Menü
Anzeige - Sämtliche Inhalte dieser Seite sind ein Angebot des Anzeigenpartners. Für den Inhalt ist der Anzeigenpartner verantwortlich.
CYBERANGRIFFE IN DER LIEFERKETTE

Warum der Schutz Ihrer Lieferkette jetzt oberste Priorität hat

Lesedauer 4:30

Jede Ära birgt ihre eigenen Gefahren: Für das Zeitalter der Industrie 4.0 sind diese monetär beziffert. 220 Milliarden Euro – so hoch schätzt der Branchenverband bitkom die jährlich durch Cyberangriffe und Datenspionage entstehenden Schäden für die deutsche Wirtschaft. Sind ganze Lieferketten oder, wie aktuell durch die politische Lage in Europa, auch kritische Infrastrukturen verstärkt im Visier von Cyberkriminellen, maximiert sich die Bedrohungslage massiv. Experten sind überzeugt: Sollten die Cyberattacken gar auf die Störung kompletter Lieferketten oder Industriezweige ausgerichtet sein, werden die Schäden in die Billionen gehen. 

PwC

Fakt ist: Die Schadenssumme steigt weiter rasant an, denn die Wertschöpfung der Unternehmen verteilt sich heute immer stärker auf die globale und teilweise sehr empfindliche Lieferkette. Haben die Unternehmen die interne Cybersicherheit in den letzten Jahren immer besser in den Griff bekommen, so fehlt es doch an Transparenz über die Cyberrisiken bei den Geschäftspartnern. 

PwC

Experten für Cybersicherheit bei PwC Deutschland

Joachim Mohs, Global Industrial Manufacturing und Automotive Cyber Security & Privacy Leader, Partner, PwC Germany, und Nial Moore, Director PwC Germany, im Gespräch zur aktuellen Bedrohungslage unserer Lieferketten.

Wir sprachen mit Joachim Mohs und Nial Moore, Experten für Cybersicherheit bei PwC Deutschland. Über die aktuelle Bedrohungslage sowie ihren Einfluss auf die gesamte Supply Chain, und über Strategien, um Organisationen nachhaltig vor Cyberangriffen zu schützen. Die Experten sind überzeugt: Cyberangriffe stellen die größte digitale Bedrohung für Unternehmen und ihre Lieferketten dar. Der Schutz und die Sicherheit des Unternehmens sowie seiner Daten muss daher in jeder Geschäftsentscheidung berücksichtigt werden – und gehört strategisch ganz oben auf die CEO-Agenda.  

Lieber Herr Moore, lieber Herr Mohs, kaum ein Thema ist in unserem zunehmend digitalisierten Unternehmensalltag so präsent wie das Thema Cyber Security – gerade Großkonzerne investieren hier hohe Budgets, und sind zum Teil doch nicht vollumfänglich vor Angriffen gefeit. Gibt es hier einen gängigen Denkfehler?

Tatsächlich gibt es weniger einen Denkfehler als vielmehr einen enormen Aufholbedarf. Langezeit ist das Thema Cybersicherheit als Randerscheinung betrachtet worden. Jetzt sehen wir, dass viele Unternehmen nicht wissen, wo sie zuerst anfangen sollen. So haben in unserer letzten Umfrage Digital Trust Insights 82 Prozent aller befragten Führungskräfte gesagt, dass die hohe Komplexität der eigenen Organisation eine zentrale Herausforderung ist. Die Digitalisierung ist schneller vorangeschritten und schreitet auch jetzt noch schneller voran, als Unternehmen die Cybersicherheitsorganisationen aufbauen oder die Techniken zur Abwehr von Cyberangriffen implementieren. Von der Komplexität der Lieferketten ganz zu schweigen. Je mehr Wertschöpfung in den Lieferketten liegt, desto mehr Risiken und somit auch Cyberrisiken liegen außerhalb des eigenen Unternehmens und machen letzteres angreifbar.

Cyberangriffe stellen die häufigsten Bedrohungen für Lieferketten dar und Betroffene haben nur wenige Stunden Zeit für eine wirksame reaktive Abwehr.

© 2022 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft.

