Ihr größtes Risiko? Selbstgefälligkeit bei Cybersicherheit in Lieferketten
Jedes Unternehmen, unabhängig von seinen Ressourcen, kann Opfer eines Cyberangriffs werden, und Unternehmen zeigen eher Wunschdenken als Vertrauen in die Sicherheit ihrer Lieferkette.
Jedes Unternehmen, unabhängig von seinen Ressourcen, kann Opfer eines Cyberangriffs werden, und Unternehmen zeigen eher Wunschdenken als Vertrauen in die Sicherheit ihrer Lieferkette. Apollo Tyres’ CDO Hizmy Hassen sagt: „Die vertragliche Festlegung von Cyber-Anforderungen schafft klare Verantwortlichkeiten.“
Die jüngsten Cyberangriffe auf bekannte Unternehmen wie Nikkei und Jaguar Land Rover haben deutlich gemacht, dass kein Unternehmen zu groß oder zu gut ausgestattet ist, um nicht angegriffen zu werden.
Der Cyberangriff auf Jaguar Land Rover führte zu einer fünfwöchigen Stilllegung, einem Einbruch der britischen Automobilproduktion, der die Wirtschaft schätzungsweise 1,9 Milliarden Pfund kostete, und brachte Tausende von Zulieferern in Schwierigkeiten.
Ein oft übersehenes Risiko liegt außerhalb der Unternehmensgrenzen in der Lieferkette, wenn eine Sicherheitslücke bei einem Drittanbieter eines Zulieferers zu einem größeren Cyberangriff auf die Lieferkette führt.
Ein Bericht zum Stand der Sicherheit in der Lieferkette zeigte, dass 94 % der Unternehmen zuversichtlich sind, auf einen Angriff auf die Lieferkette reagieren zu können, und etwa ein Fünftel glaubt, nicht beeinträchtigt zu werden, wenn ein wichtiger Lieferant fünf Tage lang nicht arbeiten könnte.
Vor dem Hintergrund der Vorfälle bei TCS erscheint ein übermäßiges Vertrauen in die Cybersicherheit mehr Wunschdenken als echte Resilienz. Dies wird durch die jüngste Umfrage der britischen Regierung zu Cybersicherheitsverletzungen bestätigt, aus der hervorgeht, dass nur etwas mehr als jedes zehnte Unternehmen die Risiken seiner direkten Lieferanten überprüft und weniger als jedes zehnte seine gesamte Lieferkette betrachtet.
Bei Apollo Tyres gehen wir von einer anderen Annahme aus, nämlich dass es bei einem Vorfall nicht um das „Ob”, sondern um das „Wann” geht. Diese Denkweise hat uns dazu veranlasst, Cyber-Resilienz als strategische Priorität zu behandeln.
Die Einbindung von Lieferanten zu einer Sicherheitskontrolle machen
Allzu oft beginnt das übermäßige Vertrauen von Unternehmen in ihre Lieferanten bereits zu Beginn der Geschäftsbeziehung. Sobald ein Lieferant unter Vertrag genommen und integriert ist, wird er standardmäßig als „vertrauenswürdig” behandelt, auch wenn niemand wirklich getestet hat, wie er mit Sicherheit umgeht. In einer Fertigungsumgebung, in der Lieferanten direkt in Planungs-, Logistik- und Produktionssysteme eingebunden sind, ist das der falsche Weg.
Die Cybersicherheit von Lieferanten muss eine Hürde bei der Einbindung sein, und bei Apollo Tyres behandeln wir sie genau so. Jeder neue Lieferant durchläuft eine detaillierte Sicherheitsbewertung, die Verschlüsselungsstandards, Zugriffskontrollen, Compliance und Incident Response umfasst.
Darüber hinaus verlangen wir die Vorlage aktueller Berichte zu Schwachstellen- und Penetrationstests, der ISO 27001-Zertifizierung sowie SOC 1- oder SOC 2-Berichten. Wir untermauern dies mit Vertragsklauseln zu Verstößen, Vertraulichkeit und dem Umgang mit und der Speicherung von sensiblen Daten.
