Eine kleine Softwarefirma, deren Lösung in einer Supply Chain eingesetzt wird, kann durch eine Kompromittierung die ganze Kette beeinflussen - wie die Öffentlichkeit gerade erst an einem Sicherheitsvorfall erfahren hat. Der Fall, bei dem schwerwiegende Hackerangriffe auf mehr als 250 amerikanische Unternehmen und Behörden durch Kompromittierung eines einzelnen IT-Anbieters möglich wurden, hat deutlich gemacht, wie angreifbar die global vernetzte Wirtschaft heute bereits ist. Noch immer ist das komplette Ausmaß unbekannt. Bei den betroffenen Unternehmen geht die Aufarbeitung erst los und es scheint sich mehr und mehr heraus zu kristallisieren, dass es nicht ein einziger Angriff, sondern eine ganze Kampagne war. Doch dieser Angriff ist nur ein Beispiel von vielen, denn in den letzten vier Jahren lässt sich hier ein Trend erkennen.
Angesichts solch spektakulärer Fälle, aber auch durch eine insgesamt wachsende Bedrohungslage, erhalten die Ziele und Aktivitäten der Charter of Trust weiter an Bedeutung. Die Charter of Trust wurde 2018 als globale Allianz für Cybersecurity ins Leben gerufen und besteht mittlerweile aus den folgenden 17 Mitgliedsunternehmen:
AES
Airbus
Allianz
Atos
Cosco
Dell
IBM
Infineon
Mitsubishi Heavy Industries
msc
NTT
NXP
SGS
Siemens
Deutsche Telekom
Total
TÜV Süd
Eines der zehn Prinzipien der Charter of Trust befasst sich dabei mit der Supply Chain. Genau mit dem Bereich also, der im Fall Solarwinds zum Einstiegspunkt für die Cyber-Kriminellen wurde. Das Phänomen der Lieferketten-Attacken, die auch als Angriffe auf Drittanbieter bezeichnet werden, ist an sich nicht neu. Cyber-Kriminelle und staatliche Akteure, oder in deren Auftrag agierende Gruppierungen, haben bei bestimmten Zielen bereits seit Jahren nach Wegen und Umwegen gesucht, um Schwachstellen zu finden. Zulieferer wurden gehackt, um die Zielunternehmen zu infiltrieren, beispielsweise durch Cross Site Scripting (XSS) oder andere Hacking-Techniken.
Lesetipp: BKA-Bericht - Cyberkriminelle haben sich in der Corona-Krise schnell angepasst
Sogar infiltrierte und gefälschte Updates von Drittfirmen waren bereits vor dem Vorfall bei Fireeye und Solarwinds sowie anderen bekannt. NotPetya hatte 2017 über die Buchhaltungssoftware M.E.Doc unter anderem der Reederei Maersk einen Verlust von 300 Millionen Euro zugefügt. Von einer Schwachstelle in einer zugekauften Niederlassung war 2019 der Aluminiumhersteller NorksHydro betroffen. Die beschriebenen Vorfälle zeigen: Es reicht ein Blick in die jüngere Vergangenheit, um festzustellen, dass Supply-Chain-Angriffe nichts neues und schon gar keine Seltenheit sind. Wie aber lässt sich ein Schutz eines so hochkomplexen Themas bewerkstelligen?
Anforderungen an ein sicheres Supply-Chain-Risikomanagement
Zunächst ist es wichtig, sich an die Anforderungen an ein Risikomanagement in der Supply Chain heranzutasten. Die typischen Phasen sind:
Identifizierung,
Bewertung,
Steuerung und
Überwachung bzw. Kontrolle
der eigenen Lieferkette. Die Analyse sollte dann zwischen exogenen (externen) und endogenen (internen) Risiken entscheiden. Im Falle der IT-Sicherheit wären dies im ersten Fall die Cyber-Angriffe Dritter und im zweiten Fall die Schwachstellen bei eigenen oder bei Zulieferern vorhandenen IT-Systemen. Zur Minimierung dieser Risiken muss also in die Härtung der digitalen Lieferkette und in den Datenschutz sowie in das Schwachstellen-Management investiert werden. Mit der Einführung von Prozessen und Richtlinien, also organisatorischen Maßnahmen, lassen sich jedoch schon Risiken eingrenzen.
Empfehlungen der Charter of Trust
Die Charter of Trust hat bereits im Gründungsjahr eine Liste mit zehn Prinzipien ("Principles") zusammengestellt. Für die Sicherheit der Lieferkette ist im derzeitigen Kontext vor allem das Principle 2 "Responsibility throughout the digital Supply Chain", interessant. Darin werden 17 Basisanforderungen für jeden Lieferanten definiert, der ein grundlegendes Niveau an Cyber-Sicherheit erreichen möchte. Diese Anforderungen zielen darauf ab, die Grundsätze der Vertraulichkeit, Verfügbarkeit und Integrität von Daten auf Lieferantenebene zu gewährleisten.
Dazu gehört auch ein Grundniveau an Cyber-Sicherheitsschulungen für die Mitarbeiter auf Lieferantenebene. Diese Anforderungen werden auch auf die globalen Standards wie IEC 62443, den EU Cloud Code of Conduct und ISO27001 abgebildet, um eine Harmonisierung der globalen Standards zu gewährleisten. Diese helfen dem Lieferanten, sich an die globalen Standards zu halten und den Weg der Konformität mit diesen Standards zu erreichen.
Die Charta empfiehlt darüber hinaus einen risikobasierten Ansatz bei der Überprüfung der Lieferanten. Dies geschieht auf Unternehmensebene, um die verschiedenen Auswirkungen zu verstehen, die der Lieferant hat. Basierend auf der Risikostufe muss der Lieferant Nachweise vorlegen, um die Einhaltung der Grundanforderungen der Charta des Vertrauens zu beweisen. Darüber hinaus sind die Mitglieder der Charta selbst auf einer gewissen Ebene Lieferanten und jedes Mitglied verpflichtet sich, die Basisanforderungen in seinem eigenen Unternehmen umzusetzen.
Security by Default
Es gibt außerdem das Principle 3, dem in diesem Fall besondere Bedeutung zukommt: "Security by Default". Hierbei geht es darum, das höchste angemessene Sicherheits- und Datenschutzniveau anzunehmen und sicherzustellen, dass es in das Design von Produkten, Funktionalitäten, Prozessen, Technologien, Abläufen, Architekturen und Geschäftsmodellen vorkonfiguriert ist.
Fazit
Vor drei Jahren wurde die Charter of Trust von Unternehmen ins Leben gerufen, um Unternehmen, Politik und Gesellschaft bei der Umsetzung von IT-Sicherheit mit ihrem Know-how zu unterstützen. Alle 17 Mitgliedunternehmen verfolgen das Ziel, Vertrauen in digitale Technologien zu stärken. Die Charter of Trust setzt sich dafür ein, die Daten von Einzelnen und Unternehmen zu schützen. Menschen, Unternehmen und Infrastrukturen vor Schaden zu bewahren. Außerdem soll ein zuverlässiges Fundament geschaffen werden, auf dem das Vertrauen in eine vernetzte digitale Welt verankert ist und weiterwachsen kann. Konkret hilft die Initiative kleinen und mittelständischen Unternehmen vor allem bei der Umsetzung eines unterbrechungsfreien Geschäftsbetriebs - auch als Business Continuity bezeichnet. (bw)