4 WICHTIGE ERKENNTNISSE AUS DER DORA-VERANSTALTUNG ZUR LIEFERKETTE

Fragen, die wir diskutiert haben

✔ Wie gehen wir mit den großen Lieferanten um, die keinen Platz in den Verträgen vorsehen?
✔ Sollten wir jeden Lieferanten in unser Risikomanagement einbeziehen? Und in unseren Ansatz?
✔ Wie gehen wir mit laufenden Verträgen um?
✔ Sollten wir kritische Anwendungen in unsere Tests zur betrieblichen Ausfallsicherheit einbeziehen?
✔ 'Wir sind bereits ISO27001-zertifiziert' / 'wir sind bereits NIS1-konform' / 'wir folgen einem Framework wie NIST oder den Good Practices for Information Security': sind wir bereit für DORA?

Erkenntnis 1: Bei einem Angriff auf die Lieferkette ist eine transparente Kommunikation entscheidend

Alan Lucas, derzeitiger CISO bei der Homefashion Group und ehemaliger CISO bei LiteBit, teilte wertvolle Erkenntnisse aus seiner Zeit im Kryptowährungssektor. Bei LiteBit bestand die tägliche Aufgabe darin, große Geldsummen vor Cyber-Bedrohungen zu schützen, was durch große Transaktionsvolumina und das inhärente Bedürfnis nach Anonymität erschwert wurde - und das alles in einem wenig regulierten Umfeld.

Das Engagement von LiteBit für gute Cybersicherheitspraktiken wurde auf die Probe gestellt, als ein wichtiger Lieferant einem Cyberangriff zum Opfer fiel und LiteBit damit potenziellen Bedrohungen ausgesetzt war. Dieser Vorfall erinnerte uns daran, wie wichtig es ist, jeden Teil der Lieferkette zu sichern.

Alan hat uns einige Lektionen darüber erteilt, wie sie mit diesem Angriff auf die Lieferkette umgegangen sind:

• Transparente Kommunikation zwischen Lieferant und Kunde.
  Beziehen Sie von Anfang an das richtige Reaktionsteam für den Vorfall ein.
• Beziehen Sie Notfallteams von beiden Seiten in Ihr Krisenteam ein. Andernfalls haben Sie zwei Black Boxes, die Zusammenarbeit ist entscheidend.
  Korrelieren Sie Protokolle und Daten von beiden Seiten, um einen vollständigen Überblick zu erhalten.
• Kommunizieren Sie so früh wie möglich. Verlangen Sie (vertraglich) von Ihren Zulieferern, dass sie Vorfälle so schnell wie möglich melden.

Erkenntnis 2: Die Automobilindustrie kann als Beispiel dafür dienen, wie man die Sicherheit der Lieferkette in Ordnung bringt

Razvan Venter, von der Bureau Veritas Cybersecurity Sektorgruppe Hersteller, gab einige Einblicke, wie die Automobilindustrie die Sicherheit der Lieferkette angeht. Diese Branche ist anderen Industrien in diesem Bereich voraus, da sie sich bei der Herstellung ihrer Produkte schon immer stark auf ihre Zulieferer verlassen hat. Die Branche hält sich an die Cybersicherheitsverordnung R155/R156, die von der UNECE erlassen wurde.

Diese Vorschriften decken eine Reihe von Bereichen ab, darunter allgemeine Anforderungen, Hardware, Software/Firmware und Service-Backend-Software, sowie Updates. Razvan half bei der Entwicklung eines Lieferantenprogramms mit einem der führenden europäischen Automobilhersteller. Es wurde in einem Pilotversuch getestet, an dem 42 Zulieferer aus den Bereichen Fertigung, Cloud-Services und Backend-Anwendungsentwicklung beteiligt waren.

Razvan hat einige seiner wichtigsten Erfahrungen mit uns geteilt:

• Es dauerte mehr als ein Jahr, bis die Pilotgruppe von 42 Zulieferern die neuen Anforderungen erfüllte.
  Eine langfristige Vision ist notwendig.
  Klare Anforderungen und ständige Kommunikation sind unerlässlich.
• Verstehen Sie, dass es sich nicht um ein einmaliges Projekt handelt, sondern um einen fortlaufenden Prozess von Verbesserungen und Anpassungen.
  Es ist wichtig, dass Sie kontinuierlich mit Ihren Lieferanten zusammenarbeiten und die Standards gemeinsam entwickeln und anpassen.
• Stellen Sie sicher, dass es Konsequenzen für die Nichteinhaltung gibt. Dies sorgt für ein gewisses Maß an Engagement und Motivation zur Einhaltung der Cybersicherheitsanforderungen.

Erkenntnis 3: Auch wenn Sie gut geschützt sind, können Sie dennoch gehackt werden, daher sind Pen-Tests wichtig

Michael Schouwenaar von Bureau Veritas Cybersecurity erläuterte aus technischer Sicht die Komplexität der Abwehr von Cyberangriffen, insbesondere bei der Verwendung von Tools Dritter. Er veranschaulichte dies anhand eines Vorfalls, bei dem eine Online-Banking-Plattform über ein Paketmanagement-Tool kompromittiert wurde.

Obwohl Entwickler häufig auf Drittanbieterquellen für Betriebssysteme, Entwicklungs-Frameworks und Bibliotheken zurückgreifen, hatte die Bank strenge Cybersicherheitsmaßnahmen eingeführt. Dennoch gelang es Angreifern, ein bösartiges Paket hochzuladen, das dann unbeabsichtigt über das Paketverwaltungstool der Bank im Banksystem verteilt wurde, wodurch die etablierten Sicherheitsprotokolle umgangen wurden.

Glücklicherweise wurde diese Schwachstelle während eines Penetrationstests entdeckt, was die entscheidende Bedeutung von Sicherheitstests für Tools von Drittanbietern unterstreicht, die für kritische Prozesse unerlässlich sind.

Schlussfolgerung 4: Eine enge Zusammenarbeit mit Ihren Lieferanten in Sachen Sicherheit ist entscheidend

Jelle Groenendaal und Bram Ketting von 3rd Riskgaben Einblicke in die Bedeutung des Risikomanagements von Drittanbietern innerhalb von Lieferketten und betonten die Relevanz nicht nur für die Cybersicherheit, sondern auch für Nachhaltigkeit, Geopolitik, Ressourcenknappheit und die Einhaltung von Vorschriften.

Obwohl sich DORA auf vertraglich vereinbarte Einheiten konzentriert, wiesen Jelle und Bram auf das breitere Spektrum der Beziehungen zu Dritten hin, wie Allianzen, Partner, Wiederverkäufer, Agenten, Vertriebshändler und Kunden, die ebenfalls Risiken mit sich bringen können.

Trotz dieser Risiken ist die Zusammenarbeit mit Dritten oft notwendig, wenn es um Spezialwissen oder Innovation geht. Jelle und Bram stellen eine zunehmende Abhängigkeit von Dritten fest, während sich die Sicherheitsteams eher auf interne Ressourcen und Verfahren konzentrieren, was eine potenzielle Diskrepanz aufzeigt.

Dies ist besonders besorgniserregend, wenn man bedenkt, dass heute bis zu 60% der Datenschutzverletzungen auf Dritte zurückzuführen sind. Ein ausgewogener Ansatz für das Management interner und externer Sicherheitsrisiken ist von entscheidender Bedeutung.

Jelle und Bram haben uns einige Erkenntnisse aus ihren langjährigen Erfahrungen in diesem Bereich mitgeteilt:

• Beginnen Sie von Anfang an mit einer skalierbaren Methodik.
• Denken Sie an Risiken, nicht nur an die Einhaltung von Vorschriften.
• Arbeiten Sie mit Ihren Lieferanten zusammen, um sie zu verstehen. Werfen Sie nicht einfach eine Tabelle "über den Zaun".
• Verlassen Sie sich nicht nur auf Bewertungen und Ratings.
• Vermeiden Sie Tabellenkalkulationen.
• Es gibt kein Patentrezept.
  

Laden Sie die vollständige Zusammenfassung herunter (pdf)

Ein großes Dankeschön an Eward Driehuis, der ein großartiger Gastgeber war, an Bram Ketting und Jelle Groenendaal, die ihre Einblicke in das Risikomanagement mit uns geteilt haben, und an Alan Lucas, der uns durch einen Angriff auf eine Lieferkette geführt hat.

ÜBER SECURA

Bureau Veritas Cybersecurity ist ein führendes Unternehmen im Bereich der Cybersicherheit. Unsere Kunden reichen von Behörden und dem Gesundheitswesen bis hin zum Finanzwesen und der Industrie. Secura bietet technische Dienstleistungen wie Schwachstellenbewertungen, Penetrationstests und Red Teaming. Darüber hinaus bieten wir Zertifizierungen für IoT- und Industrieumgebungen sowie Audits, forensische Dienstleistungen und Sensibilisierungsschulungen an.

Unser Ziel ist es, Ihre Cyber-Resilienz zu erhöhen. Wir sind ein Unternehmen von Bureau Veritas. Bureau Veritas (BV) ist ein börsennotiertes Unternehmen, das sich auf Tests, Inspektionen und Zertifizierungen spezialisiert hat. Das 1828 gegründete Unternehmen hat über 80.000 Mitarbeiter und ist in 140 Ländern tätig. Bureau Veritas Cybersecurity ist der Eckpfeiler der Cybersecurity-Strategie von Bureau Veritas.