Branchenweit integrieren zu wenige Hersteller explizite Anforderungen an die Cyber-Resilienz in ihre Lieferantenverträge. Durch die vertragliche Festlegung dieser Anforderungen wird eine klare Verantwortlichkeit für cyberbezogene Störungen geschaffen und Lieferanten dazu verpflichtet, eine angemessene Cyberversicherung und robuste Sicherheitskontrollen aufrechtzuerhalten. Diese Klauseln sind in vielen Lieferketten noch relativ neu, müssen aber zur Standardpraxis werden.
Dies ist besonders wichtig für Lieferanten mit hohem Risiko. Deshalb erwarten wir, bevor sie auf die Systeme von Apollo Tyres zugreifen können, auch sichere Zugriffskontrollen, eine kontinuierliche Überprüfung gemäß den Zero-Trust-Prinzipien und gegenseitige Transportschichtsicherheit. Besondere Aufmerksamkeit gilt auch Lieferanten, die über den elektronischen Datenaustausch (EDI) mit uns verbunden sind, wie Logistikpartner und Frachtanbieter.
Andere Hersteller verfolgen ihren eigenen Ansatz, aber wenn Sie Onboarding nutzen, um Sicherheitsstandards festzulegen und zu überprüfen, beginnen Sie die Beziehung mit einem Risiko, das Sie tatsächlich bewältigen können.
Zuordnung und Minderung von Schwachstellen bei Lieferanten
Sobald ein Lieferant an Bord ist, besteht die nächste Herausforderung darin, genau zu ermitteln, wo er in Ihrem digitalen Ökosystem angesiedelt ist. Für viele Hersteller umfassen Lieferketten mittlerweile komplexe Kombinationen aus KI-gesteuerten Systemen, an denen mehrere Partner beteiligt sind. Diese Komplexität schafft zahlreiche potenzielle Schwachstellen und erschwert es, die Sicherheit zu erkennen und zu standardisieren.
Der erste Schritt besteht darin, diese Abhängigkeiten sichtbar zu machen. Ermitteln Sie, welche Partner für welche Werke und Kunden kritisch sind, welche Systeme miteinander verbunden sind und welche Daten in welche Richtung fließen. Wenn Sie die Auswirkungen eines einwöchigen Ausfalls eines wichtigen Lieferanten modellieren, werden die einzelnen Schwachstellen sehr schnell sichtbar. Auf dieser Grundlage können Sie Ihre Reaktion mit den wichtigsten Lieferanten planen und einüben.
Hersteller sollten verstärkt in unabhängige externe Bewertungen dieser Partner investieren, darunter gezielte Penetrationstests und „White-Hat“-Übungen. In einer Zeit, in der die Prämien für Cyberversicherungen steigen, kann der Nachweis solcher proaktiver Tests zu günstigeren Verhandlungen mit den Versicherern führen.
Wenn ein Cyberangriff, wie z. B. Ransomware, doch erfolgreich ist, benötigen sowohl die IT- als auch die Betriebsabteilung einen klaren, detaillierten Plan für die Reaktion auf Vorfälle, wobei die Lieferanten als Teil derselben Reaktionseinheit und nicht als Außenstehende behandelt werden.
Doch selbst auf grundlegender Ebene ist die Planung für Vorfälle bei Weitem nicht ausreichend. Viele mittelständische Unternehmen, aber auch große Organisationen, haben keinen formellen Plan für die Reaktion auf Vorfälle oder die Pläne wurden nie aktualisiert oder getestet. Diese Lücke könnte noch größer sein, wenn es um die integrierte Planung mit Lieferanten geht. Deshalb arbeiten wir mit Lieferanten an einer gemeinsamen Planung für Vorfälle und stellen sicher, dass sie unsere Playbooks genauso genau befolgen wie unsere internen Teams. Wir führen auch simulierte Cyberübungen durch, bei denen wir Angriffe auf die Lieferkette simulieren, um zu testen, wie gut dieses Playbook funktioniert.
