Kolumne : Black-Box Lieferkette

Effizient, kostensparend und schnell: Die Digitalisierung hat auch Lieferketten grundlegend verändert. Auf den ersten Blick überwiegen die Vorteile – schließlich werden nicht nur Kosten reduziert, es entstehen auch völlig neue Geschäftsmodelle, eine bedarfssynchrone Produktion wird ermöglicht. Doch im Zuge der Vernetzung entsteht auch ein oft undurchsichtiges Geflecht von Abhängigkeiten – damit wachsen die Schwachstellen.

Um das Netz an Abhängigkeiten besser verstehen zu können, lohnt ein Blick in die Struktur des Zulieferernetzwerks. Ausgehend vom Produzenten des Endproduktes, auch Original-Equipment-Manufacturer (OEM) genannt, werden drei Ebenen (sog. Tiers) unterteilt. Der direkte Lieferant von System- und Modulteilen wird als First-Tier, der Komponentenlieferant als Second-Tier und deren Sublieferanten und Teilelieferanten als Third-Tier bezeichnet. Diese einzelnen Bestandteile sind in schier endlose Netze eingebunden, in denen sie sowohl Lieferant als auch Kunde sein können.

In diesem Ökosystem werden Daten generiert – etwa durch digitale Kollaborationsplattformen zur B2B-Kommunikation und dem Lieferantenmonitoring, der Vernetzung physischer Geräte und Systeme in Produktionsanlagen mithilfe des Internet der Dinge oder softwarebasierten Lagerverwaltungs- und Geoinformationssystemen, die raumbezogene Informationen liefern, um geographische Risiken frühzeitig erkennen zu können. Das sind nur wenige von zahlreichen Beispielen für die Flut an Daten, die hier entsteht. Richtig eingesetzt, liefern sie einen Mehrwert und Wettbewerbsvorteil für Unternehmen.

Wenn Unternehmensübernahmen zum Cyberrisiko werden

Doch allzu häufig fehlt bei der Vernetzung das Wissen um die Risken: Im Rahmen des PWC Global Digital Trust Insights Survey 2022 gaben mehr als 30 Prozent der deutschen Führungskräfte an, dass sie wenig bis gar kein Verständnis für die IT- und Softwarerisiken in ihren Lieferketten haben. Die IT-Transparenz kann noch weiter getrübt werden, wenn etwa Unternehmen durch Fusionen und Übernahmen ihre IT-Infrastruktur auf einen Schlag erweitern. In diesem Transformationsprozess können Cyberrisiken entstehen, wenn beispielsweise Infrastrukturen ohne Betrachtung des jeweiligen Levels der Cyberhygiene miteinander verbunden werden.

Die Fusion schafft dann eine größere Angriffsfläche, Bedrohungsakteure könnten zudem den Umstand ausnutzen, dass IT- und Cybersicherheitsverantwortliche mit der Konsolidierung der Infrastrukturen beschäftigt sind. Außerdem könnten Altlasten in Form von bereits bestehenden Kompromittierungen importiert werden. Diese Risiken müssen auch mit Blick auf die Interoperabilität von IT und OT berücksichtigt werden, die bei einer Fusion harmonisiert werden müssen.

Für Unternehmen werden diese eingekauften Risiken ein wachsender Faktor. Laut einer weltweiten Erhebung unter etwa 2.800 Führungskräfte aus 2019 im Auftrag von Forescout, einem israelisch-amerikanischen Unternehmen für Netzwerksicherheit, fürchten 62 Prozent der Befragten, dass durch Unternehmensübernahmen das Cybersicherheitsrisiko steigt und diese für sie die größte Sorge bei der Akquisition darstellen. Die Komplexität der verwobenen Informationsstrukturen ist ein Faktor, der zu diesem geringen Verständnislevel für Cyberrisiken führt. Ein anderer ist die unbekannte Anzahl an Schnittstellen, die zu großer Abhängigkeit und Vulnerabilität führen kann, wie die Corona-Pandemie deutlich gezeigt hat.

Das Ausmaß der Risiken wächst

Dabei wird deutlich, vor welchen Herausforderungen Unternehmen stehen, wenn wir uns die Zahlen vor Augen führen: Während der Corona-Pandemie, Mitte 2020, führte Opinion Matters im Auftrag von Blue Voyant eine Unternehmensbefragung durch. Befragt wurden Mitarbeitende aus verschiedenen Branchen, die für das Lieferketten- und Cyberrisikomanagement verantwortlich sind. 77 Prozent der Befragten gaben an, dass sie nur einen begrenzten Überblick über ihre Drittlieferanten haben. Zudem schienen mehr als drei Viertel der befragten Unternehmen keine weiteren Einblicke in die Infrastruktur ihrer Zulieferer zu besitzen, die zum Teil mit mehr als tausend verschiedenen Lieferanten arbeiten. Diese Größenordnung vermittelt ein Gefühl für das Ausmaß der Herausforderung beim Umgang mit Cyberrisiken.

Dabei wächst gleichermaßen auch das Risiko für die Kontinuität von Geschäftsabläufen: Massive Störungen der Lieferketten werden zukünftig, ob direkt oder indirekt, durchschnittlich alle dreieinhalb Jahre für mindestens einen Monat auftreten. Zu diesem Ergebnis kommt eine McKinsey-Studie aus dem Jahr 2020. Zudem warnte der zur Allianz gehörende Industrieversicherer AGCS in einem Cyberreport bereits im Herbst 2021 davor, dass Cyberoperationen gegen Lieferketten der „nächste große Trend“ seien (Background berichtete). Bereits in 2021 haben sich Cyberangriffe auf Lieferketten, auch um über „Umwege“ das eigentliche Zielobjekt zu kompromittieren, laut der Agentur der Europäischen Union für Cybersicherheit (ENISA), im Vergleich zu 2020 vervierfacht (Background berichtete).

Dieser Trend dürfte sich vor dem Hintergrund der aktuellen geopolitischen Ereignisse weiter verstärken –  der russische Angriffskrieg auf die Ukraine etwa wird zu einer weiteren Intensivierung von böswilligen Cyberoperationen führen und damit weiter Druck auf Lieferketten ausüben.

Welche Maßnahmen Unternehmen ergreifen müssen

Um in dieser Gemengelage zu bestehen, müssen Unternehmen ihre analoge und digitale Wertschöpfungskette analysieren, um eine bessere Entscheidungsgrundlage zu schaffen. Die Komplexität und das Ausmaß dieser Herausforderung sind für viele Unternehmen, vor allem aber für kleine und mittelständische, aus finanzieller und administrativer Sicht enorm.

Einige grundlegende Maßnahmen können jedoch dabei helfen, die Widerstandsfähigkeiten zu erhöhen: Unternehmen sollten zunächst eine Übersicht der analogen wie auch digitalen Schnittstellen erstellen, die Abhängigkeiten klären und eine Bewertung ihrer Hard- und Softwareumgebung vornehmen, die permanent begutachtet und entsprechend aktualisiert wird. Transparenz ist elementar, um mögliche Schwachstellen identifizieren und Gegenmaßnahmen vorbereiten zu können. Dazu gehört auch, auf geprüfte Komponenten zu setzen, die anhand verschiedener Faktoren wie beispielsweise der Einhaltung von technischen Standards, Zertifizierung von Hard- und Software oder Herkunftsland beurteilt werden.

Der Einblick in die gesamte IT-Ausstattung eines Unternehmens (Hardware, eigene Softwareentwicklungen und eingekaufte Dienstleistungen sowie Nutzungsdaten, Lizenzen und Schwachstellen) wird unter dem Begriff IT-Transparenz zusammengefasst. Eine Inventarisierung dieser IT-Assets eines Unternehmens ist eine große Herausforderung. Abhilfe können IT-Asset-Management Systeme schaffen, die jedoch akkurate Daten für eine ganzheitliche Bestandsanalyse benötigen. Da diese Daten aus verschiedenen Quellen gewonnen werden, müssen sie konsolidiert werden, um alle Anwendungen und Umgebungen abbilden zu können.

Dieser Vorgang ist vor allem bei Fusionen und Übernahmen notwendig, um rechtliche, finanzielle und wirtschaftliche Risiken zu quantifizieren. Eine ganzheitliche Bestandsanalyse aller IT-Assets ist in jedem Falle ratsam, nicht nur für eine nahtlose und sichere Integration von IT- und OT-Infrastrukturen. Daher sollten Unternehmen die verschiedenen Datenquellen erfassen, aufbereiten, abgleichen, zuweisen und in einem Lagebild der IT-Infrastruktur darstellen.

Softwarefluss im Unternehmen

Welche Software wird von wem, wo eingesetzt? Fragen zum Softwarefluss im Unternehmen müssen geklärt werden, um geeignete Sicherheitsmaßnahmen richtig zu adressieren. Zunächst sollte die gesamte Organisation betrachtet und der gesamte Softwarefluss im Unternehmen dokumentiert werden. Größere Unternehmen sollten zunächst eine Bestandsaufnahme auf der Makroebene durchführen und dann die einzelnen Geschäftsbereiche untersuchen. Dabei könnten Unternehmen schnell feststellen, dass in den einzelnen Geschäftsbereichen unterschiedliche Softwarelösungen und Werkzeuge zum Einsatz kommen. Zu ermitteln wären die Verantwortlichen, die Softwarelösungen entwickelt haben beziehungsweise diese überwachen, die Abläufe von der Entwicklung auf dem Rechner bis zur Umsetzung in der Produktion, und die Systeme, die sie verwenden, um den Prozess zu ermöglichen, also die Technologien.

Diese Softwareumgebung transparent und mit klaren Verbindungen darzulegen, kann je nach Größe des Unternehmens, herausfordernd sein. Unternehmen sollten sich dennoch diese Mühe machen, um nicht betrachtete Schnittstellen in ihrem Ökosystem zu identifizieren und abzuwägen, welche Schritte daraus resultieren sollten. Dies gilt auch, wenn Entwicklungen an Anbieter ausgelagert wurden und Vertragsprüfungen erfordern.

Identifizierung von kritischen Vermögenswerten

Gerade für kleinere Unternehmen, die komplexe und kostenintensive Bewertungsmethoden scheuen, ist es hilfreich, neben den materiellen, auch bestimmte Arten von immateriellen Vermögenswerten zu kategorisieren und zu bewerten. Dazu gehören beispielsweise Schlüsselkompetenzen, Innovationen und geistiges Eigentum, Daten sowie Markenrechte. Unternehmen, die diese Bewertungselemente nicht berücksichtigen und davon ausgehen, dass auch in einer zunehmend digitalen Wertschöpfungskette nur physische Vermögenswerte einen relevanten monetären Wert innehaben, könnten falsche Prioritäten bei der Ressourcenallokation setzen und sich bei einem Cybervorfall in eine existenzbedrohende Situation wiederfinden.

Der Austausch mit Lieferanten, insbesondere mit solchen, die bereits von Cybervorfällen betroffen waren und Erfahrungen sammeln konnten, kann zudem hilfreich sein – genauso wie mit Behörden, Versicherungen, Interessenverbänden und der Wissenschaft. Die aus den Erfahrungswerten gesammelten Best-Practices sind ein Leitfaden, der an die eigenen Bedürfnisse angepasst werden muss. Der Mehrwert des Austausches übersteigt dabei das Risiko eines Reputationsschadens.

Letztlich sind alle Unternehmen direkt oder indirekt betroffen. Zudem zeigen einige Fälle aus der Vergangenheit, dass Kunden Transparenz und ein gutes Krisenmanagement zu schätzen wissen, auch wenn sie selbst von dem Vorfall betroffen sind (Background berichtete). Resiliente Lieferketten können nur auf Basis transparenter und möglichst vollständiger Informationen entstehen. Diese Informationen schaffen die Grundlage für bedarfsgerechte Maßnahmen für eine verbesserte Cybersicherheit und eine entsprechende Ressourcenallokation.

Alexander Szanto ist Research Fellow am Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) in Potsdam.

In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein.