Suchen

Sicherheitsrisiken in der Lieferkette Supply Chain Security „as a Service“

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Dr. Andreas Bergler

Security Services, die die Supply Chain des Auftraggebers überprüfen, haben gute Aussichten auf Erfolg. Cybersecurity Assessments werden zunehmend Teil der Lieferantenaudits. Lösungen für den Channel sind bereits verfügbar.

Im Qualitätsmanagement gehört die Auswahl und Kontrolle von Zulieferern und Subunternehmern zum Standard. Cybersecurity wird aber noch nicht durchgehend als Teil der Produktqualität erkannt. Deshalb sind Lieferantenaudits in Form von Cybersecurity Assessments bei einigen Lieferanten erklärungsbedürftig.
Im Qualitätsmanagement gehört die Auswahl und Kontrolle von Zulieferern und Subunternehmern zum Standard. Cybersecurity wird aber noch nicht durchgehend als Teil der Produktqualität erkannt. Deshalb sind Lieferantenaudits in Form von Cybersecurity Assessments bei einigen Lieferanten erklärungsbedürftig.
(Bild: gemeinfrei / Pixabay )

Es ist das Worst-Case-Szenario für alle Arten von Unternehmen: Auf Supply-Chain-Angriffe mit ihren hohen Minderungskosten sind Unternehmen am wenigsten vorbereitet, sagt die EU-Agentur für Cybersicherheit ENISA. Da es keine gute Lösung für die Abwehr eines Angriffs auf die Lieferkette gibt, können die Auswirkungen massiv sein, so ENISA weiter. Offensichtlich müssen Attacken auf die Lieferkette bereits im Vorfeld vermieden werden, durch eine Schwachstellensuche bei den Lieferanten und Vorlieferanten. Bisher haben dies aber viele Firmen unterlassen.

Angriffe auf die Supply Chain häufen sich

So ergab zum Beispiel die Sophos-Studie „The Impossible Puzzle of Cybersecurity“, dass 75 Prozent der befragten IT-Manager Exploits, nicht gepatchte Schwachstellen oder Zero-Day-Bedrohungen als höchstes Sicherheitsrisiko betrachten. Lediglich 16 Prozent der IT-Manager haben Supply-Chain-Attacken als ein Risiko für die IT-­Sicherheit im Blick. Dabei können durch die Lieferkette genau die besonders gefürchteten Schwachstellen quasi durch die Hintertür in ein Unternehmen und seine Produkte kommen.

„Supply-Chain-Angriffe sind eine effektive Möglichkeit für Cyberkriminelle, automatisierte Angriffe durchzuführen, bei denen sie ein Unternehmen aus einem größeren Pool von potenziellen Opfern auswählen und sich dann mithilfe von „Hand-to-keyboard“-Techniken aktiv in diese spezifische Organisation hacken, um unentdeckt ihr Ziel zu erreichen“, erklärt Chester Wisniewski, Principal Research Scientist bei Sophos.

Auditierung der Lieferkette auch in der Security

Unternehmen, die IT-Produkte für den Einsatz in sensiblen Bereichen herstellen oder konfigurieren, sollten wirksame Maßnahmen in der Supply-Chain-Security treffen, sagt das BSI (Bundesamt für Sicherheit in der Informationstechnik). Dazu zählt die lückenlose Dokumentation der Herstellungs- und Konfigurationsprozesse ein­zelner Komponenten, wie sie etwa bei der Zertifizierung von Smart-Meter-Gateways durch das BSI eingefordert wird. Zertifizierungen können wichtige Vertrauensanker für die Sicherheit von IT-Produkten und auch der Zulieferungsketten sein und erhöhen damit das IT-Sicherheitsniveau in Deutschland im Ganzen, so das BSI.

Eine unsichere Lieferkette liegt zum Beispiel dann vor, wenn Komponenten mit ­bereits kompromittierter Firmware beim Hersteller eintreffen, der diese dann ungeprüft verbaut. Beispiele dafür gab es in jüngerer Vergangenheit genug, darunter die Smartphones mit vorinstallierter Malware, vor denen das BSI gewarnt hatte.

Die mit der Globalisierung verbundenen ­Risiken erfordern von den Anbietern einen systematischen und detaillierten Ansatz in den Supply-Chain-Prozessen, erklärt auch die EU-Agentur ENISA. Das Risiko, dass ein Angreifer eine Schwachstelle in die Lieferkette einführt, ist nicht neu, und seine Eindämmung hat sich als äußerst schwierig erwiesen. Eine gründliche Definition der Sicherheitsanforderungen und die Einhaltung der besten Security-by-Design-Praktiken sollten im Mittelpunkt stehen, damit diese Risiken gemindert werden.

