Supply Chain Security - wie man laut Digitalswitzerland die Hintertür absichert

Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?

Dario Walder: In der Schweiz sehen wir aktuell Ransomware, CEO-Fraud und Rechnungsstellungsbetrug als grösste Cyberbedrohungen über die Lieferkette.

Welche Technologien und organisatorischen Massnahmen können ­Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?

Obschon eine Vielzahl von Massnahmen greifen, möchte ich zwei besonders hervorheben. Erstens: das Zugriffsmanagement. Mir sollte klar sein, wer, wann und wie auf meine Systeme zugreift. Zweitens: Third Party Risk Management (TPRM). Ich sollte eine Übersicht über meine Lieferanten haben und diese im besten Falle nach Kritikalität einstufen. Meine wichtigsten Lieferanten sollte ich regelmässig überprüfen.

Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?

Die NIS-2-Richtlinie soll Cybersecurity in der gesamten EU und über eigentlich alle Branchen hinaus regeln. Auch sind die Mitgliedstaaten angehalten, aktiv zu werden und die Zusammenarbeit bezüglich Cyberrisiken zu stärken. Zulieferer sind durch NIS-2 betroffen und müssen Sicherheitsstandards einhalten. Neu ist auch eine Meldepflicht innerhalb von 24 Stunden – so wie wir sie in der Schweiz ab Januar 2025 auch einführen werden.

Die Vorgaben richten sich grundsätzlich an europäische Unter­nehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?

Insbesondere Organisationen, die eng mit Unternehmen – etwa im Bereich kritische Infrastrukturen – in der EU zusammenarbeiten, könnten dazu angehalten werden, NIS-2 einzuhalten. Auch Organisationen mit Hauptsitz in der Schweiz, die mehrere Standorte – auch in der EU – ­haben, müssen eine Umsetzung in Betracht ziehen.

Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?

Eine Organisation, die lediglich in der Schweiz operiert, könnte allenfalls von einer Umsetzung absehen. Wenn eine Organisation dagegen Dienstleistungen für EU-Kunden erbringt oder gar in der EU tätig ist, müsste sie unter Umständen mit Geldbussen oder Einschränkungen beim Zugang auf den EU-Markt rechnen. Die Richtlinie ist noch neu und hier müssen erst noch Präzedenzfälle geschaffen werden. Als Unternehmer würde ich dies jedoch auf meinen Radar setzen und die Risiken gut abschätzen.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
• Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
• Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
• Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
• Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
• Markus ­Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
• Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
• Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.