Anzeige
Anzeige
Anzeige

Informations- und Risikomanagement

Sicherheit in der Supply Chain

Beitrag drucken
Unternehmen sind in der Supply Chain mehr denn je durch ein Netz ein- und ausgehender Informationen und damit gegenseitiger Abhängigkeiten miteinander verbunden. Bild: Information Security Forum

Handlungsfelder für mehr Sicherheit in der Supply Chain

Sicherheit in der Supply Chain kann nur durch eine gemeinsame Anstrengung aller miteinander verbundenen Partner – Kunden, Zwischenhändler, Lieferanten, Entwicklungspartner und Hersteller – erreicht werden. Informationssicherheit ist dabei ein fortlaufender Prozess. In seinem aktuellen Report ‚Securing the Supply Chain‘ fasst das ISF die wichtigsten Maßnahmen zusammen, mit denen Unternehmen ihre Informationen schützen können: Im ersten Schritt benötigen sie Klarheit, welche Arten von Informationen es innerhalb ihres Unternehmens gibt. Dazu gehören zum Beispiel personalisierte Daten, geistiges Eigentum, betriebswirtschaftliche Informationen und Verträge. Zudem müssen sie abschätzen können, wie wahrscheinlich der Verlust einzelner Informationen ist und welche Folgen ein Verlust hätte.

Es gilt zu berücksichtigen, welche Auswirkungen ein Vorfall wie Diebstahl, Nichtverfügbarkei oder Veröffentlichung auf welchen Geschäftsbereich nach sich zieht. Darüber hinaus sollten Unternehmen auch die Umgebung ihrer Supply Chains bei ihrer Sicherheitsstrategie berücksichtigen, etwa hinsichtlich der Informationsverflechtungen zwischen Hersteller, Abnehmer, Lieferanten und Dienstleistern. Abhängig von der Branche oder der Art der Geschäftspartner kann das Risiko stark variieren.

Darauf aufbauend können passende Sicherheitsmaßnahmen bezüglich einzelner Informationstypen und Partner aufgesetzt werden. Dazu gehört die Implementierung von Standards wie ISO/IEC 27002, ISO/IEC 27036 oder der Standard of Good Practice (SOGP) des ISF. Mithilfe dieser informationszentrierten Vorgehensweise können Unternehmen die besonderen Charakteristika der Datensicherheit in ihrem Supply Net identifizieren und den Weg ihrer Informationen nachvollziehen. Sie gelangen so zu einer Strategie für den Umgang mit ihren individuellen Risiken in der Supply Chain.

Risiken und Absicherung gezielt adressieren

Um für diese Aufgabe einen standardisierten Rahmen bereitzustellen, hat das Information Security Forum mit dem ‚Supply Chain Information Risk and Assurance Process‘ (Scirap) ein detailliertes Vorgehensmodell entwickelt, mit dem Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren können. Scirap basiert auf den Erfahrungen sowie der täglichen Praxis der weltweit mehr als 300 Mitgliedsunternehmen der Organisation sowie der Forschungsarbeit der assoziierten Analysten, greift auf bestehende Standards und Richtlinien wie ISO/IEC 27002, ISO/IEC 27036 oder den ‚Standards of Good Practice‘ (SOGP) zurück und übertragt diese auf die Anforderungen der Supply Chain.

Das Modell beschreibt anhand von vier übergeordneten Handlungsfeldern detailliert das Vorgehen und stellt die notwendigen Tools sowie Handlungsanweisungen für eine effiziente Umsetzung zur Verfügung, beispielsweise für die Integration in einen typischen Beschaffungsprozess. Damit können Unternehmen die Risiken für ihre Informationen entlang der Supply Chain minimieren und flexibel auf Veränderungen reagieren.


