Industrie- und Dienstleistungsunternehmen vernetzen sich mit den vor- und nachgelagerten Stufen in der Supply Chain – eine Entwicklung, die wahrscheinlich auch Ihr Unternehmen durchläuft. Ein gut strukturiertes und sicheres Lieferantenmanagement und der Ausbau eines qualifizierten, vertrauenswürdigen Lieferantenstamms sind notwendig. Cyberrisiken stellen in der gesamten Supply Chain eine omnipräsente Bedrohung dar – und zwar für jedes Unternehmen. In diesem Blogbeitrag zeigen wir Ihnen, weshalb ein Cyber Supply Chain Risk Management (C-SCRM) für Ihr Unternehmen so wichtig ist und welche Herausforderungen es dabei zu meistern gilt.
Lieferantenmanagement hilft, Ausfallrisiken zu minimieren
Professionelles Lieferantenmanagement (Supply Chain Management) hat in den vergangenen Jahren immer mehr an Bedeutung gewonnen ‒ insbesondere in Bezug auf die Berücksichtigung von Aspekten der Informationssicherheit. Denn je grösser das Netzwerk von Lieferanten und Partnern, desto grösser sind inhärente, Supply-Chain-basierte Cyberrisiken.
Bei der Etablierung eines Lieferantenmanagements sollte initial definiert werden, welche Ziele damit erreicht werden sollen. In der Praxis sind das oft die systematische Pflege von Lieferantenbeziehungen, eine objektive Vergleichbarkeit, die Entwicklung von Lieferanten und die Integration von Lieferanten in durchgängige Prozesse und Produktionsabläufe. Nicht zu vernachlässigen sind aber auch die Sicherstellung der Sicherheitsanforderungen sowie die Kontrolle und Minimierung von Cyberrisiken.
Supply Chain Risk Management als Faktor der Lieferantenbewertung
Unsere vernetzte Welt hat Einfluss auf das Lieferantennetzwerk. Um möglichst effizient zu wirtschaften, werden Tätigkeiten vermehrt ausgelagert, womit Unternehmen auf Produkte und Dienstleistungen von Dritten angewiesen sind. Dazu können je nach Branche Lieferanten von mechanischen Teilen oder Rohstoffen, Soft- und Hardware-Lieferanten, Cloud Provider, Internetzugangs-Anbieter usw. gehören. In vielen Fällen ist die Liste so lang und die Verantwortungen so verteilt, dass keine Person oder zentrale Stelle im Unternehmen den gesamten Überblick haben wird oder diese Beziehungen nachhaltig und risikobasiert verwalten kann.
Die Strategie zur Integration mit externen Lieferanten hat zwar viele Vorteile, birgt aber auch Risiken. Sollte es in der Lieferkette zu einem Sicherheitsvorfall, Verzögerungen oder Ausfällen kommen, können die Auswirkungen auf die eigenen Geschäftsprozesse oder die eigene Infrastruktur schwerwiegend sein (Angriffe auf die Lieferkette stiegen laut Symantec in 2018 um 78 Prozent). Dies kann zu erheblichen finanziellen Verlusten, Reputationsschäden oder auch rechtlichen Konsequenzen führen. Das Risikomanagement im Rahmen des strategischen Lieferantenmanagements dient dazu, Gefahren und Risiken frühzeitig zu erkennen sowie Reaktionen und Massnahmen für den Ernstfall zu definieren.
Ohne Supply Chain Management resultieren, nebst den direkten Ausfallrisiken, auch potentielle Herausforderungen. Denn Unternehmen werden zunehmend von Regulierungsbehörden, Investoren und Kunden für das Verhalten (oder die fahrlässige Untätigkeit) gegenüber Technologieanbietern in der digitalen Lieferkette verantwortlich gemacht. Deshalb rückt das Cyber Supply Chain Risk Management (C-SCRM) zunehmend in den Fokus von Schweizer Unternehmen. Dies ist zwar sicherlich eine grosse Herausforderung, aber es gibt bestehende Standards und Best Practices, die Unternehmen als Orientierungshilfe dienen können. So beschreibt beispielsweise ISO/IEC 27036:2013 als Teil der ISO/IEC 27001-Serie die Informationssicherheit für Lieferantenbeziehungen. Des Weiteren hat NIST in seiner Aktualisierung des NIST Cyber Security Framework im vergangenen Jahr (2018) die Kategorie «Supply Chain Risk Management» (ID.SC; S. 28) hinzugefügt, was die Bedeutung von SCRM in der unternehmerischen Sicherheitsbetrachtung unterstreicht.
