Anzeige
Anzeige
Anzeige
Beitrag drucken

IT-Security-Check für sich und seine Partner

Sicher entlang der Lieferkette

 (Bild: Beiersdorf AG)

(Bild: Beiersdorf AG)

Security-Rating-Tool

Um daher die Relevanz der jeweiligen Vendoren noch einmal deutlich zu machen, erstellten die Projektverantwortlichen bei Beiersdorf eine Liste der für die Supply Chain kritischen Zulieferer, Logistiker und Produzenten. Weltweit wurden dabei jeweils ca. 30 Unternehmen aus jedem der drei Bereiche ausgewählt. Dazu wurde ein Tool benötigt, mit dem das Security-Rating durchgeführt werden konnte. „IT- und Informationssicherheit sind natürlich auch bei unseren Partnern sehr sensible Themen, weshalb wir hier äußerst behutsam vorgehen müssen“, sagt Kai Widua. „Zu Beginn sind wir gerade bei den kleineren Unternehmen eher auf Unverständnis gestoßen. Unsere größeren Partner hatten allerdings Verständnis und in der Regel bereits selbst viele Maßnahmen ergriffen.“ Zunächst arbeitete das Security-Team mit dem VDA-Katalog. Dabei wurde jedoch schnell deutlich, dass die auf die Anforderungen der Automobilindustrie angepassten Fragen für viele Zulieferer zu komplex waren – gerade für die kleineren Partner, die beispielsweise keine ISO27001-Zertifizierung haben. Dabei fiel besonders die Einstufung des eigenen Security-Status in die verschiedenen Levels schwer. Es wurde ein Lösung mit einer einfachen und nutzerfreundlichen Vorgehensweise benötigt. Während der bestehenden Zusammenarbeit mit Allgeier Core wurde Widua auf das Ratingportal Ratingcy aufmerksam. „Wir waren sehr schnell von diesem Tool überzeugt. Insbesondere die übersichtliche Oberfläche und die einfachen Fragen, die nur mit Ja oder Nein beantwortet werden müssen, treffen genau unsere Anforderungen an eine solche Lösung“, sagt der Chief Information Security Officer.

Augenmerk auf Datenschutz

Bevor Beiersdorf jedoch mit dem Assessment seiner Partner beginnen konnte, erforderten rechtliche bzw. vertragliche Aspekte wie Datenschutz und die Verarbeitung von unternehmensspezifischen Informationen eine besondere Betrachtung. Darüber hinaus stellte sich auch die Kostenfrage: „Wir waren uns nicht sicher, wie abschreckend die Kosten eines Ratings insbesondere auf unsere kleineren Vendoren wirken. Deshalb haben wir uns dazu entschieden, für unsere Bestandspartner die Kosten zu übernehmen und sie entsprechend ihrer Unternehmensgröße während des Projekts zu unterstützen.“

Self Assessment für Vendoren

Das für die IT-Sicherheitsbewertung notwendige IT-Security-Audit kann das Unternehmen nach entsprechender Registrierung im Rahmen eines Self Assessments eigenständig vornehmen. Der Online-Fragebogen ist an die Richtlinien des IT-Grundschutzes sowie die Norm ISO27001/2 angelehnt. Dabei geht es u.a. um die Bewertung der organisatorischen und technischen Geschäftsprozesse. In einem weiteren Schritt werden alle über das Internet erreichbaren Dienste des Unternehmens – die externen IP-Adressen – vollautomatisch auf bekannte Schwachstellen und Sicherheitslücken überprüft. Als finales Ergebnis erhält das Unternehmen u.a. einen Risk Score sowie ein Ergebnisdiagramm, aus dem der Wert der eigenen IT-Sicherheit im Vergleich zum Branchendurchschnitt abgelesen werden kann. „Wir haben bereits festgestellt, dass auch unsere kleineren Partner sehr gut mit dem Portal zurechtkommen. Bleibt man am Ball, lassen sich alle Fragen in drei bis vier Stunden beantworten. Außerdem können unsere Vendoren durch die anschauliche Darstellung selbst konkrete Empfehlungen zur Verbesserung ableiten“, beschreibt Widua die ersten Erfahrungen. Ab sofort integriert die Beiersdorf AG das neue Vendor Security Assessment in den eigenen Tender-Prozess, um direkt zu Beginn das Cyberrisiko der potenziellen Partner einschätzen zu können. Bis Ende 2019 sollen außerdem rund 50 der bestehenden Vendoren überprüft werden. Für das Team von Beiersdorf besteht die Herausforderung weiterhin darin, nach dem Rating eine Bewertung durchzuführen und entsprechende Maßnahmen daraus abzuleiten. Dabei müssen die Verantwortlichen von Fall zu Fall und je nach Unternehmen entscheiden, denn nicht jeder Bereich der IT-Sicherheit des Partners ist bei der Zusammenarbeit von Bedeutung.

