Geschäftssicherheit

Es ist nicht nachhaltig, Ihren Partnern und Lieferanten blind in Bezug auf ihre Sicherheitslage zu vertrauen – es ist an der Zeit, die Kontrolle durch ein effektives Lieferantenrisikomanagement zu übernehmen

Januar 25 2024  •  , 5 Minute. lesen

Die Welt ist auf Lieferketten aufgebaut. Sie sind das Bindegewebe, das globalen Handel und Wohlstand ermöglicht. Doch diese Netzwerke sich überschneidender und miteinander verbundener Unternehmen werden immer komplexer und undurchsichtiger. Die meisten beinhalten die Bereitstellung von Software und digitalen Diensten oder sind zumindest in irgendeiner Weise auf Online-Interaktionen angewiesen. Dadurch sind sie dem Risiko von Störungen und Kompromissen ausgesetzt.

Vor allem kleine und mittelständische Unternehmen versuchen möglicherweise nicht proaktiv, die Sicherheit in ihren Lieferketten zu gewährleisten, oder verfügen nicht über die entsprechenden Ressourcen. Aber blind Vertrauen Sie Ihren Partnern und Lieferanten hinsichtlich ihrer Cybersicherheitslage ist im aktuellen Klima nicht nachhaltig. Tatsächlich ist es (höchste) Zeit, sich ernsthaft mit dem Risikomanagement in der Lieferkette zu befassen.

Was ist Lieferkettenrisiko?

Cyber-Risiken in der Lieferkette können viele Formen annehmen Ransomware und Datendiebstahl bis hin zu Denial of Service (DDoS) und Betrug. Sie können sich auf traditionelle Anbieter wie professionelle Dienstleistungsunternehmen (z. B. Anwälte, Buchhalter) oder Anbieter von Unternehmenssoftware auswirken. Angreifer können es auch auf Managed Service Provider (MSPs) abgesehen haben, da sie durch die Kompromittierung eines einzelnen Unternehmens auf diese Weise Zugriff auf eine potenziell große Anzahl nachgelagerter Kundenunternehmen erhalten könnten. Recherche vom letzten Jahr ergab, dass 90 % der MSPs in den letzten 18 Monaten einen Cyberangriff erlitten haben.

Hier sind einige der wichtigsten Arten von Cyberangriffen auf die Lieferkette und wie sie passieren:

• Kompromittierte proprietäre Software: Cyberkriminelle werden immer mutiger. In einigen Fällen konnten sie einen Weg finden, Softwareentwickler zu kompromittieren und Malware in den Code einzufügen, der anschließend an nachgelagerte Kunden geliefert wird. Dies ist, was in der passiert ist Kaseya-Ransomware-Kampagne. In einem neueren Fall beliebte Dateiübertragungssoftware MOVEit wurde kompromittiert durch eine Zero-Day-Schwachstelle und Datendiebstahl von Hunderten von Unternehmensbenutzern, die Auswirkungen auf Millionen ihrer Kunden haben. Mittlerweile ist die Kompromiss der 3CX-Kommunikationssoftware ging als erster öffentlich dokumentierter Vorfall in die Geschichte ein, bei dem ein Angriff auf die Lieferkette zu einem anderen führte.
• Angriffe auf Open-Source-Lieferketten: Die meisten Entwickler nutzen Open-Source-Komponenten, um die Markteinführung ihrer Softwareprojekte zu beschleunigen. Aber Bedrohungsakteure wissen das und haben damit begonnen, Malware in Komponenten einzuschleusen und sie in beliebten Repositories verfügbar zu machen. Ein Bericht behauptet Im Jahresvergleich gab es einen Anstieg solcher Angriffe um 633 %. Bedrohungsakteure nutzen auch schnell Schwachstellen im Open-Source-Code aus, die einige Benutzer möglicherweise nur langsam beheben. Dies geschah, als ein kritischer Fehler in einem nahezu allgegenwärtigen Tool gefunden wurde bekannt als Log4j.
• Sich als Lieferant für Betrug auszugeben: Ausgeklügelte Angriffe, bekannt als Geschäfts-E-Mail-Kompromiss (BEC) beinhalten manchmal Betrüger, die sich als Lieferanten ausgeben, um einen Kunden dazu zu bringen, ihm Geld zu überweisen. Der Angreifer kapert normalerweise ein E-Mail-Konto der einen oder anderen Partei und überwacht den E-Mail-Verkehr, bis der richtige Zeitpunkt gekommen ist, einzugreifen und eine gefälschte Rechnung mit geänderten Bankdaten zu senden.
• Diebstahl von Anmeldedaten: Angreifer stehlen Sie die Logins von Lieferanten in dem Versuch, entweder den Lieferanten oder seine Kunden (auf deren Netzwerke sie möglicherweise Zugriff haben) zu verletzen. Dies geschah bei der massiven Target-Sicherheitsverletzung im Jahr 2013 Hacker haben die Zugangsdaten gestohlen eines HVAC-Lieferanten des Einzelhändlers.
• Datendiebstahl: Viele Lieferanten speichern sensible Daten ihrer Kunden, insbesondere Unternehmen wie Anwaltskanzleien, die in vertrauliche Unternehmensgeheimnisse eingeweiht sind. Sie stellen ein attraktives Ziel für Bedrohungsakteure dar, die nach verfügbaren Informationen suchen durch Erpressung Geld verdienen oder andere Mittel.

Wie bewerten und mindern Sie das Lieferantenrisiko?

Unabhängig von der konkreten Art des Lieferkettenrisikos kann das Endergebnis dasselbe sein: finanzielle Schäden und Reputationsschäden sowie das Risiko von Rechtsstreitigkeiten, Betriebsausfällen, Umsatzeinbußen und verärgerten Kunden. Dennoch ist es möglich, diese Risiken zu bewältigen, indem man einige Best Practices der Branche befolgt. Hier sind acht Ideen:

1. Führen Sie bei jedem neuen Lieferanten eine Due-Diligence-Prüfung durch. Das bedeutet, dass überprüft werden muss, ob ihr Sicherheitsprogramm Ihren Erwartungen entspricht und ob grundlegende Maßnahmen zum Schutz, zur Erkennung und zur Reaktion auf Bedrohungen vorhanden sind. Für Softwareanbieter sollte es auch darauf ankommen, ob sie über ein Schwachstellenmanagementprogramm verfügen und welchen Ruf sie hinsichtlich der Qualität ihrer Produkte haben.
2. Verwalten Sie Open-Source-Risiken. Dies kann bedeuten, dass Tools zur Software-Kompositionsanalyse (SCA) eingesetzt werden, um Einblick in Softwarekomponenten zu erhalten, gleichzeitig kontinuierlich nach Schwachstellen und Malware gesucht wird und etwaige Fehler umgehend behoben werden. Stellen Sie außerdem sicher, dass Entwicklerteams die Bedeutung von Security by Design bei der Entwicklung von Produkten verstehen.
3. Führen Sie eine Risikobewertung aller Lieferanten durch. Dies beginnt damit, dass Sie verstehen, wer Ihre Lieferanten sind, und dann prüfen, ob sie über grundlegende Sicherheitsmaßnahmen verfügen. Dies sollte sich auf die eigenen Lieferketten erstrecken. Führen Sie regelmäßig Audits durch und prüfen Sie ggf. die Akkreditierung gemäß Branchenstandards und -vorschriften.
4. Führen Sie eine Liste aller Ihrer zugelassenen Lieferanten und aktualisieren Sie diese regelmäßig entsprechend den Ergebnissen Ihrer Prüfung. Regelmäßige Prüfungen und Aktualisierungen der Lieferantenliste ermöglichen es Unternehmen, gründliche Risikobewertungen durchzuführen, potenzielle Schwachstellen zu identifizieren und sicherzustellen, dass Lieferanten die Cybersicherheitsstandards einhalten.
5. Legen Sie eine formelle Richtlinie für Lieferanten fest. Darin sollten Ihre Anforderungen zur Minderung des Lieferantenrisikos dargelegt werden, einschließlich aller SLAs, die erfüllt werden müssen. Als solches dient es als grundlegendes Dokument, das die Erwartungen, Standards und Verfahren darlegt, die Lieferanten einhalten müssen, um die Sicherheit der gesamten Lieferkette zu gewährleisten.
6. Verwalten Sie Lieferantenzugriffsrisiken. Erzwingen Sie den Grundsatz der geringsten Rechte bei Lieferanten, wenn diese Zugriff auf das Unternehmensnetzwerk benötigen. Dies könnte als Teil eines eingesetzt werden Zero Trust-Ansatz, bei dem alle Benutzer und Geräte bis zur Überprüfung nicht vertrauenswürdig sind, wobei kontinuierliche Authentifizierung und Netzwerküberwachung eine zusätzliche Ebene der Risikominderung bieten.
7. Entwickeln Sie einen Vorfallreaktionsplan. Stellen Sie im schlimmsten Fall sicher, dass Sie über einen gut ausgearbeiteten Plan verfügen, um die Bedrohung einzudämmen, bevor sie sich auf das Unternehmen auswirken kann. Dazu gehört auch, wie Sie mit den Teams Ihrer Lieferanten zusammenarbeiten.
8. Erwägen Sie die Implementierung von Industriestandards. ISO 27001 und ISO 28000 Es gibt viele nützliche Möglichkeiten, einige der oben aufgeführten Schritte zu erreichen und so das Lieferantenrisiko zu minimieren.

Demnach gab es in den USA im vergangenen Jahr 40 % mehr Angriffe auf die Lieferkette als auf Malware basierende Angriffe ein Bericht. Sie führten zu Verstößen, von denen über 10 Millionen Menschen betroffen waren. Es ist an der Zeit, die Kontrolle durch ein effektiveres Lieferantenrisikomanagement zurückzugewinnen.