Durchgängige Cybersicherheit in der gesamten Lieferkette

Edwin Beerentemfel

Die Bedrohung ist allgegenwärtig. Cyberkriminelle arbeiten stets daran, die IT-Verteidigungsmaßnahmen von Unternehmen zu überwinden. Ein beliebter Weg in ein gesichertes Netzwerk führt über die Lieferkette. Das weltweit agierende Softwareunternehmen SolarWinds wurde Opfer eines Angriffs auf seine Lieferkette und hatte lange mit den Auswirkungen zu kämpfen. Kriminelle fokussieren sich in der Regel auf Unternehmen innerhalb der Lieferkette, da diese oft über weniger ausgefeilte und robuste Verteidigungsmaßnahmen verfügen. Entscheidend ist, dass alle Lösungshersteller die Lieferkette kontrollieren und pflegen und so sicherstellen, dass alle Produkte sicher sind von der Produktion der einzelnen Komponenten bis hin zum fertigen Produkt und der Auslieferung an den Kunden.

Die Sicherheit der Lieferkette beginnt mit der Auswahl der Partner durch einen strengen Bewertungsprozess. Dieser sollte eine Analyse der kritischen Bereiche beinhalten, wie z. B. die Informationssicherheitsrichtlinien und die Prozesse des Qualitäts- und Nachhaltigkeitsmanagements jedes Unternehmens. Als Minimum sollte das Unternehmen von einer dritten Partei nach ISO 9001 oder IATF 16949 und ISO 27001 A.15 oder NIST SP-800 161 zertifiziert sein. Auch die Prozesse der Unterlieferanten sollten auf ihr Risikomanagement hin überprüft werden, ebenso wie deren Produktionsanlagen und -prozesse. Mittels Besuchen vor Ort und anschließenden Audits lässt sich prüfen, ob das Unternehmen die Sicherheitsanforderungen und -standards erfüllt, die für die Qualifizierung als zugelassener Lieferant festgelegt wurden. Als Teil der Bewertung eines potenziellen neuen Partners sollten Lieferanten eine eingehende Analyse der Finanzlage und der Eigentümerstruktur des Unternehmens durchführen. Es kann sinnvoll sein, bestimmte Unternehmen als strategische Unterlieferanten auszuwählen, insbesondere für kritische Komponenten. Wenn Sie Zeit in den Aufbau dieser Beziehungen investieren, wird das Vertrauen gestärkt und sichergestellt, dass sich alle Parteien für die Erreichung langfristiger Ziele einsetzen, insbesondere wenn es um die Einhaltung von Sicherheitsprozessen geht.

Regelmäßige Lieferantenaudits geben Sicherheit und schaffen Mehrwert

Der beste Weg für Ihre Lieferanten, die Einhaltung der festgelegten Anforderungen durch den Unterlieferanten sicherzustellen, ist die Durchführung von regelmäßigen Audits vor Ort, jährlich oder halbjährlich. Diese können durch vierteljährliche Geschäftsbesprechungen ergänzt werden, um die Leistung im Vergleich zu den Erwartungen zu überprüfen und gemeinsam Änderungen zu besprechen, die vorgenommen werden müssen. Der Audit-Prozess sollte gründlich sein und an jedem Standort innerhalb der Lieferkette durchgeführt werden, vom Komponentenlieferanten bis hin zum Vertriebszentrum. Personen mit böswilligen Absichten können physische Bedrohungen in ein Netzwerk oder direkt in die Produkte einbringen, daher sollte der Audit-Prozess auch Bewertungen der physischen Einrichtungen umfassen, insbesondere der Qualitätssicherungsverfahren und der zugehörigen Maschinen. Auf diese Weise wird sichergestellt, dass keine Manipulationen an den Produkten vorgenommen werden und keine unbefugten Personen Zugang zu geschützten Bereichen erhalten. So müssen beispielsweise Ein- und Ausgänge ständig bewacht und Zugangskontrollen sowie Besucherregistrierungen protokolliert und gespeichert werden. Einige Bereiche müssen unter Umständen ständig überwacht werden, auch durch den Einsatz von Wachpersonal, um die Anlage und die Umgebung zu sichern.

Sichere Datenübertragung innerhalb der Lieferkette

Die Datenübertragung im Netzwerk der Lieferkette muss durch Sicherheitsprotokolle geschützt werden, die Verschlüsselungsmethoden und Authentifizierung nutzen. Unterlieferanten und Partner müssen ein hohes Maß an Informationssicherheit aufrechterhalten, um die Risiken von Lücken in der Lieferkette zu minimieren. Ein systematischer Ansatz zur Identifizierung und Verwaltung sensibler Unternehmensinformationen ist entscheidend. Dieses System sollte Menschen, Prozesse, IT-Systeme und physische Standorte umfassen und der ISO 27001 sowie der General Data Protection Regulation (GDPR) entsprechen. Dies wird das Bewusstsein verbessern und ein effektives Risikomanagement ermöglichen.

Auch Mitarbeiter eines Unternehmens können ein erhebliches Cybersecurity-Risiko darstellen und stehen oft an vorderster Front von Angriffen. Dieses Risiko kann gemindert werden, indem Mitarbeiter entsprechend sensibilisiert und geschult werden, um sicherzustellen, dass sie ein hohes Maß an Bewusstsein für Informationssicherheit haben. Die Implementierung eines Schulungsprogramms, das die Mitarbeiter regelmäßig über Bedrohungen und Taktiken informiert, ist von unschätzbarem Wert für den Schutz des Unternehmens vor Angriffen und sollte in jedem Unternehmen innerhalb der Lieferkette vorhanden sein.

Aufrechterhaltung der Integrität auf Produktebene

Überwachungsprodukte müssen wie angekündigt funktionieren, mit konsistenter Integrität. Um das zu erreichen, muss die Hardware und Firmware des Produkts vor unbefugten Änderungen oder Manipulationen während des Weges des Produkts durch die Lieferkette geschützt werden. Angefangen bei den Materialien der Komponenten stellt die Rückverfolgbarkeit – die auch den Prozess der Materialhandhabung einschließt – stets den Status sicher und deckt alle Abweichungen auf, die die Qualität beeinträchtigen und Manipulationen signalisieren könnten. Lieferanten und Fertigungspartner sind verpflichtet, ein Rückverfolgbarkeitssystem für die produzierten Chargen zu unterhalten, vom eingehenden Material bis zum fertigen Bauteil. Während der Produktion wird das physische Bauteil mehreren Tests unterzogen, die die Konformität überprüfen und Abweichungen aufzeigen. Es ist nicht nur die Sicherheit der Geräte selbst, die bewertet werden muss. Ein sicherer Softwareentwicklungszyklus (SDLC) muss nachgewiesen werden, um zu zeigen, dass die Software unter Berücksichtigung der Cybersicherheit entwickelt wird. So können Schwachstellen minimiert werden. Treten sie doch auf, muss ein klarer Prozess festgelegt werden, wie Schwachstellen in Komponenten identifiziert, kommuniziert und gepatcht werden.

Sicherheit in allen Phasen

Bedrohungen aus dem Internet wird es immer geben. Deshalb sollte jeder Schritt im Produktionsprozess bewertet werden, um ein Verständnis für das Auftreten von Schwachstellen zu entwickeln. Mehr Transparenz innerhalb der Lieferkette hilft, Sorgen zu verringern, Vertrauen aufzubauen und einen Dialog zwischen Unternehmen und ihrem gesamten Lieferantennetzwerk zu schaffen. Dadurch wird sichergestellt, dass die Prozesse belastbar und wiederholbar sind. So können alle Beteiligten denselben Cybersicherheitsstandard einhalten und Konsistenz gewährleisten. Ein regelmäßiger Bewertungs- und Auditierungsprozess zahlt sich aus, wenn es darum geht, qualitativ hochwertige Produkte zu erhalten und sensible Daten davor zu schützen, in die falschen Hände zu geraten.

Klicken Sie hier, um mehr über den Ansatz von Axis im Bereich Cybersicherheit zu erfahren.