Mit den sich entwickelnden Bedrohungen Schritt halten
Sowohl bei Lieferanten als auch intern kann KI dabei helfen, Bedrohungen und Angriffe zu erkennen und darauf zu reagieren. Sicherheits- und Vorfallmanagementplattformen der nächsten Generation sowie Managed Detection and Response Services nutzen KI-gestützte Analysen, um anomales Verhalten, Insider-Bedrohungen und KI-gestützte Angriffe wie Deepfake-Phishing zu erkennen. Diese Systeme helfen Sicherheitsteams, die Auswirkungen von Vorfällen zu mindern. Die automatisierte Vorfallstriage korreliert mehrere Warnmeldungen, reduziert Fehlalarme und beschleunigt die Identifizierung von Angriffen, was wiederum die Reaktionszeiten verkürzt und die Alarmmüdigkeit der Sicherheitsteams verringert. Während drei Viertel der globalen Unternehmen KI inzwischen in ihre Cybersicherheitsstrategien integriert haben, hat eine bedeutende Minderheit dies noch nicht getan, obwohl KI-gestützte Angriffe zunehmen.
Während sich die Bedrohungsakteure modernisieren, veralten die Software und Betriebssysteme, die in allen Produktionsstätten eingesetzt werden, ständig. Wir alle kennen Maschinen, die auf veralteten Betriebssystemen laufen, die keine aktuellen Antiviren- oder Schutzsoftware mehr unterstützen, sodass wir in Upgrades investieren und in einigen Fällen sogar die Anwendungen aktualisieren müssen, bevor wir überhaupt auf eine neuere Plattform umsteigen können.
Cybersicherheit ist kein einmaliges Projekt, sondern ein Investitionszyklus.
Diese Logik muss auch auf Lieferanten ausgedehnt werden. Eine Risikobewertung, die vor zwei Jahren zutreffend war, spiegelt nicht mehr die heutige Bedrohungslage wider, sodass Hersteller regelmäßig hochriskante Lieferanten überprüfen müssen.
Die genaue Häufigkeit hängt vom Sektor und vom Risikoprofil ab, aber kritische Partner sollten niemals Jahre oder sogar Monate ohne Überprüfung bleiben. Das bedeutet, dass diese Lieferanten einer eingehenden Bewertung unterzogen werden müssen, oft unter der Leitung externer Spezialisten, um neue Schwachstellen sowohl in der IT als auch in der Betriebstechnik zu identifizieren.
Genauso wichtig wie das Aufspüren von Problemen ist die Behebung der Ursache, sei es ein nicht unterstütztes Betriebssystem, zu großzügige Zugriffskontrollen oder eine Schulungslücke in der Fertigung. Das Ziel besteht darin, Cyberrisiken für alle Funktionen in den Vordergrund zu stellen, nicht nur für das IT- oder Sicherheitsteam.
Letztendlich kommt es auf die Unternehmensführung an. Laut der britischen Regierung ist der Anteil der Unternehmen mit einem für Cybersicherheit zuständigen Vorstandsmitglied von 38 % im Jahr 2021 auf 27 % im Jahr 2025 gesunken, obwohl die Risiken in der Lieferkette zunehmen. Dieser Trend geht in die falsche Richtung.
Bei Apollo Tyres liegt die Aufsicht über die Cybersicherheit bei unserem Vorstand, wobei die operative Zuständigkeit an die digitale Funktion delegiert ist. Unser Global Head of IT Infrastructure and Cybersecurity berichtet direkt an unser Team.
Die Verantwortung sollte nicht nur bei der IT-Abteilung liegen, sondern bei allen Funktionen. Das Bewusstsein für Risiken und die Förderung einer Kultur der Wachsamkeit sind der Schlüssel zur Verringerung des Risikos einer der größten Unternehmensbedrohungen unserer Zeit.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.