Gestörte Lieferketten, Energiemangel oder Halbleiterengpässe zeigen gerade deutlich die Risiken einer globalen, vernetzten Wirtschaft. Eine weitere zentrale Gefahr dieser zunehmenden Vernetzung ist jedoch schwer zu erkennen: Attacken auf die Supply Chain. Denn wenn das schwächste Mitglied eines Zulieferer-Netzwerks erfolgreich von Cyberkriminellen angegriffen wird, sind alle Teilnehmer bedroht.
Beim Thema Cyber- und Ausfallsicherheit denken viele Unternehmen zuerst an sich selbst. Sie schützen ihre eigenen Infrastrukturen, Systeme und Anwendungen. Aber das ist nicht genug, denn eine erhebliche Gefahr stellen inzwischen Angriffe auf Drittanbieter in der Lieferkette dar.
Bereits im vergangenen Jahr fiel VSA, die Software für Remote Monitoring und Management der Firma Kaseya, aufgrund einer Ransomware-Attacke aus. Davon betroffen waren nach Schätzungen 1.500 bis 2.000 Unternehmen, die diese Software nutzten, unter anderem viele IT-Dienstleister und ihre Kunden. So musste etwa die Supermarktkette Coop zahlreiche Läden schließen, da die Kassensysteme nicht verfügbar waren.
Laut einer aktuellen Studie von Trend Micro waren schon 43 Prozent der deutschen Unternehmen von einem Ransomware-Angriff in der Lieferkette betroffen. Weltweit sind es sogar 52 Prozent. Für mehr als jede dritte Firma in Deutschland stellen potenziell weniger gut gesicherte kleine und mittelständische Unternehmen einen wichtigen Bestandteil der Lieferkette dar.
Die Armutsgrenze für Cybersicherheit
Die Erkenntnis, dass das schwächste Glied einer Kette das Gesamtsystem gefährden kann, ist nicht neu, wird aber erst seit wenigen Jahren aktiv von Cyberkriminellen umgesetzt. Bereits 2011 hat jedoch Wendy Nather, heute bei Cisco weltweit zuständig für die IT-Sicherheitsbeauftragten, das Konzept der „Cybersecurity Povertyline“ entwickelt.
Es bedeutet im Wesentlichen, dass es ein Mindestmaß an Sicherheit gibt, dass jedes Unternehmen und jede öffentliche Institution erfüllen sollte. Wer nicht über die notwendigen Ressourcen oder das Know-how verfügt, um es zu erreichen, fällt unter die Armutsgrenze für Cybersicherheit. Diese Organisation gefährdet dann das Gesamtsystem.
Diese Armutsgrenze ist explizit nicht auf ärmere Länder beschränkt. Selbst in Deutschland rutschen sehr schnell Organisationen unter die Cybersicherheitsarmutsgrenze, wenn sie nicht ausreichend Ressourcen in vier verschiedenen Bereichen bereitstellen.
Die vier Elemente der Armutsgrenze
An erster Stelle steht das Budget. Unternehmen mit sehr knappen Gewinnmargen oder Verlusten werden kaum größere Summen in ihre Cybersicherheit investieren. Auch im öffentlichen Bereich – ob bei kleinen Behörden, Gemeinden, Schulen oder Krankenhäusern – besitzt das Thema selten höchste Priorität. Schwache Sicherheitsmaßnahmen lassen sich jedoch einfach umgehen. So können Cyberkriminelle über Ransomware mit wenig Aufwand einen lohnenswerten Ertrag erzielen.
Den zweiten Faktor bildet das Fachwissen. Selbst wenn Organisationen sich des Risikos bewusst sind und das nötige Budget bereitstellen, verfügen sie möglicherweise nicht über das entsprechende Know-how. Doch das ist erforderlich, um die Sicherheit effektiv zu verbessern. Expertise lässt sich zwar von externen Partnern einholen, doch muss die Organisation selbst bewerten können, ob die Ratschläge auch wirklich zielführend sind.
Punkt Nummer drei ist die Fähigkeit zur Umsetzung. Viele Organisationen wissen zwar, welche Sicherheitsmaßnahmen erforderlich sind, können sie aber nicht anwenden. Zum Beispiel gibt es Einschränkungen aufgrund von ausgelagerter Software, veralteter Hardware oder sogar gesetzlicher Vorschriften. Dienstleister setzen Wünsche nicht um, neue Geräte funktionieren nicht mit zentralen Systemen oder sichere Cloud-Angebote dürfen nicht genutzt werden. All das verhindert dann, dass die Organisation ihre Abwehrmechanismen auf das notwendige Niveau heben kann.
Das vierte Thema ist die Marktposition. Große Unternehmen sind in der Lage, günstige Bedingungen mit ihren Verkäufern, Lieferanten und Partnern auszuhandeln. Kleine Organisationen müssen dagegen die vorhandenen Angebote zu regulären Preisen nutzen. Sie erhalten also für das gleiche Geld weniger Leistung und müssen zudem die Lösungen meist selbst an ihre eigenen Bedürfnisse anpassen. Dies erfordert weiteres Budget und Zeitaufwand und kann im schlimmsten Fall neue Schwachstellen erzeugen.
Nur zusammen sicher
Die kurze Betrachtung dieser vier Faktoren macht bereits deutlich, wie schnell vor allem kleinere Organisationen auch in Deutschland unter die Cybersicherheitsarmutsgrenze fallen. Sie können aus eigener Kraft nicht die notwendigen Mindeststandards für Sicherheitsmaßnahmen umsetzen. Das gefährdet nicht nur sie selbst, sondern aufgrund der umfassenden Vernetzung auch das Gesamtsystem. Ciscos IT-Forensiker von Talos bestätigen diese Einschätzung. Daher sollten selbst gut aufgestellte Firmen davon ausgehen, dass sie früher oder später kompromittiert werden. Auf Basis einer entsprechenden Strategie können sie erfolgreiche Angriffe erkennen, zum Beispiel über die Exfiltration von Daten.
Gleichzeitig ist es wichtig, das Thema IT-Sicherheit mit seinen Zulieferern aktiv zu besprechen. Dabei sollten gemeinsame Mindeststandards festgelegt werden, wie der verbindliche Einsatz von Multifaktor-Authentifizierung und segmentierten Sicherheitsbereichen im Netzwerk. Je wichtiger die eigene Sicherheit ist, desto klarer müssen auch die Anforderungen an die Partnerunternehmen in diesem Bereich sein. Im Maximalfall werden alle Systeme von einem einheitlichen Anbieter geschützt, da so Bruchstellen an den Systemübergängen minimiert werden.
Als Unternehmen oder Behörde mit hohen Anforderungen an Cybersicherheit muss man also nicht nur die eigene IT-Security, sondern auch die seiner Geschäfts- und Netzwerkpartner im Blick behalten. Damit das Gesamtsystem sicher bleibt, braucht es eine gemeinsame Anstrengung von Politik, Wirtschaft und IT-Industrie, um ein Mindestmaß an Cybersicherheit für definierte Sektoren und Netzwerke zu gewährleisten. Denn in einer globalen Welt ist man nur zusammen sicher.
Jonas Rahe ist Director Public Sector bei Cisco Deutschland.
