Seit Jahren nehmen Angriffe auf die IT-Lieferketten stark zu, stellten die Expert:innen der Kompetenzgruppe IT-Sicherheit im eco Verband bei ihrem Treffen im November fest. Die Expert:innen erarbeiteten in Köln-Ehrenfeld ganzheitliche und proaktive Strategien, um die eigene IT wirksam zu schützen und fassten die Erkenntnisse in sechs Punkten zusammen.
„Die Häufigkeit und Komplexität von Angriffen auf Lieferketten werden voraussichtlich zunehmen, da sie für Angreifer effektiver und potenziell lukrativer sind als andere Angriffs-Szenarien“, stellen die Expertinnen der eco Kompetenzgruppe IT-Sicherheit bei ihrem Treffen im November im eco Kubus in Köln-Ehrenfeld fest. Lieferkettenangriffe sind eine Form von Cyberattacken, bei denen die Angreifer die Software-Supply-Chain eines Unternehmens oder einer Organisation als Einfallstor nutzen, um Schadsoftware zu verbreiten oder Daten zu stehlen. Die Folgen von Lieferkettenangriffen gehen über finanzielle Verluste hinaus und können auch Reputations- und Vertrauensschäden verursachen.
„Angreifer nutzen Sicherheitslücken und das Vertrauen zwischen Kunden und Service Providern aus, um Schadsoftware zu verbreiten oder Netzwerke zu infiltrieren“, sagte Maik Wetzel von ESET in seinem Vortrag. Anhand von prominenten Beispielen wie NotPetya, Kaseya und Solar Winds verdeutlichte Wetzel, wie welch weitreichende Auswirkungen Angriffe in der Lieferkette haben können.
Hand in Hand für resilientere IT-Lieferketten
„Moderne Software-Lieferketten werden anfälliger für Angriffe“, sagte Matthias Riedel von SAP. Er gab einen globalen Überblick über die wirtschaftlichen und sozialen Konsequenzen der Angriffe. Denn die sind äußerst komplex und es besteht aktuell eine Herausforderung darin, dies vollständig zu erfassen. Riedel skizzierte die Chancen, die mit der Nutzung von Cloud-basierten Softwarelösungen für Lieferketten einhergehen und teilte Einblicke in die Sicherheitsmaßnahmen von SAP. Er gab auch einige Beispiele, wie SAP seine eigenen Lieferketten und die seiner Kunden schützt und optimiert, etwa durch Verschlüsselung, Zertifizierung und künstliche Intelligenz.
Längst nicht immer handeln die Angreifer sofort. Häufig wird ein Netzwerk zunächst infiltriert und der darauffolgende Angriff findet erst mit einer zeitlichen Verzögerung – oft erst Monate später – statt. Die Teilnehmer:innen stellten fest, Lieferkettenangriffe sind nicht nur technische Herausforderungen, sondern erfordern eine umfassende Zusammenarbeit und Verantwortung aller Beteiligten auf organisatorischer und rechtlicher Ebene: Eine ganzheitliche und proaktive Sicherheitsstrategie ist erforderlich, die verschiedene Aspekte der Lieferkette abdeckt, darunter Auswahl und Überprüfung von Geschäftspartnern, Prozesskontrolle, Systemaktualisierung, Mitarbeiterschulung und Notfallvorbereitung. Die Expert:innen erarbeiteten sechs Tipps und Strategien, wie sich Unternehmen davor schützen können:
- Wählen Sie Ihre Geschäftspartner sorgfältig aus. Sie sollten nur Verbindungen mit verlässlichen und seriösen Partnern eingehen. Ein Indikator für eine Verlässlichkeit bezüglich der Lieferkettenangriffssicherheit können Zertifizierungen sein, wie beispielsweise die ISO 27001. Prüfen Sie regelmäßig, ob die Sicherheitsmaßnahmen Ihrer Partner noch Up-to-date sind.
- Implementieren Sie eine mehrstufige Authentifizierung auf Ihren Systemen für Drittparteien. Selbst im Falle einer Kompromittierung der Systeme ist noch eine zweite Sicherheitshürde für Angreifer zu überwinden.
- Haben Sie einen Notfallplan. Ein gut gepflegtes Notfallhandbuch für alle Eventualitäten ist ein Muss. Ansonsten droht im Ernstfall oftmals eine Planlosigkeit, die zu fehlerhaften Entscheidungen in Stresssituationen führt. Zu einem Notfallplan gehören auch gut gesicherte und regelmäßig überprüfte Backups.
- Schulen Sie Ihre Mitarbeiter. Der Mensch gilt zwar oft als das „Problem“ in der IT-Sicherheit, ist aber eigentlich als „last line of defense“ der Schlüssel zur Lösung. Wird ein System kompromittiert, wurden bereits alle technischen Sicherheitsmaßnahmen überwunden und nur der Mensch selbst kann das Problem noch erkennen. So können gut geschulte und sensibilisierte Mitarbeiter nicht nur die herkömmlichen Angriffsstrategien wie Phishing-Versuche gut abwehren, sondern auch bereits eingetretene Gefahren frühzeitig erkennen.
- Überwachen Sie sämtlichen Datenfluss in Ihren Unternehmen. Ein sauberes Monitoring bietet oftmals die besten Chancen, potenzielle Angriffe frühzeitig zu erkennen. Besonders wenn viele Drittparteien an die eigenen Systeme angebunden sind, ist eine Überwachung dieser Schnittstellen Pflicht.
- Verschlüsseln Sie die Daten entlang der gesamten Lieferkette. Kein Angreifer sollte jemals einfachen Zugriff auf unverschlüsselte Datenströme erhalten.
Die Sitzung der Kompetenzgruppe moderierten Markus Schaffrin, Geschäftsbereichsleiter Mitgliederservices und Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco Verband. Im Anschluss an jeden Vortrag gab es eine offene Diskussion unter den Teilnehmenden, bei der Fragen gestellt, Kommentare abgegeben und Vorschläge zu den Vorträgen gemacht werden konnten. Die Teilnehmer:innen tauschten dabei ihre Erfahrungen und Meinungen aus ihren jeweiligen Branchen und Organisationen aus. Das Treffen endete mit Networking bei Fingerfood, bei dem die Teilnehmer:innen die Gelegenheit nutzten, sich weiter auszutauschen und zu vernetzen.
