Sup­p­ly Chain Cybersecurity

Die Cyber­si­cher­heit in der Lie­fer­ket­te gewinnt an Bedeutung

Wäh­rend sich Cyber­an­grif­fe in der Ver­gan­gen­heit in der Regel gegen ein­zel­ne Unter­neh­men rich­te­ten, ste­hen seit eini­ger Zeit zuneh­mend auch Lie­fer­ket­ten (Sup­p­ly Chains) im Fokus von Cyberkriminellen.

Zuneh­men­de Anfor­de­run­gen an Lieferketten

Die cyber­si­cher­heits­recht­li­chen Anfor­de­run­gen an Lie­fer­ket­ten gewin­nen daher ver­stärkt an Bedeutung. 

1.    ENISA: Thre­at Land­scape for Sup­p­ly Chain Attacks

Die ENISA unter­schei­det zwi­schen zwei Angriffs­sze­na­ri­en auf Lie­fer­ket­ten. Zum einen kann ein Zulie­fe­rer unmit­tel­bar zum Opfer eines Cyber­an­griffs, z. B. eines Ver­schlüs­se­lungs­tro­ja­ners (Ran­som­wa­re) wer­den und es kön­nen infol­ge­des­sen ein Pro­duk­ti­ons­still­stand oder Stö­run­gen auf die­ser Ebe­ne der Zulie­fe­rer­py­ra­mi­de oder auf der nächs­ten Ebe­ne ein­tre­ten. Die Aus­wir­kun­gen auf die Lie­fer­ket­te sind dabei jedoch eher zufäl­lig. Zum ande­ren sind jedoch auch ziel­ge­rich­te­te Angrif­fe auf die Lie­fer­ket­te zu ver­zeich­nen. Da aus­ge­reif­te Cyber­si­cher­heits­maß­nah­men unmit­tel­ba­re Angrif­fe gegen Her­stel­ler und Zulie­fe­rer auf höhe­ren Ebe­nen der Lie­fer­ket­te erschwe­ren, kommt es zu einer Ver­la­ge­rung der Angrif­fe auf Lie­fe­ran­ten des eigent­lich anvi­sier­ten Unter­neh­mens und zur Eröff­nung neu­er Ein­falls­to­re für Angreifer.

2.    Neue Sicher­heits­stan­dards der Quad-Allianz

Um die­sen Ent­wick­lun­gen ent­ge­gen­zu­wir­ken, hat die Quad-Allianz als stra­te­gi­scher Zusam­men­schluss von USA, Aus­tra­li­en, Indi­en und Japan bereits ange­kün­digt, neue IT-Sicherheitsstandards für Lie­fer­ket­ten defi­nie­ren zu wol­len. Ins­be­son­de­re die Sta­bi­li­sie­rung der Lie­fer­ket­ten von wich­ti­gen Pro­dukt­be­stand­tei­len, wie Chips und Rare-Earth-Metallen, sowie eine gemein­sa­me Ver­tei­di­gung gegen staat­li­che und nicht­staat­li­che Cyber­an­grif­fe ste­hen im Fokus des Zusam­men­schlus­ses. Das Papier der Quad-Allianz nimmt expli­zit Bezug auf die stra­te­gi­schen Posi­tio­nen der Euro­päi­schen Uni­on (EU) hin­sicht­lich IT-Sicherheit und des frei­en Handels.

3.    NIST: Key Prac­ti­ces in Cyber Sup­p­ly Chain Risk Management

Das Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST) (PDF) sieht in der Iden­ti­fi­zie­rung, Bewer­tung und Abschwä­chung von Cyber­ri­si­ken in der Lie­fer­ket­te einen ent­schei­den­den Fak­tor zur Errei­chung eines ange­mes­se­nen IT-Sicherheitsniveaus in Unter­neh­men. Denn durch die Glo­ba­li­sie­rung, das Out­sour­cing und die Digi­ta­li­sie­rung besteht eine zuneh­men­de Abhän­gig­keit inner­halb kom­ple­xer Lie­fer­ket­ten. Zu die­sem Zweck stellt das NIST Unter­neh­men 2Key Prac­ti­ces” zur Ver­fü­gung, die einen ver­ant­wor­tungs­vol­len Umgang mit Cyber­si­cher­heits­ri­si­ken ver­mit­teln sollen.

4.    Durch­rei­chen von Her­stel­ler­pflich­ten (UNECE-Regelungen)

Sämt­li­che Bran­chen sehen sich neu­en cyber­si­cher­heits­recht­li­chen Her­aus­for­de­run­gen gegen­über. Ein Bei­spiel hier­für ist die Auto­mo­bil­in­dus­trie. Seit dem Inkraft­tre­ten der UNECE-Regelungen für Automotive-Cybersecurity-Managementsysteme und Over-the-Air(OTA)-Updates gel­ten für Auto­mo­bil­her­stel­ler neue Cybersicherheits- und Soft­ware­stan­dards. Zwar adres­sie­ren die Vor­ga­ben pri­mär nur die OEM, jedoch rei­chen die­se die neu­en Anfor­de­run­gen an Zulie­fe­rer durch, die damit auf­grund ver­trag­li­cher Ver­ein­ba­run­gen – jeden­falls mit­tel­bar – die neu­en Anfor­de­run­gen erfül­len müssen.

Sup­p­ly Chain Cybersecurity

Solar­winds und Kaseya ver­deut­li­chen das erheb­li­che Risi­ko­po­ten­zi­al von Cyber­an­grif­fen auf Lie­fer­ket­ten. Durch die ver­mehr­te Ver­la­ge­rung der Angrif­fe auf Lie­fer­ket­ten rei­chen IT-Sicherheitsmaßnahmen, die sich aus­schließ­lich auf das eige­ne Unter­neh­men kon­zen­trie­ren, nicht mehr aus. Vor die­sem Hin­ter­grund wird deut­lich, dass die recht­li­chen Vor­ga­ben für Cyber­si­cher­heit in der Sup­p­ly Chain zuneh­mend an Bedeu­tung gewin­nen. Da jedoch gesetz­li­che Rege­lun­gen und tech­ni­sche Maß­nah­men das erfor­der­li­che Schutz­ni­veau nicht aus­rei­chend abbil­den kön­nen, müs­sen Unter­neh­men (zumin­dest bis auf Wei­te­res) auf ver­trag­li­che Rege­lun­gen zurück­grei­fen, um unan­ge­mes­se­ne Risi­ken zu ver­mei­den. Dabei kön­nen Anfor­de­run­gen, wie es bereits in der Auto­mo­bil­bran­che der Fall ist, inner­halb der Lie­fer­ket­te „durch­ge­reicht“ und durch Haftungs- und Frei­stel­lungs­re­ge­lun­gen abge­si­chert werden.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.