Bin ich Teil des Problems?
Jeder ist durch einen Angriff auf die Lieferkette gefährdet, aber sind wir uns alle unserer Verantwortung bewusst?
Die Supply Chain befindet sich im Wandel, daran besteht kein Zweifel. Noch vor wenigen Jahren war sie eine lineare, meist eindimensionale Struktur, die relativ leicht zu kontrollieren und zu verwalten war.
Dies ist jedoch keineswegs mehr der Fall, da inzwischen viele verschiedene Akteure beteiligt sind, von Start-ups und Einzelunternehmern bis hin zu multinationalen Konzernen.
Nehmen Sie Amazon als Beispiel. Der Einzelhandelsriese arbeitet mit Abertausenden von Anbietern unterschiedlicher Größe zusammen. Jeder dieser Endpunkte ist ein potenzieller Zugang zu Amazons Netzwerk und damit eine Möglichkeit, ein Unternehmen zu kompromittieren, das im zweiten Quartal 2021 einen Betriebsgewinn von 7,7 Milliarden US-Dollar erzielte.
Der Schmetterlingseffekt
Es ist natürlich problematisch, wenn ein Unternehmen Gefahr läuft, von einem Ein-Mann-Betrieb aus einem Gästezimmer heraus angegriffen zu werden. Und genau hier liegt der Kern des Problems: Während große Unternehmen über das Verständnis und die Ressourcen verfügen, um sich selbst zu schützen, halten sich kleinere Unternehmen entweder eines Angriffs nicht für würdig oder meinen, sie könnten es sich nicht leisten, sich mit dem richtigen Maß an Sicherheit auszustatten.
Harri Ruusinen, Director, Global Sales Engineering bei WithSecure, glaubt, dass es hier ein Muster gibt. "Für größere Unternehmen ist das inzwischen eine Selbstverständlichkeit. Sie verstehen, dass Zertifizierungen und Hintergrundüberprüfungen durchgeführt werden müssen. Kleinere Unternehmen werden jedoch überrumpelt, wenn sie von ihren Kunden aufgefordert werden, sich an die Protokolle zu halten. Es kann durchaus sein, dass Angreifer nicht an Ihren Daten interessiert sind, aber Sie haben vielleicht bestimmte Kunden, die für diese Angreifer interessant sind."
Tuomas Miettinen, WithSecure’s Technical Sales Enablement Manager, ist der Ansicht, dass eine Sicherheitsverletzung kleineren Unternehmen unermesslichen Schaden zufügen kann. "Kleinere Unternehmen verstehen oft nicht, dass dies immer noch die Art von Risikomanagement ist, die sie betreiben müssen. Wenn sie mit einer Sicherheitsverletzung in Verbindung stehen oder die Ursache dafür sind, könnte das schwerwiegende Folgen haben, denn es geht um Vertrauen. Wenn Vertrauen erst einmal verloren ist, ist es sehr schwer, es wiederherzustellen."
Ausgangssituation
Kleineren Unternehmen klar zu machen, dass sie eine ganze Lieferkette lahm legen und Kunden dauerhaft verprellen könnten, ist mit viel Angst verbunden. Kleine Unternehmen sind, insbesondere angesichts der aktuellen Entwicklungen in der Welt, bestrebt, wo immer möglich Einsparungen vorzunehmen, und der Gedanke, dass sie für Sicherheit Geld ausgeben müssen, schreckt sie ab.
"Natürlich braucht es ein ganzes Team, um Kontrollen einzurichten und einen Überblick zu gewinnen. Aber was kleinere Unternehmen tun können, ist sicherzustellen, dass die Bausteine vorhanden sind und dass sie sichere Lösungen verwenden. Sie müssen sicherstellen, dass sie alle Daten, die sie verarbeiten, schützen. Und hier können sie die Hilfe von Partnern in Anspruch nehmen, die im Falle von Angriffen und Risiken gerne einen außergewöhnlichen Service und Transparenz bieten", sagt Miettinen.
"Ich denke, als erstes ist das Verständnis für Ihr Risikomanagement wichtig. Können Sie es sich wirklich leisten, dass Ihnen ein Cybervorfall passiert, der zu einem Angriff auf die Supply Chain führen könnte? Danach ist die Installation von Endpoint Protection (EPP) und Endpoint Detection and Response (EDR) von entscheidender Bedeutung. Sie müssen sicherstellen, dass Sie über die Fähigkeiten verfügen, Vorfälle zu verhindern, zu erkennen und darauf zu reagieren, und wissen, an wen Sie sich wenden können, wenn Sie einen Verstoß vermuten. Im Grunde müssen Sie einen Partner für Cybersicherheit finden, der Ihnen bei Bedarf helfen kann. Schließlich ist es sinnvoll, sich mit einem Experten zu verbünden, der über jahrzehntelange Erfahrung an vorderster Front verfügt", so Ruusinen.
Erfahren Sie hier mehr über Ihre Rolle in der Supply Chain: Sicherheit in der Lieferkette liegt in der Verantwortung aller | WithSecure™
Wie geht es weiter?
Wie wir alle wissen, werden die Angreifer immer raffinierter. Das bedeutet, dass wir immer einen Schritt voraus sein müssen. Worauf sollten wir also in naher Zukunft achten, wenn es um den Schutz der Lieferkette geht?
Zusammenarbeit ist der Schlüssel. Der Austausch von Wissen und die Möglichkeit für Experten, das zu tun, was sie am besten können, wird uns allen ein sichereres Arbeiten ermöglichen. Doch mit der verstärkten Zusammenarbeit steigt auch die Zahl der Endpunkte und damit das Risiko von Angriffen. Wenn wir uns auf die Cloud zubewegen, müssen wir sicherstellen, dass sich jeder seiner Verantwortung innerhalb der Struktur bewusst ist.
"Wir müssen uns um unsere Cloud-Zusammenarbeit kümmern, während wir uns weiterentwickeln. Es könnte sein, dass Sie eine Community in der Cloud aufbauen, die von mehreren Partnern genutzt wird. Es handelt sich also um Ihren Dienst, aber externe Organisationen tauschen darin Dateien aus. Das bedeutet, dass Sie nicht nur sich selbst schützen müssen, sondern auch vermeiden müssen, dass andere Risiken einbringen", sagt Miettinen.
"Daran anknüpfend", warnt Ruusinen, "liegt es in der Verantwortung jedes Unternehmens, sich um seine Identität zu kümmern, z. B. Benutzername, Kennwort und Multi-Faktor-Authentifizierung. Machen Sie es den Angreifern so schwer wie möglich, eine Identität zu stehlen, denn sie können sehr leicht für Angriffe auf die Lieferkette verwendet werden", warnt Ruusinen.
Welchen Ratschlag würden unsere Experten abschließend für das Hier und Jetzt geben?
Miettinen: "Wir haben zwar maschinelles Lernen und KI, aber wir dürfen nicht vergessen, dass die endgültigen Entscheidungen immer noch von Menschen getroffen werden müssen. Ob Sie es glauben oder nicht, wir sind also immer noch überlegen! Maschinen helfen dabei, einen Großteil des Rauschens zu beseitigen und Transparenz zu schaffen, aber der Mensch muss prüfen und den letzten Schritt tun."
"Um es auf den Punkt zu bringen: Kaufen Sie gute Cloud-Dienste, denn es gibt viele Leute, die dafür sorgen, dass die Plattform sicher ist, und denken Sie daran, dass die Verantwortung bei Ihrem Unternehmen liegt", schließt Ruusinen.
Bildnachweis – Miltiadis Fragkidis