Die Tücken der Lieferkette

Die Tücken der Lieferkette
Die Corona Pandemie lehrt uns sicherlich viele Dinge, darunter aber auch, wie schwerwiegend Probleme mit der Lieferkette sein können. Die Kritikalität der Cyber-Lieferkette rückt einerseits aufgrund schwerwiegender Sicherheitsvorfälle mit internationalen Auswirkungen mehr ins Rampenlicht. Andererseits ist sie auch am Radar der österreichischen NIS-Verordnung (NISV, Anlage 1, 2. Umgang mit Dienstleistern, Lieferanten und Dritten). Die genauen Ausprägungen der Risiken sind divers. Dazu gehören das Einfügen von Fälschungen, böswillige Insider, Manipulationen, Diebstahl, das Einfügen von böswilliger Software und Hardware sowie schlechte Herstellungs- und Entwicklungspraktiken in der Lieferkette.1

Das schwächste Glied
Es zeichnet sich ein internationaler Trend ab: Über einen Angriff auf das schwächste Glied der Lieferkette wird das eigentliche Ziel infiziert. Beim SolarWinds Sicherheitsvorfall ging genau dieser Plan auf. Cyberkriminellen gelang es, in das Netzwerk des US-amerikanischen Unternehmens SolarWinds, tätig im Bereich Software-Lösungen und Netzwerkverwaltung, einzudringen und die Software-Update-Infrastruktur zu kompromittieren. Die Updates wurden legitim und signiert ausgeliefert, hatten jedoch eine Hintertür installiert. In der Lieferkette befanden sich 18.000 Unternehmen – alle potenzielle Opfer. Zu den weiteren Folgen zählten Attacken auf das US-Finanzministerium und die Telekommunikationsbehörde NTIA, Teil des US-Handelsministeriums.2

Aus den Augen, aus dem Sinn?
Aufgaben können an andere übergeben werden, Verantwortung allerdings nicht. Auftraggeber müssen dafür Sorge tragen, dass vertrauenswürdige Dienstleister, Lieferanten und Dritte ausgewählt werden, die ihren Aufgaben sorgfältig und gemäß definierten Auflagen nachkommen. Die NISV spezifiziert in Anlage 1 folgende Sicherheitsmaßnahmen:

Beziehungen mit Dienstleistern, Lieferanten und Dritten

Verlangt ist die Erstellung eines „Gesamtbilds des Ökosystems“ von betroffenen Betreibern. Dieses muss Dienstleister, Lieferanten und Dritte miteinschließen, vor allem, wenn sie Zugriff zu Netz- und Informationssystemen haben oder diese verwalten. Es sollen Risiken und Abhängigkeiten bestimmt und bewertet werden können. Für die Bewertung dienen die folgenden Fragestellungen als Grundpfeiler3:

  • Reife: Über welche technischen Fähigkeiten verfügen die Dienstleister, Lieferanten und Dritten in Bezug auf Cybersicherheit?
  • Vertrauen: Kann ich davon ausgehen, dass die Absichten des Dienstleisters, Lieferanten und Dritten mir gegenüber vertrauenswürdig und diese selbst zuverlässig sind?
  • Zugriffsebene: Welche Zugriffsrechte haben die Dienstleister, Lieferanten und dritten zu Netz- und Informationssystemen?
  • Abhängigkeit: Inwieweit ist die Beziehung zu Dienstleistern, Lieferanten und Dritten für die Tätigkeit entscheidend?

Es empfiehlt sich, diese Überlegungen in das von der NISV ebenfalls geforderte Risikomanagement aufzunehmen (1. Governance und Risikomanagement).

Leistungsvereinbarungen mit Dienstleistern und Lieferanten
Betreiber müssen eine Richtlinie bezüglich der Beziehungen zu Dienstleistern und Lieferanten festlegen. Auf Schnittstellen zwischen Netz- und Informationssystemen des Betreibers einerseits und der Dienstleister und Lieferanten andererseits sollte dabei ein besonderes Augenmerk gelegt werden.

Der Betreiber muss zusätzlich Sicherheitsanforderungen für Dienstleister definieren. Diese Anforderungen müssen von den Dienstleistern eingehalten werden, damit ein dem Risiko angemessenes Sicherheitsniveau gewährleistet werden kann. Durch Service Level Agreements (SLAs) oder periodische Prüfmechanismen muss der Betreiber die Einhaltung der Anforderungen sicherstellen. Wichtig sind zudem auch Reaktions- und Wiederherstellungsprozesse nach Vorfällen.4

Mehr als Checklisten-Denken
Die EU-NIS-Richtlinie und ihre nationale Umsetzung verlangen zwar verantwortungsvollen Umgang mit Dienstleistern, Lieferanten und Dritten. Abgesehen von dieser Verpflichtung hat dies aber auch entscheidende Vorteile für Ihr Unternehmen:

  • Sie vermindern die Wahrscheinlichkeit, dass Ihre Cyber-Lieferkette durch Angriffe gefährdet wird.
  • Sie verfügen über effektives Werkzeug, um Ereignisse, die zu erheblichen Geschäftsunterbrechungen führen können, zu erkennen und darauf zu reagieren.
  • Sie erlangen Sicherheit, dass die erworbenen Produkte von hoher Qualität, authentisch, zuverlässig, robust, wartbar und sicher sind.

Wesentlicher Kernaspekt
Das Thema Umgang mit Dienstleistern, Lieferanten und Dritten wurde bereits vor der Aufnahme in die NIS-Anforderungen vielfach aufgegriffen. Mitunter findet sich das Thema in ISO/IEC 27001, NIST Special Publication 800-161 und ITIL wieder. Die starke Abhängigkeit von Dienstleistern gekoppelt mit der Wichtigkeit von Betreibern wesentlicher Dienste/Anbieter digitaler Dienste gibt dem Thema hohe Dringlichkeit. Sie sind betroffen? Dann räumen auch Sie der Umsetzung der NISV genügend Priorität ein.

Expertenkontakt: Laurent Egger (laurent.egger@t-systems.com)

Weitere Informationen zum NIS Consulting: https://www.t-systems.com/at/de/security/security-professional-services/nis

NIS - Umgang mit Dienstleistern, Lieferanten und Dritten: https://www.t-systems.com/at/de/newsroom/blog-alpine/nis-umgang-mit-dienstleistern-lieferanten-und-dritten-450392

Quellenverzeichnis
Quelle 1: Draft NIST Publication 800-161 Revision 1 (Cyber Supply Chain Risk Management Practices for Systems and Organizations)
Quelle 2: Bericht Cybersicherheit 2020, Bundeskanzleramt
Quelle 3: NIS Fact Sheet 8/2019 Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste, Bundeskanzleramt & Bundesministerium für Inneres
Quelle 4: NIS Fact Sheet 8/2019 Sicherheitsmaßnahmen für Betreiber wesentlicher Dienste, Bundeskanzleramt & Bundesministerium für Inneres