Die Welt war noch nie so eng miteinander verflochten. Dank Cloud- und digitaler Technologien können Unternehmen heutzutage global wachsen und erfolgreich sein. Diese Vernetzung ist jedoch mit einem erhöhten Risiko verbunden – Partner, Anbieter und Drittparteien können Unternehmen gefährden und böswillige Hacker sind dafür bekannt, Unternehmen über ihre Supply Chain anzugreifen. Infolgedessen ist das Risikomanagement in der Supply Chain zu einer wichtigen Komponente des Risikomanagements und der Cybersicherheitsstrategie eines Unternehmens geworden.
In diesem Artikel gehen wir auf die Risiken von Angriffen auf die Supply Chain ein, besprechen, wie Unternehmen sich schützen können und wie sich das Risiko reduzieren lässt, dass ein Angriff auf die Supply Chain zu umfassenden Problemen für ein Unternehmen führt.
Es gibt zwar einige allgemeine Risiken, die man beachten sollte, wenn man von verschiedenen Partnern in der Supply Chain abhängig ist. Wir werden uns allerdings auf aktive Angriffe konzentrieren, die Sie in Mitleidenschaft ziehen können – wie der Angriff auf SolarWinds und seine Kunden, zu denen viele der weltweit größten Unternehmen gehören.
Der Angriff auf SolarWinds war ein Weckruf für viele Firmen. Eine staatlich gesponserte Hackergruppe infiltrierte erfolgreich SolarWinds, das Infrastrukturdienste für über 80 % der Fortune-500-Unternehmen, für Bundesbehörden und für hunderte öffentliche Bildungseinrichtungen bereitstellte.
Die Angreifer lauerten in den Netzwerken der Unternehmen und konzentrierten sich darauf, unentdeckt zu bleiben und Informationen zu stehlen. Dadurch ist deutlich geworden, wie wichtige Drittanbieter selbst für die erfolgreichsten Unternehmen der Welt eine ausnutzbare Schwachstelle darstellen können. Mehr als je zuvor muss die Supply Chain eines Unternehmens Teil der Risikomanagement-Strategie werden.
Durch Supply-Chain-Risikomanagement wird sichergestellt, dass Ihre Anbieter Sie keinen Risiken aussetzen, und dass die Gefahren für Sie in Grenzen gehalten werden, wenn Ihre Anbieter angegriffen werden oder ein anderweitiger Vorfall bzw. eine Bedrohung bei ihnen auftritt.
Es gibt eine Vielzahl von Gefahren für Ihre Supply Chain. Diese Bedrohungen zu kennen ist unerlässlich, um sicherzustellen, dass Sie geschützt sind und über die richtigen Prozesse verfügen, um den Schaden im Worst-Case-Szenario zu mindern.
Das Aufkommen der Cloud hat Unternehmen die Möglichkeit gegeben, für viele ihrer kritischen und nicht-kritischen Geschäftsprozesse auf cloudbasierte Anbieter zurückzugreifen. Dabei geht es beispielsweise um Content-Management-Systeme, Social-Media-Management und Datenbank-Hosting und -Dienste.
Angreifer können diese kritischen Anbieter ins Visier nehmen, da sie wissen, dass sie dadurch Zugang zu den Daten und/oder Systemen vieler Unternehmen erhalten könnten. Wenn ein böswilliger Akteur es jedoch speziell auf Ihr Unternehmen abgesehen hat, greift er möglicherweise einen Ihrer weniger kritischen Anbieter an und spekuliert darauf, dass dessen Sicherheitsmaßnahmen weniger gut ausgebaut sind und er so Zugang zu Ihren Daten erhalten könnte.
Software-Anbieter sind auf Open-Source-Software angewiesen, damit ihr Produkt seine Dienste erbringen und ordnungsgemäß funktionieren kann – und das birgt ein Risiko. Bei Open-Source-Software ist der Quellcode öffentlich. Dadurch wird die Software zugänglich und kostengünstig und jeder hat die Möglichkeit, den Quellcode zu verbessern.
Diese Vorteile ermöglichen in der Regel mehr Agilität und Verbesserungen durch die Community und halten die Kosten niedrig. Allerdings können bösartige Akteure so auch den Quellcode nach Schwachstellen durchsuchen, die sich offenlegen und ausnutzen lassen. Solange die Schwachstelle Ihnen unbekannt ist, können Sie leicht Opfer eines Angriffs werden.
Die Risiken sind jedoch nicht nur digitaler Art. Die Unternehmen, von denen Sie Ihre Sicherheitskameras, Ihre Drucker oder Ihre drahtlosen Geräte (beispielsweise Modems und Router) beziehen, stellen ebenfalls ein Risiko dar. Hardware wird fast immer mit einer digitalen oder drahtlosen Komponente geliefert, die die Angriffsfläche eines Unternehmens erweitert.
Wenn diese Hardware-Geräte über hardcodierte Passwörter oder minimale Sicherheitsvorkehrungen verfügen, oder wenn Sie die Standard-Passwörter nicht geändert haben, bietet das ein Einfallstor für Angriffe. Ein böswilliger Hacker, der über diese Geräte an sensible Daten gelangen oder in Ihr Netzwerk eindringen möchte, kann sich über solche unsicheren Geräte leicht Zugang verschaffen.
Die Risiken in Ihrer Supply Chain zu verstehen ist nur die halbe Miete. Um Ihr Supply-Chain-Risiko effektiv zu managen, müssen Sie es ganzheitlich und umfassend betrachten und interne und externe Faktoren mit einbeziehen.
Staatliche Akteure nehmen häufig Unternehmen ins Visier, um geistiges Eigentum zu stehlen, Unternehmen anzugreifen, die mit Regierungen zusammenarbeiten, oder sich einen Weg in eine Firma zu bahnen und entweder das Netzwerk auszuschalten oder Informationen abzuschöpfen, bis sie gefasst werden. Solche bösartigen Akteure können viele der oben aufgeführten Risiken ausnutzen oder mehrere Risikofaktoren einsetzen, um die Drittanbieter eines Unternehmens anzugreifen.
Wie wir bereits erwähnt haben, war der SolarWinds-Angriff das Ergebnis eines im Ausland ansässigen Akteurs. Die USA haben auch den Einsatz von Telekommunikationsgeräten aus bestimmten Ländern für kritische Infrastrukturelemente gesperrt, unter Berufung auf die nationale Sicherheit.
Wenn ein Anbieter wie Slack angegriffen wird, beeinträchtigt das die Kommunikationsfähigkeit Ihres Unternehmens. Sie können sich jedoch weiterhin auf andere Kommunikationsformen verlassen. Letztendlich hat das keinen Einfluss auf Ihre geschäftlichen Dienstleistungen.
Wenn jedoch Ihr Cloud-Dienstleister angegriffen wird und nicht verfügbar ist, kann sich das auf Ihre Website, Ihre Daten und die Daten Ihrer Kunden auswirken, was Ihrem Unternehmen gegebenenfalls jede Möglichkeit nimmt, weiter seine Dienstleistungen zu erbringen.
Nehmen wir das Slack-Beispiel von vorhin. Wenn ein böswilliger Hacker speziell auf Ihre Organisation abzielt und weiß, dass Sie Slack als Anbieter verwenden, kann er Schwachstellen ausnutzen, um auf das Slack Ihres Unternehmens zuzugreifen. Anschließend kann er wichtige Daten finden, sich in sensiblen Kanälen umschauen und sogar in das Netzwerk Ihres Unternehmens gelangen.
Aber wenn Sie Ihr Slack (oder ähnliche Anbieter) unter Berücksichtigung von Sicherheitsaspekten eingerichtet haben, können Sie sicherstellen, dass keiner Ihrer Anbieter unnötigen Zugriff auf Ihr Netzwerk oder Ihre Daten gewährt.
Das Risikomanagement in Ihrer Supply Chain kann schnell kompliziert werden, insbesondere im Vergleich zur Sicherung Ihrer eigenen internen Systeme und Umgebungen. Es ist ein fortlaufender Prozess und sollte ein fester Bestandteil Ihrer gesamten Risikomanagement- und Cybersicherheitsstrategie sein. Hier sind einige taktische Strategien, die Sie in Betracht ziehen sollten, um sich vor Angriffen auf Ihre Supply Chain zu schützen.
