Cybersicherheit ist für Unternehmen eine Lebensnotwendigkeit. Ein vom britischen Ministerium für Digitalisierung, Kultur, Medien und Sport (Department for Digital, Culture, Media and Sport) 2018 veröffentlichter Bericht belegt, dass 43 % der befragten Unternehmen in den letzten 12 Monaten Opfer eines Cyberangriffs wurden. Laut Oz Alashe, Gründer und CEO von CybSafe und Achilles-Botschafter für Cybersicherheit, verändert sich die Natur der Risiken, und Cyberangriffe werden zunehmend zu einem dringlichen Problem für Lieferketten.
„Die meisten Menschen stellen sich unter Cybercrime raffinierte Attacken vor, die auf FTSE-250-Unternehmen abzielen. Aber das ist nur eine Seite der Medaille“, erklärt Oz Alashe. „Insgesamt betrachtet verfolgen die meisten Kriminellen nicht die Taktik, florierende und gut geschützte Unternehmen anzugreifen. Sie attackieren vielmehr die Unvorbereiteten. Dies bedeutet insbesondere für globale Unternehmen, dass der Schwachpunkt in ihrer Sicherheitsstrategie in der Regel nicht in ihren eigenen stabilen Netzwerken zu suchen ist, sondern bei den kleineren Lieferanten, mit denen sie Geschäfte tätigen – oder sogar bei den Lieferanten eines Lieferanten.“
Dies wurde 2017 in der Versorgungsbranche deutlich, als russische Hacker über wichtige Lieferanten der Energieversorgungsunternehmen Zugriff auf das Elektrizitätsnetz der USA erhielten. Da viele Kontroll- und Analysesysteme, die in der Energieerzeugung und -verteilung, in der Luftfahrt, in Wasserversorgungsfirmen und in der Fertigung genutzt werden, nicht mit Blick auf die Gefahr durch Cyberangriffe konzipiert wurden, sind Energieversorger und die Infrastruktur besonders anfällig. Laut Alashe sehen sich Unternehmen aktuell mit drei konkreten Bedrohungen konfrontiert, die alle miteinander verbunden sind.
Hauptrisiken in Bezug auf Cybersicherheit
1 – Social Engineering
Hierzu kommt es, wenn eine Person so manipuliert wird, dass sie Informationen preisgibt oder eine Bedrohung in die Systeme ihres Unternehmens einschleust. Phishing und „419 Scams“ sind gängige Beispiele, die den meisten bekannt sind. Es gibt jedoch raffiniertere Methoden, die Geschenke, kostenlose Testversionen und die Überredung zur Nutzung sozialer Medien einbeziehen können. „Es gibt Unterschiede in den verschiedenen Sektoren, aber von Menschen verursachte Sicherheitsverletzungen sind allgegenwärtig“, erklärt Alashe. „Vier der fünf häufigsten Ursachen für Datenpannen sind auf Fehler von Menschen oder Prozessen zurückzuführen.“
2 – Malware/Ransomware
„Warum? Zum Teil, weil es so einfach ist. Malware/Ransomware kann relativ einfach eingeschleust und ausgeführt werden. Vorgefertigte Toolkits ermöglichen es selbst Amateuren, ein Ransomware-Paket zusammenzustellen und zu verteilen. Außerdem sind die mit der Ausführung einer Attacke verbundenen Risiken und Kosten minimal“, sagt Alashe.
3 – Schwachstellen von IoT-Geräten
„Die Entwicklung des Internets der Dinge hat in den letzten Jahren drastische Veränderungen der Cybersicherheit-Landschaft mit sich gebracht. Tag für Tag wachsen die Anzahl der im Umlauf befindlichen verbundenen Geräte und damit die Angriffsfläche. Schwachstellen in diesen Geräten sind fast unvermeidlich. Wenn erst einmal eine kritische Masse von Geräten kompromittiert ist, können Kriminelle DDoS-Angriffe starten“, erklärt Alashe.
Möglichkeiten zur Minderung von Cybersicherheitsrisiken
Um sich selbst besser zu schützen, müssen Unternehmen einerseits technische Aspekte und andererseits die Rolle der Mitarbeiter in Bezug auf Cybersicherheit berücksichtigen. Auf der technischen Seite ist die richtige Unternehmenslösung entscheidend. Sie sollte Dateiverschlüsselung, Backups, Finanzdaten, Kundendaten, Online-Zahlungssysteme, Cloud-Sicherheit, industrielle Steuerungssysteme und Endgerätesicherheit, die auch IoT-Geräte einschließt, umfassen. Dies sollte mit geeigneten IT-Praktiken für Netzwerkzugriff, Systemadministration, effizientem Patching und Anwendungssteuerung einhergehen.
„Auf der menschlichen Seite gilt es, Weiterbildungsprogramme zu implementieren, die das Wissen erweitern, eine Verhaltensänderung zu bewirken und die Mitarbeiter zur Einhaltung einer angemessenen Cybersicherheitshygiene anzuregen. Implementieren Sie vernünftige Sicherheitsmaßnahmen, die den Mitarbeitern das Leben nicht unnötig schwermachen. Sie müssen mitarbeiterorientiert sein, über abzuhakende Pflichtübungen hinausgehen und durch wissenschaftliche Belege untermauert sein“, erklärt Alashe.
Machen Sie Cybersicherheit zu einem Bestandteil Ihrer CSR-Strategie
Angesichts der Tatsache, dass Hacker auf Lieferanten abzielen, um größere Unternehmen zu infiltrieren, ist es sowohl für kleine als auch für große Unternehmen unerlässlich, Cybersicherheit als Lieferkettenproblem zu behandeln. Es gibt sogar Forderungen, sie zu einem vollwertigen Bereich der CSR-Strategie zu machen. 2018 trat in der EU die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie enthält solide Schutzmaßnahmen für die personenbezogenen Daten von Verbrauchern, und Cyberangriffe stellen eine mögliche Bedrohung dieser dar. Wie jedoch aus der oben erwähnten britischen Umfrage zu Cybersicherheitsverletzungen hervorgeht, haben nur 27 % der Unternehmen eine Cybersicherheitsstrategie implementiert.
„Abgesehen von der Einhaltung von Vorschriften bringt ein adäquater Umgang mit dem Cybersicherheitsrisiko von Lieferketten einen inhärenten Geschäftsvorteil mit sich”, sagt Alashe. „Wie die Leser sicherlich wissen, machen sich unterbrochene Lieferketten in den Margen bemerkbar. Ein Stillstand von nur wenigen Stunden kann katastrophale Folgen haben. Eine Produktionslinie, die offline geht, kann zu massiven Verlusten führen. Grundsätzlich gilt, dass gute Cybersicherheit wirtschaftlich sinnvoll ist.”
Reduzieren Sie das Risiko für Ihre Lieferkette
Da Cyberangriffe eine zunehmende Bedrohung für Lieferketten darstellen, müssen sowohl Einkäufer als auch Lieferanten sicherstellen, dass ihre Unternehmen vorbereitet sind. Die britische Studie hat gezeigt, dass 74 % der Unternehmen Cybersicherheit als ein Thema von hoher Priorität betrachten, 73 % jedoch keine entsprechende Strategie implementiert hatten. Mit unserem Prämienprogramm können britische Lieferanten exklusiv einen Rabatt von 20 % auf Schulungen zu Cybersicherheit und auf Compliance mit CybSafe und CyberSmart erhalten. Sorgen Sie dafür, dass Sie nicht zu den 43 % gehören, die sich 2019 mit einer Sicherheitsverletzung konfrontiert sehen werden.