- IT&Production - https://www.it-production.com -

Sicherheit in der Supply Chain

Informations- und Risikomanagement

Sicherheit in der Supply Chain

Funktionierende Versorgungsketten sind die Basis für einen erfolgreichen Geschäftsbetrieb und einen funktionierenden Wirtschaftskreislauf. Eine der wichtigsten Vorraussetzungen dafür ist heute der reibungslose Austausch von Informationen unter den Akteuren. Viele Unternehmen sind über ihre Supply Chain mit einer kaum zu überschauenden Anzahl externer Partnern direkt oder indirekt verbunden. Das bietet Angreifern vielfältige Möglichkeiten, an geschäftskritische Informationen zu gelangen.

Bild: Information Security Forum

In seinem Bericht ‚New Models for Addressing Supply Chain and Transport Risk‘ weist das Weltwirtschaftsforum auf die steigende Bedeutung von Informationen und Informationstechnologie für reibungslose Versorgungs- und Lieferketten und damit den Erfolg eines Unternehmens, einer ganzen Branche und am Ende der gesamten Wirtschaft hin – und stellt einen funktionierenden Informationsaustausch auf eine Stufe mit der Versorgung der Wirtschaft mit Öl. Anders als in der Vergangenheit bedeutet Sicherheit in der Supply Chain heute also vor allem Informationssicherheit. Denn Unternehmen sind mehr denn je durch ein Netz an eingehenden und ausgehenden Informationen und damit gegenseitiger Abhängigkeiten miteinander verbunden.

Die Anreicherung und Weiterverarbeitung dieser Informationen sowie ihre Weitergabe machen den reibungslosen Ablauf einer Lieferkette erst möglich. Trotzdem wird von allen mit der Supply Chain verbundenen Gefahren das Risiko für geschäftskritische Informationen am meisten vernachlässigt. Das liegt auch daran, dass es für international agierende Unternehmen heute nahezu unmöglich ist, für hunderte oder gar tausende externe Partner, Lieferanten oder Service-Provider, mit denen sie direkt oder indirekt über ihr Versorungs- und damit Datennetzwerk verbunden sind, eine Bewertung hinsichtlich ihrer Informationssicherheit und ihres Risikomanagements durchzuführen. Es ist deshalb notwendig, sich auf die entscheidenden Knotenpunkte und Risiken zu konzentrieren.

Die Kontrolle im Datenstrom behalten

Das Information Security Forum (ISF), eine weltweit tätige Non-Profit-Organisation für Informationssicherheit, Cybersicherheit und Risikomanagement, hat drei Hauptprobleme bezüglich eines sicheren Informationsmanagements in der Supply Chain identifiziert. Dazu zählen unzureichende Fähigkeiten der Unternehmen beim Management von Informationsrisiken, mangelndes Verständnis und mangelnde Kenntnis über die Absicherung gemeinsam genutzter Informationen sowie fehlende oder unzureichende Standards für die Risikobewertung und das Risikomanagement.

Unternehmen haben Schwierigkeiten, die Kontrolle über Informationen zu behalten, die sie mit ihren Kunden, Partnern und Lieferanten tauschen. Oft haben sie nicht einmal einen Überblick darüber, welche Informationen – von Auftragsmengen über Konstruktionspläne bis hin zu Kundendaten – sie überhaupt teilen und welchen Weg diese Informationen durch die Lieferkette nehmen.

Daran schließt sich auch das Problem der unzureichenden Standards an: Service Level Agreements, Compliance-Richtlinien, Audits und Risikobewertungen können vielleicht die oberste Ebene der Supply-Chain-Verflechtungen abdecken, auf nachgelagerten Ebenen – also zum Beispiel Lieferanten von Lieferanten oder Kunden von Kunden – greifen sie nicht, obwohl die Risiken die gleichen sind. Das Problem verstärkt sich, wenn für international tätige Unternehmen und deren Partner unterschiedliche Standards und Vorschriften in verschiedenen Ländern gelten. Was in einem Markt compliance-konform ist, kann im nächsten Land unzureichend sein.

