Supply Chain Security - wie man laut G Data die Hintertür absichert

News

Mit NIS-2 ist der Bereich Supply Chain Security um ein wichtiges Thema reicher geworden. Obwohl es eine EU-Richtlinie ist, wirkt sie sich auch auf Schweizer Unternehmen aus. Was es hierzulande zu beachten gilt, sagt Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense.

Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense. (Source: zVg)

Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?

Cornelia Lehle: Cyberkriminelle suchen immer das schwächste Glied in der Abwehrkette und das kann auch über eine Lücke bei einem Zulieferer oder Dienstleister passieren. Ein Beispiel ist ein Zulieferer mit einem kompromittierten Netzwerk, über das unwissentlich Malware in das Unternehmen gelangt. Oder Angreifer versuchen mit Social Engineering Zugangsdaten für gemeinsam genutzte Dienste abzugreifen, um Zugang zu den Systemen zu erhalten. Die Sicherheit der Lieferkette wirkt sich also unmittelbar auf die Sicherheit des gesamten Unternehmens aus. Beispiele dafür gibt es einige, etwa die mit der Spionagesoftware Sunburst kompromittierte Netzwerkverwaltungssoftware des Herstellers Solarwinds oder die erst im Frühjahr 2024 entdeckte Backdoor in der weit verbreiteten Kompressionsbibliothek XZ-utils unter Linux – hier konnte in letzter Minute verhindert werden, dass Millionen Systeme weltweit ein manipuliertes Update herunterladen und angreifbar werden.

Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?

Auf technologischer Seite braucht es ein kontinuierliches Monitoring, beispielsweise durch eine Managed-Extended-Detection-and-Response-Lösung, um unerwünschte und unübliche Aktivitäten sofort zu erkennen und zu stoppen. Gleichzeitig sind Themen wie die Mitarbeitersensibilisierung oder auch die Rechteverwaltung ein wesentlicher Bestandteil zur Absicherung der Lieferkette. Denn kein Angestellter muss auf alle Informationen Zugriff haben. Darüber hinaus sollten Unternehmen mit ihren Zulieferern und Dienstleistern Sicherheitsstandards in den Verträgen vereinbaren und deren Einhaltung auch in regelmässigen Audits prüfen lassen.

Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?

Mit der NIS-2-Direktive will die EU sicherstellen, dass Unternehmen in der EU besser für Cyberangriffe gerüstet sind. Dafür wurde der Geltungsbereich bisheriger Regelungen deutlich erweitert. NIS-2 betrifft also nicht nur kritische Infrastrukturen, sondern auch eine grössere Bandbreite an Unternehmen und Zulieferern, insbesondere im Energie-, Verkehrs- und Gesundheitssektor. Ausserdem müssen betroffene Firmen umfassendere Massnahmen zur Sicherstellung der Cybersicherheit implementieren, darunter Incident Response, Notfallpläne und Risikomanagement. Und nicht zuletzt müssen sich Unternehmen um die Sicherheit ihrer Lieferkette kümmern. Allerdings müssen Verantwortliche erst einmal klären, was denn überhaupt dazu zählt. Ich empfehle jedem KMU, seine NIS-2-Verpflichtungen individuell zu prüfen, auch wenn es auf den ersten Blick nicht von den Regularien betroffen zu sein scheint.

Die Vorgaben richten sich grundsätzlich an europäische Unternehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?

Schweizer Unternehmen, die in der EU tätig sind oder mit Unternehmen in der EU zusammenarbeiten, sind potenziell indirekt von der NIS-2-Richtlinie betroffen. Nämlich genau dann, wenn sie als Zulieferer in die Lieferkette eines EU-Unternehmens eingebunden sind. Dann müssen auch sie Sicherheitsstandards einhalten, um weiterhin als vertrauenswürdige Partner zu gelten. Mit der NIS-2-Richtlinie erhöht sich also der Druck auf Schweizer Unternehmen, ähnliche Sicherheitsstandards zu implementieren, um den Anforderungen gerecht zu werden.

Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?

Auch wenn Schweizer Unternehmen nicht direkt der NIS-2 unterliegen, kann das Nichteinhalten schwerwiegende Folgen nach sich ziehen. So könnten EU-Unternehmen die Zusammenarbeit mit Schweizer Zulieferern einstellen, wenn diese nicht den Sicherheitsanforderungen nachkommen. Und sollte ein Cyberangriff über einen Schweizer Zulieferer zu einer Unterbrechung in der Produktionskette führen, zieht das für alle erhebliche wirtschaftliche Verluste nach sich. Aber auch der Ruf der Firma kann nachhaltig Schaden nehmen.

Die Antworten der weiteren Teilnehmenden des Podiums:

Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
Markus Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.