Digitale Lieferketten haben zunehmend mit Cybersicherheitsrisiken zu kämpfen. Zahlreiche Angriffe innerhalb der letzten Jahre richteten sich gegen Drittparteien und Lieferanten. Die zunehmende Vernetzung, Cloud-Infrastrukturen und DevOps-Umgebungen sorgen für mehr Agilität bei den Unternehmen, setzen diese aber gleichzeitig höheren Risiken aus.
Trotzdem konzentriert sich das Lieferketten-Management immer noch stark auf traditionelle Aspekte wie Lieferzuverlässigkeit, Kosten, Qualität statt auf potenzielle Cybersicherheitsrisiken. Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software kommt in jeder Phase der Montage- und Lieferkette vor. Dadurch erhöht sich das Risiko einer externen Kompromittierung.
Dazu wurde Gunnar Braun, Technical Account Manager bei Synopsys befragt.
Angriffe auf digitale Lieferketten: Welche Rolle spielen Cybersicherheit und Cloud Computing für digitale Lieferketten?
Gunnar Braun: An sich profitieren sie voneinander. Moderne Anwendungen werden mit gemeinsam genutzten Komponenten aus unterschiedlichen Quellen entwickelt, nicht nur von kommerziellen Anbietern. Dadurch entsteht eine digitale Lieferkette, in der nicht nur die Software, sondern auch die Daten aus einer beliebigen Anzahl von Quellen stammen können – einschließlich solcher aus Rechtsräume, die nicht in den normalen Tätigkeitsbereich des Unternehmens fallen. Ein perfektes Beispiel dafür ist das Konzept der Open-Source-Entwicklung, wo die Entwickler des Codes unter Umständen aus unterschiedlichsten Ländern stammen, aber ein gemeinsames Ziel teilen: eine qualitativ hochwertige Software zu entwickeln, die größere geschäftliche Agilität ermöglicht. Ein Ergebnis solcher Bemühungen existiert in dem, was gemeinhin als „die Cloud“ bekannt ist. Cloud-Software-Anbieter wie Amazon, Google und IBM verwenden ausnahmslos Software aus Open-Source Entwicklungen in ihren Cloud-Lösungen. Die Anbieter profitieren davon zweifach. Sie bringen Softwareneuerungen sehr viel schneller auf den Markt und können gleichzeitig hochwertigere Produkte anbieten.
Betrachtet man das Ganze als traditionelle Lieferkette, dann ist Software eine Kernkomponente in praktisch jedem Produkt. Das reicht vom Entwurf der Komponente über Systeme mit eingebetteter Software bis hin zu Logistiklösungen für die Verwaltung von Lagerbeständen. Software finden wir in jeder Phase der Montage- und Lieferkette. Dadurch erhöht sich das Risiko einer externen Kompromittierung. Mit Cybersicherheitsmaßnahmen versucht man zunächst, das Risiko zu quantifizieren und einzuschätzen. Auf dieser Basis entwickelt man Strategien, um die identifizierten Risiken zu verhindern oder doch wenigstens auf ein Minimum zu reduzieren.
Einer der dabei üblichen Ausgangspunkte ist eine vollständige Inventarliste aller von einem Unternehmen verwendeten und produzierten Software-Bestände. Mithilfe dieser Bestandsaufnahme kann man eine Materialliste erstellen, aus der die Herkunft der einzelnen Komponenten hervorgeht. Diese Angaben sind aus zwei Gründen so wichtig. Zum einen lässt sich anhand dessen feststellen, wann ein Patch zur Verfügung steht, und zum anderen, wie dessen Verfügbarkeit bekannt gemacht wird. Bei vielen Softwarelösungen, die auf Open Source-Technologien basieren, fehlt die traditionelle Lieferantenbeziehung. Wer also eine Open-Source-Technologie verwendet, sollte einen Kontakt zum Urheber der Software herstellen. Nur so lässt sich gewährleisten, dass sie auf dem neuesten Stand und ordnungsgemäß geschützt ist.
Worin liegen potenzielle Schwierigkeiten?