Unternehmen sind in der Supply Chain mehr denn je durch ein Netz ein- und ausgehender Informationen und damit gegenseitiger Abhängigkeiten miteinander verbunden. Bild: Information Security Forum

Handlungsfelder für mehr Sicherheit in der Supply Chain

Sicherheit in der Supply Chain kann nur durch eine gemeinsame Anstrengung aller miteinander verbundenen Partner – Kunden, Zwischenhändler, Lieferanten, Entwicklungspartner und Hersteller – erreicht werden. Informationssicherheit ist dabei ein fortlaufender Prozess. In seinem aktuellen Report ‚Securing the Supply Chain‘ fasst das ISF die wichtigsten Maßnahmen zusammen, mit denen Unternehmen ihre Informationen schützen können: Im ersten Schritt benötigen sie Klarheit, welche Arten von Informationen es innerhalb ihres Unternehmens gibt. Dazu gehören zum Beispiel personalisierte Daten, geistiges Eigentum, betriebswirtschaftliche Informationen und Verträge. Zudem müssen sie abschätzen können, wie wahrscheinlich der Verlust einzelner Informationen ist und welche Folgen ein Verlust hätte.

Es gilt zu berücksichtigen, welche Auswirkungen ein Vorfall wie Diebstahl, Nichtverfügbarkei oder Veröffentlichung auf welchen Geschäftsbereich nach sich zieht. Darüber hinaus sollten Unternehmen auch die Umgebung ihrer Supply Chains bei ihrer Sicherheitsstrategie berücksichtigen, etwa hinsichtlich der Informationsverflechtungen zwischen Hersteller, Abnehmer, Lieferanten und Dienstleistern. Abhängig von der Branche oder der Art der Geschäftspartner kann das Risiko stark variieren.

Darauf aufbauend können passende Sicherheitsmaßnahmen bezüglich einzelner Informationstypen und Partner aufgesetzt werden. Dazu gehört die Implementierung von Standards wie ISO/IEC 27002, ISO/IEC 27036 oder der Standard of Good Practice (SOGP) des ISF. Mithilfe dieser informationszentrierten Vorgehensweise können Unternehmen die besonderen Charakteristika der Datensicherheit in ihrem Supply Net identifizieren und den Weg ihrer Informationen nachvollziehen. Sie gelangen so zu einer Strategie für den Umgang mit ihren individuellen Risiken in der Supply Chain.

Risiken und Absicherung gezielt adressieren

Um für diese Aufgabe einen standardisierten Rahmen bereitzustellen, hat das Information Security Forum mit dem ‚Supply Chain Information Risk and Assurance Process‘ (Scirap) ein detailliertes Vorgehensmodell entwickelt, mit dem Unternehmen ihre Top-Risiken schnell erfassen und bewerten, externe Partner evaluieren und miteinander vergleichen sowie Kernhandlungsfelder definieren können. Scirap basiert auf den Erfahrungen sowie der täglichen Praxis der weltweit mehr als 300 Mitgliedsunternehmen der Organisation sowie der Forschungsarbeit der assoziierten Analysten, greift auf bestehende Standards und Richtlinien wie ISO/IEC 27002, ISO/IEC 27036 oder den ‚Standards of Good Practice‘ (SOGP) zurück und übertragt diese auf die Anforderungen der Supply Chain.

Das Modell beschreibt anhand von vier übergeordneten Handlungsfeldern detailliert das Vorgehen und stellt die notwendigen Tools sowie Handlungsanweisungen für eine effiziente Umsetzung zur Verfügung, beispielsweise für die Integration in einen typischen Beschaffungsprozess. Damit können Unternehmen die Risiken für ihre Informationen entlang der Supply Chain minimieren und flexibel auf Veränderungen reagieren.