Buchtipps für Logistiker
Unsere Redaktion empfiehlt Buchtipps für Logistiker aus den Bereichen Supply Chain Management, Allgemein, E-Business und Materialwirtschaft & Produktion.
Christopher Knöll ist Vice President Services DACH bei Advens
Die NIS2-Richtlinie („Network and Information Security Directive“) erweitert die Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen in der EU, um Cyberangriffe zu bekämpfen und die Sicherheit in der Lieferkette zu erhöhen. In Deutschland wird sie durch das NIS2-Umsetzungsgesetz NIS2UmsuCG in nationales Gesetz überführt. Das Bundeskabinett hat den Gesetzesentwurf im Juli bereits beschlossen. Nun muss er nur noch durch den Bundesrat.
NIS2 erweitert die Anforderungen an die IT-Sicherheit für die betroffenen Unternehmen deutlich. Es fordert unter anderem kontinuierliche Risikoanalysen, angemessene Sicherheitsmaßnahmen auf „dem Stand der Technik“ und die Sicherstellung, dass Lieferanten und Partner des eigenen Unternehmens ebenfalls hohe Sicherheitsstandards einhalten. Insofern wirkt sich NIS2 auch maßgeblich auf die Lieferkette aus. Daraus ergeben sich zwei Fragestellungen: Reichen die Anforderungen von NIS2 aus oder sollten Unternehmen selbst aktiv werden, um sich gegen Supply-Chain-Angriffe zu rüsten? Und was können Unternehmen tun, um nicht Opfer einer solchen Attacke zu werden?
Supply-Chain-Angriffe & Risiken außerhalb der eigenen IT
Die Komplexität und Interdependenz moderner Lieferketten bieten zahlreiche Angriffsvektoren, die nur schwer zu überwachen und zu schützen sind. Immer häufiger nutzen Angreifer Schwachstellen in der Lieferkette aus, um Zugang zu sensiblen Daten zu erlangen. Dabei handelt es sich um sogenannte Supply-Chain-Angriffe.
Ein bekanntes Beispiel für einen erfolgreichen Supply-Chain-Angriff ist die Attacke auf den Softwarehersteller „Solar Winds“ im Jahr 2021. Bei diesem Angriff wurde Schadcode in das Produkt „Orion“ eingeschleust, welcher später durch Updates der Software bei Tausenden von Endkunden von Solar Winds zur Ausführung kam. Somit konnten Angreifer nicht nur Daten bei Solar Winds erbeuten, sondern sich zugleich bei deren Kunden in die Infrastruktur einnisten. Der initiale Angriff auf Solar Winds blieb lange unentdeckt.
Derartige Angriffsmethoden stellen Unternehmen vor große Herausforderungen, gerade aufgrund der Vielzahl beteiligter Akteure, unterschiedlichen Sicherheitsstandards und teils mangelnder Transparenz in der Lieferkette.
Für Unternehmen ist es daher wichtig, Cyberrisiken zu verstehen, die außerhalb der eigenen IT liegen und dennoch erhebliche Auswirkungen auf den Geschäftsbetrieb haben können. Ein mögliches Einfallstor können Lieferanten von Hardware und Software sein, IT-Dienstleister sowie die Abhängigkeiten und Zugriffsrechte dieser auf die eigene Infrastruktur.
Lieferanten für Hardware und Software spielen eine zentrale Rolle in der IT-Infrastruktur eines Unternehmens. Trotzdem können Schwachstellen in gelieferten Produkten von Angreifern ausgenutzt werden. Zwar nimmt NIS2 Lieferanten insbesondere im Bereich Software nun stärker in die Pflicht, Unternehmen sollten aber trotzdem geeignete technische Maßnahmen ergreifen, um mögliche Schwachstellen selbst zu erkennen und Lieferanten zur Behebung aufzufordern. Zudem sollten sie sicherstellen, dass ihre Lieferanten jederzeit strenge Sicherheitsstandards einhalten und regelmäßige Sicherheitsüberprüfungen durchführen.