Mit zunehmenden Angriffen auf die Lieferkette wächst der Druck auf die Sicherheitsverantwortlichen, erklären die Marktforscher von Gartner. Unternehmen müssen sich vorbereiten, um das Security- und Risikomanagement in Angebots-, Nachfrage- und Produktionssysteme zu integrieren, so die Gartner-Studie „Get Ahead of the Expanding Risk Frontier: Supply Chain Security“. Cybersecurity Assessments bei Lieferanten können viele Firmen aber nicht selbst bewältigen und brauchen deshalb ­einen Dienstleister. Genau hier kann der Channel unterstützen und Dienstleistungen einbringen, wenn es um Lieferantenaudits für Cybersecurity geht.

Lösungen für Supply-Chain-Sicherheit sind verfügbar

Security-Services für die Supply-Chain können alle Dienstleistungen umfassen, die man einem Unternehmen selbst anbietet, nur dass man sie in Abstimmung mit dem Auftraggeber und seinen zu auditierenden Lieferanten an anderer Stelle erbringt, bei den Lieferanten und Partnern des Auftraggebers. So sind zum Beispiel abgestimmte Penetrationstests bei Lieferanten genauso denkbar wie eine Schwachstellenanalyse für die neu erstellte Softwarekomponente, die der Lieferant vor dem Kunden dem Dienstleister übergibt. Einige Beispiele für Supply-Chain-Security als Service:

  • Firmware-Scans: Für das Internet der Dinge (IoT) könnten Dienstleister eine Prüfung der Firmware der Geräte anbieten, die dann später durch den Auftraggeber verbaut oder implementiert werden. Einen entsprechenden IoT-Schwachstellen-Scanner bietet zum Beispiel der IoT Inspector.
  • Applikationssicherheitstests: Die ZeroNorth-Lösung für Supply Chain Security bietet mehrere Tools zum Scannen von Anwendungen, die in eine einheitliche Plattform eingebettet sind. Die Lösung hilft dabei, die Sicherheit in der Lieferkette zu erhöhen, indem Anwendungen in jeder Phase des Software Development Lifecycle (SDLC) getestet werden können.
  • Zertifikate und Signaturen:Integrity Security Services unterstützt bei der Bereitstellung unternehmensweiter Sicherheitsinfrastrukturen zur Generierung und Verwaltung aller Schlüssel, Zertifikate und Signaturvorgänge innerhalb der Lieferkette einer Produkts und über Partnernetzwerke hinweg. Ein Benutzerportal bietet eine einfache Oberfläche zum Signieren von Software und Daten, sodass alle Produktschlüssel geschützt werden können.
  • Sicherheitsmonitoring: Das Digital Threat Monitoring von FireEye kann nicht nur auf ein Unternehmen selbst angewandt werden, sondern auch auf dessen Lieferanten und Partner. Dieser Dienst kann kombiniert werden mit weiteren Bedrohungsdaten, die mögliche Probleme mit den bereitgestellten Komponenten zeigen, um eine Bedrohungs- und Risikolandschaft zu entwickeln, die mit der Lieferkette verbunden ist. Ein solcher Service bietet auch die Grundlage für einen regelmäßig aktualisierbaren Reputations- und Risikowert, mit dem mögliche oder aufkeimende Probleme identifiziert werden können.

Verantwortung in den Verträgen klären

Im Qualitätsmanagement gehört die Auswahl und Kontrolle von Zulieferern und Subunternehmern zum Standard. Cybersecurity wird aber noch nicht durchgehend als Teil der Produktqualität erkannt. Deshalb sind Lieferantenaudits in Form von Cybersecurity Assessments bei einigen Lieferanten erklärungsbedürftig. Bestimmte Branchen haben jedoch schon seit Längerem Kontrollen bei ihren Zulieferern vorgesehen. Ein Beispiel ist TISAX (Trusted Information Security Assessment Exchange) in der Automobilbranche.

Ob bestimmte Security-Lösungen, -Verfahren oder -Zertifikate verlangt werden, muss der Auftraggeber festlegen. Als Dienstleister überprüft man dann im Auftrag die Einhaltung der vertraglich fixierten Security-Forderungen. Im Lieferantenvertrag sollte auch geregelt sein, dass der Dienstleister im Auftrag des Kunden bestimmte Prüfungen vornehmen darf. Es versteht sich, dass dabei Bestimmungen zum Datenschutz und zur Verschwiegenheit beachtet werden müssen.

Security-Dienstleister sollten gegenüber ihren Auftraggebern genau darlegen, dass sie die Security bei den Lieferanten überprüfen, aber nicht etwa dafür eintreten und diese gewährleisten. Es kann sich natürlich ergeben, dass der auditierte Lieferant dann auch Security-Leistungen des Dienstleisters möchte, um die erkannten Lücken zu schließen. Solche Angebote müssen aber immer streng getrennt sein von dem Cybersecurity Assessment, denn Security braucht Vertrauen und Unabhängigkeit.

Der Artikel ist ursprünglich auf unserem Partnerportal IT-BUSINESS erschienen.

(ID:46369760)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research