Supply Chain Security - wie man laut Infoguard die Hintertür absichert
Mit NIS-2 ist der Bereich Supply Chain Security um ein wichtiges Thema reicher geworden. Obwohl es eine EU-Richtlinie ist, wirkt sie sich auch auf Schweizer Unternehmen aus. Was es hierzulande zu beachten gilt, sagt Markus Limacher, Head of Security Consulting bei Infoguard.
Was sind die grössten Cyberbedrohungen, die über die eigene Lieferkette in Unternehmen kommen können?
Markus Limacher: Die Kompromittierung von Drittanbietern, wie es der Angriff auf Solarwinds eindrucksvoll gezeigt hat. Dabei wurden Schwachstellen bei Lieferanten ausgenutzt, um Unternehmen zu infiltrieren. Sicherheitslücken in Software oder Hardware, die von Zulieferern bereitgestellt werden, stellen ebenfalls ein erhebliches Risiko dar. Zudem erhöhen unzureichende Sicherheitsstandards bei Partnern die Gefahr von Datenlecks oder Malware. Unternehmen müssen nicht nur ihre eigenen Systeme sichern, sondern auch die gesamte Lieferkette in ihrer Cybersicherheitsstrategie berücksichtigen.
Welche Technologien und organisatorischen Massnahmen können Unternehmen nutzen, um ihre Lieferkette gegen Cyberbedrohungen abzusichern oder das Ausmass von Cybervorfällen zu minimieren?
Ein ganzheitlicher Ansatz, wie er etwa von ISO 27001, dem NIST CSF oder dem IKT-Minimalstandard vorgegeben wird, ist das A und O. Unternehmen müssen dabei technologische und organisatorische Massnahmen kombinieren. Technologien wie Zero Trust prüfen kontinuierlich alle Zugriffsanfragen, Multi-Faktor-Authentifizierung (MFA) und strenge Richtlinien zur Benutzer- und Systemauthentifizierung sorgen für zusätzliche Sicherheit. Das Least-Privilege-Prinzip, die Integration von Sicherheitstests in den Entwicklungsprozess sowie die Echtzeitüberwachung helfen, potenzielle Bedrohungen durch Lieferanten frühzeitig zu erkennen. Organisatorisch sind Incident-Response-Pläne, Lieferantenaudits, Sicherheitsvorgaben in Verträgen und regelmässige Schulungen bei den Mitarbeitenden entscheidend, um die Widerstandsfähigkeit der Lieferkette gegen Cybervorfälle zu stärken.
Die neue NIS-2-Richtlinie, die seit dem 18. Oktober 2024 anzuwenden ist, soll die IT-Sicherheit und Cyberresilienz in der EU erhöhen. Auch Zulieferer sind davon betroffen. Was sind die wichtigsten Neuerungen?
Die NIS-2-Richtlinie erweitert den Geltungsbereich und schliesst nun auch kleinere Unternehmen ab 50 Mitarbeitenden mit über 10 Millionen Jahresumsatz in kritischen Branchen ein. Unternehmen sind verpflichtet, regelmässige Risikoanalysen durchzuführen, um Schwachstellen zu identifizieren, und müssen Meldepflichten einhalten. Führungskräfte können persönlich für Verstösse haftbar gemacht werden, was den Druck auf das Management erhöht. Eine enge Zusammenarbeit zwischen IT, Compliance und Management ist unerlässlich. Eine zentrale Koordination aller Cybersicherheitsmassnahmen ist notwendig, um sicherzustellen, dass Risiken entlang der gesamten Lieferkette erfasst und gemanagt werden.
Die Vorgaben richten sich grundsätzlich an europäische Unternehmen. Inwiefern sind aber auch Schweizer Unternehmen davon betroffen?
Die Vorgaben betreffen auch Schweizer Unternehmen, die in der EU operieren oder Dienstleistungen erbringen. Besonders Zulieferer in kritischen Sektoren wie Energie oder Transport müssen die NIS-2-Richtlinie einhalten, um ihre Geschäftsbeziehungen abzusichern. Die Nichteinhaltung kann zu Geschäftsverlusten oder rechtlichen Konsequenzen führen.
Welche Folgen hätte es für eine Schweizer Firma, wenn sie die Richtlinie nicht einhalten würde?
Schweizer Unternehmen, die die NIS-2-Richtlinie nicht einhalten, riskieren den Verlust von Aufträgen und Partnerschaften mit EU-Unternehmen, insbesondere in kritischen Infrastrukturen. Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden.
Die Antworten der weiteren Teilnehmenden des Podiums:
- Alvaro Amato, Check Point: "Es könnte zu einem Vertrauensverlust und Reputationsschaden kommen."
- Jan Alsenz, Oneconsult: "Bedrohungen können von jedem Lieferanten ausgehen – von kleiner Software bis zu grossen Maschinen."
- Thomas Boll, Boll Engineering: "Es besteht das Risiko, als Lieferant gemieden zu werden.”
- Julian Dorl, Exclusive Networks: "Ein zentrales Thema von NIS-2 ist die Erhöhung der Sicherheit entlang der gesamten Lieferkette."
- Cornelia Lehle, G Data: "Mit NIS-2 will die EU sicherstellen, dass Unternehmen besser für Cyberangriffe gerüstet sind."
- Markus Limacher, Infoguard: "Proaktive Massnahmen zur Sicherstellung der Compliance sind unerlässlich, um Sanktionen zu vermeiden."
- Rainer Schwegler, Eset: "Die Nichteinhaltung der NIS-2-Richtlinie kann für Schweizer Unternehmen erhebliche Folgen haben."
- Dario Walder, Digitalswitzerland: "Als Unternehmer würde ich NIS-2 auf meinen Radar setzen und die Risiken gut abschätzen."
- Richard Werner, Trend Micro: "Lieferanten von NIS-2-Unternehmen müssen mit Anfragen zur Cybersicherheit rechnen."
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Keramik mit Feingefühl
Qualität und Zuverlässigkeit sind kein Privileg grosser Unternehmen
So setzt Meteo Schweiz künstliche Intelligenz heute und in Zukunft ein
Inacta als "Mendix Partner of the Year" geehrt
ACG Holding übernimmt A+G Connect
Vorsprung durch Vorsorge: Prevention First in der IT-Sicherheit
Taugt Google Gemini zur Malware-Analyse?
Update: Kanton Bern hält an automatischer Fahrzeugfahndung fest
Die richtige Adresse für Privileged Access Management