IT-Dienstleister haben oft weitreichende Zugriffsrechte auf die Unternehmens-IT und können ein Einfallstor für Angreifer darstellen. Unternehmen sollten deswegen eine genaue Übersicht über alle ihre IT-Dienstleister haben und sicherstellen, dass diese strenge Sicherheitsmaßnahmen implementieren.
Fernwartungszugänge ermöglichen Dienstleistern zudem den Zugang zur IT-Infrastruktur – oft ohne physische Präsenz. Häufig sind diese Zugänge durch sogenannte Virtual Private Networks (VPN) realisiert. Letztere sollten streng überwacht und kontrolliert werden. Es ist wichtig zu wissen, welche Zugriffsrechte Dienstleister haben und wie diese Zugänge gesichert sind. Zudem sollten die Zugänge auf Anomalien wie ungewöhnlich hohen Datenverkehr oder verdächtiges Verhalten der zugeordneten Benutzer hin überwacht werden.
Da das Abhängigkeitsverhältnis zu Lieferanten und Dienstleistern erheblichen Einfluss auf die Sicherheit der eigenen IT-Infrastruktur haben kann, sollten Unternehmen ihre Abhängigkeiten analysieren und bewerten, wie sich Sicherheitsvorfälle bei Lieferanten und Dienstleistern auf ihre eigenen Systeme auswirken könnten. Notfallpläne und Alternativlösungen sind notwendig, um im Falle eines Sicherheitsvorfalls schnell zu reagieren.
Supply Chain-Security mithilfe von ETSM verbessern
Wie stellen Unternehmen aber fest, inwieweit sie selbst oder ihre Lieferanten und Dienstleister von möglichen Bedrohungen und Risiken betroffen sind?
Ein Ansatz ist das sogenannte „External Threat Surface Management“ (ETSM). Anders als bei einem klassischen Pentest, bei dem nur eine Momentaufnahme der möglichen Angriffsvektoren auf einen eingegrenzten Teil der Assets gemacht wird, verfolgt ETSM den Ansatz, ein Unternehmen fortlaufend von außen zu betrachten und über mögliche Schwachstellen zu informieren. Das Besondere: auch mögliche Partner- und Lieferantenbeziehung werden miteinbezogen. Folgende Schritte sind dafür notwendig:
Fazit
NIS2 nimmt Unternehmen deutlich stärker in die Pflicht und fordert, dass auch Lieferanten Maßnahmen zur Cyberabwehr ergreifen. Umso wichtiger ist es, wirkungsvolle Abwehrmaßnahmen zu ergreifen – gerade auch mit Blick auf die Konsequenzen für den Geschäftsbetrieb im Falle eines erfolgreichen Angriffs. Der Ansatz des „External Threat Surface Management“ (ETSM) zeigt exemplarisch, wie eine effektive Maßnahme auf dem „Stand der Technik“ zur Abwehr von Supply-Chain-Angriffen aussehen kann. Er ersetzt jedoch nicht die Gesamtbetrachtung aller Anforderungen von NIS2. Wie immer gilt: IT-Sicherheit ist keine einmalige Investition, sondern muss vielmehr integraler Bestandteil der Strategie eines jeden Unternehmens sein.
◂ Heft-Navigation ▸
Lagerhallen, Logistikimmobilien , Logistik-Newsletter , KEP-Dienste , Container, Paletten , Intralogistik & Supply Chain Management (SCM) , Verpackung & Verladung , Versand, Umschlag & Lieferung , Luftfrachtverkehr , Gabelstapler , Fahrerlose Transportsysteme (FTS) , Fashion Logistics , Fördertechnik , Lagertechnik , E-Commerce , Bundesvereinigung Logistik e.V. (BVL) , LogiMAT , Logistik- bzw. Transport-Dienstleistungen , Industrie 4.0 , Neubau (Logistikzentrum) , Digitalisierung & Vernetzung , Logistik-IT , Logistik-Studium , Transport- und Logistik-Dienstleistungen , Kommissionierung