Gunnar Braun: Cloud- und Cybersicherheitslösungen sind von Natur aus flexibel. Das macht sie gleichzeitig sehr komplex. Eines der größten Probleme entsteht, wenn Unternehmen existierende Best Practices für die IT-Governance auf die über Cloud-Lösungen bereitgestellten Dienste anwenden. Diese Best Practices mögen sich seit ihrer Erstellung durchaus bewährt haben. Entscheidend ist allerdings, dass sie auf Paradigmen beruhen, die sich nicht unbedingt für Cloud-basierende Lösungen eignen. Oder anders ausgedrückt: Wer eine Cloud-basierte Lösung einführt, der sollte sich fragen wie diese Lösung die Sicherheit der Geschäftsprozesse verbessern oder Risiken anderweitig reduzieren kann. Im Anschluss daran sollte man prüfen, welche Änderungen an Richtlinien oder Prozessen nötig sind, um das mit der Einführung der Lösung verbundene Potenzial zu maximieren. Wenn man auf diese Bewertung verzichtet, besteht ein reales Risiko, dass die bestehenden Best Practices sich auf die Sicherheit einer Cloud-Lösung negativ auswirken.
Wie kann die Branche unter diesen Vorzeichen Datenschutz gewährleisten?
Gunnar Braun: Unabhängig von spezifischen Vorschriften und Regularien ist die Sicherheit von Daten eine Frage grundlegender Prinzipien. Welchen Zweck erfüllt die Erhebung von Daten? Weiß der Urheber der Daten, dass und wie die Daten verarbeitet oder gespeichert worden sind? Wo werden die Daten gespeichert, wer greift darauf zu und wie können Sie wissen, ob jemand auf die Daten zugegriffen hat? Wie lange werden die Daten aufbewahrt, und wie könnte ein Vorgang aussehen, wenn der Urheber eine Datenlöschung fordert? Mit der zunehmenden Nutzung von APIs und Webdiensten Dritter wird es noch schwieriger, diese Fragen zu beantworten. Einfach aufgrund der Tatsache, dass diese Dritten möglicherweise unterschiedliche Antworten geben. Aber der Vertrag, den Sie mit Ihren Kunden geschlossen haben, legt fest, welche Erwartungen sie haben, wenn es den Umgang mit ihren Daten betrifft.
Welche aktuellen Trends bei digitalen Lieferketten erwarten uns?
Gunnar Braun: Unterbrechungen der Lieferkette werden immer häufiger. Lieferanten müssen nicht nur verstehen, welche Gefahr ein Angriff für sie selbst bedeutet, sondern auch, wie sich eine Unterbrechung ihrer Geschäftstätigkeit auf ihre Kunden auswirkt. Bei Cyberangriffen bestimmt der Angreifer die Regeln. Er bestimmt den Zeitpunkt und die Art und Weise einer Attacke. Wenn die Angreifer dabei erfolgreich sind, haben sie es in der Hand, welche Art von Störungen sie verursachen. Das kann eine Ransomware-Attacke sein oder der Versuch, den Betrieb einer Anlage zu manipulieren oder sie sogar stillzulegen. Andere werden vielleicht „nur“ versuchen, Daten zu stehlen.
Ein Bewusstsein für Cybersicherheit muss zwangsläufig in den allgemeinen Geschäftsbetrieb einfließen und mehr Transparenz zwischen den Partnern geschaffen werden. Wenn man sich bestimmte Branchen wie beispielsweise die fertigende Industrie ansieht, dann ist hier wahrscheinlich das Sicherheitsbewusstsein auf Werksebene schwächer ausgeprägt als in einem Technologieunternehmen. Allerdings ist das Schadenspotenzial infolge eines Angriffs ungleich höher – etwa durch Störungen oder Betriebsunterbrechungen. Eines der schlagzeilenträchtigsten Beispiele dieser Art war der Angriff auf den Aluminiumgiganten Norsk Hydro im letzten Jahr. Er führte im ersten Quartal zu Verlusten in Höhe von 52 Millionen US-Dollar.