- IT&Production - https://www.it-production.com -

Sicher entlang der Lieferkette

IT-Security-Check für sich und seine Partner

Sicher entlang der Lieferkette

Ein Cyberangriff auf das eigene Unternehmen sowie auf einen Zulieferer führte beim DAX-Konzern Beiersdorf zu einem Umdenken in Sachen IT-Sicherheit. Das Unternehmen entschied sich daraufhin, seine kritischen Zulieferer einem Security-Assessment zu unterziehen.

 (Bild: Beiersdorf AG) [1]

(Bild: Beiersdorf AG)

Schäden durch Cyberangriffe sind für jedes Unternehmen eine Bedrohung. Bereits kleinste Lücken in der IT- oder auch in der Informationssicherheit können weitreichende und sogar existenzgefährdende Folgen haben – von Datenverlusten bis zum Risiko des kompletten Unternehmensausfalls. Hinzu kommen möglicherweise Reputationsschäden sowie rechtliche Konsequenzen. Durch die massive Zunahme von Cyberangriffen müssen Unternehmen immer mehr Risikofaktoren berücksichtigen. Auch bei der Beiersdorf AG sind Verfügbarkeit, Integrität und Vertraulichkeit die obersten Sicherheitsziele: „Mit diesen Anforderungen an unsere eigene IT-Sicherheit wollen wir gewährleisten, dass die von unserem Unternehmen gespeicherten und verarbeiteten Informationen jederzeit verfügbar sind. Außerdem sollen sie gegen unberechtigte Zugriffe geschützt sowie die Korrektheit der Informationen sichergestellt werden“, sagt CISO Kai Widua.

NotPetya-Angriff

Was IT- und Informationssicherheit bedeutet, erfuhr die Beiersdorf AG im Jahr 2017. Durch einen NotPetya-Angriff fielen innerhalb von zehn Minuten alle Rechner des Konzerns aus – 4.000 Server und 17.000 Clients. Und damit ist Beiersdorf schon längst kein Ausnahmefall mehr. Wie eine Bitkom-Studie von 2018 bestätigt, hat die Anzahl der Cyberattacken für etwa acht von zehn Industrieunternehmen (84 Prozent) in den vergangenen zwei Jahren zugenommen, für mehr als ein Drittel (37 Prozent) sogar stark. „Natürlich hatten wir auch zum Zeitpunkt von NotPetya diverse Sicherheitsmaßnahmen – sowohl technisch als auch organisatorisch – etabliert. Das Szenario eines Totalausfalls war in unseren Notfallübungen bis dato allerdings noch nicht vorhanden“, berichtet Widua. Die IT-Abteilung des Konzerns benötigte zwei Tage, um die Kernsysteme wiederherzustellen. Fünf Tage nach dem Angriff konnte die Produktion wieder anlaufen. Der Angriff führte bei den Verantwortlichen zu einem Umdenken und einer Umstrukturierung der Cybersecurity. „Die Frage ist nicht, ob es passiert, sondern wann. Und wie weit wir bis dahin aufgestellt sind“, sagt Widua.

Angriffe auf Zulieferer

Bereits eineinhalb Jahre später stand der Kosmetikartikel-Hersteller vor einer weiteren Herausforderung: Die IT eines Zulieferers wurde gehackt. An diesem Punkt wurde deutlich, dass nicht nur die unternehmenseigene IT für die Handlungsfähigkeit von Beiersdorf elementar ist, sondern auch die Vendoren sowie der Reifegrad ihrer Cybersecurity eine maßgebliche Rolle für die Supply Chain spielen. Aufgrund dieses Vorfalls entschied sich der Konzern, ein Vendor-IT-Risk-Management bzw. Security-Assessment einzuführen. Auf diese Weise soll der aktuelle Security-Status der wichtigsten Vendoren überprüft und an die eigenen Sicherheitsanforderungen angepasst werden.

IT-Security-Check für sich und seine Partner

Sicher entlang der Lieferkette

 (Bild: Beiersdorf AG) [2]

(Bild: Beiersdorf AG)

Security-Rating-Tool

Um daher die Relevanz der jeweiligen Vendoren noch einmal deutlich zu machen, erstellten die Projektverantwortlichen bei Beiersdorf eine Liste der für die Supply Chain kritischen Zulieferer, Logistiker und Produzenten. Weltweit wurden dabei jeweils ca. 30 Unternehmen aus jedem der drei Bereiche ausgewählt. Dazu wurde ein Tool benötigt, mit dem das Security-Rating durchgeführt werden konnte. „IT- und Informationssicherheit sind natürlich auch bei unseren Partnern sehr sensible Themen, weshalb wir hier äußerst behutsam vorgehen müssen“, sagt Kai Widua. „Zu Beginn sind wir gerade bei den kleineren Unternehmen eher auf Unverständnis gestoßen. Unsere größeren Partner hatten allerdings Verständnis und in der Regel bereits selbst viele Maßnahmen ergriffen.“ Zunächst arbeitete das Security-Team mit dem VDA-Katalog. Dabei wurde jedoch schnell deutlich, dass die auf die Anforderungen der Automobilindustrie angepassten Fragen für viele Zulieferer zu komplex waren – gerade für die kleineren Partner, die beispielsweise keine ISO27001-Zertifizierung haben. Dabei fiel besonders die Einstufung des eigenen Security-Status in die verschiedenen Levels schwer. Es wurde ein Lösung mit einer einfachen und nutzerfreundlichen Vorgehensweise benötigt. Während der bestehenden Zusammenarbeit mit Allgeier Core wurde Widua auf das Ratingportal Ratingcy aufmerksam. „Wir waren sehr schnell von diesem Tool überzeugt. Insbesondere die übersichtliche Oberfläche und die einfachen Fragen, die nur mit Ja oder Nein beantwortet werden müssen, treffen genau unsere Anforderungen an eine solche Lösung“, sagt der Chief Information Security Officer.