Mehrwert wird erkannt

Nach den genannten Cyberangriffen wurde die Bedeutung der IT- und Informationssicherheit offensichtlich. Die in den klassischen Assessments einbezogenen Bewertungskriterien wie z.B. Bonitätsindex und Ausfallrisiko reichten nicht aus, um die Unternehmen vor Cyberrisiken abzusichern. Der DAX-Konzern erkannte daher, dass der Bewertungsfaktor IT-Sicherheit als dritter Indikator mit in das Ergebnis einfließen muss, um eine objektive Bewertung des Unternehmensrisikos zu erreichen. Mit dem Ratingportal Ratingcy wird ein einfaches und übersichtliches Security Assessment ermöglicht. „Inzwischen erkennen auch unsere Partner den Mehrwert, ihre eigene IT-Sicherheit auf den Prüfstand zu stellen und sich im Vergleich zum Branchendurchschnitt einschätzen zu können“, sagt Kai Widua.

Um die eigenen Anlagen umfassend zu schützen, bUm die eigenen Anlagen umfassend zu schützen, bezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG)ezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG)

Um die eigenen Anlagen umfassend zu schützen, bezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG)


Das könnte Sie auch interessieren:

Während sich wenige über den Funktionsumfang von SAP-Sofware beklagen, sieht es bei ihrer Bedienung etwas anders aus. Ungelenke Benutzerführung lässt sich aber ändern: Fachleute für SAP-Benutzeroberflächen haben auf der 3. Jahrestagung SAP UX/UI 2020 im November die Möglichkeit, sich intensiv über die Optimierungsmöglichkeiten von SAP-Oberflächen weiterzubilden.‣ weiterlesen

Am Fraunhofer-Institut für Produktionstechnologie IPT entsteht gerade die Software KMUsecure. Das Programm soll produzierende KMU dabei unterstützen, kritische Netzwerkschnittstellen zu sichern und Vernetzung leichter zur Optimierung zu nutzen.‣ weiterlesen

85 Prozent der CISOs gaben in einer Umfrage von Netwrix an, die Cybersicherheit hintangestellt zu haben, damit Beschäftigte schnell remote arbeiten könnten. Der 2020 Cyber Threats Report zeigte auch, dass sich jedes vierte Unternehmen nach der Pandemie einem höheren IT-Sicherheitsrisiko ausgesetzt sieht als zuvor.‣ weiterlesen

Der SAP-Partner und MES-Integrator Salt Solutions wird Teil von Accenture. Wie die Unternehmensberatung bekannt gab, ist die Vereinbarung bereits unterschrieben.‣ weiterlesen

Innovation gehört zu den drei wichtigsten Digitalisierungszielen im Mittelstand, gleich nach Mitarbeiterproduktivität und Prozessmodernisierung. Das ist das Ergebnis einer Untersuchung, die im Auftrag des ERP-Anbieters Proalpha entstand. Doch wo ist Innovation gewünscht und können ERP-Systeme diese Erneuerung unterstützen?‣ weiterlesen

Im Projekt Scale4Edge arbeiten 22 Akteure aus Wissenschaft und Wirtschaft an besonders vertrauenswürdiger Computerhardware. Entstehen soll ein skalierbares Edge-Computing-Ökosystem rund um die Risc-V-Architektur etwa für Industrieanwendungen, Heimautomation und selbstfahrende Autos.‣ weiterlesen

Mit künstlicher Intelligenz lassen sich Rüstzeiten zwischen Aufträgen optimieren, um die Feinplanung zu unterstützen. Die Software Rüstzeitoptimierer von Anacision leistet bereits in der MVP-Version genau das - und soll in Kürze für verschiedene Fertigungstechniken erhältlich sein.‣ weiterlesen

Das IAB-Arbeitsmarktbarometer ist im September 2020 um 1,7 Punkte auf 100,1 Punkte gestiegen. Erstmals seit Beginn der Corona-Krise liegt der Frühindikator des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) damit nicht mehr im negativen Bereich.‣ weiterlesen

Eine neue Art von Software könnte die gängigen Konzepte für Fabriksoftware bald fundamental verändern. Auf der Basis einer dezentralen Edge Computing-Architektur lassen sich die traditionell hohen Ansprüche an Skalierbarkeit, Flexibilität und Zuverlässigkeit vergleichsweise problemlos erfüllen – bei deutlich geringeren Investitionskosten.‣ weiterlesen

Parallel zum Grad der Digitalisierung einer Firma wächst die Notwendigkeit, die Operational Technologie (OT) abzusichern. Denn die Versprechen höherer Effizienz und Wandlungsfähigkeit gehen mit dem Risiko einher, Hackern neue Türen zu öffnen. Denn die Betriebstechnik ist selten darauf ausgelegt, mit Internettechnologie verbunden zu werden.‣ weiterlesen

Die beiden Firmen A+B Solutions und iN|ES wollen ihre MES- und ERP-Lösung integrieren, um künftig eine durchgängige Lösung zur Auftragsplanung und -steuerung anzubieten. Den Rahmen für das Projekt bildet eine strategische Partneschaft.‣ weiterlesen

Anzeige
Anzeige
Anzeige