Das könnte Sie auch interessieren:

Beim Anlagenbauer Mühlböck bildete der Produktkonfigurator das Herzstück der Auftragsbearbeitung. Mit der Einführung eines neuen ERP-Systems sollte dieser abgelöst werden. Eine Aufgabe, die sich als sehr komplex herausstellte. Nach langer Suche und einem gescheiterten Versuch stellte sich schließlich Asseco Solutions dieser Herausforderung.‣ weiterlesen

Die Cyberkriminalität nimmt zu und Cybersecurity-Fachleute sind schwer zu finden, folglich wächst die Zahl der Arbeitsplätze im Bereich Cybersecurity jährlich um mehr als 30% (laut (ISC)2, 2021), und gut vorbereitete Studierende werden die ersten sein, die für die Top-Jobs der Branche infrage kommen. Daher werden akademische Programme, die sie darauf vorbereiten, sehr gefragt sein.‣ weiterlesen

Nozomi Networks Labs hat seinen neuesten OT/IoT Security Report veröffentlicht. Wie der Bericht zeigt, hatten Wiper-Malware, die Aktivitäten von IoT-Botnetzen und der Ukraine-Krieg im ersten Halbjahr 2022 entscheidenden Einfluss auf die Bedrohungslandschaft. Seit dem russischen Einmarsch in die Ukraine im Februar 2022 konnten die Forscher von Nozomi Networks Labs Aktivitäten verschiedenartiger Bedrohungsakteure beobachten. Dazu zählten Hacktivisten, von staatlichen Stellen vorangetriebene APTs und Cyberkriminelle.‣ weiterlesen

Der Fokus von cyberkriminellen Handlungen liegt auf Unternehmen und öffentlichen Einrichtungen, maßgeblich um den Betrieb lahm zu legen oder um Erpressungsgelder zu erbeuten. Dass die Gefahrenlage angespannt ist, belegen Fakten: Laut BSI wurden 2021 rund 144Mio. neue Schadprogramme identifiziert.‣ weiterlesen

Der IT-Dienstleister Syntax hat mit Catherine Solazzo eine neue Marketing-Chefin. Sie soll u.a. die Nachfrage-Generierung des Unternehmens vorantreiben.‣ weiterlesen

Darüber, ob der der Einsatz von künstlicher Intelligenz (KI) im Arbeitsalltag von Ingenieuren und Ingenieurinnen angekommen ist, liefert eine VDI-Umfrage Erkenntnisse. Der Verband hat seine Mitglieder dazu befragt.‣ weiterlesen

Die Materialknappheit in der deutschen Industrie hat sich im Juli kaum entspannt. Und auch für die nächsten Monate ist laut Ifo Institut nicht mit einer deutlichen Erholung zu rechnen.‣ weiterlesen

Die Möglichkeiten der additiven Fertigung gehen weit über Prototyping hinaus. Aktuelle Drucker sind durchaus für den Seriendruck geeignet und können Entwicklung sowie Fertigung beschleunigen. Andreas Tulaj von Carbon gibt einen Überblick.‣ weiterlesen

Teile auf die Schnelle beim Dienstleister zu drucken, klingt zunächst nach einer Erleichterung. Doch das Knowhow in diesen Bauteilen muss geschützt sein. Damit beschäftigt sich das Forschungsprojekt ProCloud3D, an dem auch der Verschlüsselungsspezialist Wibu-Systems beteiligt ist.‣ weiterlesen

Hotellobbys, Produktionshallen oder Tiefkühlzonen von Lagerhäusern - überall dort reduzieren Luftschottanlagen den Wärme- und Stoffaustausch zwischen verschiedenen Bereichen. Arwus aus Chemnitz produziert diese Anlagen nach Kundenanforderung - und bringt mit ERP-Software von Delta Barth Transparenz in die Abläufe.‣ weiterlesen

Wie aus einer Befragung des Branchenverbands Bitkom hervorgeht, nimmt der Einsatz von 5G in der Produktion zu und auch die Investitionen in den Funkstandard steigen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige