielsweise Leaks des eigenen Unternehmens im Darknet auftauchen. Themen wie Threat Intelligence, Endpoint-Schutz (EDR), Attack Surface Management, Incident Response oder Extended Detection and Response (XDR) gehören ebenfalls dazu. Bedeutsam ist ferner die Umsetzung einer Zero-Trust-Architektur, die ausschliesslich zwingend notwendige Zugriffe auf Daten und Applikationen zulässt und diese auch kontrolliert und dokumentiert – Stichwort PAM. Im Bereich organisatorischer Massnahmen gilt es, dafür zu sorgen, dass sich die Unternehmen der zahlreichen Risiken bewusst werden (Risk Assessment) und prüfen, ob die notwendigen technischen und organisatorischen Massnahmen umgesetzt sind.
Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?
Lieferketten sind komplexe Gebilde, da in der Regel zahlreiche Lieferanten und Kunden involviert sind. Dabei ist es für die einzelnen Firmen oft nicht möglich, deren Partner zu kontrollieren beziehungsweise diese zu auditieren. Die NIS-2-Richtlinie, die der ISO-27001-Norm übrigens sehr ähnlich ist, verschafft den Marktteilnehmenden jedoch ein gewisses Mass an Sicherheit, dass die einzelnen Partner die notwendigen Massnahmen und Vorkehrungen zur Einhaltung der Richtlinie getroffen haben.
Die Vorgaben richten sich grundsätzlich an europäische Unternehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?
Sobald nur schon ein Kunde im europäischen Raum ansässig ist, ist der Lieferant von der NIS-2-Richtlinie betroffen. Kommt hinzu, dass der Schweizer Gesetzgeber erfahrungsgemäss nachzieht und demnach NIS-2-ähnliche Richtlinien in einigen Jahren auch in der Schweiz zu erwarten sind. Leider betrifft NIS-2 sämtliche Firmen in der Lieferkette gleichermassen – unabhängig davon, wie gross oder wichtig sie sind. Sinnvoll wäre jedoch eine Unterscheidung nach deren Wichtigkeit. Geht beispielsweise ein E-Shop mit Commoditiy-Produkten durch einen Cybervorfall unter, stehen zahlreiche alternative Bezugsquellen zur Verfügung. Ganz anders bei einer in die Cloud outgesourcten Buchhaltung. Fällt der Service aus oder finden sich gestohlene Daten im Darknet wieder, hat dies gravierende Folgen.
Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?
Es besteht das Risiko, von den anderen Marktteilnehmenden als Lieferant gemieden zu werden.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
- Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
- Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
- Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
- Markus Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
- Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
- Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
- Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Quickline steigert Erlös auf 248 Millionen Franken
Adnovum erzielt Rekordumsatz
Logitech erhöht Umsatz, aber hadert mit Zöllen
Update: Softwareone verzichtet auf Mindestannahmeschwelle für Crayon-Übernahme
Gangnam Style im Mittelalterstil
Zahl behördlicher Überwachungsmassnahmen in der Schweiz verdoppelt sich
Was Grossunternehmen können, können KMUs genauso
Warum erfundene Programmbibliotheken die Softwarelieferkette bedrohen
MMTS und Media Solutions bringen Pro-AV zur Home & Professional