Augenmerk auf Datenschutz

Bevor Beiersdorf jedoch mit dem Assessment seiner Partner beginnen konnte, erforderten rechtliche bzw. vertragliche Aspekte wie Datenschutz und die Verarbeitung von unternehmensspezifischen Informationen eine besondere Betrachtung. Darüber hinaus stellte sich auch die Kostenfrage: „Wir waren uns nicht sicher, wie abschreckend die Kosten eines Ratings insbesondere auf unsere kleineren Vendoren wirken. Deshalb haben wir uns dazu entschieden, für unsere Bestandspartner die Kosten zu übernehmen und sie entsprechend ihrer Unternehmensgröße während des Projekts zu unterstützen.“

Self Assessment für Vendoren

Das für die IT-Sicherheitsbewertung notwendige IT-Security-Audit kann das Unternehmen nach entsprechender Registrierung im Rahmen eines Self Assessments eigenständig vornehmen. Der Online-Fragebogen ist an die Richtlinien des IT-Grundschutzes sowie die Norm ISO27001/2 angelehnt. Dabei geht es u.a. um die Bewertung der organisatorischen und technischen Geschäftsprozesse. In einem weiteren Schritt werden alle über das Internet erreichbaren Dienste des Unternehmens – die externen IP-Adressen – vollautomatisch auf bekannte Schwachstellen und Sicherheitslücken überprüft. Als finales Ergebnis erhält das Unternehmen u.a. einen Risk Score sowie ein Ergebnisdiagramm, aus dem der Wert der eigenen IT-Sicherheit im Vergleich zum Branchendurchschnitt abgelesen werden kann. „Wir haben bereits festgestellt, dass auch unsere kleineren Partner sehr gut mit dem Portal zurechtkommen. Bleibt man am Ball, lassen sich alle Fragen in drei bis vier Stunden beantworten. Außerdem können unsere Vendoren durch die anschauliche Darstellung selbst konkrete Empfehlungen zur Verbesserung ableiten“, beschreibt Widua die ersten Erfahrungen. Ab sofort integriert die Beiersdorf AG das neue Vendor Security Assessment in den eigenen Tender-Prozess, um direkt zu Beginn das Cyberrisiko der potenziellen Partner einschätzen zu können. Bis Ende 2019 sollen außerdem rund 50 der bestehenden Vendoren überprüft werden. Für das Team von Beiersdorf besteht die Herausforderung weiterhin darin, nach dem Rating eine Bewertung durchzuführen und entsprechende Maßnahmen daraus abzuleiten. Dabei müssen die Verantwortlichen von Fall zu Fall und je nach Unternehmen entscheiden, denn nicht jeder Bereich der IT-Sicherheit des Partners ist bei der Zusammenarbeit von Bedeutung.

Mehrwert wird erkannt

Nach den genannten Cyberangriffen wurde die Bedeutung der IT- und Informationssicherheit offensichtlich. Die in den klassischen Assessments einbezogenen Bewertungskriterien wie z.B. Bonitätsindex und Ausfallrisiko reichten nicht aus, um die Unternehmen vor Cyberrisiken abzusichern. Der DAX-Konzern erkannte daher, dass der Bewertungsfaktor IT-Sicherheit als dritter Indikator mit in das Ergebnis einfließen muss, um eine objektive Bewertung des Unternehmensrisikos zu erreichen. Mit dem Ratingportal Ratingcy wird ein einfaches und übersichtliches Security Assessment ermöglicht. „Inzwischen erkennen auch unsere Partner den Mehrwert, ihre eigene IT-Sicherheit auf den Prüfstand zu stellen und sich im Vergleich zum Branchendurchschnitt einschätzen zu können“, sagt Kai Widua.

Um die eigenen Anlagen umfassend zu schützen, bUm die eigenen Anlagen umfassend zu schützen, bezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG)ezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG) [3]

Um die eigenen Anlagen umfassend zu schützen, bezieht der DAX-Konzern Beiersdorf auch seine Lieferkette in die eigenen Maßnahmen rund um die IT-Sicherheit mit ein. (Bild: Beiersdorf AG)