Supply Chain Security - wie man laut Oneconsult die Hintertür absichert

Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?

Jan Alsenz: Bedrohungen können grundsätzlich von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen. Die häufigsten Cyberangriffe betreffen technische Vertrauensbeziehungen (z. B. Active Directory, Fernwartung), Hintertüren in legitimer Software und (Cloud-)Datenlecks.

Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?

Organisatorisch sind ein Inventar und ein darauf aufbauendes Risikomanagement zentral. Technisch ist aufgrund der Vielfalt an ­Bedrohungen eine gute, detaillierte Überwachung mit Anomalieerkennung entscheidend.

Die neue NIS-2-Richtlinie, die seit dem 18. Oktober anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?

Die wichtigsten Neuerungen sind striktere Anforderungen – vor allem im Bereich (Supplier) Risk Management –, der erweiterte Anwendungsbereich, etwa auch Onlinedienste wie Social Media oder Managed Service Provider, sowie klare Bussgelder und Strafmassnahmen.

Die Vorgaben richten sich grundsätzlich an europäische Unter­nehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?

Schweizer Unternehmen können auf zwei Wegen betroffen sein: Zum einen richtet sich NIS-2 nicht nur an europäische Unternehmen, sondern allgemein an Unternehmen, die wichtige Dienstleistungen für europäische Bürger oder Unternehmen erbringen. Ein Schweizer Unternehmen, das unter NIS-2 fällt, sollte daher auch ohne EU-Niederlassung einen Vertreter für die Aufsichtsbehörden bestimmen. Zum anderen wird durch den verstärkten Fokus auf Supply-Chain-Risiken auch die Sicherheit von Schweizer Zulieferern beziehungsweise Dienstleistern für EU-Unternehmen relevant.

Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?

Grundsätzlich können nur Firmen, die unter den Anwendungsbereich von NIS-2 fallen, gegen die Richtlinie verstossen. In diesem Fall können hohe Bussen oder andere Sanktionen greifen. Für Lieferanten würde sich die Wettbewerbsfähigkeit sicherlich verschlechtern, wenn sie keine angemessene Sicherheit belegen können. In Deutschland etwa gelten auch wichtige Zulieferer mit "Alleinstellungsmerkmal" für grosse Unternehmen als von "besonderem öffentlichen Interesse" und fallen damit unter NIS-2.

Die Antworten der weiteren Teilnehmenden des Podiums:

• Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
• Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
• Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
• Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
• Markus ­Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
• Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
• Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
• Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.