Home Praxis Erfolgsfaktor IT-Sicherheit in der Lieferkette
Unsplash/Campaign Creators

Erfolgsfaktor IT-Sicherheit in der Lieferkette

von Claus

Cyberkriminalität richtet weltweit Milliardenschäden an: Allein US-Unternehmen kosten IT-Sicherheitsvorfälle jährlich 446 Milliarden Dollar, ermittelte das Center for Strategic and International Studies (CSIS) im Auftrag von McAffee. Chinesische Unternehmen verlieren demnach mehr als 45 Milliarden Dollar, die deutsche Wirtschaft beziffert Verluste in Höhe von 60 Milliarden Dollar – mit 1,6 Prozent des Bruttoinlandsprodukts der höchste gesamtwirtschaftliche Schaden. Auch moderne Lieferketten, global und hochgradig vernetzt, sind zunehmend bedroht von Cyberattacken. Doch wo liegen mögliche Einfallstore und wie können Sie Ihre Supply Chain umfassend absichern?

Bedrohung durch Cyber-Attacken – Lieferketten gefährdet

Anfang Dezember 2021 erhöhte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bedrohungslage in Deutschland auf die Warnstufe rot. Der Grund: eine kritische Software-Schwachstelle in der Java-Bibliothek Log4j, genutzt von tausenden Unternehmen weltweit. Das Log4shell getaufte Leck sei „trivial ausnutzbar“ und könne zu „einer vollständigen Komprimittierung der Zielsysteme“ führen, hieß es.

Neben dem Diebstahl von Daten wächst besonders ein Bedrohungsszenario stetig an: Supply Chain-Attacken in Kombination mit Ransomware (Schadsoftware). Diese ermöglicht es hoch spezialisierten Invasoren, in IT-Systeme einzudringen, unternehmenskritische Daten zu verschlüsseln und Lösegeld bei den Geschädigten zu erpressen. Wie das US-Heimatschutzministerium erklärte, haben Unternehmen im vergangenen Jahr etwa 350 Millionen Dollar gezahlt, um wieder Zugriff auf ihre Daten zu erhalten.

Das Tückische: Der Angriff muss nicht zwingend das eigene Unternehmen treffen. In einer Studie des US-amerikanischen Security-Dienstleisters BlueVoyant gaben mehr als 80 Prozent der Befragten an, bereits Opfer eines indirekten Angriffs geworden zu sein. Gerade für Logistikverantwortliche ergibt sich daraus ein Szenario, welches sie in ihr Supply Chain Risikomanagement (SCRM) integrieren sollten. Denn: Wird ein Akteur innerhalb des Liefernetzwerkes kompromittiert, kann dies Folgen für alle Supply Chain Partner*innen haben: Frachtdaten oder Zolldokumente sind nicht länger zugänglich, Produktionsdaten fehlen, automatisierte Prozesse werden unterbrochen.

IT-Sicherheit in der Supply Chain: Unternehmen reagieren zögerlich

Die Bedrohungslage ist durchaus bekannt: Bereits 2017 identifizierten 41 Prozent der 200 für das 7. Hermes-Barometer befragten Logistikverantwortlichen IT-Sicherheitsvorfälle als größte Bedrohung für die eigene Lieferkette. Die Frage, ob Unternehmen zukünftig deutlich mehr in die IT- und Datensicherheit innerhalb der Supply Chain investieren müssen, bejahten 83 Prozent der Befragten – in Unternehmen von 250 bis 1000 Mitarbeitern sogar 93 Prozent.

Auch aktuelle Studien belegen das Gefährdungspotential: Für die Studie „Digital Trust Insights 2022“ befragte das Wirtschaftsprüfungs- und Beratungsunternehmens PwC weltweit rund 3600 Führungskräfte, 258 davon in Deutschland. Demnach erwarten 60 Prozent der befragten deutschen Führungskräfte eine Zunahme von Cyberattacken. Gleichzeitig geben über 80 Prozent der Befragten an, dass die Komplexität der Materie zu hoch sei. In der Folge hat etwa ein Drittel (32 Prozent) der deutschen Führungskräfte wenig bis gar kein Verständnis für die IT und Software-Risiken innerhalb ihrer Lieferkette. Daraus resultiert, dass rund 60 Prozent der Befragten keine Maßnahmen (wie zum Beispiel die Verfeinerung der Kriterien für die Auswahl von Zulieferern) ergriffen haben.

Weitere Beiträge

Das Risikopotential von Lieferketten senken

Moderne Lieferketten sind komplexe Systeme, die eine Vielzahl von Partner*innen, Dienstleister*innen und Kund*innen in einer übergreifenden IT-Architektur verbinden. Produzierende Großunternehmen kooperieren in ihrer Supply Chain nicht selten mit bis zu 4000 Betrieben. Im Rahmen der Logistik 4.0 verwandeln sich Lieferketten in dynamische, datengesteuerte Systeme. Die digitale Koppelung macht jedes Glied der Kette anfällig für Cyberangriffe. Die Lage ist umso bedrohlicher, da kaum ein Unternehmen über umfassende Informationen zu den verschiedenen IT-Sicherheitssystemen seiner Partner*innen verfügt.