Wenn Sie nicht den richtigen Grad an Transparenz in Ihrer Supply Chain haben, wird es extrem schwierig, Risiken zu managen. Sie sollten funktionsübergreifend mit anderen Abteilungen zusammenarbeiten, um sicherzustellen, dass Sie eine Liste aller Anbieter, Drittparteien und Partner in Ihrer Supply Chain haben. Identifizieren Sie von dort aus, welche dieser Anbieter und Partner die größten Risiken für Sie darstellen. Wenn sie angegriffen werden, wirkt sich dies auf die Leistungsfähigkeit Ihres Unternehmens aus, oder auf Ihre Möglichkeiten, Ihre Kunden zu bedienen? Werden Ihre Daten oder Ihr Netzwerk gefährdet, falls ein solcher Angriff erfolgreich ist?
Wenn Sie verstehen, wie kritisch diese Anbieter sind, können Sie einen angemessenen Vorfallsreaktionsplan erstellen.
Viele Hacker und Bedrohungsakteure versuchen aktiv, über Drittanbieter in ein Unternehmen einzudringen. Dabei hoffen Sie, unentdeckt zu bleiben und die mangelhafte Sicherheit von Drittanbietern auszunutzen. Wenn Sie jedoch für korrekte Netzwerksegmentierung sorgen, den Netzwerkzugriff von Drittanbietern einschränken und sicherstellen, dass diese nur wirklich notwendige Daten verarbeiten, begrenzen Sie die Schäden, die Angreifer in Ihrem eigenen Netzwerk anrichten können.
Sie können nicht verhindern, dass zumindest ein Teil Ihrer Supply-Chain-Umgebung auf Ihr Netzwerk zugreift. Stellen Sie daher sicher, dass Sie diesen Zugriff überwachen und nachverfolgen können. Wenn einer Ihrer Anbieter sich abnormal verhält und evtl. auf nicht benötigte Daten oder Teile Ihres Netzwerks zugreift, kann dies auf eine Kompromittierung hindeuten.
Für Ihre geschäftskritischen Anbieter und Partner in der Lieferkette müssen Sie das Worst-Case-Szenario einplanen und sich mit einem Vorfallsreaktionsplan entsprechend vorbereiten. Stellen Sie sich ein Worst-Case-Szenario vor, in dem ein kritischer Anbieter komplett ausfällt. Wie kommunizieren Sie mit Ihren Kunden? Gibt es einen anderen Anbieter oder eine interne Lösung, auf die Sie zurückgreifen können? Wie schnell können Sie zum normalen Geschäftsablauf zurückkehren und gleichzeitig weiteren Schaden verhindern?
Wenn Sie für diese Szenarien planen, sollte die Priorität sein, so schnell wie möglich wieder zum normalen Geschäftsablauf zurückzukehren, die Datenexfiltration zu minimieren und sicherzustellen, dass Sie eine Kommunikationsstrategie haben, falls der Vorfall an die Öffentlichkeit gelangen sollte. So können Sie dafür sorgen, dass Sie Ihre Kunden bedienen können, ohne Ihre eigenen Systeme oder Ihr Netzwerk zu gefährden, und gleichzeitig Ihren Ruf wahren können.
Idealerweise sollte das Supply-Chain-Risikomanagement ganzheitlich betrachtet werden und Teil eines übergreifenden Risikomanagement-Frameworks sein. Somit können Sie sowohl internes als auch externes Risikomanagement sicherstellen und Ihrer Abteilung optimale Möglichkeiten bieten, mit Risiken umzugehen, wenn Ihr Unternehmen intern wächst und neue Anbieter aufnimmt.
Um mehr darüber zu erfahren, wie Sie Ihre internen Daten schützen und sicherstellen können, dass sie nicht in falsche Hände fallen, schauen Sie sich die Varonis-Lösung für Bedrohungserkennung und -bekämpfung an.