 

Zusätzlich erfordert eine Security Transformation ausreichende Kapazitäten und Veränderungswillen in den Unternehmen und bei den Supply Chain-Partnern. Wir sehen viele Unternehmen, die ihre Mitarbeitenden überfordern und ihnen zu viel Veränderung abfordern. Nur weil hohe Investitionen in Security-Programme und Security Technology getätigt werden, heißt es schließlich noch lange nicht, dass die Unternehmen Security nachhaltig leben. Wenn ein teures Sicherheitsmanagement-System eingeführt wird, aber keiner die Alerts aus dem Monitoringsystem liest und auswertet, dann ist keine zusätzliche Sicherheit geschaffen worden. Die Investitionen in Personal, Technologie und Prozessorganisation müssen immer im Verhältnis zueinanderstehen. Denn: Erst, wenn diese ineinandergreifen, wird die Sicherheit erhöht.

Mittlerweile gibt es eine unfassbar hohe Zahl von Schadsoftware und täglich kommen neue dazu. Wenn ich mir als Unternehmen einen Überblick über Cyberrisiken und die Wahrscheinlichkeit, dass ich davon betroffen bin, verschaffen will – was muss ich tun?

Ja – Schadsoftware ist eine der größten Bedrohungen. So hat das BSI in seinem letzten Lagebericht einen Anstieg von 22 Prozent an Schadsoftware-Varianten ermittelt. Der Anstieg des Schadens für die Wirtschaft liegt jedoch deutlich höher. Wir sehen, dass zunehmend auch Produktionssysteme betroffen sind und der ausgelöste Produktionsstillstand tatsächlich der größte Schaden ist. Wenn Unternehmen ihren Lieferverpflichtungen nicht nachkommen können, weil das zentrale Logistiksystem verschlüsselt wurde und die Auslieferung über Wochen händisch kommissioniert werden muss, geht der Schaden schnell in den mehrstelligen Millionenbereich. 

Um einen Überblick über das Risiko eines Cyberangriffs zu erhalten, müssen Unternehmen zum einen den Fokus auf die Sicherheit des eigenen Unternehmens legen: Wo liegen die kritischen Daten? In welcher Cloud und auf welcher Serverversion? Welche Patchlevel haben die Server? Hat der Server bekannte Schwachstellen und kann das Unternehmen die Ausnutzung der Schwachstellen überwachen?  

Viele dieser Informationen können Unternehmen intern erheben, aber erst wenn diese um Informationen eines externen Threat-Intelligence Services rund um aktuelle Cyberentwicklungen und Cyberbedrohungen ergänzt werden, sind die Unternehmen in die Lage versetzt, eigenständig und möglichst proaktiv agieren zu können. Dabei werden von Dienstleistern Daten aus unterschiedlichen Quellen gesammelt, gefiltert, analysiert und in nutzbarer Form bereitgestellt. 

Auf der anderen Seite sollten Unternehmen sich auch des Risikos vor Cyberangriffen auf die Supply Chain bewusst sein und dieses Risiko analysieren. Die Produktion kann auch deshalb ausfallen, wenn etwa der Zulieferer Opfer eines Ransomware-Angriffs geworden sind oder wertvolles IP im Internet veröffentlicht bzw. verkauft wird, weil der Zulieferer des Prototypen gehackt worden ist. Neben der Lieferkette stellen auch die Distributionswege und die Daten von Partnern im Vertrieb mögliche Angriffsvektoren für Cyberangriffe dar. Wenn Partner beispielsweise Zugriff auf Systeme und Daten gewährt wird oder wenn aufgrund von Cyberangriffen die Planung und die Bestellungen über die Vertriebspartner ausfallen, dann haben diese Supply-Chain-Angriffe ebenfalls Auswirkungen auf das eigene Unternehmen. Wir sehen hier ganz deutlich, dass die wachsende Komplexität von globalen Lieferketten zu einem erhöhten Risiko führt. Das Vertrauen und die Geschäftsfähigkeit innerhalb der Lieferkette sind in Gefahr. Auch die Haftungsfrage spielt hier eine wichtige Rolle und beunruhigt Führungskräfte.

Apropos Vertriebspartner: Welche Cyberrisiken habe ich in meiner Lieferkette – und wie gewinne ich hier Transparenz?

© 2022 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft.

 

Wenn ich als Unternehmen die Cyberrisiken, mit denen ich konfrontiert sein könnte, betrachte, muss ich zunächst differenzieren, von welchen Instanzen diese ausgehen. Bei Cyberrisiken, die von Lieferanten, Distributoren, Partner, Hersteller und Konsumenten ausgehen, z. B. fehlende Lieferfähigkeit aufgrund eines Ransomwareangriffs eines Lieferanten, sprechen wir von Cyberrisiken mit Fokus auf den jeweiligen Akteur. Stehen hingegen Informationen, Dienstleistungen, Software oder smarte Produkte selbst im Mittelpunkt der Cyberangriffe, beispielsweise als Infiltration durch Schadsoftware, ist die Rede von Cyberrisiken auf Produktebene. Üblicherweise stellen die konkreten Bedrohungen eine Kombination aus beiden Aspekten dar.