Cyber SCRM als Teil des Supply Chain Managements
Cyber SCRM ist Teil des Supply Chain Managements (auch bekannt als Supplier Lifecycle Management, Vendor Risk Management oder Third Party Risk Management). Es adressiert die Risiken, die ein Unternehmen eingeht, wenn Systeme, Prozesse, Einrichtungen und Lieferungen von Gütern oder Dienstleistungen an andere Unternehmen auslagert werden. Typischerweise werden dabei folgende Risikoarten differenziert (nicht abschliessend oder gewichtete Aufzählung):
- Vertragsrisiken
- Compliance & rechtliche Risiken
- Finanz- & Kreditrisiken
- Business Continuity & Supply Chain Risiken
- IT- & Cyberrisiken
- Datenschutzrisiken
- Operative Risiken
Während Unternehmen grundsätzlich all diese Risiken berücksichtigen sollten, zeigen Erfahrungen der letzten Jahre, dass viele Datenverstösse auf Drittunternehmen zurückzuführen sind (Experten schätzen den Anteil auf bis zu 60 Prozent). Daher sollte Cyber Security ein wichtiger Aspekt des Risikomanagements in Ihrer Lieferantenkette darstellen.
Cyber SCRM wird bei der Lieferantenwahl oft vernachlässigt
Die Herausforderungen bei der Bewältigung von Cyber-Sicherheitsrisiken innerhalb der Lieferkette sind zahlreich. Wesentliche Schwierigkeiten resultieren unserer Erfahrung nach aus...
- ...der grossen Anzahl der beteiligten Drittparteien.
- ...den fehlenden Ressourcen und/oder Tools.
- ...den Herausforderungen bei der systematischen Bewertung und Überwachung der Risiken, was hauptsächlich auf mangelnde Transparenz und Schwierigkeiten bei der Identifizierung von Abhängigkeiten, insbesondere bei Unterlieferanten, zurückzuführen ist.
- ...organisatorische Herausforderungen bei der Umsetzung von Cyber Security-Vorgaben in der gesamten Supply Chain.
Diese Schwierigkeiten zeigen leider, dass das Cyber-Risikomanagement sowie Cyber Security bei der Wahl und Bewirtschaftung der Partner eines Unternehmens heute noch immer ein untergeordnetes Thema darstellen. Auf der Anforderungsliste der Einkaufsabteilung weit oben stehen meist funktionale Anforderungen, Liefermodalitäten und Preise. IT-Sicherheitsanforderungen, ein gründlicher Überprüfungsprozess und die Risikobewertung der Lieferanten werden oft vernachlässigt oder gar nicht integriert. Kurz gesagt: Die meisten Supply Chain Management-Praktiken beinhalten heute keine Cyber Security-Aspekte, sondern konzentrieren sich stark auf traditionelle Attribute.
Dabei sind gerade Cyberrisiken innerhalb der Supply Chain für Unternehmen elementar und dürfen nicht ausser Acht gelassen werden. Hier nur einige Beispiele aus der Praxis:
- Unerwünschte Funktionalitäten innerhalb von Produkten und Software
- Insider-Bedrohungen durch Lieferanten
- Unzureichende Identifizierung und Bewertung von Risiken entlang der gesamten Lieferkette
- Fehlende interne Kontrollen und Überwachung
- Unzureichende Informationssicherheits-Praktiken bei Lieferanten (oder deren Zulieferern)
- Ungeschützter physischer Zugang zu Informationssystemen
Risikomanagement innerhalb der Supply Chain ist wichtig! Wie Sie ein Supply Chain Management mit einem Cyber SCRM aufbauen können, erfahren Sie im kommenden Blogbeitrag. Um diesen nicht zu verpassen, melden Sie sich am besten gleich für unsere Blog-Updates an!
Cyber Supply Chain Risk Management von InfoGuard
Mit unserer langjährigen Erfahrung im Bereich Cyber Security verfügen wir über die nötige Expertise, um Sie bei der Definition und beim Aufbau Ihres Cyber Supply Chain-Risikomanagements zu unterstützen. Wir helfen Ihnen, Ihre aktuelle Risikolandschaft zu verstehen und Ihre Risiken zu messen, Ihre Supply Chain Risk Management-Strategie zu definieren und die erforderlichen Massnahmen umzusetzen. Dazu kann Ihnen unserer Lösung von SecurityScorecard wertvolle Informationen liefern. Dank SecurityScorecard können Sie die Risiken Ihrer Supply Chain identifizieren, managen und transparent ausweisen. Selbstverständlich können Sie SecurityScorecard auch für die Sicherheitsbewertung Ihres Unternehmens nutzen. Mehr dazu erfahren Sie auf unserer Webseite:
