Cyberrisiken mindern in der Software-Supply-Chain
Die Verantwortung für die Informationssicherheit endet nicht an den Zäunen der Standorte. Lieferanten und Dienstleister für IT-Lösungen müssen ebenfalls abgesichert werden.
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat in ihrem Report im Oktober 2021 Angriffe auf und über Lieferketten als eine der größten Gefahren eingestuft. Ein sogenannter Supply-Chain Angriff liegt vor, wenn ein Angreifer über Drittanbieter oder Lieferanten auf das Netzwerk eines Unternehmens zugreift, Schadcode in Lösungen einfügt oder Systeme anderweitig kompromittiert beziehungsweise manipuliert. Das Problem dabei ist, dass sich dieser Angriffsvektor ebenso schwer kontrollieren wie nachverfolgen lässt.
Etwa 58 Prozent der Supply-Chain Angriffe zielten auf den Zugriff von Daten, hauptsächlich Kundendaten, aber auch persönliche Informationen oder geistiges Eigentum. Eine bekannte Supply-Chain-Attacke ist beispielsweise der vielfach in den Medien berichtete SolarWinds-Angriff im Dezember 2020, der weltweit private wie öffentliche Betriebe und mehrere Behörden kompromittiert hat.
Die Hacker hatten sich im Herbst 2019 Zugriff auf den IT-Anbieter SolarWinds verschafft und eine Hintertür in seiner Netzwerk-Software geöffnet. Durch Updates der Systeme verbreitete sich die Schwachstelle bei geschätzten 18.000 Kunden des Unternehmens.
Ein Angriff, viele Opfer
Experten gehen davon aus, dass die Zahl der Supply-Chain-Angriffe rasant steigen wird. Da diese Attacken einen kaskadierenden Effekt haben, der katastrophale Ausmaße annehmen kann, müssen Unternehmen und Behörden unbedingt ihre digitalen Lieferketten absichern. Dies gilt natürlich auch für die Lieferanten selbst – viele müssen ihre Informationssicherheit untersuchen lassen, wenn sie Services oder Produkte für Unternehmen bereitstellen. Beispielsweise fordern die deutschen Automobilhersteller und viele Zulieferer schon seit 2017, dass Dienstleister und Sub-Lieferanten nur noch an Ausschreibungen teilnehmen dürfen, wenn eine TISAX-Freigabe vorliegt. Das „Trusted Information Security Assessment Exchange“-Zertifikat gewährleistet die Informationssicherheit auch in der Supply-Chain.
Verantwortung kann man nicht auslagern
Neben der Bedrohung durch Supply-Chain Angriffe müssen Gesetze wie die EU-Datenschutzgrundverordnung (DSGVO) eingehalten werden. Wer personenbezogene Daten bei einem Anbieter speichern oder von/bei ihm verarbeiten lässt, muss hier ebenfalls deren Schutz gewährleisten. Der Data Owner, also eine Instanz, die personenbezogene Daten sammelt, ist verantwortlich für den Schutz und Umgang dieser Daten und rechtlich belangbar. Sollte der Lieferant beispielsweise eine Sicherheitspanne haben, und die personenbezogenen Daten werden veröffentlicht, können Data Owner zur Rechenschaft gezogen werden.
Wie IT-Lieferanten kontrolliert werden
Wie kann die Sicherheit von Dienstleistern und Lieferanten überprüft werden? Je nach Kritikalität findet die Überprüfung in zwei Phasen statt: In der ersten Phase sendet der Dienstleister eine Dokumentation seiner implementierten Sicherheitsmaßnahmen für Prozesse und Technologien. Bewährt hat sich ein sogenannter Service Organisation Control (SOC) 2 Type II Report, der die operative Effektivität von Sicherheitsmechanismen über einen Zeitraum aufzeigt.
Hierbei werden in der ersten Phase die Dokumente gesichtet und auf Unstimmigkeiten geprüft. Betrachtet werden das gesamte System und seine Prozesse, um Schwachstellen oder Compliance-Verstöße zu finden. Sollte die Prüfung der Dokumente keine Mängel aufweisen, wird die Dokumentation akzeptiert, da die Organisation aufgezeigt hat, dass sie eine angemessene Informationssicherheit betreibt.
Sollte das nicht ausreichen oder wird eine Überprüfung vor Ort gewünscht, leiten die Verantwortlichen die zweite Phase ein. Jetzt werden die Sicherheitsmechanismen auf die Probe gestellt und ein eigenes internes Audit durchgeführt.
Quelle Titelbild: AdobeStock/William W. Potter