Unternehmen sollten sich zum einen darüber im Klaren sein, was die Auswirkungen eines erfolgreichen Angriffs auf das eigene Unternehmen sind, aber auch der Partner in der Lieferkette – von Ende zu Ende. Dazu sollten sie intern wie extern Cluster mit hohem Risiko identifizieren und diese intensiver beleuchten

Unternehmens-intern geschieht dies etwa durch entsprechende Business-Impact-Analysen und Security Assessments. Unternehmens-extern lassen sich über Fragebögen, Audits oder entsprechende Zertifikate und Berichte nicht nur der unmittelbaren Zulieferer überblicken, sondern darüber hinaus eine n-Tier Betrachtung umsetzen. Die Anforderungen müssen dazu allerdings erst vertraglich fixiert und gegebenenfalls auch technisch zum Beispiel durch die Vorgabe von technischen Lösungen und den Betrieb von Portalen in den Lieferbeziehungen verankert werden. Diese Analysen sollten dann auf Basis von verfügbaren Informationen sowie auf Anfrage wiederkehrend aktualisiert werden, damit ein realistisches Lagebild entwickelt werden kann. 

 

„Wenn Unternehmen ihren Lieferverpflichtungen nicht nachkommen können, weil das zentrale Logistiksystem verschlüsselt wurde, geht der Schaden schnell in den mehrstelligen Millionenbereich.“

 

Und dann noch die zentrale Frage: Wieviel Ressourcen allokiere ich als Unternehmen für die Prävention vor Cyberangriffen und wieviel um die Reaktionsfähigkeit zu erhöhen

So trivial es auch klingt: Machen Sie Cybersicherheit zur Chef-Sache. Denn: Bei Unternehmen, in denen die Einhaltung der Richtlinien regelmäßig überprüft und Verstöße gegebenenfalls geahndet werden, sind signifikant weniger Schäden durch Cyberangriffe dokumentiert. Diese Erkenntnis geht aus einer Studie des Kriminologischen Forschungsinstitut Niedersachsen (KFN) mit PwC als assoziiertem Projektpartner im Auftrag des BMWI hervor. Wie viel ein Unternehmen in Prävention und wie viel in Response investieren sollte, hängt dabei von vielen Faktoren ab. Es geht grundsätzlich darum, resilient zu sein. Das bedeutet, die Angriffe soweit abzumildern, dass die umgesetzten Maßnahmen eine zeitgerechte Wiederherstellung der Betriebsfähigkeit erlauben.

Im Ernstfall eines Cyberangriffs ist eine schnelle und zielgerichtete Reaktion entscheidend, um den Schaden zu begrenzen – das gilt für die gesamte Supply Chain. Wie gehe ich als Unternehmen vor, wenn ich bemerke, dass ein vor- oder nachgelagertes Unternehmen von einem Cyberangriff betroffen ist?

Die Zahlen sprechen für sich und machen deutlich, wie real diese Gefahr ist: So erwarteten im Jahr 2021 Umfragen zufolge 56 Prozent der Unternehmen Angriffe auf die Software Supply Chain. Verschiedene aktuelle Studien vermuten, dass er Anteil tatsächlicher Angriffe sogar noch höher ist. Gerade der Krieg in der Ukraine hat gezeigt, wie schnell Unternehmen von Cyberangriffen auf die Lieferkette betroffen sein können.

Im Hinblick auf die Lieferkette müssen unterschiedliche Szenarien berücksichtigt werden. Zum einen das Szenario, dass Lieferanten schlichtweg für die Produktion notwendige Güter nicht mehr liefern können, weil sie Opfer eines Ransomwareangriffs geworden sind. Hier muss Cyberresilience in den vertraglichen Anforderungen verankert werden und die regelmäßige Überprüfung der Einhaltung der Anforderungen für kritische Lieferanten und Disponenten zur Norm werden.

PwC

PwCs Global Automotive Cyber Security Management System (CSMS) Survey 2022

Cyberangriffe auf vernetzte Fahrzeuge sowie das gesamte Automotive-Ökosystem werden zunehmen. Erfahren Sie mehr in der aktuellen Studie von PwC Deutschland.

