Supply Chain Security - wie man laut Trend Micro die Hintertür absichert
Mit NIS-2 ist der Bereich Supply Chain Security um ein wichtiges Thema reicher geworden. Obwohl es eine EU-Richtlinie ist, wirkt sie sich auch auf Schweizer Unternehmen aus. Was es hierzulande zu beachten gilt, sagt Richard Werner, Security Advisor bei Trend Micro.
Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?
Richard Werner: Wir unterscheiden drei Hauptformen technologiebasierter Angriffe: 1. Bösartige Software-Updates: Übernahme der Update-Infrastruktur, um Schadsoftware statt regulärer Updates zu verbreiten. 2. Angriffe über Service Provider: Übernahme der Provider-Infrastruktur zur Verbreitung von Schadsoftware. 3. "Island Hopping": Angriffe auf kleinere Unternehmen, um über deren Kommunikationskanäle Kunden anzugreifen.
Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?
Lieferkettenangriffe umgehen Abwehrmechanismen, indem sie Vertrauenspositionen ausnutzen. Daher kann jedes System im Umfeld als Ausgangspunkt dienen. Wirksame Abwehrmassnahmen sind Technologien wie XDR und Strategien wie das Zero-Trust-Konzept, die interne Vertrauenspositionen überwachen und im Ernstfall blockieren können.
Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?
NIS-2 legt den Schwerpunkt auf das Cybersecurity-Risk-Management und sieht die Verantwortung bei der Geschäftsleitung, mit möglichen Sanktionen auch ohne Vorfall. Grössere Unternehmen müssen ihre Risikobewertungen an ihre Geschäftspartner weitergeben, da die Lieferkette als Sicherheitsrisiko betrachtet wird. Techniken wie Früherkennung und Reaktion sind gesetzlich vorgeschrieben, wobei die Umsetzung je nach Unternehmensgrösse und wirtschaftlichen Möglichkeiten variiert.
Die Vorgaben richten sich grundsätzlich an europäische Unternehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?
Jedes Unternehmen, das Dienstleistungen in der EU erbringt, fällt unter NIS-2, unabhängig davon, wo es seinen Sitz hat. Welches EU-Land zuständig ist, hängt von der Dienstleistung ab. Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen. Es ist politisch gewollt, dass die freiwillige Einhaltung langfristig einen Wettbewerbsvorteil bringt.
Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?
Eine Überprüfung der Umsetzung von NIS-2 kann jederzeit und ohne Angabe von Gründen angeordnet werden. Bei Verweigerung drohen zunächst Bussgelder und in letzter Konsequenz die Untersagung des Angebots in der EU. Auch Schadenersatzforderungen sind möglich. Die genauen Sanktionen richten sich nach dem Recht des EU-Mitgliedstaates, in dem das Unternehmen tätig ist.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
- Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
- Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
- Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
- Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
- Markus Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
- Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
- Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
Das könnte Sie ebenfalls interessieren: In einem gemeinsamen Webinar von Netzmedien und Trend Micro haben die Fachexperten Richard Werner und Rechtsanwalt Simon T. Oeschger über die Konsequenzen für Schweizer Unternehmen und Best Practices zur Einhaltung der Gesetze diskutiert. Die Zusammenfassung sowie die Aufzeichnung des Webinars "ISG und NIS-2 – was Schweizer Unternehmen jetzt beachten müssen" finden Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
So setzt Meteo Schweiz künstliche Intelligenz heute und in Zukunft ein
Qualität und Zuverlässigkeit sind kein Privileg grosser Unternehmen
Update: Kanton Bern hält an automatischer Fahrzeugfahndung fest
Inacta als "Mendix Partner of the Year" geehrt
Keramik mit Feingefühl
ACG Holding übernimmt A+G Connect
Taugt Google Gemini zur Malware-Analyse?
Stärkung der Cybersecurity und physischen Sicherheit in Schweizer KMUs
Die richtige Adresse für Privileged Access Management
