Supply Chain Security - wie man laut Eset die Hintertür absichert

Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?

Rainer Schwegler: Supply-Chain-Attacken sehen wir als eine der grössten Cyberbedrohungen für Unternehmen. Angreifer kompromittieren dabei vertrauenswürdige Lieferanten oder Software, um in die Systeme ihrer eigentlichen Ziele einzudringen. Besonders gefährlich sind manipulierte Software-Updates, die Malware in Unternehmensnetzwerke einschleusen. Auch kompromittierte Cloud-Dienste oder IoT-Geräte in der Lieferkette stellen erhebliche Risiken dar. Phishing-Angriffe, die sich als legitime Kommunikation von Geschäftspartnern tarnen, nehmen ebenfalls zu.

Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?

Unternehmen empfehlen wir eine mehrschichtige ­Sicherheitsstrategie zur Absicherung ihrer Lieferkette. Zentral ist eine umfassende Endpoint-Security-Lösung, die Workstations, Server und mobile Geräte schützt. Ergänzend sollte eine fortschrittliche Threat-Detection-and-Response-Technologie implementiert werden, um Bedrohungen proaktiv erkennen und schnell darauf reagieren zu können. Zum Schutz von Cloud-Diensten und E-Mail-Kommunikation sind spezielle ­Sicherheitslösungen unerlässlich. Darüber hinaus empfehlen wir die Umsetzung von Zero-Trust-Prinzipien, Netzwerksegmentierung und strikte Zugriffskontrolle. Regelmässige Sicherheitsaudits, Mitarbeiterschulungen und ein robustes Patch-Management runden die Schutzmassnahmen ab. Die Erstellung von Notfallplänen ist ebenso wichtig, um im Ernstfall effektiv reagieren zu können.

Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?

Die NIS-2-Richtlinie der EU hat bedeutende Auswirkungen auf die Schweizer Wirtschaft, obwohl die Schweiz kein EU-Mitglied ist. Unternehmen mit EU-Aktivitäten müssen sich an die neuen Cybersicherheitsstandards anpassen. Die Richtlinie erweitert den Geltungsbereich auf 18 Sektoren und verschärft die Anforderungen. Betroffene Unternehmen müssen bis Oktober 2024 umfassende Sicherheitsmassnahmen implementieren, darunter Risikomanagement und Meldepflichten. Bei Verstös­sen drohen hohe Bussgelder. Die Umsetzung in nationales Recht der EU-Staaten verzögert sich teilweise, was die Vorbereitung erschwert. Zudem sind Unternehmen gefordert, Cybersicherheitsrisiken in ihrer gesamten Lieferkette zu berücksichtigen. Dennoch sollten Schweizer Firmen proaktiv handeln, um ihre Cybersicherheit zu stärken und wettbewerbsfähig zu bleiben.

Die Vorgaben richten sich grundsätzlich an europäische Unter­nehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?

Obwohl die NIS-2-Richtlinie primär für EU-Unternehmen gilt, betrifft sie auch Schweizer Unternehmen. Schweizer Firmen mit Niederlassungen in der EU müssen die NIS-2-Vorgaben für diese Einheiten erfüllen, sofern sie die Kriterien erfüllen. Unternehmen, die Teil der Lieferkette von EU-Firmen sind oder als IT-Dienstleister für EU-Kunden agieren, müssen ebenfalls die Sicherheitsstandards einhalten. Selbst wenn keine direkte Betroffenheit besteht, können EU-Partner die Einhaltung der NIS-2-Standards verlangen. Um wettbewerbsfähig zu bleiben, sollten sich Schweizer Unternehmen an diesen Standards orientieren. Es ist ratsam, die NIS-2-Anforderungen zu prüfen, mögliche Abweichungen zu identifizieren und rechtzeitig zu beheben, um mindestens die EU-weit gültigen Mindestanforderungen zu erfüllen.

Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?

Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben. EU-Partner könnten die Zusammenarbeit einschränken oder beenden, was zu Wettbewerbsnachteilen im europäischen Markt führt. Niederlassungen in der EU riskieren hohe Bussgelder. Reputationsschäden und Vertrauensverlust bei Kunden sind wahrscheinlich. Ohne Anpassung an NIS-2-Standards steigt das Cyberrisiko. Zudem könnten EU-Auftraggeber die Einhaltung der Richtlinie als Voraussetzung für Geschäftsbeziehungen festlegen, was den Zugang zu wichtigen Märkten erschweren würde.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
• Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
• Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
• Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
• Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
• Markus ­Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
• Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
• Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.