Zum anderen besteht die Option, dass zum Beispiel Software-Zulieferer Opfer von Angriffen werden und das Unternehmen dann unwissentlich Schadcode in seine eigene Unternehmens-IT einbaut oder gar in die smarten Produkte. Schließlich möchte keiner von uns in einem autonom fahrenden Auto sitzen oder neben einem Industrieroboter stehen, der mit unsicherer Software betrieben wird. 

Im Hinblick auf die Unternehmens-IT ist das aktuellste Beispiel die Warnung des BSI vor einer bestimmten Anti-Viren-Software. Die Software wird bei unzähligen Unternehmen seit Jahren zum Schutz vor Viren-Angriffen eingesetzt. Um diesen Schutz zu gewährleisten, bekommt die Software in vielen Fällen administrativen Zugriff auf die Unternehmens-IT. Im Rahmen des Ukraine-Konflikts ist die Infiltration der Software für das BSI ein ernstzunehmendes Szenario.

Zusätzlich stellen aktuelle Anforderungen zur Sicherung von smarten Produkte ganz neue Herausforderungen dar. Denn die Sicherstellung der Sicherheit geht über das Produktionsdatum bzw. das Verkaufsdatum hinaus. Über den kompletten Lebenszyklus eines Smart TV, eines Autos, eines Kühlschranks sollte die Sicherheit der Produkte betrachtet werden. Das heißt vom Design bis zur Entsorgung.

 

„Keiner von uns möchte in einem autonom fahrenden Auto sitzen oder neben einem Industrieroboter stehen, der mit unsicherer Software betrieben wird.“

 

Auch die weltweite politische Lage spielt eine wichtige Rolle. BSI-Experten befürchten aktuell verstärkt Cyberattacken auf kritische Infrastrukturen (KRITIS) wie Energieversorger oder militärische Einrichtungen. Für die Betreiber ist der Schutz eine Mammutaufgabe – denn die Umsetzung der gesetzlichen Anforderungen der IT-Sicherheit und Cyberresilienz ist mit weitreichenden Aufwänden verbunden. Wie geht man das am besten an? 

PwC

Schutz Kritischer Infrastrukturen angesichts der aktuellen geopolitischen Lage

Um Unternehmen und Institutionen bei der Absicherung von kritischen Komponenten und Kritischen Infrastrukturen bestmöglich zu unterstützen, hat PwC Deutschland das KRITIS Center of Excellence gegründet. Mehr als 30 Expert:innen verfügen zudem über eine nachgewiesene zusätzliche Prüfverfahrenskompetenz für § 8a BSI Gesetz. Weitere Informationen finden Sie im Flyer.

Die Cyberbedrohungen sind in den letzten Wochen leider tatsächlich sehr real geworden. Wir sehen dabei nicht nur gezielte Angriffe – genauso viel Sorge bereiten auch die Kollateralschäden, insbesondere in der Lieferkette.

So haben wir zum Beispiel einen Kunden, der massiv von einem Cyberangriff betroffen war. Wir helfen aktuell bei der Wiederherstellung des IT-Betriebs und parallel erarbeiten unsere Finanzexperten die bilanzielle Auswirkung für Banken. Grundsätzlich besteht die Herausforderung sowohl für KRITIS- Unternehmen aber auch allgemein für Unternehmen darin, zum einen eine effektive Sicherheitsorganisation aufzubauen und zum anderen diese dann nachhaltig zu betreiben. Ohne auf einzelne konkrete regulatorische Anforderungen einzugehen, müssen Unternehmen dazu Cyberangriffe erkennen und abwehren können, um eine effektive Sicherheitsorganisation zu haben. 

Egal, ob beim Aufbau oder im laufenden Betrieb dieser effektiven Sicherheitsorganisation: Wir unterstützen unsere Kunden mit industriespezifischen Kompetenzen und entsprechenden Tools – sowohl als Übergangslösung als auch längerfristig als Dienstleistung, einem so genannten „managed service“. 

 Herzlichen Dank für das Gespräch!


INTERESSANT: PwC betreibt in Frankfurt das Cyber Security Experience Center. Hier werden Gefahren – und auch Schutzmechanismen – anhand von Modellen mit echten Komponenten praktisch erlebbar gemacht. Besucher:innen erfahren so unmittelbar, was Cyberkriminelle anrichten können. MEHR ERFAHREN

Artikel teilen