#RSAC: Wie man die Lieferkette im modernen Zeitalter verwaltet

  • In einer Sitzung am letzten Tag der RSA Conference 2022 erörterten zwei führende Sicherheitsexperten Strategien zum Management von Cyberrisiken in der Lieferkette.

    Justin Henkel, Leiter des Security Center of Excellence von OneTrust, stellte zu Beginn der Sitzung fest, dass der technologische Fortschritt die Ausweitung der Lieferkette ermöglicht hat und Unternehmen effizienter und skalierbarer macht. Als Teil dieses Prozesses haben wir jedoch durch unsere Drittparteien ein zusätzliches Risiko geschaffen, da wir keine Transparenz haben. Wie wir in der Vergangenheit gesehen haben, sind Drittparteien ein Bereich, auf den sich Angreifer konzentrieren“.

    Um dies zu veranschaulichen, verwies Henkel auf eine OneTrust-Umfrage, die ergab, dass 22 % der Unternehmen mit mehr als 250 Drittanbietern zusammenarbeiten.

    Der Ausgangspunkt einer effektiven Sicherheitsstrategie für die Lieferkette ist das Verständnis der verschiedenen Beziehungen, die Ihr Unternehmen mit Drittanbietern unterhält, sagte Adam Topkis, Enterprise and Operational Risk Program Leader bei PayPal. Er wies darauf hin, dass viele Lieferantenbeziehungen, wie z. B. der Kauf von Büromaterialien, nicht von Natur aus riskant sind. Andere jedoch, die Bereiche wie die Lieferung von kritischen Werkzeugen oder die gemeinsame Nutzung von Kundendaten betreffen, bergen ein deutlich höheres Risiko. Diese Hauptlieferanten sollten im Mittelpunkt einer Strategie für das Lieferkettenmanagement stehen. „Identifizieren Sie Ihre kritischen Drittparteien“, betonte Topkis.

    Um dies zu verstehen, ist es in der Regel erforderlich, dass „die Geschäftsleute, die mit diesen Lieferanten interagieren, Ihnen die Grundlagen der Beziehungen vermitteln.“

    Leider „können wir nicht viel von dem sehen, was vor sich geht“, wenn es darum geht, wie sich Dritte schützen, erklärte Topkis. Er fügte hinzu, dass Dritte aufgrund der Sicherheitsrisiken, die mit der Veröffentlichung einiger dieser Daten verbunden sind, nur begrenzte Informationen über ihre Cybersicherheitsansätze weitergeben können. Es gibt zwar Produkte, die einen gewissen Einblick gewähren, aber diese „schnüffeln nur an den Rändern herum“ und „keines gibt Ihnen einen perfekten Einblick“.

    Anschließend gingen die Redner auf die wichtigsten Auswirkungen von Sicherheitsverletzungen durch Dritte ein. Henkel wies darauf hin, dass in der Regel der Kunde den größten direkten Schaden durch solche Vorfälle erleidet, wobei der Rufschaden der größte Schaden für die Lieferanten ist. „Wenn ich mich mit der Reaktion des Anbieters nicht wohl fühle, werde ich ihm in Zukunft nicht mehr vertrauen“.

    Er fügte hinzu, dass Transparenz und Kommunikation zwischen den internen Teams nach einem Vorfall unerlässlich sind. Dazu gehören auch die Teams der Rechtsabteilung, der Unternehmenskommunikation und der sozialen Medien, die uns bei der Kommunikation mit unseren Kunden und Anbietern helfen. Eine vorausschauende Planung ist von entscheidender Bedeutung, damit dies nicht auf Ad-hoc-Basis geschieht. Hinkel riet zu Tabletop-Übungen, um sicherzustellen, dass „die Kommunikationswege festgelegt sind“.

    Topkis stimmte dem zu und merkte an, dass in Fällen, in denen die Daten eines Kunden verletzt wurden, „diese Beziehung nur schwer wiederhergestellt werden kann“.

    Daher ist es wichtig, nach einem Vorfall gegenüber den Kunden transparent zu sein. Der Zeitrahmen dafür sollte in Verträgen und Service-Level-Agreements (SLAs) festgelegt werden, so Henkel. Dies kann nach Ansicht von Topkis ein „Push- und Pull-Bereich“ sein. Die Kunden können die Erwartung formulieren, dass sie von den Lieferanten informiert werden, wenn ein Verstoß auftritt. Darüber hinaus können einige Tools nach Informationen über Sicherheitsverletzungen suchen, so dass sie einen Anbieter kontaktieren können, um zu prüfen, ob er betroffen ist. „Sie sollten sich informieren, welche Informationen verfügbar sind, um Ihrem Lieferanten Fragen zu stellen“, so Topkis.

    Topkis betonte auch, dass „Sie eine Funktion auslagern können, aber Sie können das Risiko nicht auslagern“, und Sie können sich nicht von einem Vorfall freisprechen, der durch eine Verletzung durch Dritte entstanden ist.

    Die Diskussion drehte sich dann um die Entwicklung der Risikobewertung in der Lieferkette. Topkis stellte fest, dass sie vor einem Jahrzehnt hauptsächlich auf Fragebögen basierten. Fragebögen werden nach wie vor verwendet, aber er glaubt, dass dies nicht mehr die wichtigste Methode ist, da die kontinuierliche Überwachung immer mehr an Bedeutung gewinnt. „Ich denke, dass die Regulierungsbehörden mit der Zeit den Wert dieses Schwerpunkts erkennen werden“, so Topkis.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com