Nicht erst seit dem Ukraine-Krieg gibt es diese Art von Angriffen auf die Lieferketten bzw. Vorlieferanten. Doch seit Beginn des Krieges haben die Angriffe deutlich zugenommen. Supply-Chain-Security ist ein wichtiger Baustein, um nicht die eigenen, intern umgesetzten Sicherheitsmaßnahmen zu gefährden. Eine Auswertung von mehr als 20 Lieferketten-Angriffen der Europäischen Agentur für Cybersicherheit (ENISA) hat gezeigt, dass diese langsam geplant werden, aber von der Methodik her ein „allgemeines“ Vorgehen aufweisen, etwa durch Einsatz von Malware, Phishing oder übernommenen Zertifikaten. Selbst Hersteller von IT-Managed-Service-Lösungen waren betroffen. Verseuchte Updates haben dafür gesorgt, dass in einer Supermarktkette die Kassensysteme lahmgelegt wurden. Aber auch bei kommunalen Energieversorgern sind diese Art von Schäden aufgetreten.
Gibt es Ansätze, um diese Gefahren zu entschärfen? Ja – zumindest kann das Sicherheitsrisiko deutlich minimiert werden, wenn die Komponenten der Supply Chain und das „Scoring“ der Partner laufend überprüft werden. Bei diesem Scoring werden verschiedene Felder auf ihre Sicherheit überprüft. Fehlende Patches, Anwendungs- und Netzwerksicherheit, Social Engineering sowie weitere Angriffsmöglichkeiten werden so aufgedeckt und bieten eine deutlich bessere Absicherung der Supply-Chain-Security.
Um die eigene Vulnerabilität zu minimieren, ist das laufende Überprüfen der Lieferkette ein Bestandteil einer Sicherheitsstrategie und für KRITIS-Betreiber gesetzlich vorgeschrieben. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten könnten. Aber auch Unternehmen aus dem Bereich Automotive werden durch die Fahrzeughersteller verpflichtet, bestimmte Vorgaben im Bereich der Cyber-Security umzusetzen. Auch für diese Anforderung ist es sicherlich sinnvoll, die eigenen Lieferketten auf die Cyber-Security-Vulnerabilität zu prüfen.
Andreas Tracz ist Geschäftsführer bei K&K Networks.
Fragen beantwortert er gerne unter:
andreas.tracz@kuk-networks.de
Teilen:
