Studie: Die Supply Chain als Cybersicherheitsrisiko

Im Schnitt müssen große Unternehmen mit mehr als drei Millionen US-Dollar (derzeit umgerechnet etwa 2,8 Millionen Euro) Folgekosten rechnen, wenn ein Zulieferer einen Cybersicherheitsvorfall verursacht. Das geht aus der Studie „Damage Control: The Cost of Security Breaches“ des russischen IT-Sicherheitsunternehmens Kaspersky Lab hervor. Für die Untersuchung wurden mehr als 5.500 Unternehmens-IT-Entscheider aus 26 Ländern zu einschlägigen Sicherheitsthemen befragt.

Teure IT-Attacken auf die Lieferkette

Über die Lieferkette ausgelöste Hackerattacken, Datenabfluss oder Systemausfälle seien damit für große Firmen mit Abstand am kostenintensivsten, vor Mitarbeiterfehlern (1,3 Millionen US-Dollar) und Cyberspionage (1,1 Millionen US-Dollar), teilte Kaspersky am 24. November 2015 gegenüber der Presse mit.

Bei mittelständischen Unternehmen schlagen durch Zulieferer ausgelöste Cybersicherheitsvorfälle laut Studie mit durchschnittlich etwa 69.000 US-Dollar zu Buche. Die Folgen durch Cyberspionageattacken verursachen in etwa denselben finanziellen Schaden.

Vertrauensverlust bei Software-as-a-Service

Fast jedes fünfte (18 Prozent) der von Kaspersky Lab befragten Unternehmen macht Zulieferer für im zwölfmonatigen Untersuchungszeitraum verursachte Cybersicherheitsvorfälle verantwortlich. Die Studie, für die die Befragung im Juli 2015 abgeschlossen wurde, zeigt dem IT-Sicherheitsunternehmen zufolge auch: Bei von Zulieferern angebotenen Software-as-a-Service-Dienstleistungen hat mehr als ein Drittel (37 Prozent) der Organisationen kein Vertrauen in die Absicherung der eigenen Unternehmensdaten. Im Vergleich zum Vorjahr sei der Vertrauensverlust um vier Prozentpunkte gestiegen.

Lieferkette als Gesamtkonstrukt schützen

Laut Kasperky geht es darum, die Lieferkette als Gesamtkonstrukt zu schützen: Zum einen sollten sich Unternehmen vor via Zulieferer ausgelösten Cybersicherheitsvorfällen und die Zulieferer vor selbstverschuldeten Infizierungen schützen. Auch die Lieferkette an sich biete eine breite Angriffsfläche für Cyberkriminelle. Angreifer könnten beispielsweise Zahlungsinformationen von Firmen aus unterschiedlichen Bereichen entwenden, betrügerische Finanztransaktionen tätigen und Warentransporte umleiten.

Mehrschichtiger Sicherheitsansatz

„Um eine sichere Kommunikation mit Zulieferern sowie einen Schutz der Supply Chain zu gewährleisten, ist ein mehrschichtiger Sicherheitsansatz notwendig“, sagte Holger Suhl, General Manager DACH bei Kaspersky Lab. „In erster Linie müssen Zugangsrechte für verschiedene Bereiche im Unternehmensnetzwerk festgelegt werden. So kann der Zugriff von Zulieferern auf Unternehmensressourcen beschränkt werden.“ Zudem sollten, so Kaspersky-Experte Suhl, „Unternehmen über weitergehende Informationen zum IT-Sicherheitssystem der Zulieferer verfügen und Interaktionsregeln festlegen, die nicht nur der Effizienz und Flexibilität, sondern auch der Sicherheit dienen“.