Supply Chain Security - wie man laut Exclusive Networks die Hintertür absichert
Mit NIS-2 ist der Bereich Supply Chain Security um ein wichtiges Thema reicher geworden. Obwohl es eine EU-Richtlinie ist, wirkt sie sich auch auf Schweizer Unternehmen aus. Was es hierzulande zu beachten gilt, sagt Julian Dorl, Head of Technical Customer Success Operations DACH bei Exclusive Networks.
Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?
Julian Dorl: Cyberbedrohungen, die über die Lieferkette in Unternehmen eindringen können, haben eine grosse Bandbreite. Besonders perfide sind diejenigen, die indirekt über scheinbar vertrauenswürdige externe Partner erfolgen und deren Schwachstellen ausnutzen. Damit ist das eigene Unternehmen auf die Sicherheitsvorkehrungen Dritter angewiesen, die per se schwieriger zu kontrollieren sind. Dazu zählen schwache Sicherheitsstandards, veraltete Technologien, manipulierte Hardware bis hin zu Social-Engineering-Angriffen bei Lieferanten.
Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?
Es empfiehlt sich eine Kombination aus modernen Technologien und organisatorischen Massnahmen. Hersteller wie Palo Alto Networks, Gigamon, Netskope, Exabeam – um nur einige zu nennen – liefern technische Tools zur Überwachung, Verschlüsselung und Authentifizierung. Durch vertragliche Sicherheitsklauseln, regelmässige Sicherheitsaudits und Zertifizierungen der Lieferanten sowie eine vorausschauende Risikoplanung und Mitarbeiterschulungen lässt sich die Lieferkette organisatorisch absichern.
Die neue NIS-2-Richtlinie, die seit dem 18. Oktober 2024 anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?
Ein zentrales Thema der Neuauflage NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette. Unternehmen müssen sicherstellen, dass ihre Zulieferer und Partner ebenfalls angemessene Cybersicherheitsstandards einhalten. Damit werden höhere Anforderungen an Zulieferer gestellt, wie etwa regelmässige Audits, Risikobewertungen oder Sicherheitszertifikate. Zusätzlich hat die Europäische Kommission kürzlich eine Durchführungsverordnung zur NIS-2-Richtlinie mit einem Anhang veröffentlicht, der spezifische Anforderungen für die Sicherheitsschulungen definiert, die wichtige Organisationen ihren Mitarbeitenden bieten müssen. Diese Schulungsanforderungen sind entscheidend für die Einhaltung der neuen Cybersicherheitsstandards und erhöhen den Bedarf an umfassenden Cybersicherheitsschulungsangeboten.
Die Vorgaben richten sich grundsätzlich an europäische Unternehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?
Viele Schweizer Unternehmen sind als Dienstleister oder Lieferant Teil internationaler Lieferketten und stehen in enger Geschäftsbeziehung mit Unternehmen innerhalb der EU. Mit NIS-2 werden EU-Unternehmen auch von ihren Schweizer Partnern die Einhaltung bestimmter Sicherheitsstandards verlangen. Insbesondere wenn diese wichtige IT- oder andere Dienstleistungen für EU-Unternehmen erbringen, könnten sie vertraglich verpflichtet werden, die Anforderungen der NIS-2 zu erfüllen, um die Geschäftsbeziehung aufrechtzuerhalten.
Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?
Auch wenn die NIS-2-Richtlinie primär für Unternehmen in der EU gilt: Die Nichteinhaltung durch eine Schweizer Firma kann erhebliche Konsequenzen haben. Die unmittelbarste Auswirkung wären Vertragsverletzungen mit EU-Partnern, was etwa zu Vertragskündigungen oder Bussgeldern führen könnte. Möglicherweise ziehen EU-Partner Schweizer Firmen auch gar nicht mehr als Zulieferer in Betracht, oder ein Vorfall könnte schwerwiegende Reputationsschäden nach sich ziehen.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
- Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
- Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
- Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
- Markus Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
- Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
- Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
- Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
FFHS führt Studiengang für kollaborative Robotik ein
IT-Sicherheit: Standardlösungen allein bringen es nicht mehr
Mit axont ein KMU-freundliches Access Management realisieren
IT & OT im Visier: Warum Security für Schweizer Firmen entscheidend ist
Update: Nachrichtendienst darf virtuelle Agenten einsetzen
GRC & Audit: Schlüsselrollen für Cyber- und Datensicherheit
KI-Tools beeinträchtigen kritisches Denken
KI-gesteuerte Cyberangriffe – wie sich Unternehmen schützen können
Was Grossunternehmen können, können KMUs genauso
