Gegen den eingekauften Sicherheitsvorfall - Supply Chain Risk Management

Lieferanten und Dienstleister haben einen wesentlichen Einfluss auf die Sicherheit eines Unternehmens. Kein Unternehmen agiert isoliert. Medienwirksame Vorfälle wie SolarWinds (2020) oder Xplain (2023) zeigen wie gross die Auswirkung von Sicherheitsvorfällen bei Lieferanten sein kann. Supply Chain Risk Management (SCRM) oder Third Party Risk Management (TPRM) rücken daher zunehmend in den Fokus von Regulatoren (FINMA, BAV etc.) und Standardisierungsgremien (ISO/IEC, NIST, BSI etc.). Höchste Zeit also, sich mit der Frage auseinanderzusetzen, wie man die Sicherheit in der eigenen Lieferkette gewährleisten kann. In verschiedenen Projekten durften wir unsere Kunden in den letzten Jahren in diesem Bereich unterstützen. Jedes Unternehmen hat eine andere Ausgangssituation und andere Herausforderungen, dennoch haben sich einige allgemeine Grundsätze in der Herangehensweise bewährt.

Welche Risiken lauern in der Lieferkette?

Es gibt verschiedene Risikoszenarien, die berücksichtigt werden müssen. Verarbeitet ein Dienstleister Daten, können diese bei ihm gestohlen werden. Liefert der Anbieter Software, kann diese manipuliert sein. Ist der Lieferant von einem Cyberangriff z.B. Ransomware betroffen, kann er seine Produkte nicht mehr liefern oder seine IT-Services nicht mehr bereitstellen. Verfügt das Produkt, die Software oder der IT-Service nicht über die notwendigen Sicherheitsfunktionen, ist eine Integration in die Sicherheitsarchitektur gefährdet. Das Cybersecurity Supply Chain Risk Management muss alle diese Risiken adressieren.

Was kann man tun?

Das klingt nach einer grossen Herausforderung und dies ist es auch. Wo fängt man also an? Zunächst ist es wichtig die eigenen Lieferanten und Service-Anbieter zu kennen. Man kann schliesslich nur managen was man kennt. Ein gutes Supply Chain Risk Management beginnt also bei der Inventarisierung der Lieferanten als erster Schritt zu einem umfassenden Lieferantenmanagement. Das Supply Chain Risk Management kann nicht alleine von der Sicherheitsorganisation vorangetrieben werden. Es braucht die Mitarbeit von Legal, Finance und Procurement. Ohne robuste, zentralisierte Einkaufsprozesse ist es schwierig aber nicht unmöglich sicherzustellen, dass Cyberrisiken in den Lieferantenbeziehungen ausreichend identifiziert und behandelt werden. Cyberrisken hängen dabei nicht unbedingt vom Auftragsvolumen ab. Eine kritische Software kann auch wenig oder gar nichts kosten und trotzdem ein erhebliches Cyberrisiko bergen. Man benötigt eine Methodik, um kritische Lieferanten unabhängig des Auftragsvolumens zu identifizieren. Jedes Beschaffungsprojekt wird in der Folge auf diese Weise bewertet. Faktoren für die Bewertung können z.B. die Art des Beschaffungsobjekts, die Bedeutung der Lösung für Businessprozesse oder die Art der verarbeiteten Daten sein. Ein ausgelagerter IT-Service der Kundendaten bearbeitet, ist kritischer als eine Desktopanwendung die keine Verbindung zur Aussenwelt hat. Wenn ich meine kritischen Lieferanten identifiziert habe, muss ich meine Erwartungen an sie kommunizieren. Es reicht nicht anzunehmen, dass der Lieferant sich angemessen um die Sicherheit seiner Produkte und Dienstleistungen kümmern wird. Sicherheit muss daher in Ausschreibungen und Verträgen explizit und konkret eingefordert werden. Exemplarisch seien an dieser Stelle nachfolgende Themen genannt, welche vertraglich geregelt werden sollte:

• Der Lieferant verfügt über ein angemessenes Managementsystem für Cyberrisiken.
• Die Mitarbeitenden des Lieferanten werden regelmässig bezüglich Cyberrisiken sensibilisiert und geschult.
• Cybersecurity ist integraler Teil der Entwicklungs- und Wartungsprozesse des Lieferanten.
• Der Lieferant verfügt über Prozesse zur Meldung und Behebung von Schwachstellen.
• Es ist geregelt wie die Zusammenarbeit bei einem Cybervorfall funktioniert.
• Der Lieferant ist verpflichtet die Anforderungen gegebenenfalls an seine Lieferanten weiterzugeben.
• Der Lieferant bietet eine Möglichkeit, dass die Einhaltung der vertraglichen Verpflichtungen überprüft werden können.

Wie überprüfe ich meine Lieferanten?

