Supply Chain Security - wie man laut Check Point die Hintertür absichert

Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?

Alvaro Amato: Die grössten Bedrohungen umfassen die Einführung von Malware, Ransomware oder Spyware durch Drittanbieter. Sie können entweder direkt in die Software integriert sein, oder über Kommunikationskanäle zwischen dem Lieferkettenanbieter und dem Unternehmen übertragen werden – beginnend mit direkter VPN-Konnektivität zwischen Unternehmen bis hin zu Eingriffen in laufende E-Mail-Kommunikationen.

Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?

Multi-Faktor-Authentifizierung, Verschlüsselung und sichere Kommunikationsprotokolle sollten bei Drittanbietern durchgesetzt werden. Regelmässige Penetrationstests und Schwachstellenscans von Lieferkettensystemen sind ebenfalls entscheidend. Unternehmen sollten sicherstellen, dass ihre Lieferanten strengen Sicherheitsstandards und Best Practices wie ISO 27001 oder den NIST-Richtlinien entsprechen. Die Einrichtung von Notfallplänen und klaren Kommunikationskanälen kann die Schäden im Falle eines Cybervorfalls minimieren.

Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?

Der Geltungsbereich wurde erweitert, nun sind auch Sektoren wie Energie, Transport und Gesundheit betroffen. Unternehmen müssen strengere Sicherheitsanforderungen umsetzen, darunter Massnahmen wie Verschlüsselung. Zudem sind sie verpflichtet, Sicherheitsvorfälle unverzüglich zu melden und ihre Sicherheitslage kontinuierlich zu bewerten. Nichteinhaltung kann zu hohen Geldstrafen führen.

Die Vorgaben richten sich grundsätzlich an europäische Unter­nehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?

Auch Schweizer Unternehmen können betroffen sein. Dies geschieht, wenn sie als Drittanbieter oder Zulieferer für europäische Unternehmen tätig sind. Wenn sie Dienstleistungen oder Produkte anbieten, die kritisch für die Sicherheit der EU-Partner sind, müssen sie möglicherweise die gleichen Sicherheitsstandards und Meldepflichten einhalten.

Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?

Sie könnte Schwierigkeiten bekommen, Geschäftsbeziehungen mit europäischen Unternehmen aufrechtzuerhalten, die rechtlich verpflichtet sind, nur mit konformen Partnern zu arbeiten. Zudem könnte es zu einem Vertrauensverlust und Reputationsschaden kommen.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
• Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
• Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
• Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
• Markus ­Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
• Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
• Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
• Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.