Supply Chain Cybersecurity

Stefan Hessel

Die Cybersicherheit in der Lieferkette gewinnt an Bedeutung

Während sich Cyberangriffe in der Vergangenheit in der Regel gegen einzelne Unternehmen richteten, stehen seit einiger Zeit zunehmend auch Lieferketten (Supply Chains) im Fokus von Cyberkriminellen.

Zunehmende Anforderungen an Lieferketten

Die cybersicherheitsrechtlichen Anforderungen an Lieferketten gewinnen daher verstärkt an Bedeutung. 

1.    ENISA: Threat Landscape for Supply Chain Attacks

Die ENISA unterscheidet zwischen zwei Angriffsszenarien auf Lieferketten. Zum einen kann ein Zulieferer unmittelbar zum Opfer eines Cyberangriffs, z. B. eines Verschlüsselungstrojaners (Ransomware) werden und es können infolgedessen ein Produktionsstillstand oder Störungen auf dieser Ebene der Zuliefererpyramide oder auf der nächsten Ebene eintreten. Die Auswirkungen auf die Lieferkette sind dabei jedoch eher zufällig. Zum anderen sind jedoch auch zielgerichtete Angriffe auf die Lieferkette zu verzeichnen. Da ausgereifte Cybersicherheitsmaßnahmen unmittelbare Angriffe gegen Hersteller und Zulieferer auf höheren Ebenen der Lieferkette erschweren, kommt es zu einer Verlagerung der Angriffe auf Lieferanten des eigentlich anvisierten Unternehmens und zur Eröffnung neuer Einfallstore für Angreifer.

2.    Neue Sicherheitsstandards der Quad-Allianz

Um diesen Entwicklungen entgegenzuwirken, hat die Quad-Allianz als strategischer Zusammenschluss von USA, Australien, Indien und Japan bereits angekündigt, neue IT-Sicherheitsstandards für Lieferketten definieren zu wollen. Insbesondere die Stabilisierung der Lieferketten von wichtigen Produktbestandteilen, wie Chips und Rare-Earth-Metallen, sowie eine gemeinsame Verteidigung gegen staatliche und nichtstaatliche Cyberangriffe stehen im Fokus des Zusammenschlusses. Das Papier der Quad-Allianz nimmt explizit Bezug auf die strategischen Positionen der Europäischen Union (EU) hinsichtlich IT-Sicherheit und des freien Handels.

3.    NIST: Key Practices in Cyber Supply Chain Risk Management

Das National Institute of Standards and Technology (NIST) (PDF) sieht in der Identifizierung, Bewertung und Abschwächung von Cyberrisiken in der Lieferkette einen entscheidenden Faktor zur Erreichung eines angemessenen IT-Sicherheitsniveaus in Unternehmen. Denn durch die Globalisierung, das Outsourcing und die Digitalisierung besteht eine zunehmende Abhängigkeit innerhalb komplexer Lieferketten. Zu diesem Zweck stellt das NIST Unternehmen 2Key Practices" zur Verfügung, die einen verantwortungsvollen Umgang mit Cybersicherheitsrisiken vermitteln sollen.

4.    Durchreichen von Herstellerpflichten (UNECE-Regelungen)

Sämtliche Branchen sehen sich neuen cybersicherheitsrechtlichen Herausforderungen gegenüber. Ein Beispiel hierfür ist die Automobilindustrie. Seit dem Inkrafttreten der UNECE-Regelungen für Automotive-Cybersecurity-Managementsysteme und Over-the-Air(OTA)-Updates gelten für Automobilhersteller neue Cybersicherheits- und Softwarestandards. Zwar adressieren die Vorgaben primär nur die OEM, jedoch reichen diese die neuen Anforderungen an Zulieferer durch, die damit aufgrund vertraglicher Vereinbarungen – jedenfalls mittelbar – die neuen Anforderungen erfüllen müssen.

Supply Chain Cybersecurity

Solarwinds und Kaseya verdeutlichen das erhebliche Risikopotenzial von Cyberangriffen auf Lieferketten. Durch die vermehrte Verlagerung der Angriffe auf Lieferketten reichen IT-Sicherheitsmaßnahmen, die sich ausschließlich auf das eigene Unternehmen konzentrieren, nicht mehr aus. Vor diesem Hintergrund wird deutlich, dass die rechtlichen Vorgaben für Cybersicherheit in der Supply Chain zunehmend an Bedeutung gewinnen. Da jedoch gesetzliche Regelungen und technische Maßnahmen das erforderliche Schutzniveau nicht ausreichend abbilden können, müssen Unternehmen (zumindest bis auf Weiteres) auf vertragliche Regelungen zurückgreifen, um unangemessene Risiken zu vermeiden. Dabei können Anforderungen, wie es bereits in der Automobilbranche der Fall ist, innerhalb der Lieferkette „durchgereicht“ und durch Haftungs- und Freistellungsregelungen abgesichert werden.

[Oktober 2021]