Der letzte Punkt bringt uns zum nächsten Thema. Wie kann sichergestellt werden, dass der Anbieter seinen Verpflichtungen auch nachkommt? In der Vergangenheit wurde den Lieferanten oft ein Fragebogen zum Selfassessment zugeschickt. Solche Selfassessments sind zwar besser als nichts, aber haben nur beschränkte Aussagekraft. Eine Zertifizierung des Anbieters z.B. nach ISO/IEC 27001 ist ein Indiz dafür, dass der Anbieter ein gewisses Mass an Sicherheit bietet. Auf eine solche Zertifizierung allein sollte man sich aber nicht verlassen. Am wirksamsten sind eigene Audits, welche mit einem Auditrecht (Right-to-Audit) vertraglich vereinbart werden. Diese sind aber aufwändig, sowohl für das eigene Unternehmen als auch für den Anbieter. In der Praxis sind sie daher nur punktuell durchführbar und sollten besonders wichtigen Lieferanten oder bei klaren Verdachtsmomenten vorbehalten bleiben. Als wichtiges Instrument zur Überprüfung von Lieferanten haben sich in den letzten Jahren Assurance-Reports etabliert. Diese werden in der Regel nach den Standards ISAE 3402 oder ISAE 3000 erstellt. Insbesondere IT-Dienstleister lassen solche Berichte erstellen. In einem solchen Bericht bestätigt eine unabhängige Prüfgesellschaft, dass der Anbieter definierte Sicherheitskontrollen wirksam umgesetzt hat. Es ist wichtig zu verstehen, dass die geprüften Kontrollen vom Anbieter selbst festgelegt werden. Die ISAE-Standards legen lediglich den Prozess der Prüfung fest, nicht aber den Prüfinhalt. Um einen solchen Bericht als Nachweis im Rahmen meines Supply Chain Risk Managements verwenden zu können, muss daher zunächst der Umfang der geprüften Kontrollen analysiert und sichergestellt werden, dass dieser den Anforderungen entspricht. Es reicht natürlich nicht aus, in den Verträgen ein Auditrecht zu fordern oder die Lieferung von Assurance-Reports zu verlangen. Prüfungen müssen geplant und durchgeführt werden. Assurance-Reports müssen eingefordert und geprüft werden. Dazu braucht es entsprechende interne Prozesse oder IKS-Kontrollen.

Eine Herausforderung, der wir bei unseren Kunden immer wieder begegnen, ist, dass die Lieferanten mit den Anforderungen überfordert sind. Es ist immer wieder erstaunlich, wie viele Unternehmen Schwierigkeiten haben, selbst grundlegende Sicherheitsanforderungen zu erfüllen. Es lohnt sich genau hinzuschauen und Cybersecurity als Kriterium bei der Lieferantenauswahl zu berücksichtigen. Bei OT-Lösungen im industriellen Umfeld ist die Situation oft noch schwieriger. Oft fehlt es an einer Alternative, welche die funktionalen Anforderungen erfüllt und gleichzeitig die gewünschte Cybersecurity gewährleistet. Leider ist das Bewusstsein für Cybersecurity gerade im OT-Umfeld teilweise noch sehr gering. Dennoch ist es ratsam den Lieferanten aufzuzeigen, was man von ihnen erwarten. Nur so kann sich der Markt zum Besseren entwickeln. Solange die Kunden Cybersecurity nicht einfordern und nicht bereit sind dafür zu zahlen, werden sich die Lieferanten nicht bewegen.

Wie geht man damit um, wenn Lieferanten noch nicht soweit sind und ein Verzicht auf Produkte oder Lösungen keine Option ist? Hier lohnt es sich genau zu prüfen wo die Mängel beim Produkt oder in der Sicherheit des Anbieters liegen, damit diese mit kompensierenden Massnahmen adressiert und so die Cyberrisiken reduziert werden können. Die Voraussetzung ist, dass diese Mängel und die damit verbundenen Risiken bekannt sind. Ein Cybersecurity Supply Chain Risk Management kann genau dies bieten.

Und wenn trotzdem etwas passiert?

Ein Vorfall beim Lieferanten kann auch mit der grössten Vorsicht bei der Wahl des Lieferanten nicht ausgeschlossen werden. Es gilt daher sich darauf vorzubereiten, um mit einem Vorfall umgehen zu können. Die Lieferkette muss Teil des Incident Response Prozesses sein. Die notwendigen Grundlagen müssen bei der Auswahl der Lieferanten und in den Verträgen geschaffen werden. Zumindest mit den wichtigen Lieferanten und Anbietern sind die Incident Response Pläne regelmässig auch zu testen.

Fazit

Wir haben gelernt, dass man seine Lieferanten kennen, seine Erwartungen kommunizieren und vereinbaren sowie deren Einhaltung überprüfen muss. Schliesslich muss man mit einem möglichen Sicherheitsvorfall in der Lieferkette rechnen und sich darauf vorbereiten. Cybersecurity in der Supply Chain ist letztlich eine gemeinsame Aufgabe, die man in partnerschaftlicher Zusammenarbeit mit seinen Lieferanten zu bewältigen hat. Schliesslich muss man sich bewusst sein, dass alle Unternehmen Teil eines komplexen und vernetzten Systems sind, in dem sie sowohl Kunde als auch Lieferant sind.