Um die IT-Risiken für die eigene Lieferkette zu senken, sollten Logistikverantwortliche ein detailliertes Risikoscreening vornehmen: Ein transparente Supply Chain sowie fundiertes Lieferantenmanagement können hier bereits wertvolle Erkenntnisse für das eigene SCRM bringen.

Zu mehr Sicherheit kann darüber hinaus eine cloudbasierte SCM-Plattform beitragen. Dabei werden Daten zentral an einem Ort, in der Cloud, gespeichert, was die Einsehbarkeit und Steuerung der Prozesse von jedem Ort der Welt ermöglicht – ein wichtiger Schritt auch zur Optimierung der Supply Chain. Idealerweise vernetzen sich innerhalb der SCM-Software alle beteiligten Supply Chain Akteure (Produzent*innen, Lieferant*innen, Händler*innen etc.) miteinander. Das ermöglicht nicht nur eine transparente und agile Supply Chain Planung, es führt auch zu einer höheren IT-Sicherheit: Abweichungen von der Norm werden schneller identifiziert und die Definition von Berechtigungskonzepten stellt sicher, dass den verschiedenen Akteuren nur die für sie relevanten Informationen angezeigt werden. Das schützt die Daten vor dem Zugriff unberechtigter Dritter und sorgt im Ernstfall für klare Verantwortlichkeiten.

Unerlässlich in der Supply Chain 4.0: Monitoring, Transparenz und Nachverfolgbarkeit

Zugangskontrollen wie Firewalls sind für die IT-Sicherheit innerhalb der Supply Chain ebenfalls von Bedeutung, um das Netzwerk vor Eindringlingen von außen zu bewahren. Wenn Cyberkriminelle jedoch versuchen, das System von innen zu kompromittieren, kann die digitale Wall nicht mehr viel ausrichten. Denn die Nutzung von Updates zum Einschleusen von Schadsoftware ist nur ein Weg, die Lieferkette zu manipulieren. Das häufigste Einfallstor für Ransomware sind Pishing-Mails mit infizierten E-Mail-Anhängen, die an eine Vielzahl von Mitarbeitenden verschickt und unwissend geöffnet werden. Über die Konten von Mitarbeitenden verschaffen sich Kriminelle den Zugang in das Lieferketten Netzwerk – und zu kritischen Daten.

Angesichts der zunehmenden Gefährdungslage sollten Verantwortliche bis in die Führungsebene hinauf ihre Lieferketten detailliert kennen, deren IT-Sicherheit analysieren und bei Bedarf unverzüglich nachbessern. Für die moderne Supply Chain mit ihrem unendlichen Datenfluss sind Transparenz, Nachverfolgbarkeit und softwaregestütztes Monitoring, wie mit Hilfe einer SCM-Software möglich, unerlässlich.

SCRM sollte IT-Sicherheit mitdenken

IT-Sicherheitsrisiken sind für internationale Lieferketten eine reale Bedrohung und können im schlimmsten Fall zu Ausfällen und Kosten im vielstelligen Bereich führen. Verantwortliche sollten die IT-Sicherheit daher als Teil ihres ganzheitlichen Supply Chain Risikomanagements verstehen und Prozesse in definierten Abständen kritisch überprüfen. Ob der Einsatz einer SCM-Software, ein automatisierter Anti-Phishing-E-Mail-Schutz oder die Schulung und Sensibilisierung der Mitarbeiter*innen – es gibt viele Mittel und Wege, die IT-Sicherheit der Supply Chain zu erhöhen. Diese Maßnahmen gilt es strategisch zu bündeln, um für umfassenden Schutz entlang der gesamten Lieferkette zu sorgen und Kriminellen erfolgreich Paroli zu bieten.

Sie möchten mehr zum Thema Supply Chain Risikomanagement erfahren? In unserer Webinarreihe zum Thema bieten wir Ihnen wertvolle Einblicke: Von der Identifikation von Risikofeldern bis hin zur erfolgreichen Implementation von SCRM-Maßnahmen für Ihre Lieferkette. Hier kommen Sie direkt zu den kostenfreien Webinaraufzeichunungen.

Hier können Sie alle Ergebnisse der PwC-Studie „Digital Trust Insights 2022“ kostenfrei einsehen.

Lesen Sie auch unser aktuelles Hermes-Barometer “IT- und Datensicherheit in der Supply Chain”, hier zum kostenlosen Download.

Ähnliche Beiträge

Schreiben Sie einen Kommentar

* Wenn Sie dieses Formular nutzen, stimmen Sie unseren Datenschutzbestimmungen zu.